= Ateliers Configurations IT simplifiées : archive de la présentation =

 * Date : 26 janvier 2018
 * Nombre de personnes présentes : 22
 * présentateur : MoussaNombré
 * Modérateur : FranckKouyami

 * Présentation et échanges {{{
(18:25:03) The account has disconnected and you are no longer in this chat. You will automatically rejoin the chat when the account reconnects.
(19:05:56) The account has disconnected and you are no longer in this chat. You will automatically rejoin the chat when the account reconnects.
(2018-01-25 21:22:27) khuon.tiv: Bonjour les gurus !
(2018-01-25 21:22:50) khuon.tiv: ah je suis tout seul. ;-)
(2018-01-25 21:23:34) khuon.tiv: une petite proposition sur l'heure de l'atelier sur la  simplification des infras ce vendredi 26 janvier 2018 de 14h à 16h UTC
(2018-01-25 21:24:34) khuon.tiv: Pourriez-vous reculer 30mn ou 1 heure, vers 14h30' ou 15h UTC ?
(2018-01-25 21:26:17) khuon.tiv: ici, je fais dormir mes 3 enfants. ;-)
(2018-01-26 03:11:08) The account has disconnected and you are no longer in this chat. You will automatically rejoin the chat when the account reconnects.
(2018-01-25 21:22:27) khuon.tiv: Bonjour les gurus !
(2018-01-25 21:22:50) khuon.tiv: ah je suis tout seul. ;-)
(2018-01-25 21:23:34) khuon.tiv: une petite proposition sur l'heure de l'atelier sur la  simplification des infras ce vendredi 26 janvier 2018 de 14h à 16h UTC
(2018-01-25 21:24:34) khuon.tiv: Pourriez-vous reculer 30mn ou 1 heure, vers 14h30' ou 15h UTC ?
(2018-01-25 21:26:17) khuon.tiv: ici, je fais dormir mes 3 enfants. ;-)
(2018-01-26 07:59:40) abdoul.kane: Salut à tous
(2018-01-26 08:00:20) abdoul.kane: pour moi ca coincide pile avec l'heure de la priere du vendredi
(2018-01-26 08:01:12) abdoul.kane: je reste connecté tout de meme jusqu'a mon retour de la mosquée.merci.
(08:58:20) alaa.diab: salut
(08:58:44) abdelkader.eddoud: Bonjour à Tous
(09:01:20) moussa.nombre: Il est 9h
(09:01:30) koye.dansaibo [koye.dansaibo@auf.org/Bureau] a rejoint le salon.
(09:01:31) moussa.nombre: bonjour à toutes et à tous
(09:02:15) moussa.nombre: Merci de votre présence à cet atelier d'échanges sur la simplification de nos infras.
(09:02:22) truong.tung.lam [truong.tung.lam@auf.org/2613299341217021959998] a rejoint le salon.
(09:02:33) truong.tung.lam: bonjour Moussa
(09:02:39) moussa.nombre: Je serai le présentateur et ...
(09:02:51) truong.tung.lam: bonjour  a tous
(09:03:03) moussa.nombre: Franck le modérateur comme d'hab ;)
(09:03:25) alaa.diab: :)
(09:03:39) abdelkader.eddoud: Franck n'est pas encore là
(09:03:40) moussa.nombre: Permettez nous de profiter de l'occasion pour vous adresser, pour vous et pour vos proches,
(09:03:54) abdelkader.eddoud: donc tu vas faire les deux ;)
(09:04:23) moussa.nombre: il est juste à côté
(09:04:31) moussa.nombre: à la porte ...
(09:05:08) moussa.nombre: je disais donc  :

Permettez nous de profiter de l'occasion pour vous adresser, pour vous et pour vos proches,
(09:05:14) moussa.nombre: nos voeux les meilleurs pour cette année 2018.
(09:05:15) franck.kouyami [franck.kouyami@auf.org/Bureau] a rejoint le salon.
(09:05:21) franck.kouyami: Bonjour à tous
(09:05:31) moussa.nombre: Qu'elle soit une année de simplification dans nos vies
(09:05:35) moussa.nombre:  mais une année bien remplie, et débordante de joie.
(09:05:46) moussa.nombre: Cela dit, avant de commencer,
(09:05:56) moussa.nombre: un rappel de quelques règles de bon usage pour le bon déroulement de l'atelier :
(09:06:08) moussa.nombre: Comme d'habitude, nous allons utiliser 2 salons :
(09:06:21) moussa.nombre: 1- celui-ci (@atelier-simplificationit) pour ma présentation et ...

