3324
Commentaire: Table des matières
|
24278
|
Texte supprimé. | Texte ajouté. |
Ligne 1: | Ligne 1: |
#acl GroupeAUF:read,write | ## page was copied from ZC/Missions/2015/Novembre/FeuilleDeRoute #acl GroupeAUF:read,write All:read |
Ligne 5: | Ligne 6: |
= Mission : Installation du système informatique du nouveau bâtiment de l'Ifgcar = | = Mission : 17 au 28 novembre 2015 à Port-au-Prince = |
Ligne 9: | Ligne 10: |
* Aller (départ de Montréal) : mardi 17 mars 2009 * Retour (départ de Port-au-Prince) : mardi 24 mars 2009 |
||<<MonthCalendar(,2015,11,,,1)>> || |
Ligne 12: | Ligne 12: |
##== Plan de vols == | * Départ de Montréal : mardi 17 novembre à 9h30 -- arrivée PaP à 13h50 (Air Canada vol 1814) * Départ de Port-au-Prince : samedi 28 novembre à 16h15 (American AirLine vol 201) -- Miami 18h26-20h04 (AA, vol 1465)-- arrivée Montréal à 23h38 |
Ligne 14: | Ligne 15: |
== Objectif principal == Mettre en place le coeur du système informatique du nouveau bâtiment de l'Ifgcar : réseau, Internet, parefeu, messagerie, sauvegarde, authentification. |
|
Ligne 17: | Ligne 16: |
__NB__ : '''prendre les dispositions pour travailler samedi et dimanche''' | == Objectifs principaux == * restructuration de l’infrastructure technique (réduction/optimisation du nombre de serveurs, mutualisation de certains services vers le central) * on passera de 4 à 2 serveurs (voire 1 serveur) * le service de partage de fichiers se fera via nuage.auf.org * mise en place d'un dispositif d'accès distant * analyse/résolution des difficultés/soucis techniques récurrents * entretiens de recrutement d'un technicien '''NB''' : 1. il faudra prévoir de '''travailler les samedi et dimanche''' de la mission afin de procéder à la mise en production de la nouvelle infrastructure (arrêts et redémarrages des serveurs) sans perturber les collègues et les abonnés. 1. '''informer les abonnés des changements à venir''' (ils n'auront plus d'espace de stockage sur les machines) et les mesures d'accompagnement (à préciser et mettre en place) 1. prévoir la '''fermeture du CNF le Jour 1 à partir de 14h''' (une heure plus tôt que d'habitude) : modification à apporter aux postes et au serveur. __Les sauvegardes__ : 1. Il n'y aura aucune sauvegarde des postes public (CNF), cf NB 2 ci-dessus 1. Les postes du personnel seront sauvegardés vers un espace disque sur super-bc via '''[[http://doc.ubuntu-fr.org/deja-dup|Déjà-Dup]]''' (installé par défaut sur nos postes). . Ce qui donne, au passage, une grande autonomie au personnel sur leurs données et les besoins restaurations en cas de nécessité. . Du coup, on n'a plus besoin du serveur de sauvegarde . [Faire une sauvegarde des clés de chiffrement] 1. La sauvegarde des serveurs se fera vers Montréal (OVH) durant la nuit (aucun impact pour les utilisateurs le jour) == Travaux préliminaires == * Par LBM : * configuré et tester Déjà-Dup sur son poste * Par NM (à Montréal) : * procéder aux achats de matériel * [[ZC/CNFPaP/SuperBC|serveur]] : * installer Debian Jessie (firmeware-nonfree) + Libvirt/qemu + config de la VM gw.ht.auf (cf photo plus bas) sur les nouveaux disques achetés * transfert de la VM pfsense * conversion/transfert du CT voip * configuration du [[ZC/CNFPaP/KVMIP|kvm-ip et du pcu]] * préparation suppression du NFS * postes du personnel (migration des partages dans nuage.auf.org) * [LBM] installer client owncloud 2.0 sur les postes du personnel . cocher option confirmation pour le téléchargement de dossier/fichier de plus de [10Mo ?] * [NM/LBM] transférer dans nuage.auf.org les dossiers partagés (coordonner avec PatrickHétu) . [PatrickHétu] création du partage '''[[AUF-partage-BC]]''' avec un admin principal et des sous dossiers (droits à gérer par l'admin) * [LBM] désactiver autofs (exit 0 dans /etc/default/autofs) * [LBM] au passage, check list : * TB : activation de la synchro imap et des contacts * home : chiffré ? * postes du CNF * NM : valider procédure de bascule * fonctionnement avec des comptes type "invité" : profil dans /home/tmp/[username], shell particulier (cf compte guest d'Ubuntu) * création des homedir : activer pam-mkhomedir * nettoyage des homedir : cron de nettoyage des tmp : ajouter /home/tmp/*, [garder 7jours ???] * /home/tmp : partition séparée si possible ou activer quota disque (pour ne pas que les usagers bousillent toute la partition /) * vérifier le miroir * vérifier/maj configs preseed local == Planning et compte-rendu == ||'''Quand'''||'''Quoi'''||'''Qui'''||'''Compte-rendu au jour le jour'''|| ||<|2> Jour 1 : mercredi 18||<(> [Matinée] : <<BR>> * Réunion avec la Direction : <<BR>> ** peaufiner les derniers détails du planning de la mission <<BR>> ** point sur les ressources techniques du Bureau (notamment la connexion Internet, le projet de déménagement et le personnel informatique) <<BR>> * Réunion technique avec LBM avant le début des travaux||NM/LBM/Direction||<(> * NB : ce jour est férié en Haïti. Nous avons donc travaillé juste une demie-journée <<BR>> * La réunion avec la Direction est reportée à jeudi|| ||<(> [Après-midi] ''NB :'' '''Il faudra fermer le CNF à compter de 14h''' <<BR>> * modification des postes du CNF (désactivation de NFS, pam-mkhomedir, nettoyage tmp, quota ou partion séparée, etc) <<BR>> * modification des comptes a-d-u : HOMEDIR=/home/tmp/`username` <<BR>> * transfert des disques du serveur auth-nfs sur le serveur new-vz-bc (Attention : rm de udev/70-net) : auth-nfs devient '''super-bc''' <<BR>> * remise en service du serveur auth-nfs (en fait new-vz-bc qui contient les disques du auths-nfs) (service d'authentification pour le CNF et dossiers partagés du personnel)||NM/LBM||<(> * NFS désactivé sur les postes <<BR>> ** on garde le /home/username <<BR>> ** exit 0 dans /etc/default/autofs <<BR>> ** suppression du lien /home <<BR>> ** mkdir /home <<BR>> ** activer pam_mkhomedir (modif dans /etc/pam.d/common_session) <<BR>> ** nettoyage du /home à chaque démarrage des postes (rm -rf /home* dans /etc/rc.local) <<BR>> * Pas touché aux serveurs; le [[ZC/CNFPaP/SuperBC|nouveau serveur]] acheté à Montréal sera finalisé pour la prod.|| ||<|5> Jour 2 : jeudi 19||<(> [Matinée] <<BR>> * installation des "disk-from-Mtl" dans super-bc <<BR>> * installation de super-bc (installation dans le rack, connexion réseau, configuration switch vlan)||NM||<(> * '''Arrivée au bureau : 8h45''' <<BR>> * Rien n'a été installé dans le rack vu que les anciens serveurs y sont encore. On fera tout ça le week-end (sortir les anciens et mettre les nouveaux). <<BR>> * les disques ont été installés dans le serveur. Mais, grosse surprise : encore une carte RAID physique impossible de désactiver ! Finalement, en raid0, ça marche, on arrive à booter sur les disques. <<BR>> * J'ai passé énormément de temps à vouloir intégrer le super-bc et la vm passerelle dans le réseau actuel avec de "vraies" IP sans cassé la prod actuelle. <<BR>> * On s'y attendait : il y a un soucis avec les bridges : rien ne sort n'y entre ! ... '''A REVOIR''' <<BR>> * La vm de base pour voip est prête, reste à installer Asterisk 1.8 et migrer la config <<BR>> * Réunion avec la Direction : point sur la présélections des candidats pour le poste de tech bureautique, procédures de sélection (entretien avec questions générales et techniques, pas de test écrit), présentation des éléments clés (changements à venir) de la mission, point sur les démarches en cours pour l’acquisition de la liaison Internet Digicel et l'augmentation du débit de Natcom|| ||* installation du KVM-IP et du PCU (installation dans le rack et connexion aux serveurs||LBM||Reporté au week-end || ||<(> [Après-midi] <<BR>> * configuration du KVM-IP et du PCU||NM||Juste changé l'IP du KVM. Le PCU n'est pas encore installé, sera fait le week-end. || ||<(> * installation du client owncloud 2.0 sur les postes du personnel (activer le filtre de limitation de téléchargement selon la taille) <<BR>> * configuration de Déjà-Dup sur les postes du personnel <<BR>> * désactiver l'accès NFS||LBM||<(> * Config owncloud : OK <<BR>> * Config DéjàDup : commencée ... '''À FINALISER''' || ||[Fin de journée - 15h] * lancer le transfert des données des partages NFS dans nuage.auf.org||LBM||<(> * Déjà fait par NM depuis Montréal <<BR>> * '''Départ du bureau : 15h30 !!!''' (suite à l'hôtel sur une connexion Internet qui marche tant bien que mal ... quel calvaire !!!)|| ||<|4> Jour 3 : vendredi 20||<(> * suite de la configuration des services parefeu, de la gestion des 2 liens Internet et de l'accès au RPV AUF||NM||Plutôt attardé sur la résolution des soucis de bridges. Heureusement la grosse expérience de ProgFou a permis de débloquer la situation rapidement (cf les [[ZC/Missions/2015/Novembre/FeuilleDeRoute#A.2BAMk-changes_avec_JC_sur_les_soucis_de_bridges|échanges]] plus bas) <<BR>> * (soir à l'hôtel) cette histoire de raid matériel risque de nous causer des soucis : j'ai remarqué que les disques sont vus finalement comme des /dev/mdabc (genre (/dev/md123 pour sda). Je n'ai pas réussi à mettre en place mon raid logiciel sur la 2ème paire de disques ... '''A REVOIR'''|| || * finalisation de la VM pfsense (reconfiguration des interfaces réseaux)||LBM||Fait par NM || || * finalisation et mise en service de la Voip||LBM||Début de la conversion du CT asterisk18 en vm voip ... '''A FINALISER''' || || * configuration des