Futur chatons (iLinux) - Issoire 63

#1

Je ne sais pas si c’est l bon endroit, mais je crée ce sujet pour le faire vivre au fil de l’eau concernant la mise œuvre et l’avancement de notre futur chatons …

Après les multiples tractations, rdv, coups de téléphone infructueuse en mairie (Issoire), j’ai donc créé l’association iLinux ( la paperasse : status , pv création , création préfecture puis au JOAF, numéro siret siren, compte bancaire, assurance) et peut enfin disposer d’une salle (petite) avec un créneau horaire et un non ferme pour mettre du matériel (pratique pour une association linux !).

Mais c’est fait, on existe !

La partie plus croustillante, mais aussi peut-être la plus confortable pour moi … la technique.

j’ai fini la stabilisation du hardware, top content : niveau énergie , niveau perf : cool. (ceux qui avaient pronostiquer un facture énergétique non négligeable, sur ce forum, vont devoir revoir leur copie …, dès que j’aurai fin la parti génie civile je pourrai poster des chiffres de consommation instantanée … il y a 8 Promox, 5 commut basse conso et 2 parefeu)
j’ai commencé le déploiement de l’archi. sécurisé : pfsense / opnsense est vraiment bien foutu (agrégat de lien , multi wan, haute dispo : 2xfirewall …) !
La partie réseau interne est presque terminée avec pour l’instant 5 switch, 2 de plus prévus en “stack” pour la haute dispo sur les switch stratégiques. (je me tâte pour rajouter une couche VLAN …)

Les hyperviseurs sont déployés (pas encore sécurisés au mieux, je me demande si je dois encore plus blindé le truc … et çà me saoule cette surenchère sécu. c’est malsain …).

Il faut maintenant placer la structure DNS (dnssec , master hidden, view bind etc) , LDAP … avec en tête la gestion des utilisateurs et leur portail d’accès … ispconfig, fusion direcory, alternC … là grand flou :wink: :

… enfin WEB :

  • Reverse Proxy,
  • site de l’association iLinux,
  • la partie MX avec des relais en DMZ (je vais en chier grave !!),
  • sites en template (site de l’assoc pardi !!!),
  • Nextcloud,

Voilà à quoi cela ressemble … pour l’instant (avec en prime le logo de l’assoc. :slight_smile:)

Capture%20du%202019-04-27%2022-40-44

#2

beau projet ! et apparemment super bien documenté, chapeau. Tiens-nous au courant des avancements, c’est sympa de voir une structure qui se construit.

Du coup tu as un cluster Proxmox de 4 noeuds, et deux de deux noeuds ?

#3

oups … je sorte la tête du tuyau , j’ai BEAUCOUP de taf car je monte en solo , comme yan !
Mais ca avance hyper vite.

  • Illyse (FAI FDN libre), m’a permis de pouvoir avancer vite avec une création de ligne ULTRA rapide : merci à eux , florent ;-),
  • les parefeu ok (pleins d’alias à créer !!!),
  • les proxmox (8 dont un spare), avec du CEPH [ la c’est un peu l’inconnu … jamais fait de monter en charge, bon ensuite - au départ - c’est pas avec 40 ou 100 adhérents que ca va charger la mule !],
  • L’infra DNS est quasi terminée : 5 serveurs dns (plus que les publics à faire … : j’attends ma deuxième ip publique chez un autre fai … bascule de sosh vers orange pro …)
  • J’ai fini de monté le bastion SSH (un gars “hyper calé en sécu, j’ai encore oublié son prenom , rrrhhhh” de alolise ma poussé à le faire: il avait raison , plus de mot de passe !),
  • l’accés VPN en OTP (c’est plus sure!) est ok,

Maintenant en route pour :

  • le backup (assez pechu car je vais sauvegarder via borgbackup sur un autre site avec un lien Gigabit, mais surtout en sécurisant bien son accès) ,
  • reverse proxy , les serveurs web,
  • la supervision (ultra important y’a du mdadm partout pour redonder touts les disques systèmes des proxmox)
  • les ldap,

Errata : j’ai des SPOF sur les switchs (déjà) car pas assez de ronds pour prendre des switch stackable pour le LAN et la DMZ … (pour aller vite je suis revenu à un seul parefeu, le deuxième étant en conf de backup, à l’arrêt)

En fait je monte tout rapidos mais je vais tot ou tard devoir industrialisé les mises en places … Ansible (playbook), mais ce sera pour parfaire le truc.

