Différences

Ci-dessous, les différences entre deux révisions de la page.

--- documentation:technique:machines:russule [2019/11/03 15:42] – [Accès SSH] tyrben
+++ documentation:technique:machines:russule [2024/02/15 23:39] (Version actuelle) – Ajoute l'empreinte du serveur SSH dropbear isydor
@@ Ligne 4: / Ligne 4: @@
 ===== Matériel =====
+{{  https://upload.wikimedia.org/wikipedia/commons/0/09/Russula_parvovirescens_89194.jpg?200}}
 La carte mPCIe (asmedia ASM1061) fournie à la base pour faire du RAID amenait à des erreurs kernel au bout d'un petit moment. Nous avons donc opté à la place pour un adaptateur mSATA -> SATA (StartTech MSAT2SAT3) sur le port mSATA / mPCIe de la carte.
@@ Ligne 15: / Ligne 18: @@
 <WRAP info>
-  * **Nom du serveur :**
   * **Adresse IPv4 publique :** 80.67.168.245/29
   * **Adresse IPv6 publique :** 2001:910:0:170::245/64
+  * **Nom d'hôte :** mycelium-lille.gitoyen.net
 </WRAP>
-L'interface configurée est ''enp3s0''. TODO ajouter une photo
+Il y a trois interfaces réseaux, une seule est utilisée pour le moment : **enp3s0**. Elle est connectée aux équipements sur place, et il est nécessaire de passer par le VLAN 170 (cf. schéma) afin d'être routé par Gitoyen via Ielo/Liazo.
-Configuration du fichier ''/etc/network/interfaces'' :
+Un pont réseau (//bridge//) **brwan1.170** est configuré sur l'interface **enp3s0.170**. C'est nécessaire pour exposer les conteneurs LXC (pour le moment ''openvpn'') sur le même réseau, afin d'éviter d'avoir à faire notamment du routage NAT par exemple pour exposer les conteneurs.
-<code>
+TODO ajouter une version à jour et simplifiée du schéma envoyé par Sebian
-auto enp3s0.170
-iface enp3s0.170 inet static
-  address 80.67.168.245/29
-  gateway 80.67.168.246
-</code>
+==== Conteneur openvpn ====
+<WRAP info>
+  * **Adresse IPv4 publique :** 80.67.162.64/32
+  * **Adresse IPv6 publique :** 2001:913:4000:1001::1/64
+  * **Nom d'hôte :** vpn.mycelium-fai.org
+</WRAP>
+Au démarrage du conteneur, le script ''/var/lib/lxc/openvpn/net-up.sh'' est exécuté afin d'ajouter dans la table de routage de ''russule'' le nécessaire pour router les blocs IPv4 et IPv6 utilisés par le service OpenVPN (''80.67.162.0/26'' et ''2001:913:4000:100::/64'') vers ce conteneur.
 ===== Administration =====
-==== Politique d'accès ====
+{{ https://upload.wikimedia.org/wikipedia/commons/b/b1/Russulamexicana.jpg?200 }}
-**Local** : CIV, Lesquin
+==== Politique d'administration ====
-**Routeur** :
+**Local** : CIV, Lesquin. Nous dépendons de IELO-LIAZO pour la gestion des personnes habilitées à entrer dans le datacenter. Actuellement (janvier 2021), seuls A et I ont le droit d'y accéder et peuvent être accompagnés.
-**Hôtes** : Gérée par le groupe technique.
+**Hôtes** : Gérée par le groupe technique. Nous administrons cette machine à la main, avec ''etckeeper'' pour garder trace des modifications dans /etc, et utilisons Ansible pour certaines tâches (voir [[documentation:technique:git:usage-des-depots-mycelium|dépots Git]]).
-**Services** :
+**Services** : Routage depuis le lien fourni par Ielo-Liazo <-> Gitoyen, et service VPN.
 ==== Accès SSH ====
 <WRAP info>
 Empreintes SSH : SHA256:9sNwyQ9I08pva/fjgI+OxjtWUyc/PK5gDW7Mh299D48
 </WRAP>
-<code text ssh.config>
+Voir ''ansible/inventory/ssh.config.hosts'' dans le dépot Git.
-Host <>
-Hostname <>
+Au (re)démarrage de la machine, il faudra se connecter à ''russule-dropbear'' afin de déchiffrer le volume au moment où on nous invite à le faire. Dans le cas de russule-dropbear c'est configuré dans /etc/dropbear-initramfs/authorized_keys
-Port <>
-</code>
+L'empreinte du serveur SSH dropbear:
+  ECDSA key fingerprint is SHA256:/8xMN1DRxCCZmT8Ojk9tILrJKepBLra8KbkvbJl7LLo
 ==== Accès port série ====
+Antoine a chez lui un câble comme ça.
 <WRAP important>Il faut absolument un convertisseur série (DB9) <-> USB dit //null modem// pour pouvoir récupérer une console sur l'APU (voir par exemple ce [[https://commons.wikimedia.org/wiki/File:Null_modem_DB-9_xon-xoff.svg|schéma]]).</WRAP>
@@ Ligne 65: / Ligne 77: @@
 Voir par exemple la page [[https://wiki.archlinux.org/index.php/Working_with_the_serial_console#Command_line|Working with the serial console]] du wiki Archlinux pour les autres possibilités.
-==== Configuration ====
+===== Utilisation =====
+{{ https://upload.wikimedia.org/wikipedia/commons/a/a3/Russula_viridirubrolimbata_DG1990_0706.jpg?200 }}
+==== Configuration ====
 === Installation initiale ===
@@ Ligne 95: / Ligne 110: @@
   * dropbear : https://hamy.io/post/0009/how-to-install-luks-encrypted-ubuntu-18.04.x-server-and-enable-remote-unlocking/
   * configuration réseau avec ''ip='' : https://www.kernel.org/doc/Documentation/filesystems/nfs/nfsroot.txt
+==== Service OpenVPN ====
+Le service OpenVPN est installé dans le conteneur LXC ''openvpn''. La procédure suivie pour son installation et sa configuration est fortement inspirée du [[https://wiki.arn-fai.net/benevoles:technique:vpn|wiki d'ARN]].