sauvegardes hors site (Duplicity) des serveurs||LBM||Reste le cas des VM (comment faire ???) || ||<|1> Jour 4 - samedi 21||<(|2> * on récupère (offline) un des disques du RAID de super-bc pour le mettre sur super-bc-secours <<BR>> * mise en production de la nouvelle infrastructure <<BR>> * test de la bascule d'un lien Internet à l'autre||<(|2> NM/LBM ||<(> * Finalisation des règles de filtrage <<BR>> * Malgré mes mises en garde et mon désaccord, des travaux de câblage pour le déménagement de la salle serveurs ont commencé au même moment où je devais mettre en prod la nouvelle infra. Du coup 2 équipes qui se télescopent, des câbles et des goulottes partout, moi qui suis obligé d'intervenir dans ces travaux ... difficile de travailler sereinement et d'avancer comme prévu ! <<BR>> * Tant bien que mal : les anciens serveurs sont démontés et sortis du rack <<BR>> * je démonte une porte et une partie de son cadre pour faire passer le rack dans son nouveau local <<BR>> * installation du nouveau serveur, du pcu et du kvm <<BR>> * j'arrive, en jonglant (le câblage n'est pas fini), à brancher les câbles réseaux au serveur pour les premiers tests en vrais (bonnes IP aux bonnes places) et pour pouvoir travailler de l'hôtel <<BR>> * longue journée : 8h40 à 18h|| ||<|1> Jour 5 - dimanche 22||<(> * La journée commence super bien : <<BR>> ** vu que j'ai changé de chambre la nuit (encore) et que cela n'a pas été consigné, le chauffeur m'attend pendant 30min parceque le consiège n'a fait qu'appeler mon ancienne chambre <<BR>> ** on arrive au bureau et surprise tout est fermé et celui qui a la clé a fait une crevaison <<BR>> ** conclusion : la belle journée commence à 10h ! <<BR>> ** Ah ! J'oubliais : coupure d'électricité ~8h15 à 11h46. <<BR>> * Encore du temps passé sur cette question de RAID matériel, à tenter encore une fois, de le désactiver pour finalement ne pas y arriver. L'idée était d'éviter d'avoir 2 couches de RAID (le matériel et le logiciel fait depuis Montréal). Du coup, on verra donc comment monter des disques en RAID matériel et transférer tout le système. <<BR>> * Par la suite, on procède aux tests pour vérifier chacun des services et procéder aux ajustements (dhcp, dns, surtout parefeu, cnf, réseau du personnel, etc.) <<BR>> * Le câblage continue mais ne sera pas finalisé. RDV mardi pour la suite <<BR>> * Il faut corriger libnss sur tous les postes pour modifier l'IP du serveur mysql. Et comme on a oublié de copier la clé privée du root, LBM passe sur tous les postes et moi je rebranche l'ancien NFS pour récupérer ce qu'il faut. <<BR>> * La vm voip préparée par LBM n'est pas complète : il manque tous les fichiers de config. Pour aller au plus rapide (il commence à se faire tard et il faut rentrer), je rebranche l'ancien serveur vz-bc et je transfert le ct voip (lenny asterisk 1.4) en vm. J'arrête sur un soucis d'installation de noyau, on verra la suite demain. <<BR>> * Nous quittons le bureau à 19h16 en laissant la salle serveurs en état de chantier, certains bureau ne sont pas raccordés au réseau, la voip n'est pas fonctionnelle, le portail captif non plus, le switch vlan central est quelque part sur une chaise haute avec des câbles qui pendent partout, etc. etc. || ||<|1> Jour 6 - lundi 23||<(> * gestion des éventuels soucis découlant des changements effectués <<BR>> * assistance générale : <<BR>> ** impossibilité d'utiliser nos lignes téléphoniques fixes pour appeler l'international <<BR>> ** la connexion des ordinateurs à un réseau wifi empêche de profiter simultanément de la connexion internet et de l'accès aux fichiers (je sais, ça semble bizarre mais Beethoven sait de quoi je parle...) <<BR>> ** Divers||NM/LBM||Journée principalement consacrée aux entretiens de sélection pour le poste de tech bureautique. <<BR>> * Entre 2 entretiens : je désactive le squid (paquet installé mais non configuré) pour permettre aux abonnés d'avoir Internet <<BR>> * Je finalise la vm voip (pas de noyau, elle utilisera celle de l'hôte, en attendant de passer en Wheezy) <<BR>> * Travaux sur ipsecd : marche toujours pas :( <<BR>> * Connexion du wifi-auf : on se connecte bien au wifi, mais on n'a pas Internet <<BR>> * Suite à l'hôtel : <<BR>> ** Pfsense réglé : le gateway spécifié était encore l'ancienne IP du parefeu, de même que le dns.'''A VALIDER''' <<BR>> ** on attaque ipsecd ... || ||<|2> Jour 7 - mardi 24||* suite assistance <<BR>> * finalisation du serveur secours||NM||<(|2> * Finalement ni le captif, ni ipesecd n'étaient réglé <<BR>> * Suite et fin des entretiens dans la matinée <<BR>> * Digicel a commencé a installer le nouveau lien (fibre optique) <<BR>> * le câbleur arrive finalement à 