(09:06:27) moussa.nombre: 2- le salon @tech (connectez-vous y maintenant si ce n'est pas encore le cas) pour les échanges afin de ne pas perturber le cours de l'exposé ici.
(09:06:52) moussa.nombre: Alors:
(09:07:25) moussa.nombre: PRIÈRE NE PAS/PLUS INTERVENIR DANS LE salon @atelier-simplificationit.

(09:07:45) moussa.nombre: postez vos questions, remarques, idées, etc. dans le salon @tech.

(09:08:00) aida.ouedraogo [aida.ouedraogo@auf.org/4235425488404311155848] a rejoint le salon.
(09:08:02) moussa.nombre: Le modérateur, Franck, fera le tri et transmettra, quand c'est pertinent, dans le salon @atelier-simplificationit pour que je puisse y répondre.
(09:08:18) moussa.nombre: Excellent :)
(09:08:30) moussa.nombre: Voici le plan de la présentation :
(09:08:43) moussa.nombre: 
1- État d'avancement du projet

2- Configuration du serveur hôte

3- Intégration des vm copiées à Dakar

4- La VM centrale (parefeu/passerelle, ...)

5- Les autres VM

6- Procédure de gestion des pannes du serveur principal

7- Questions/Réponses
(09:09:12) moussa.nombre: Des réactions côté salon @tech ? ça va jusque là ?
(09:09:30) franck.kouyami: Tout va bien 
(09:09:35) moussa.nombre: cool
(09:09:46) moussa.nombre: on commence alors
(09:09:53) moussa.nombre: 1- État d'avancement du projet
(09:10:29) moussa.nombre: - Rappel des objectifs :
 -- taux de simplification escompté : 70% de réduction du nombre de serveurs
 -- échéance envisagée : fin mars 2018 (planning déjà établi avec les différents RTR - https://wiki.auf.org/wikiteki/SchémaDirecteurduNumérique/2017-2020/Projets/Simplification/PlanningRégions)
(09:10:47) photo-valentin.kouadio [photo-valentin.kouadio@auf.org/MacBook Pro de Valentin] a rejoint le salon.
(09:11:00) rene.galekwa-napifongo [rene.galekwa-napifongo@auf.org/Portable] a rejoint le salon.
(09:11:02) moussa.nombre: Nous espérons donc avoir bouclé les simplification en fin mars au plus tard
(09:11:34) hassane.alzouma-mayaki [hassane.alzouma-mayaki@auf.org/cnf] a rejoint le salon.
(09:11:45) moussa.nombre: - Bilan 2017 :
 -- Sites déjà simplifiés : Dakar, Paris phase 1, Ouagadougou, Port-au-Prince, Niamey, Conakry, DRACGL, ~DROI, ~DRAP, ~DRECO (28 serveurs restants)
(09:12:06) emmanuel.gbetnkom [emmanuel.gbetnkom@auf.org/LaptopCNF] a rejoint le salon.
(09:12:36) moussa.nombre: (DRACGL - sans le ~ : 100% simplifié)
(~DROI : certaines implantations de la région)

(09:13:22) moussa.nombre: ex d'infra simplifiée et fonctionnelle : https://wiki.auf.org/wikiteki/ZAO/Ouagadougou
(09:13:55) moussa.nombre: On estime le taux de réalisation à ~50% (24/49 sites)
(09:14:08) moussa.nombre: - Perspectives pour 2018
(09:14:25) moussa.nombre: 
 - Ateliers techniques de présentation des modèles et des configurations à faire (janvier)
 
