| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révisionLes deux révisions suivantes |
| technique:resume [2022/05/24 21:09] – ppom | technique:resume [2022/11/13 18:56] – gblond |
|---|
| Picasoft possède [[technique:infrastructure:config|trois machines physiques]], Alice, Bob et Caribou. | Picasoft possède [[technique:infrastructure:config|trois machines physiques]], Alice, Bob et Caribou. |
| |
| Alice et Bob sont hébergées par le FAI associatif [Tetaneutral](http://tetaneutral.net/). | Alice et Bob sont historiquement hébergées par le FAI associatif [Tetaneutral](http://tetaneutral.net/). |
| Ces machines ont été achetées pour Picasoft par UTeam, une filiale de l'Université de Technologie de Compiègne, sur un budget recherche. | Ces machines ont été achetées pour Picasoft par UTeam, une filiale de l'Université de Technologie de Compiègne, sur un budget recherche. |
| |
| Caribou est hébergée dans la salle serveur de la DSI de l'UTC, par l'association [Rhizome](https://rhizome-fai.net/). Elle a été achetée grâce à une subvention du FSDIE (Fonds de solidarité et de développement des initiatives étudiantes). | Caribou est hébergée dans la salle serveur de la DSI de l'UTC, par l'association [Rhizome](https://rhizome-fai.net/). Elle a été achetée grâce à une subvention du FSDIE (Fonds de solidarité et de développement des initiatives étudiantes). Alice a récemment été rapatriée dans la même salle serveur. |
| |
| <bootnote>Tetaneutral et Rhizome sont membres de la [fédération FDN](https://www.ffdn.org/).</bootnote> | <bootnote>Tetaneutral et Rhizome sont membres de la [fédération FDN](https://www.ffdn.org/).</bootnote> |
| <bootnote>Proxmox 6 est basé sur Debian 10.</bootnote> | <bootnote>Proxmox 6 est basé sur Debian 10.</bootnote> |
| |
| Les services tournent sur des machines virtuelles (Debian 10). Nous en hébergeons 6. | Les services tournent sur des machines virtuelles (Debian 10). Nous en hébergeons 8. |
| |
| Sur Alice : | Sur Alice : |
| * `pica01`, généraliste, sur laquelle tournent notamment l'instance hebdomadaire d'Etherpad et Mumble. | * `pica01`, généraliste, sur laquelle tournent notamment l'instance hebdomadaire d'Etherpad et Mumble. |
| * `pica01-test`, machine utilisée pour tester les services avant mise en production et tests de toutes sortes. | * `pica01-test`, machine utilisée pour tester les services avant mise en production et tests de toutes sortes. |
| * `media`, machine utilisée pour les services consommateurs d'espace disque (comme Peertube) | * `media`, machine utilisée pour les services consommateurs d'espace disque (comme Peertube). |
| | * `stph01`, machine utilisée par Stéphane Crozat notamment dans le cadre de ses activités de recherche. |
| |
| Sur Bob : | Sur Bob : |
| * `pica02`, généraliste, sur laquelle tournent notamment l'instance principale d'Etherpad et Mattermost. | * `pica02`, généraliste, sur laquelle tournent notamment l'instance principale d'Etherpad et Mattermost. |
| * `monitoring`, machine utilisée pour les services internes (LDAP, serveur mail...) et la métrologie. | * `monitoring`, machine utilisée pour les services internes (LDAP, serveur mail...) et la métrologie. |
| * `stph01`, machine utilisée par Stéphane Crozat notamment dans le cadre de ses activités de recherche. | |
| |
| Sur Caribou : | Sur Caribou : |
| #### Accès aux identifiants | #### Accès aux identifiants |
| |
| Les accès aux **mots de passe** de l'association (administration d'un service, mot de passe `root` des machines...) sont gérés par [[technique:adminsys:secu:password_store:start|pass]], ou *password store* (« *the standard unix password manager* »). Chaque mot de passe est chiffré individuellement pour toutes les personnes qui y ont accès, ce qui évite un mot de passe ou une clé partagée, moins sûre. | Les accès aux **mots de passe** de l'association (administration d'un service, mot de passe `root` des machines...) sont gérés par [[asso:tuto:vaultwarden|vaultwarden]], ou *password store* (« *the standard unix password manager* »). Chaque mot de passe est chiffré individuellement pour toutes les personnes qui y ont accès, ce qui évite un mot de passe ou une clé partagée, moins sûre. |
| |
| <bootnote critical>Tous les membres autorisés à accéder à l'infrastructure sont membres de l'association et ont reçu une formation de l'équipe technique. Les accès sont donnés suite à un vote à la majorité absolue de tous les membres.</bootnote> | <bootnote critical>Tous les membres autorisés à accéder à l'infrastructure sont membres de l'association et ont reçu une formation de l'équipe technique. Les accès sont donnés suite à un vote à la majorité absolue de tous les membres.</bootnote> |
| ### Sauvegardes | ### Sauvegardes |
| |
| #### Bases de données | #### Services |
| |
| Les bases de données des services sont [[technique:adminsys:backup:db:start|sauvegardées plusieurs fois par jour]]. La configuration peut être amenée à évoluer, mais Picasoft garde en général un backup par heure sur la dernière journée, puis un backup par jour sur la dernière semaine, un backup par semaine sur le dernier mois, et un backup par mois sur la dernière année. | Les services (volumes, bases de donnée, configurations, secrets, ...) sont [[technique:adminsys:backup:start|sauvegardées plusieurs fois par jour]] à l'aide de [restic](https://restic.net). La configuration peut être amenée à évoluer, mais Picasoft garde en général un backup par heure sur la dernière journée, puis un backup par jour sur la dernière semaine, un backup par semaine sur le dernier mois, et un backup par mois sur la dernière année. |
| |
| <bootnote critical>En particulier, cela signifie que les messages et pads supprimés par les utilisateurices sont conservés dans les backups jusqu'à leur rotation automatique.</bootnote> | <bootnote critical>En particulier, cela signifie que les messages et pads supprimés par les utilisateurices sont conservés dans les backups jusqu'à leur rotation automatique.</bootnote> |