15h ; il doit aussi installé le nouveau coffret pour les switchs <<BR>> * Début des travaux avec JC pour résoudre les problèmes bloquants (ipsecd, raid et lenteur de la vm passerelle) <<BR>> * Les travaux vont se poursuivre (JC chez lui à la maison et moi à l'hôtel) jusqu'à tard (~23h) et seront couronnés de succès : les 3 soucis sont résolus <<BR>> * ipsecd : il manquait la route vers le 10.0.0.0/8 (il y avait une erreur dans la config /etc/network/interfaces), un eth0.100 trainait encore quelque part <<BR>> * RAID : les nouveaux disques ont été partitionnés et ajoutés au raid logiciel en aggrandissant les volumes; et la synchro automatique s'est lancée. Reste plus qu'à enlever ces anciens disques plus tard <<BR>> * lenteur : elle était due au fait que la vm avait été créée sur un serveur AMD et maintenant roule sur du Xéon. Nous avons donc créer une nouvelle vm en utilisant le même disque <<BR>> * Modification dans la voip : intégrer les config du goip dans le ficher extensions-pstn.local et résoudre le problème des appels internationaux qui ne passent pas '''A VALIDER''' || ||* retrait et mise au rencart des serveurs inutilisés (old vz-bc, backup, boukman)||LBM|| ||<|2> Jour 8 - mercredi 25|| * mise à jour de la documentation globale (mise à jour du wiki) <<BR>> * rédaction d'une procédure de bascule en cas de panne du serveur principal||NM||<(|2> * Le câblage étant terminé (enfin, presque), je fais du ménage dans la salle, brasse les câbles dans la baie. Je perd encore du temps à brancher les câbles du rack serveur car le bon monsieur n'a pas identifié les prises et manifestement ne les a pas correctement serti, mais aussi parce que notre serveur qu'on pensait up, n'avait pas démarré ! <<BR>> * Après le ménage, le serveur a été relancé, mais au fond n'a pas démarré en mentionnant une duplication de volume raid. Voila de quoi gâcher une journée qui s'annoncait parfaite suite aux déblocage effectués la nuit :( <<BR>> * Activer, déseactiver le raid matériel, démarrer, redemarrer, booter, rebooter sur clé USB, construire, reconstruire les raid, google, regoogle ... <<BR>> * Finalement, on commence à préparer le plan B : installer un disques de Montréal sur l'ancien auth-nfs. Mais même là : beaucoup de peine pour démonter le disque, les vis sont foirées !. On réussi à démarrer, mais comme je m'y attendais le probléme n'était plus le raid matériel. <<BR>> * Il faut juste trouver comment modifier l'info du raid inscrite sur les disques ; mais galère ! et re-galère ... tout l'après-midi <<BR>> * un sos rapide à JC et hop la solution était là : dpkg-reconfigure mdadm après avoir modifié /etc/mdadm.conf. Le serveur (secours) démarre correctement après ça. <<BR>> * Je décide de garder le secours en fonction, le temps de refaire les configs sur le nouveau serveur sans activer le hw-raid. || ||* réunion de synthèse avec la Direction||NM/LBM/Direction|| ||<|1> Jour 9 - jeudi 26||<(|2> Entretiens et tests de recrutement d'un technicien||<(|2> NM/LBM/JPM|| * On commence la matinée par établir une todo-list pour LBM : vérifier les câblages, brancher/corriger ce qu'il faut, installer Trusty sur les postes du CNF <<BR>> * Je modifie donc le mdadm.conf du second disque et je relance le nouveau serveur. Je partitionne un nouveau disques (aucun hw-raid) et je l'ajoute à mon soft-raid. Après la synchro et la mise à jour de grub, j'essaie de booter sur mon nouveau disque : échec ! il n'est pas vu au boot ! Misère ! <<BR>> * Bon, on va tout reprendre : configurer un hw-raid1, installé Debian et synchroniser données et configs depuis l'autre serveur. <<BR>> * parallèlement d'autres choses : portail captif, mise à jour des virtualhost apache, assistance, quelques correction dans le parefeu, correction d'un bug dans la voip, ajout des extensions vers les téléphones mobiles ... <<BR>> * En début d'après-midi, réunion du personnel : présentation des changements opérés lors de nos travaux, présentation de DéjàDup et du client owncloud, annonce de la mise en place des N° raccourcis pour appeler les collègues sur leur mobile via le téléphone fixe en passant par le goip. <<BR>> * Reparlons raid : je n'ai pas eu plus de succès. Lors de l'install les disques hw-raid ne sont pas détecté par Debian :(, même si on les voit dans le shell avec un fdisk -l. Je télécharge un nouvel iso intégrant les firmeware non-free, mais rien à faire, pas de disques détectés ! suite le lendemain <<BR>> * LBM commence la config de DéjàDup sur les postes du personnel. <<BR>> * Je suis invité le soir à dîner avec le Directeur et l'Administrateur (à leur propre frais) ; un point des travaux est fait entre plusieurs bouchées de lambi et de crevettes.