- Etude du cas de Montréal : janvier
(09:14:39) moussa.nombre: ça va être un gros chantier
(09:15:23) moussa.nombre: - Quelques mission en cours de préparation : Bamako (Hassane) fin janvier-début février (en attente des lignes budgétaires), Abidjan (Franck, le désosseur :P)
(09:15:45) sekou.diall [sekou.diall@auf.org/Bureau] a rejoint le salon.
(09:16:34) moussa.nombre: - Missions à planifier éventuellement :  Paris (phase 2) avec Calin (+ JC ?, à voir)
Beyrouth (moi-même ?, à voir)
(09:17:07) moussa.nombre: et puis un gros travail de suivi et d'assistance pour ceux qui auront besoin d'aide
(09:17:22) moussa.nombre: voici pour l'état sur le projet lui-même
(09:17:28) moussa.nombre: Questions ?
Réactions ?
(09:17:38) franck.kouyami: Tout va bien 
(09:17:44) franck.kouyami: Keep going
(09:18:01) moussa.nombre: Nous allons donc pouvoir entrer dans le vif du sujet "Les différentes configurations à faire dans le cadre de la simplification des IT".
(09:18:38) moussa.nombre: Il s'agira plus précisément de traiter le cas du serveur physique principal (implantation de catégorie M et XL) et de ses serveurs virtuels.
(09:19:08) moussa.nombre: pour la suite de la présentation, nous allons nous appuyer sur la page wiki https://wiki.auf.org/wikiteki/SchémaDirecteurduNumérique/2017-2020/Projets/Simplification/AteliersConfigurationsInfraSimplifiées comme support et aide-mémoire.
(09:19:59) moussa.nombre: On y va, on commence par le point 2 : Configuration du serveur hôte
(09:20:18) moussa.nombre: Nous avons choisi d'appeler nos hôtes super-xxx.
(09:20:22) moussa.nombre: Par exemple : super-drao.sn.auf.org, super-niamey.ne.auf.org, super-scm.fr.auf.org, ou encore super-auforg.ca.auf, ...
(09:20:44) moussa.nombre: pourquoi "super-", bah ... fallait trouver un nom
(09:20:46) moussa.nombre: :)
(09:21:12) truong.tung.lam: :)
(09:21:21) moussa.nombre: et ça tombe bien, ça sera de super machine
(09:22:16) moussa.nombre: Quelques notes importantes :
(09:22:23) moussa.nombre: - PAS D'ACHAT DE NOUVEAU SERVEUR !
(09:22:39) moussa.nombre: On réutilise l'existant en prenant la meilleure des machines dont on dispose.
(09:23:19) moussa.nombre: on évitera néanmoins les machines dont on ne peut pas outre-passer le raid matériel
(09:23:42) moussa.nombre: sauf si on en a 2 identiques (pour le secours)
(09:24:36) moussa.nombre: 2éme point
(09:24:48) moussa.nombre: IL FAUT UTILISER DES DISQUES NEUFS EN PRENANT SOIN DE ..
(09:25:10) moussa.nombre: BIEN ARCHIVER (étiqueter, protéger, entreposer) LES ANCIENS DISQUES
(09:25:44) moussa.nombre: On n'est jamais à l'abri, des mois ou juste des jours plus tard, d'une demande qui tombe quand il ne faut pas ... 
(09:26:15) moussa.nombre: "Allo! Ici le doyen de la faculté XY. Nous avions un site web chez vous depuis des années qu'on ne voit plus en ligne ; et nous avons absolument besoin de récupérer un article important la-dessus !"
(09:26:37) balla.fall [balla.fall@auf.org/AUF] a rejoint le salon.
(09:26:51) moussa.nombre: cas vécu ... et ça peut faire très mal ... alors à bonne entendeur ...
(09:27:02) balla.fall: Bonjour
(09:27:05) moussa.nombre: * Specs minimales de la machine :
(09:28:31) moussa.nombre: 
- RAM : 16G
- CPU : 64bits, Intel de préférence, 4 coeurs
- Disques : 3 x 500G
- Réseaux : 2 ports (une seule pourrait aussi faire l'affaire, mais bon ...)
(09:28:38) niry [niry.andriambelo@auf.org/183205753653063354861004] a rejoint le salon.
(09:30:00) moussa.nombre: (RAPPEL logistique : les question/bonjour/j'aime/etc... doivent être postés dans le salon @tech)
(09:30:27) moussa.nombre: (connectez-vous au salon @, 6 personnes présentes ici n'y sont pas)
(09:30:34) moussa.nombre: je poursuit :
(09:30:42) moussa.nombre: * Adresse IP : une IP publique (quand cela est possible).
(09:30:50) moussa.nombre: Cette machine doit être accessible de l'extérieur (télémaintenance) et doit être indépendante de la machine virtuelle passerelle firewall (qui peut tomber en panne)
(09:32:01) moussa.nombre: il faut qu'on puisse se connecter à l'hôte pour intervenir sur les vm (via leur console) en cas de soucis empêchant les connexions par ssh
(09:33:03) patrick.mwamba [patrick.mwamba@auf.org/Tech] a rejoint le salon.
