Différences

Ci-dessous, les différences entre deux révisions de la page.

--- documentation:technique:machines:russule [2021/01/17 19:03] – [Accès SSH] jerome
+++ documentation:technique:machines:russule [2024/02/15 23:39] (Version actuelle) – Ajoute l'empreinte du serveur SSH dropbear isydor
@@ Ligne 4: / Ligne 4: @@
 ===== Matériel =====
+{{  https://upload.wikimedia.org/wikipedia/commons/0/09/Russula_parvovirescens_89194.jpg?200}}
 La carte mPCIe (asmedia ASM1061) fournie à la base pour faire du RAID amenait à des erreurs kernel au bout d'un petit moment. Nous avons donc opté à la place pour un adaptateur mSATA -> SATA (StartTech MSAT2SAT3) sur le port mSATA / mPCIe de la carte.
@@ Ligne 15: / Ligne 18: @@
 <WRAP info>
-  * **Nom du serveur :**
   * **Adresse IPv4 publique :** 80.67.168.245/29
   * **Adresse IPv6 publique :** 2001:910:0:170::245/64
+  * **Nom d'hôte :** mycelium-lille.gitoyen.net
 </WRAP>
-L'interface utilisée est ''enp3s0''. TODO ajouter une photo.
+Il y a trois interfaces réseaux, une seule est utilisée pour le moment : **enp3s0**. Elle est connectée aux équipements sur place, et il est nécessaire de passer par le VLAN 170 (cf. schéma) afin d'être routé par Gitoyen via Ielo/Liazo.
-Le VLAN 170 correspond à ... TODO expliquer
+Un pont réseau (//bridge//) **brwan1.170** est configuré sur l'interface **enp3s0.170**. C'est nécessaire pour exposer les conteneurs LXC (pour le moment ''openvpn'') sur le même réseau, afin d'éviter d'avoir à faire notamment du routage NAT par exemple pour exposer les conteneurs.
-Elle est configurée avec un bridge ''brwan1'' TODO expliquer pourquoi.
+TODO ajouter une version à jour et simplifiée du schéma envoyé par Sebian
-Configuration du fichier ''/etc/network/interfaces'' :
+==== Conteneur openvpn ====
-<code>
+<WRAP info>
-source /etc/network/interfaces.d/*
+  * **Adresse IPv4 publique :** 80.67.162.64/32
+  * **Adresse IPv6 publique :** 2001:913:4000:1001::1/64
-auto lo
+  * **Nom d'hôte :** vpn.mycelium-fai.org
-iface lo inet loopback
+</WRAP>
-# L2 Gitoyen via Ielo/Liazo
-allow-hotplug enp3s0
-iface enp3s0.170 inet manual
-iface enp3s0.170 inet6 manual
-iface brwan1.170 inet static
-  bridge_ports enp3s0.170
-  bridge_fd 0
-  bridge_maxwait 0
-  address 80.67.168.245/29
-  gateway 80.67.168.246
-iface brwan1.170 inet6 static
-  address 2001:910:0:170::245/64
-  gateway 2001:910:0:170::246
-auto brwan1.170
-# Autres interfaces physiques
-#allow-hotplug enp1s0
-#allow-hotplug enp2s0
-</code>
+Au démarrage du conteneur, le script ''/var/lib/lxc/openvpn/net-up.sh'' est exécuté afin d'ajouter dans la table de routage de ''russule'' le nécessaire pour router les blocs IPv4 et IPv6 utilisés par le service OpenVPN (''80.67.162.0/26'' et ''2001:913:4000:100::/64'') vers ce conteneur.
 ===== Administration =====
+{{ https://upload.wikimedia.org/wikipedia/commons/b/b1/Russulamexicana.jpg?200 }}
 ==== Politique d'administration ====
@@ Ligne 64: / Ligne 46: @@
 **Local** : CIV, Lesquin. Nous dépendons de IELO-LIAZO pour la gestion des personnes habilitées à entrer dans le datacenter. Actuellement (janvier 2021), seuls A et I ont le droit d'y accéder et peuvent être accompagnés.
-**Hôtes** : Gérée par le groupe technique. Nous administrons cette machine à la main, avec ''etckeeper'' pour garder trace des modifications dans /etc, et utilisons Ansible pour certaines tâches (voir [[:documentation:services:git|dépots Git]]).
+**Hôtes** : Gérée par le groupe technique. Nous administrons cette machine à la main, avec ''etckeeper'' pour garder trace des modifications dans /etc, et utilisons Ansible pour certaines tâches (voir [[documentation:technique:git:usage-des-depots-mycelium|dépots Git]]).
 **Services** : Routage depuis le lien fourni par Ielo-Liazo <-> Gitoyen, et service VPN.
@@ Ligne 75: / Ligne 57: @@
 Voir ''ansible/inventory/ssh.config.hosts'' dans le dépot Git.
+Au (re)démarrage de la machine, il faudra se connecter à ''russule-dropbear'' afin de déchiffrer le volume au moment où on nous invite à le faire. Dans le cas de russule-dropbear c'est configuré dans /etc/dropbear-initramfs/authorized_keys
+L'empreinte du serveur SSH dropbear:
+  ECDSA key fingerprint is SHA256:/8xMN1DRxCCZmT8Ojk9tILrJKepBLra8KbkvbJl7LLo
 ==== Accès port série ====
+Antoine a chez lui un câble comme ça.
 <WRAP important>Il faut absolument un convertisseur série (DB9) <-> USB dit //null modem// pour pouvoir récupérer une console sur l'APU (voir par exemple ce [[https://commons.wikimedia.org/wiki/File:Null_modem_DB-9_xon-xoff.svg|schéma]]).</WRAP>
@@ Ligne 86: / Ligne 77: @@
 Voir par exemple la page [[https://wiki.archlinux.org/index.php/Working_with_the_serial_console#Command_line|Working with the serial console]] du wiki Archlinux pour les autres possibilités.
-==== Configuration ====
+===== Utilisation =====
+{{ https://upload.wikimedia.org/wikipedia/commons/a/a3/Russula_viridirubrolimbata_DG1990_0706.jpg?200 }}
+==== Configuration ====
 === Installation initiale ===
@@ Ligne 117: / Ligne 111: @@
   * configuration réseau avec ''ip='' : https://www.kernel.org/doc/Documentation/filesystems/nfs/nfsroot.txt
-=== Conteneurs LXC ===
+==== Service OpenVPN ====
-Le service VPN est installé dans un conteneur LXC créé manuellement.
+Le service OpenVPN est installé dans le conteneur LXC ''openvpn''. La procédure suivie pour son installation et sa configuration est fortement inspirée du [[https://wiki.arn-fai.net/benevoles:technique:vpn|wiki d'ARN]].