|| ||<|1> Jour 10 - vendredi 27|| * Je re-essais, refais plusieurs trucs sans succès. Après quelques recherches sur Internet, je trouve une doc qui explique comment faire ; malheureusement, je n'ai plus de temps pour tout ça. Je décide de ramener le serveur à Montréal. Surtout que mon cher ami Beethoven n'a plus ou pas confiance en cette machine ; je sens que tout les prétextes seront bons pour tout mettre sur le dos de cette machine en cas de soucis. <<BR>> * LBM termine la configs de DéjàDup <<BR>> * Un peu d'assistance aux utilisateurs <<BR>> * Je demande à LBM de contacter JC pour les configs preseed et de procéder aux tests d'installation de Trusty. Ils travaillenet donc ensemble jusqu'à la fin de la journée. JC finalise les tests après notre départ <<BR>> * je reçois le candidat retenu pour le poste de tech bureautique : je le met tout de suite dans le bain des travaux en cours, je lui présente l'AUF, l'ARI, la technique au BC, ce que j'attendais de lui, nos moyens de communications, etc. <<BR>> * je démonte le serveur du rack et le fais emballer <<BR>> * On finalise le branchement des câbles du serveur et du kvmip (le tech est passé terminer les prises et les identifier. <<BR>> * je lance le script de routage vers la seconde ligne Internet et branche l'arrivée de la ligne sur le vlan correspondant. Les tests sont concluants. Il ne reste plus qu'à mettre en place le mécanisme de bascule automatique <<BR>> * On ressort le serveur initialement prévu pour être secours. Je le mets dans le rack. On y met un des disques du raid (retiré du serveur de prod) mais au boot, on tombe sur "grub rescue>", zut, j'ai oublier de refaire le grub après la synchro raid :(. Mais plus le temps de corriger, il se fait tard, nous devons quitter le bureau. J'essais (depuis l'hotel) d'apporter la correction avec le shell grub, mais bien sûr impossible : tous les outils necessaires ne sont pas présents (raid, lvm).|| ||<|1> Jour 11 - samedi 28||Retour à Montréal||NM|| * Je plis bagages, direction aéroport international Toussaint Louverture pour Montréal via Miami.|| == Schémas de l'infrastructure == ||{{attachment:schemas-it-bc.png|schémas avant et après|width=400}}||{{attachment:infra3.0.png|Infra Tech 3.0|width=400}}|| == Besoin en matériel == * KVM-IP * PCU * Disques durs : 4 x 1TB * Barrettes mémoires (pour auth-nfs et new-vz-bc) == Annexes == === Échanges avec JC sur les soucis de bridges === {{{ (13:01:51) moussa.nombre@auf.org/3277039268144837733412656: je suis embourbé dans cette histoire d'interfaces/ponts (13:02:39) moussa.nombre@auf.org/3277039268144837733412656: hier nuit, finalement tout était bien, mes interfaces de passerelle fonctionnaient (13:02:54) moussa.nombre@auf.org/3277039268144837733412656: j'y avait accès depuis le lan (13:03:24) moussa.nombre@auf.org/3277039268144837733412656: et là ce matin, j'arrive au bureau, il y a eu panne de courant, tout a rebooté, et pouf plus rien ne marche (13:03:28) moussa.nombre@auf.org/3277039268144837733412656: bizarre (13:04:42) Progfou : ok (13:04:46) moussa.nombre@auf.org/3277039268144837733412656: dès que tu as 1 minute ... (13:04:51) Progfou : donc je dirais : forwarding (13:05:03) Progfou : filtrages sur les bridges (13:05:08) Progfou : rp_filter (13:05:11) Progfou : choses de ce genre (13:06:29) moussa.nombre@auf.org/3277039268144837733412656: root@super-bc:~# cat /etc/sysctl.d/local.conf net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0 net.ipv6.conf.all.disable_ipv6 = 1 root@super-bc:~# (13:11:17) Progfou : vérifies que c'est effectivement actif (13:11:44) Progfou : car j'avais eu des soucis avec le sysctl -p qui n'appliquait pas mes config' dans /etc/sysctl.d/ (qui est pourtant la bonne place) (13:12:13) Progfou : (vérifier = grep . /proc/sys/net/bridge/bridge-nf-call-*) (13:12:46) moussa.nombre@auf.org/3277039268144837733412656: ah ha ! (13:12:53) moussa.nombre@auf.org/3277039268144837733412656: root@super-bc:~# sysctl -a | grep bridge net.bridge.bridge-nf-call-arptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-filter-pppoe-tagged = 0 net.bridge.bridge-nf-filter-vlan-tagged = 0 net.bridge.bridge-nf-pass-vlan-input-dev = 0 root@super-bc:~# grep . /proc/sys/net/bridge/bridge-nf-call-* /proc/sys/net/bridge/bridge-nf-call-arptables:1 /proc/sys/net/bridge/bridge-nf-call-ip6tables:1 /proc/sys/net/bridge/bridge-nf-call-iptables:1 (13:13:19) Progfou : ok (13:13:53) moussa.nombre@auf.org/3277039268144837733412656: faut les déplacer dans le sysctl.conf alors ? ( (13:14:37) Progfou : oui, mets les dans le principal en attendant de comprendre pourquoi ça se fait pas en dessous (13:14:52) Progfou : ou sinon