(09:33:06) eddy.andriamanantena [eddy.andriamanantena@auf.org/Bureau] a rejoint le salon.
(09:33:47) moussa.nombre: si vous n'avez pas d'IP publique, à l'impossible nul n'est tenu ...
(nous n'avons pas encore pousser la reflexion sur ce cas, on vous reviendra dès qu'on a des solutions. N'hésitez pas à en proposer)
(09:34:00) moussa.nombre: * Système d'exploitation à installer : Debian Stretch 64bits
(09:34:15) moussa.nombre: * Partitionnement (à faire lors de l'installation de Debian Stretch) :
(09:34:29) moussa.nombre: - RAID 1 logiciel : 2 disques + 1 spare
- on les assemble et on obtient /dev/md0 qu'on met de type LVM
(09:34:57) moussa.nombre: - on crée un VG "disque01" et on crée les LV (les formater en ext4) :
(09:35:40) moussa.nombre: NB : je ne vais pas vous dire ici comment installer une Debian, ou les autres services
(09:35:52) moussa.nombre: je vous donne les directives
(09:36:16) moussa.nombre: vous pouvez vous référer au wikiteki pour la documention 
(09:36:24) moussa.nombre: documentation
(09:36:47) moussa.nombre: Les partitions logiques minimales à avoir :
 - racine (monter sur /) : 10G
 - swap (de type swap) : 16G
 - var-log (/var/log) : 10G
 - var-lib-libvirt-images (/var/lib/libvirt/images) : le reste de l'espace disponible (pour y mettre les images de vm) 
(09:37:24) moussa.nombre: * On installe une Debian de base, ensuite les paquets utiles, on ajoute les comptes qu'il faut (au minimum : vous-même, Progfou et moi-même)
cf https://wiki.auf.org/wikiteki/Debian#Installer_Debian_GNU.2FLinux
(09:38:02) moussa.nombre: * Protection de l'hôte
Vu que l'hôte donne accès à toutes les VM, il faut la protéger par des règles de filtrage.
(09:39:12) moussa.nombre: Nous (principalement JC) avons réfléchi récemment à l'utilisation de  UFW, que nous comptons déployer en lieu et place des traditionnels iptables pour les cas simples de filtrage.
(09:40:01) moussa.nombre: Nous vous reviendrons sur le sujet dès que nous aurons une procédure bien claire
(09:40:08) moussa.nombre: En attendant, je vous ai mis dans le support wiki, un exemple de script iptables.
(09:40:13) calin.dordia [calin.dordia@auf.org/Gaim] a rejoint le salon.
(09:40:17) moussa.nombre: à l'ancienne ;)
(09:40:24) franck.kouyami: ## Question ##
(09:40:36) franck.kouyami: (15:41:21) niry.andriambelo: Les "Specs minimales de la machine" sont vraiment "minimales" ?!?
(09:40:48) moussa.nombre: ah, ouf, je commençais à m'inquiéter
(09:40:55) franck.kouyami: Que faire dans le cas où aucun serveur ne correspondrait 
(09:40:57) franck.kouyami: ?
(09:41:01) moussa.nombre: bonne question
(09:41:32) moussa.nombre: en fait on aurait dû dire "specs souhaitées" plutôt que "minimales"
(09:42:00) moussa.nombre: surtout que la règles fondamentale dit "PAS D'ACHAT DE SERVEUR"
(09:42:54) moussa.nombre: si vous n'avez pas ces specs, faites avec les moyens du bord
(09:43:19) moussa.nombre: à Ouaga, le serveur que nous avons utilisé n'a que 8G de RAM, et ça marche
(09:43:44) moussa.nombre: je reprends
(09:43:51) moussa.nombre: * Il faut maintenant configurer la virtualisation Libvirt/Qemu
(09:44:13) moussa.nombre: La documentation indiquée dans le support est assez explicite à ce propos
(09:44:38) moussa.nombre: et elle donne les liens vers les docs plus détaillées
(09:45:22) moussa.nombre: si vous avez des questions précises sur des cas rencontrés, n'hésitez pas à les soulever
(09:45:31) moussa.nombre: Juste une note, pour ceux qui n'ont pas encore pratiqué du Libvirt/qemu : 
(09:45:52) moussa.nombre: la gestion des vm se fait depuis un poste de travail Ubuntu avec l'interface graphique virt-manager.
(09:46:33) moussa.nombre: NB : 
Si vous ne disposez pas déjà d'image modèle de VM, il vous faudra créer une vm template Debian Stretch avec les outils de base et les comptes d'administrateurs.
(09:47:47) moussa.nombre: il faudra aussi porter une attention particulière aux configs réseaux
(09:48:01) moussa.nombre: et VLAN
(09:48:22) moussa.nombre: voila, avec tout ceci notre serveur hôte est prêt
(09:48:58) moussa.nombre: il faut maintenant créer les machines virtuelles (virtual machine - VM)
(09:49:10) emmanuel.gbetnkom a quitté le salon
(09:49:39) moussa.nombre: Ici, dans notre contexte, nous aurons 2 cas :