Note : je vais devoir me pencher sur la comm. (forum, événement, flyer etc) à faire pour la partie assoc. linux et aussi faire un peu financer le truc par des adhérents … mais une fois prêt j’aurais déjà une dizaine d’utilisateurs (entourage).

Pour finir je suis assez content car ca consomme très très peu en elec. et niveau maintenance cela sera , je pense , très low cost. La force du truc étant dans la conception.

#4

Pour te répondre vite :

  • un cluster proxmox avec du ceph etc … 3 noeuds (un en spare : cluster toujours un nombre impair … a ce qu’on raconte ;-))
  • un datacenter 2 noeuds (pas de partage de corosync disk etc) dmz , tout en raid1.
  • et 2 proxmox isolés en réseau admin. (raid1 + raid5)

Note : tout les systèmes proxmox sont sur des SSD 120G en RAID1 + les data avec du RAID1 ou CEPH

1 Like
#5

Le 15/05/2019 à 23:00, stéphane(dit Le Duf’) a écrit :

un gars “hyper calé en sécu, j’ai encore oublié son prenom , rrrhhhh”
de alolise

ça comme par “Geo” et ça finit pas “ffroy” :stuck_out_tongue:

#6

ah que oui !!! (geoffroy, une pointure celui la … en sécu ! :grinning: )

Sinon ,bon, je suis en train de découvrir les joies des pseudo ip fixe !
Je teste mes DNS public …

si je me connect avec nslookup , puis server les 2 ip fixes je tombe soit :

  • sur un hote orange
  • sur l’hote d’illyse …

Y’a comme un beans là … ca vous cause ?

https://framabin.org/p/?9fe49768f145b585#cllTajQbiP7DC8Ky7c77T0cz2vwQU5iu992W7iYq4+M=

#7

Va falloir que chez illyse ils placent un reverse (pour le record du domaine …)
Mais la ou cela cela se complique j 'ai deux IP fixe pour mon hébergement ! (deux fai)
(ouaih c’est redondé !)

Sinon ne faites pas comme moi a trop vouloir blindé la sécu j’avais restreint aux IP de France (pour les query DNS) … et avec la propagation DNS ben , tu dois être mondialiste sinon … boh ca marche pas !
DNS checker fut rouge … et maintenant vert !

Si certains voudraient bien verifier mes dns … ben u’re welcome :

https://www.issoire-linux.org
et
https://www.ilinux.fr

(le site est pas encore prêt … peu pas tout faire hein !)
(let’s encrypt à bien gueuler pour la verification avec mes dns fermés aux IPs hors France !!;-)))

#8
╰─○ dig www.issoire-linux.org

; <<>> DiG 9.10.3-P4-Debian <<>> www.issoire-linux.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2052
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.issoire-linux.org.		IN	A

;; ANSWER SECTION:
www.issoire-linux.org.	604782	IN	A	89.234.140.242

;; AUTHORITY SECTION:
issoire-linux.org.	86382	IN	NS	ns1.issoire-linux.org.
issoire-linux.org.	86382	IN	NS	ns2.issoire-linux.org.