mets des appels sysctl dans ton script firewall (13:15:09) Progfou : ce sera peut-être plus robuste en cas d'upgrade (13:15:32) moussa.nombre@auf.org/3277039268144837733412656: aurais-tu un exemple pour moi ( (13:16:06) Progfou : sysctl -w net.bridge.bridge-nf-call-arptables=1 (13:16:36) Progfou : sysctl -w net/bridge/bridge-nf-call-arptables=1 (13:17:01) Progfou : l'intérêt c'est que tu peux copier-coller depuis un chemin parcouru dans le shell (en retirant juste le préfixe /proc/sys/) (13:21:30) moussa.nombre@auf.org/3277039268144837733412656: comme d'hab : tu es un génie :) (13:21:48) moussa.nombre@auf.org/3277039268144837733412656: ça marche tout de suite :) (13:21:52) moussa.nombre@auf.org/3277039268144837733412656: ouf ouf ouf }}} |
Ligne 20: | Ligne 166: |
== Travaux préliminaires (par Beetho) == * vérification et déballage du matériel * déplacement d'un des serveurs NFS au CNFPaP * installation de base de Lenny sur tous les serveurs * finalisation et test du câblage réseau * installation de NFS : CNFPaP et IFGCAR * configuration des routeurs wifi (à transformer en portail captif par la suite). Configurer certains en pont wifi * mise en place du serveur de sauvegarde avec backuppc * par NM : préparation de la configuration de l'accès RPV côté netopia (10.95.0.0/24 BC et 10.95.1.0/24 CNFPaP) ---- == Jour 1 - mercredi == * rencontre avec les Responsables (Directeur/Administrateur/CNFPaP) * séance de travail avec Beetho pour cadrer le programme * finalisation de l'architecture de l'IFGCAR (on se met d'accord avant de commencer le travail) == Jour 2 - jeudi - IFGCAR == * installation du rack * configuration des switchs VLAN * installations des switchs * configuration du parefeu == Jour 3 - vendredi - IFGCAR == * configuration de l'accès au RPV * configuration du partage de charge sur les deux connexions Internet * mise en fonction du réseau * tests == Jour 4 - samedi - IFGCAR == * virtualisation du serveur central * configuration du DNS et de la messagerie ht.auf.org et ifgcar.auf.org ; ce qui inclut modification de la configuration au niveau du CNFPaP (qui gère actuellement ces services) == Jour 5 - dimanche - CNF de PaP == * vérification de la configuration du serveur NFS et migration du système d'authentification sur ce serveur * mise en production partielle (sur quelques postes) de l'authentification centralisée + NFS * configuration du switch VLAN et mise en place * révision du parefeu == Jour 6 - lundi - IFGCAR == * suivi des nouvelles configurations et corrections des éventuels bugs * mise en place du serveur web. Les sites à migrer le seront plus tard depuis le serveur du CNFPaP == Jour 7 - mardi == * points sur les travaux * zou ... aéroport, direction Montréal ---- == Restera à faire == * migration du site de l'IFGCAR * configuration authentification centralisée et NFS à l'IFGCAR * mise en production de l'authentification centralisée + NFS à l'IFGCAR (configuration des postes clients) * étude de la migration Ubuntu des postes étudiants avec virtualbox pour les travaux sous MS Windows * installation de proxy SQUID à l'IFGCAR et finaliser celui du CNFPaP * finalisation du déploiement de l'authentification centralisée + NFS au CNF * mise en place des backup hors site du CNFPaP et IFGCAR * finalisation du serveur de supervision * configuration du suivi des onduleurs CNFPaP et IFGCAR * miroir UBUNTU (et DEBIAN) |
Sommaire
Mission : 17 au 28 novembre 2015 à Port-au-Prince
Dates
|
- Départ de Montréal : mardi 17 novembre à 9h30 -- arrivée PaP à 13h50 (Air Canada vol 1814)
Départ de Port-au-Prince : samedi 28 novembre à 16h15 (American AirLine vol 201) -- Miami 18h26-20h04 (AA, vol 1465)-- arrivée Montréal à 23h38
Objectifs principaux
- restructuration de l’infrastructure technique (réduction/optimisation du nombre de serveurs, mutualisation de certains services vers le central)
- on passera de 4 à 2 serveurs (voire 1 serveur)
- le service de partage de fichiers se fera via nuage.auf.org
- mise en place d'un dispositif d'accès distant
- analyse/résolution des difficultés/soucis techniques récurrents
- entretiens de recrutement d'un technicien
NB :
il faudra prévoir de travailler les samedi et dimanche de la mission afin de procéder à la mise en production de la nouvelle infrastructure (arrêts et redémarrages des serveurs) sans perturber les collègues et les abonnés.
informer les abonnés des changements à venir (ils n'auront plus d'espace de stockage sur les machines) et les mesures d'accompagnement (à préciser et mettre en place)
prévoir la fermeture du CNF le Jour 1 à partir de 14h (une heure plus tôt que d'habitude) : modification à apporter aux postes et au serveur.