(09:50:00) moussa.nombre: soit vous avez une copie des images de vm de Dakar
(09:50:07) moussa.nombre: soit vous n'avez rien
(09:50:47) moussa.nombre: dans ce dernier cas, vous devrez monter les vm, comme on dit en anglais "from scratch"
(09:51:04) emmanuel.gbetnkom [emmanuel.gbetnkom@auf.org/LaptopCNF] a rejoint le salon.
(09:51:12) moussa.nombre: du début à la fin en installant les différents services requis
(09:51:29) moussa.nombre: nous les décrirons plus loin
(09:51:53) moussa.nombre: pour le 1er cas 
3- Intégration des vm copiées à Dakar
(09:52:08) moussa.nombre: mais avant, des questions ? commentaires ?
(09:52:48) moussa.nombre: okay, on continue
(09:52:54) moussa.nombre: Nous avons profité du regroupement de la DN, en décembre dernier à Dakar, pour transmettre à certaines collègues des copies de vm actuellement en production à Dakar.
(09:52:55) emmanuel.gbetnkom a quitté le salon
(09:53:42) moussa.nombre: Cela devrait donc faciliter les opérations de simplification, il ne suffirait plus que d'adapter ces vm à votre contexte local.

(09:54:29) moussa.nombre: C'est ce que nous avons déjà fait à Ouaga, Niamey, Conakry et Cotonou
(09:54:39) moussa.nombre: En gros voici ce qu'il faut en faire :
(09:55:09) moussa.nombre: 
- Créer de nouvelles vm
- y rattacher les images
- démarrer les vm et s'y connecter (root/s1mplifions)
- faire les adaptations nécessaires
(09:55:46) patrick.mwamba a quitté le salon
(09:56:17) khuon.tiv [khuon.tiv@auf.org/127788185247211171921006] a rejoint le salon.
(09:56:39) franck.kouyami: Remarque :  alaa.diab: j ai tester le mot de passe s1mplifions et cela est rejeté 
(09:56:54) moussa.nombre: je vérifierai
(09:58:03) moussa.nombre: Ensuite, pour chacune des vm il faut faire les adaptations : /etc/network/interfaces, resolv-conf, hosts, a-d-u, etc
(09:58:16) moussa.nombre: voir la page support pour les détails des fichiers de config
(09:59:41) moussa.nombre: Tel que mentionné plus haut, pour ceux qui n'ont pas ces images, il vous faudra créer de nouvelles vm en suivant les grandes lignes qui seront données dans la suite et la documentation disponible sur le wikiteki.
(09:59:50) moussa.nombre: Questions ?
Réactions ?
(10:00:02) franck.kouyami: tout va bien 
(10:01:04) moussa.nombre: cool
(10:01:35) moussa.nombre: Prochain point, on présente les différentes VM en commençant par un morceau intéressant
(10:02:09) moussa.nombre: 4- La VM centrale : notre serveur à tout faire
(10:02:13) moussa.nombre: :)
(10:03:05) moussa.nombre: C'est ici que nous allons concentrer TOUS les services de base nécessaire à l'accès aux différents services applicatifs y compris Internet.
(10:04:49) moussa.nombre: * specs (souhaitées) : >= [8GB RAM, 2 vcpu, une partition dédié de 30GB pour le cache apt (juste pour Debian, prévoir beaucoup plus si on ajoute Ubuntu]
(10:06:34) moussa.nombre: * Bien sûr c'est une Debian Stretch
(10:06:57) moussa.nombre: * elle est au centre de l'architecture réseau et est donc connecté à tous les sous-réseaux (sauf au lan wifi).
(10:07:16) moussa.nombre: * Les différents services :
(10:07:33) moussa.nombre: - routage : passerelle pour les différents sous-réseaux
(10:07:57) moussa.nombre: bien configurer son /etc/network/interfaces
(10:08:26) patrick.mwamba [patrick.mwamba@auf.org/Tech] a rejoint le salon.
(10:08:54) moussa.nombre: et veiller à bien associer les brigdes cette vm
(10:09:06) moussa.nombre: et veiller à bien associer les brigdes à cette vm
(10:09:55) moussa.nombre: - filtrage (iptables)
(10:10:24) moussa.nombre: ici, plutôt que le traditionnel script séquentielle, souvent difficile à lire
(10:10:56) moussa.nombre: nous vous proposons, toujours avec IPTABLES, de scinder les choses dans plusieurs fichiers
(10:11:49) moussa.nombre: /etc/network/firewall/[policies|structure|vars]
(10:12:44) moussa.nombre: il sont tous décrit ici : https://wiki.auf.org/wikiteki/Sch%C3%A9maDirecteurduNum%C3%A9rique/2017-2020/Projets/Simplification/AteliersConfigurationsInfraSimplifi%C3%A9es#Sch.2BAOk-maDirecteurduNum.2BAOk-rique.2F2017-2020.2FProjets.2FSimplification.2FMod.2BAOg-lesDeServeursVirtuels.Parefeu
(10:13:32) moussa.nombre: l'idée est d'organiser le filtrage suivant des tables par flux
(10:15:08) moussa.nombre: par exemple :
le trafic qui vient d'internet et qui va vers la dmzpub  sera redirigé dans la table internet-dmzpub
(10:15:15) progfou [jean-christophe.andre@auf.org/Gajim] a rejoint le salon.
(10:15:40) moussa.nombre: du wifi vers le réseau du personnel : lanwifi-lanrpv
(10:15:48) progfou a quitté le salon
(10:16:31) moussa.nombre: on pourra avoir : cnf-dmzpub, lanrpv-cnf, montreal-cnf, etc
(10:16:52) moussa.nombre: et ensuite on va filtrer ce qui arrive dans chaque table
(10:17:14) moussa.nombre: Ah, j'ai oublié de citer les flux propres au parefeu :
(10:17:43) moussa.nombre: internet-input
(10:17:52) moussa.nombre: paris-input
(10:18:13) moussa.nombre: output-lanrpv, etc. etc
(10:18:39) moussa.nombre: tout ceci est donc défini dans le fichier "structure"
(10:19:03) moussa.nombre: le filtrage lui même (fichier "policies") dira ce qu'on fait concrètement des paquets qui arrivent
(10:20:05) moussa.nombre: par exemple : 

