Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes |
technique:infrastructure:setup_machine [2021/11/25 00:37] – qduchemi | technique:infrastructure:setup_machine [2022/09/22 09:36] – [Spécifique aux machines virtuelles] rdelaage |
---|
| |
## Pour tous les types de machines | ## Pour tous les types de machines |
| |
| ### Installer sudo |
| |
| `sudo` n'est pas présent dans les versions basiques de Debian. |
| |
| <bootnote learn> |
| `sudo` (_SUperuser DO_) est un programme permettant de lancer une commande avec les droits d'administrateur sans connaître le mot de passe du super-utilisateur (`root`). Traditionnellement, les membres du groupe `sudo` ont le droit de le faire. L'association d'un membre au groupe `sudo` est réalisée grâce à l'annuaire LDAP (voir plus bas). |
| </bootnote> |
| |
### Installer un pare-feu | ### Installer un pare-feu |
Pour l'heure... | Pour l'heure... |
| |
<bootnote web>→ [[technique:adminsys:monitoring:metrologie:collect:system_metrics|Récupérer les métriques du système d'exploitation]]</bootnote> | <bootnote web>→ [[technique:adminsys:monitoring:collect:system_metrics|Récupérer les métriques du système d'exploitation]]</bootnote> |
| |
### Permettre aux machines d'envoyer des mails | ### Permettre aux machines d'envoyer des mails |
Notre système de [[technique:adminsys:monitoring:metrologie:stack-picasoft|métrologie]] récupère des métriques un peu partout sur l'infrastructure, notamment sur l'état de santé de Proxmox. | Notre système de [[technique:adminsys:monitoring:metrologie:stack-picasoft|métrologie]] récupère des métriques un peu partout sur l'infrastructure, notamment sur l'état de santé de Proxmox. |
| |
<bootnote web>→ [[technique:adminsys:monitoring:metrologie:collect:proxmox_metrics|Récupérer les métriques d'une nouvelle installation Proxmox]]</bootnote> | <bootnote web>→ [[technique:adminsys:monitoring:collect:proxmox_metrics|Récupérer les métriques d'une nouvelle installation Proxmox]]</bootnote> |
## Spécifique aux machines virtuelles | ## Spécifique aux machines virtuelles |
| |
</bootnote> | </bootnote> |
| |
### Exposer le démon Docker via TLS | ### Récupérer les fichiers de configuration des services |
| |
Par défaut, l'installation Docker d'une machine n'est accessible que depuis cette machine : logique. Mais pour certains services, c'est utile de pouvoir communiquer avec le démon Docker depuis une autre machine, par exemple pour demander des informations sur les conteneurs en train de tourner. | Sur toutes nos machines virtuelles, on lance forcément Traefik, notre [[technique:tech_team:traefik|super reverse proxy]]. Les fichiers de configuration de tous nos services sont stockés sur le Gitlab de l'UTC, il faut donc les récupérer sur la machine. |
| |
<bootnote>[[technique:graph_services|L'outil qui produit des graphes des services]] utilise les démons Docker des machines à distance.</bootnote> | <bootnote web>→ [[technique:docker:picasoft:dockerfiles#utiliser_le_depot_sur_les_machines|Cloner et configurer le dépôt de configuration des services]]</bootnote> |
| |
Il y a une procédure longue et chiante pour exposer le démon de manière sécurisée (TLS, donc chiffrement) à l'extérieur. Et tant qu'à faire, pourquoi ne pas générer des graphes pour la nouvelle machine ? :-) | ### Lancer Traefik et exporter ses métriques |
| |
| Traefik aussi exporte un tas de métriques ! C'est notamment elles qui nous permettent de lever des alertes s'il y a trop d'erreurs sur un service. Traefik étant un service un peu spécial, il y a un peu de configuration à faire. |
| |
<bootnote web> | <bootnote web> |
→ [[technique:docker:admin:socket-certs|Exposer et sécuriser le démon Docker]] | → [Premier lancement de Traefik sur une machine](https://gitlab.utc.fr/picasoft/projets/services/traefik/). |
| |
→ [Ajouter le démon dans le service de génération des graphes](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/tree/master/pica-graphbot) (voir `config.json`) | → S'inspirer de la [[technique:adminsys:monitoring:collect:service_metrics|page générique d'export de métriques]] et du fichier existant pour configurer les métriques Traefik. |
</bootnote> | </bootnote> |
| |
### Récupérer les fichiers de configuration des services | ### Lancer la collecte des logs avec Promtail |
| |
Sur toutes nos machines virtuelles, on lance forcément Traefik, notre [[technique:tech_team:traefik|super reverse proxy]]. Les fichiers de configuration de tous nos services sont stockés sur le Gitlab de l'UTC, il faut donc les récupérer sur la machine. | Les logs des conteneurs docker et du journal systemd des machines virtuelles sont collectés et envoyés sur la machine `monitoring` afin de pouvoir les centraliser et permettre la rotation et l'analyse des logs. La collecte et l'envoie des logs est fait par le service promtail qui se lance comme tous les autres services Docker. |
| |
<bootnote web>→ [[technique:docker:picasoft:dockerfiles#utiliser_le_depot_sur_les_machines|Cloner et configurer le dépôt de configuration des services]]</bootnote> | <bootnote web> |
| → [Premier lancement de Promtail sur une machine](https://gitlab.utc.fr/picasoft/projets/services/promtail/). |
| </bootnote> |
| |
### Lancer Traefik et exporter ses métriques | ### Exposer le démon Docker via TLS |
| |
Traefik aussi exporte un tas de métriques ! C'est notamment elles qui nous permettent de lever des alertes s'il y a trop d'erreurs sur un service. Traefik étant un service un peu spécial, il y a un peu de configuration à faire. | Par défaut, l'installation Docker d'une machine n'est accessible que depuis cette machine : logique. Mais pour certains services, c'est utile de pouvoir communiquer avec le démon Docker depuis une autre machine, par exemple pour demander des informations sur les conteneurs en train de tourner. |
| |
| <bootnote>[[technique:graph_services|L'outil qui produit des graphes des services]] utilise les démons Docker des machines à distance.</bootnote> |
| |
| Il y a une procédure longue et chiante pour exposer le démon de manière sécurisée (TLS, donc chiffrement) à l'extérieur. Et tant qu'à faire, pourquoi ne pas générer des graphes pour la nouvelle machine ? :-) |
| |
<bootnote web> | <bootnote web> |
→ [Premier lancement de Traefik sur une machine](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/tree/master/pica-traefik). | → [[technique:docker:admin:socket-certs|Exposer et sécuriser le démon Docker]] |
→ S'inspirer de la [[technique:adminsys:monitoring:metrologie:collect:service_metrics|page générique d'export de métriques]] et du fichier existant pour configurer les métriques Traefik. | |
| → [Ajouter le démon dans le service de génération des graphes](https://gitlab.utc.fr/picasoft/projets/services/graph-bot) (voir `config.json`) |
</bootnote> | </bootnote> |