Les sauvegardes :
- Il n'y aura aucune sauvegarde des postes public (CNF), cf NB 2 ci-dessus
Les postes du personnel seront sauvegardés vers un espace disque sur super-bc via Déjà-Dup (installé par défaut sur nos postes).
- Ce qui donne, au passage, une grande autonomie au personnel sur leurs données et les besoins restaurations en cas de nécessité.
- Du coup, on n'a plus besoin du serveur de sauvegarde
- [Faire une sauvegarde des clés de chiffrement]
- La sauvegarde des serveurs se fera vers Montréal (OVH) durant la nuit (aucun impact pour les utilisateurs le jour)
Travaux préliminaires
- Par LBM :
- configuré et tester Déjà-Dup sur son poste
- Par NM (à Montréal) :
- procéder aux achats de matériel
serveur :
- installer Debian Jessie (firmeware-nonfree) + Libvirt/qemu + config de la VM gw.ht.auf (cf photo plus bas) sur les nouveaux disques achetés
- transfert de la VM pfsense
- conversion/transfert du CT voip
configuration du kvm-ip et du pcu
- préparation suppression du NFS
- postes du personnel (migration des partages dans nuage.auf.org)
- [LBM] installer client owncloud 2.0 sur les postes du personnel
- cocher option confirmation pour le téléchargement de dossier/fichier de plus de [10Mo ?]
[NM/LBM] transférer dans nuage.auf.org les dossiers partagés (coordonner avec PatrickHétu)
[PatrickHétu] création du partage AUF-partage-BC avec un admin principal et des sous dossiers (droits à gérer par l'admin)
- [LBM] désactiver autofs (exit 0 dans /etc/default/autofs)
- [LBM] au passage, check list :
- TB : activation de la synchro imap et des contacts
- home : chiffré ?
- [LBM] installer client owncloud 2.0 sur les postes du personnel
- postes du CNF
- NM : valider procédure de bascule
- fonctionnement avec des comptes type "invité" : profil dans /home/tmp/[username], shell particulier (cf compte guest d'Ubuntu)
- création des homedir : activer pam-mkhomedir
- nettoyage des homedir : cron de nettoyage des tmp : ajouter /home/tmp/*, [garder 7jours ???]
- /home/tmp : partition séparée si possible ou activer quota disque (pour ne pas que les usagers bousillent toute la partition /)
- vérifier le miroir
- vérifier/maj configs preseed local
- NM : valider procédure de bascule
- postes du personnel (migration des partages dans nuage.auf.org)
Planning et compte-rendu
Quand |
Quoi |
Qui |
Compte-rendu au jour le jour |
Jour 1 : mercredi 18 |
[Matinée] : |
NM/LBM/Direction |
* NB : ce jour est férié en Haïti. Nous avons donc travaillé juste une demie-journée |
[Après-midi] NB : Il faudra fermer le CNF à compter de 14h |
NM/LBM |
* NFS désactivé sur les postes |
|
Jour 2 : jeudi 19 |
[Matinée] |
NM |
* Arrivée au bureau : 8h45 |
* installation du KVM-IP et du PCU (installation dans le rack et connexion aux serveurs |
LBM |
Reporté au week-end |
|
[Après-midi] |
NM |
Juste changé l'IP du KVM. Le PCU n'est pas encore installé, sera fait le week-end. |
|
* installation du client owncloud 2.0 sur les postes du personnel (activer le filtre de limitation de téléchargement selon la taille) |
LBM |
* Config owncloud : OK |
|
[Fin de journée - 15h] * lancer le transfert des données des partages NFS dans nuage.auf.org |
LBM |
* Déjà fait par NM depuis Montréal |
|
Jour 3 : vendredi 20 |
* suite de la configuration des services parefeu, de la gestion des 2 liens Internet et de l'accès au RPV AUF |
NM |
Plutôt attardé sur la résolution des soucis de bridges. Heureusement la grosse expérience de ProgFou a permis de débloquer la situation rapidement (cf les échanges plus bas) |
* finalisation de la VM pfsense (reconfiguration des interfaces réseaux) |
LBM |
Fait par NM |
|
* finalisation et mise en service de la Voip |
LBM |
Début de la conversion du CT asterisk18 en vm voip ... A FINALISER |
|
* configuration des sauvegardes hors site (Duplicity) des serveurs |
LBM |
Reste le cas des VM (comment faire ???) |
|
Jour 4 - samedi 21 |
* on récupère (offline) un des disques du RAID de super-bc pour le mettre sur super-bc-secours |
NM/LBM |
* Finalisation des règles de filtrage |
Jour 5 - dimanche 22 |
* La journée commence super bien : |
||
Jour 6 - lundi 23 |
* gestion des éventuels soucis découlant des changements effectués |
NM/LBM |
Journée principalement consacrée aux entretiens de sélection pour le poste de tech bureautique. |
Jour 7 - mardi 24 |
* suite assistance |
NM |
* Finalement ni le captif, ni ipesecd n'étaient réglé |
* retrait et mise au rencart des serveurs inutilisés (old vz-bc, backup, boukman) |
LBM |
||