(10:20:14) moussa.nombre: $IPTF -A dmzwifi-input -s $PFSENSE -p tcp -m multiport --dports 1812,1813 -m state --state new -j ACCEPT
(10:20:45) moussa.nombre: on est donc dans le flux de la dmzwifi vers le firewall
(10:21:19) moussa.nombre: et on autorise le serveur pfsense à accéder aux ports 1812 et 1813 (radius) du firewall
(10:21:46) moussa.nombre: $IPTF -A tous-input -p udp --dport 53 -m state --state NEW -j ACCEPT
(10:22:11) moussa.nombre: tout le monde est autorisé à interroger le dns qui est sur le firewall
(10:22:42) moussa.nombre: 
$IPTF -A montreal-tous -m state --state NEW -j ACCEPT
$IPTF -A paris-tous -m state --state NEW -j ACCEPT

(10:22:56) moussa.nombre: tout ce qui vient de Montréal et Paris est accepté
(10:23:18) moussa.nombre: 
$IPTF -A internet-dmzpub -j DROP
(10:24:18) moussa.nombre: après avoir ouvert quelques ports (http(s), imap, submission, etc. on ferme le reste du trafic qui vient d'internet et qui va vers notre dmzpub
(10:24:48) moussa.nombre: comme vous le voyez la lecture et la gestion des règles deviennent plus faciles
(10:25:24) moussa.nombre: petites parenthèses :
(10:25:41) eddy.andriamanantena a quitté le salon
(10:25:41) moussa.nombre: je vous ai parlé plus haut de UFW et là je vous montre encore du iptables
(10:25:58) moussa.nombre: rappelez-vous : j'avais dis UFW pour les cas simples
(10:26:15) emmanuel.gbetnkom [emmanuel.gbetnkom@auf.org/LaptopCNF] a rejoint le salon.
(10:26:32) moussa.nombre: genre serveur hôte, machine isolée, vm isolé dans le cloud, ...
(10:26:55) moussa.nombre: notre parefeu central n'est pas un cas simple, ça prend donc quelque chose de lourd
(10:27:19) moussa.nombre: comme nous l'avons fait pour Postfix (serveur de messagerie) et Exim (simple service smtp)
(10:27:27) moussa.nombre: parenthèses fermées
(10:27:35) moussa.nombre: ça va toujours ?
(10:27:43) franck.kouyami: Yess
(10:27:44) moussa.nombre: pas trop largués ?
(10:27:49) hassane.alzouma-mayaki: oui
(10:27:55) moussa.nombre: les gens sont toujours à bord ?
(10:28:00) Eddy Auf a quitté le salon
(10:28:02) franck.kouyami: Bah personne ne se plaint sur @tech
(10:29:05) moussa.nombre: (il ya encore des personnes ici qui ne sont pas dans le second salon @tech)
(10:29:25) moussa.nombre: (il faut vous y connecter, des choses s'y disent)
(10:29:40) moussa.nombre: suite ...
(10:29:57) moussa.nombre: les autres services de la vm parefeu
(10:30:04) moussa.nombre: - DHCP
- DNS (ns pour les zones locales xx.[auf|refer].org, xx.auf, ... et resolver)
- rpv auf (ipsec)
(10:30:07) Eddy Auf [eddy.andriamanantena@auf.org/Xabber_C6j0x753] a rejoint le salon.
(10:30:25) moussa.nombre: - cache web (squid)
- authentification portail caotif (Freeradius)
- cache de paquets Debian (ACNG)
(10:31:28) moussa.nombre: - gestion du trafic Internet, traffic shapping  (TC)
(10:31:35) moussa.nombre: Tous ces services sont configurés comme on le fait habituellement, selon la documentation disponible sur le wikiteki.
(10:31:48) moussa.nombre: Ou déjà configurés dans les vm de Dakar
(10:32:06) moussa.nombre: Voila pour le parefeu
(10:32:07) moussa.nombre: 5- Les autres VM
(10:32:54) moussa.nombre: NB : on n'est pas obligé d'installer toutes ces vm qui seront présentées si on n'en pas besoin
(10:33:06) moussa.nombre: * VM Gestion des abonnés : a-d-u installé dans une vm Debian Stretch
(10:33:23) moussa.nombre: * VM supervision avec du Munin : utile notamment pour surveiller le trafic réseau et la consommation des ressources de l'hôte.
(10:33:40) moussa.nombre: * VM voip : C'est l'occasion de virer le vieux Debian Lenny qui traîne, avec son Asterisk 1.4, et de virtualiser ce service si ce n'est pas encore le cas.
(10:33:54) moussa.nombre: On installera donc Asterisk 1.8 (en suivant la doc https://wiki.auf.org/wikiteki/Asterisk/MiseAJour18/ProcedureMiseEnPlace) dans une vm Stretch
(10:34:20) moussa.nombre: c'est la dernière version que nous supportons officiellement
(10:34:34) moussa.nombre: * la dernière vm : Pfsense pour le portail captif.