;; ADDITIONAL SECTION:
ns1.issoire-linux.org.	604782	IN	A	89.234.140.242
ns2.issoire-linux.org.	604783	IN	A	80.11.153.186

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 20 22:04:49 BST 2019
;; MSG SIZE  rcvd: 134


╰─○ dig www.ilinux.fr

; <<>> DiG 9.10.3-P4-Debian <<>> www.ilinux.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9638
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.ilinux.fr.			IN	A

;; ANSWER SECTION:
www.ilinux.fr.		300	IN	A	89.234.140.242

;; Query time: 116 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 20 22:05:02 BST 2019
;; MSG SIZE  rcvd: 58


╰─○ dig NS ilinux.fr 

; <<>> DiG 9.10.3-P4-Debian <<>> NS ilinux.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57973
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ilinux.fr.			IN	NS

;; ANSWER SECTION:
ilinux.fr.		28800	IN	NS	nsa.bookmyname.com.
ilinux.fr.		28800	IN	NS	nsc.bookmyname.com.
ilinux.fr.		28800	IN	NS	nsb.bookmyname.com.

;; Query time: 16 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 20 22:06:43 BST 2019
;; MSG SIZE  rcvd: 106

Donc pour l’instant seul issoire-linux.org est sous ta gestion (ie ton serveur DNS) à priori.

note : je déplace le poste dans Tech > infrastructure où il sera plus à l’aise :wink:

#9

Merci pour ton test,
Oui ilinux.fr est encore chez bookmyname car si je le bascule chez moi … ben il faut que mes relais MX et MX soient opérationnels !! (pas encore eu le temps de monter ca)
Là c’est bookmyname (free) qui gère mes 6 redirections de mails … ilinux.fr (c le boxons je sais )

Mais je veux que ce soit issoire-linux.org qui gère les mails, car ilinux.fr (si une marque veut me faire ch… , ben juridiquement ce sera dure !) Un .org , là c’est autre chose , je pense.

#10

Ca y’est iLLyse à placer le reverse : c’est cool.
Encore merci à eux.

#11

L’infra de sauvegarde est en place , la prod. peut prendre un chtard, tout est sauvé (sur du RAID5)
La partie offline , sur un autre site, arrive bientôt.

(et puis c’a y’est le climatiseur ramène le local des serveurs à 20° … : ouffffffffff, mais comme ici c’est la montagne ca tourne juste en journée …).

#12

la solution mail est stable, couplée au Ldap.
les nextcloud bien optimisés
le wordpress en ligne (blog ou site on verra, Grav me tente bien)

reste le fusiondirectory a parametré pour le password recovery qui n’envoie pas de mail … ?

#13

Depuis le 30 août 2019, iLinux est opérationnel et a surtout ouvert ses accès aux adhérents.
Certes tout n’est pas parfait mais ça tourne déjà bien, pour une infra monté en 3 mois.
On a encore une grosse liste de TODO, notamment pour la sécurisation de l’infra (histoire de blinder le truc).
Le cahier des charges est tenu :

  • basse consommation (430 W pour 2 clusters de 3 et 2 nœuds, 2 firewall opnSense, 1 Onduleur 1Kw, 5 commut. fanless Gigabit, un accès internet redondé - iLLyse et Orange pro -),
  • écologique : 90% du matériel est issue du recyclage (hormis les SSD et HDD ;-)),
  • on peut héberger d’autres domaines, avec nos NS, nos MX, , nos Relais MX filtant, nos filers : c’est modulaire et surtout il ny’a aucune boite noire (chaque brique de l’infra. est modulaire),
  • autonome : pas de OVH etc etc … juste le registrar pour les noms de domaines , Enedis et le réseau FAI (je vais réfléchir pour basculer en full FDN)

Cela fait donc un potentiel CHATONS dans le centre France, où il n’y en avait pas.
Reste un problème crucial, de taille : avoir un débit réseau adapté pour un hébergeur.
Le VDSL avec QoS (ici 50Mb/20Mb x 2) c’est mieux que rien, certes, mais la fibre c’est mieux. La région nous la promet l’année prochaine : on verra !

Un grand merci pour l’aide :

  • d’alolise (jadjay, geoffroy, etc …)
  • iLLyse (florent …)
  • des forumeurs du collectif (CHATONS)
1 Like