Jour 8 - mercredi 25 |
* mise à jour de la documentation globale (mise à jour du wiki) |
NM |
* Le câblage étant terminé (enfin, presque), je fais du ménage dans la salle, brasse les câbles dans la baie. Je perd encore du temps à brancher les câbles du rack serveur car le bon monsieur n'a pas identifié les prises et manifestement ne les a pas correctement serti, mais aussi parce que notre serveur qu'on pensait up, n'avait pas démarré ! |
* réunion de synthèse avec la Direction |
NM/LBM/Direction |
||
Jour 9 - jeudi 26 |
Entretiens et tests de recrutement d'un technicien |
NM/LBM/JPM |
* On commence la matinée par établir une todo-list pour LBM : vérifier les câblages, brancher/corriger ce qu'il faut, installer Trusty sur les postes du CNF |
Jour 10 - vendredi 27 |
* Je re-essais, refais plusieurs trucs sans succès. Après quelques recherches sur Internet, je trouve une doc qui explique comment faire ; malheureusement, je n'ai plus de temps pour tout ça. Je décide de ramener le serveur à Montréal. Surtout que mon cher ami Beethoven n'a plus ou pas confiance en cette machine ; je sens que tout les prétextes seront bons pour tout mettre sur le dos de cette machine en cas de soucis. |
||
Jour 11 - samedi 28 |
Retour à Montréal |
NM |
* Je plis bagages, direction aéroport international Toussaint Louverture pour Montréal via Miami. |
Schémas de l'infrastructure
Besoin en matériel
- KVM-IP
- PCU
- Disques durs : 4 x 1TB
- Barrettes mémoires (pour auth-nfs et new-vz-bc)
Annexes
Échanges avec JC sur les soucis de bridges
(13:01:51) moussa.nombre@auf.org/3277039268144837733412656: je suis embourbé dans cette histoire d'interfaces/ponts (13:02:39) moussa.nombre@auf.org/3277039268144837733412656: hier nuit, finalement tout était bien, mes interfaces de passerelle fonctionnaient (13:02:54) moussa.nombre@auf.org/3277039268144837733412656: j'y avait accès depuis le lan (13:03:24) moussa.nombre@auf.org/3277039268144837733412656: et là ce matin, j'arrive au bureau, il y a eu panne de courant, tout a rebooté, et pouf plus rien ne marche (13:03:28) moussa.nombre@auf.org/3277039268144837733412656: bizarre (13:04:42) Progfou : ok (13:04:46) moussa.nombre@auf.org/3277039268144837733412656: dès que tu as 1 minute ... (13:04:51) Progfou : donc je dirais : forwarding (13:05:03) Progfou : filtrages sur les bridges (13:05:08) Progfou : rp_filter (13:05:11) Progfou : choses de ce genre (13:06:29) moussa.nombre@auf.org/3277039268144837733412656: root@super-bc:~# cat /etc/sysctl.d/local.conf net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0 net.ipv6.conf.all.disable_ipv6 = 1 root@super-bc:~# (13:11:17) Progfou : vérifies que c'est effectivement actif (13:11:44) Progfou : car j'avais eu des soucis avec le sysctl -p qui n'appliquait pas mes config' dans /etc/sysctl.d/ (qui est pourtant la bonne place) (13:12:13) Progfou : (vérifier = grep . /proc/sys/net/bridge/bridge-nf-call-*) (13:12:46) moussa.nombre@auf.org/3277039268144837733412656: ah ha ! (13:12:53) moussa.nombre@auf.org/3277039268144837733412656: root@super-bc:~# sysctl -a | grep bridge net.bridge.bridge-nf-call-arptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-filter-pppoe-tagged = 0 net.bridge.bridge-nf-filter-vlan-tagged = 0 net.bridge.bridge-nf-pass-vlan-input-dev = 0 root@super-bc:~# grep . /proc/sys/net/bridge/bridge-nf-call-* /proc/sys/net/bridge/bridge-nf-call-arptables:1 /proc/sys/net/bridge/bridge-nf-call-ip6tables:1 /proc/sys/net/bridge/bridge-nf-call-iptables:1 (13:13:19) Progfou : ok (13:13:53) moussa.nombre@auf.org/3277039268144837733412656: faut les déplacer dans le sysctl.conf alors ? ( (13:14:37) Progfou : oui, mets les dans le principal en attendant de comprendre pourquoi ça se fait pas en dessous (13:14:52) Progfou : ou sinon mets des appels sysctl dans ton script firewall (13:15:09) Progfou : ce sera peut-être plus robuste en cas d'upgrade (13:15:32) moussa.nombre@auf.org/3277039268144837733412656: aurais-tu un exemple pour moi ( (13:16:06) Progfou : sysctl -w net.bridge.bridge-nf-call-arptables=1 (13:16:36) Progfou : sysctl -w net/bridge/bridge-nf-call-arptables=1 (13:17:01) Progfou : l'intérêt c'est que tu peux copier-coller depuis un chemin parcouru dans le shell (en retirant juste le préfixe /proc/sys/) (13:21:30) moussa.nombre@auf.org/3277039268144837733412656: comme d'hab : tu es un génie :) (13:21:48) moussa.nombre@auf.org/3277039268144837733412656: ça marche tout de suite :) (13:21:52) moussa.nombre@auf.org/3277039268144837733412656: ouf ouf ouf