(10:34:41) moussa.nombre: Pas la peine de s'attarder ici, tout est bien décrit dans la doc https://redmine.auf.org/projects/portail-captif-wifi/wiki/Procédure_d'installation_de_Pfsense
(10:35:11) moussa.nombre: voila pour les autres vm, elles sont relativement plus simples
(10:35:26) moussa.nombre: Avant dernier point :
(10:35:31) moussa.nombre: 6- Procédure de gestion des pannes du serveur principal
(10:35:45) moussa.nombre: Nous ne sommes pas à l'abri de grosse panne et cela devient maintenant critique vu que nous concentrons tous nos services sur une même machine.
(10:36:11) moussa.nombre: Il faut donc veiller à avoir un plan de secours bien rodé permettant la reprise des services le plsu rapidement possible en cas de panne.
(10:36:29) moussa.nombre: Celui que nous vous proposons se base sur 2 éléments clés :
(10:36:50) moussa.nombre: - la disponibilité d'un serveur secours fonctionnel et prêt à démarrer à tout moment
(10:38:16) moussa.nombre: - l'archivage régulier des configs et données sur des disques bien conservés.
(10:38:31) moussa.nombre: Différents scénarios ainsi que les procédures adaptées sont décrites ici :
(10:38:41) moussa.nombre: https://wiki.auf.org/wikiteki/SchémaDirecteurduNumérique/2017-2020/Projets/Simplification/ProcédureGestionPannesServeurPrincipal
(10:38:54) moussa.nombre: Je vous laisse survoler la page et poser des questions au besoin.
(10:39:43) moussa.nombre: Un petit pas en arrière : la vm voip est plutôt sous Jessie (et non Stretch)
(10:39:58) moussa.nombre: Voila, nous sommes au terme de cette présentation.
(10:40:09) moussa.nombre: Je vous remercie pour votre aimable attention.
(10:40:18) moussa.nombre: A vous maintenant la parole :

(10:40:22) franck.kouyami: Bien 
(10:40:26) moussa.nombre: 7- Questions/Réponses.
(10:40:28) franck.kouyami: Merci Moussa 
(10:40:31) moussa.nombre: Commentaires ...
(10:40:32) moussa.nombre: ;)
(10:40:55) franck.kouyami: La parole est à qui veut la prendre ;-)
(10:41:00) moussa.nombre: Comme je le disais dans mon courriel, nous pourrions éventuellement organiser d'autres ateliers, notamment à partir de la semaine prochaine, pour voir plus en détails certains aspects qui vous interclasseraient.
(10:41:08) moussa.nombre: Mais il faut que vous en fassiez la demande !
(10:41:11) balla.fall: Pour  moi
(10:41:24) moussa.nombre: il faut que vous manifestez votre intérêt
(10:41:24) franck.kouyami: Oui @Balla 
(10:42:23) balla.fall: pour mon cas le certificat sur pfsense est expiré
(10:43:24) moussa.nombre: il faut le renouveller
(10:43:24) franck.kouyami: Ok, c'est un problème spécifique à pfsense 
(10:43:32) photo-valentin.kouadio: Photo
(10:43:39) franck.kouyami: Il faut le renouveller dans l'interface graphique 
(10:43:56) franck.kouyami: oui @Photo 
(10:44:04) photo-valentin.kouadio: Bonsoir Moussa
(10:44:06) moussa.nombre: notamment en utilisant Let's Encrypt
(10:44:12) moussa.nombre: Salut Photo
(10:44:32) willy.manga a quitté le salon
(10:44:41) photo-valentin.kouadio: est il possible de mettre une copie téléchargeable de la VM template sur le nuage AUF?
(10:44:51) emmanuel.gbetnkom a quitté le salon
(10:45:17) moussa.nombre: c'est faisable mais ...
(10:45:38) moussa.nombre: on parle de quelques giga octets à télécharger
(10:45:39) photo-valentin.kouadio: ah il y’a un mais .. :)
(10:45:47) photo-valentin.kouadio: ah ok
(10:46:00) photo-valentin.kouadio: je vois avec Franck
(10:46:03) photo-valentin.kouadio: pas de souci
(10:46:18) moussa.nombre: moi, ça va, ma bande passante peut supporter mais je n'en suis pas certains pour beaucoup
(10:46:39) moussa.nombre: pour toi, pas de soucis, Franck sera ton fournisseur ;)
(10:46:51) photo-valentin.kouadio: je suis preneur ;)
(10:47:07) moussa.nombre: livraison à domicile en plus
(10:47:08) truong.tung.lam: moi ca va. ca fait combien la taille de chaque image? qq giga est beaucoup non?
(10:47:08) photo-valentin.kouadio: Merci Moussa
(10:47:22) emmanuel.gbetnkom [emmanuel.gbetnkom@auf.org/LaptopCNF] a rejoint le salon.
(10:47:29) moussa.nombre: je t'en pris
(10:48:05) moussa.nombre: prie
(10:48:20) franck.kouyami: Autre Question ..?
(10:48:47) moussa.nombre: je disais donc pour la suite : cela dépendra de vos demandes/besoins
(10:49:16) moussa.nombre: il faut juste nous les exprimer
(10:49:18) niry: petite remarque, sur le wiki https://wiki.auf.org/wikiteki/Sch%C3%A9maDirecteurduNum%C3%A9rique/2017-2020/Projets/Simplification/AteliersConfigurationsInfraSimplifi%C3%A9es#Sch.2BAOk-maDirecteurduNum.2BAOk-rique.2F2017-2020.2FProjets.2FSimplification.2FMod.2BAOg-lesDeServeursVirtuels.Parefeu les specs de la machine hôte c'est 500TB ça fait un peu peur :D
(10:50:00) moussa.nombre: j'ai juste mis ça parce que de nos jours, trouver des disques moins que cela n'est pas facile
(10:50:15) moussa.nombre: sinon effectivement on n'a pas besoin de tout cela
(10:50:30) moussa.nombre: vous l'avez bien vu à la présentation des vm
(10:50:52) moussa.nombre: la plus grosse est le fw avec son cache de paquets Debian (et Ubuntu)
(10:51:07) niry: 500 Teraoctects ?!?
(10:51:28) moussa.nombre: pour lesquels d'ailleurs il faut attribuer un second disque séparé à la vm fw
(10:51:41) moussa.nombre: oups, juste une erreur de frappe bien sûr
(10:51:56) niry: je sais :D
(10:52:24) franck.kouyami: Merci @Moussa
(10:52:35) franck.kouyami: d'autres questions ?
(10:52:47) moussa.nombre: Merci à toi, modérateur et désosseur 
(10:52:53) moussa.nombre: Merci à toutes et à tous.
(10:52:57) alaa.diab: merci
(10:53:12) truong.tung.lam: merci Moussa
(10:53:18) niry: Merci à toute l'équipe
(10:53:23) moussa.nombre: n'hésitez pas aussi à faire des critiques et propositions pour l'amélioration de ce type d'ateliers
(10:53:33) moussa.nombre: encore merci à toutes et à tous.
(10:53:42) moussa.nombre: Bonne journée / bon après-midi / bonne soirée.
(10:53:53) niry a quitté le salon
(10:53:54) hassane.alzouma-mayaki: Merci 
(10:53:54) moussa.nombre: Bye ! Tchao !
(10:54:05) franck.kouyami: Fin de l'atelier
}}}