Différences

Ci-dessous, les différences entre deux révisions de la page.

--- technique:infrastructure:setup_machine [2021/11/25 00:36] – [Comment configurer une machine Picasoft ?] qduchemi
+++ technique:infrastructure:setup_machine [2022/09/23 10:05] (Version actuelle) – [Comment configurer une machine Picasoft ?] rdelaage
@@ Ligne 1: / Ligne 1: @@
 {{indexmenu_n>25}}
 # Comment configurer une machine Picasoft ?
@@ Ligne 9: / Ligne 8: @@
 Il y a quelques petits trucs à faire pour l'intégrer dans l'infrastructure. =)
-<bootnote warning>Certains articles sont assez techniques, d'autres assez simples. Certains nécessitent juste une connexion SSH, d'autres une maîtrise de Git, certains [[technique:adminsys:secu:password_store:start|l'accès aux identifiants]]... C'est mieux de faire tout ça à plusieurs, n'hésite pas à organiser une réu tech!</bootnote>
+<bootnote warning>Certains articles sont assez techniques, d'autres assez simples. Certains nécessitent juste une connexion SSH, d'autres une maîtrise de Git, certains [[asso:tuto:vaultwarden|l'accès aux identifiants]]... C'est mieux de faire tout ça à plusieurs, n'hésite pas à organiser une réu tech!</bootnote>
 ## Pour tous les types de machines
+### Installer sudo
+`sudo` n'est pas présent dans les versions basiques de Debian.
+<bootnote learn>
+`sudo` (_SUperuser DO_) est un programme permettant de lancer une commande avec les droits d'administrateur sans connaître le mot de passe du super-utilisateur (`root`). Traditionnellement, les membres du groupe `sudo` ont le droit de le faire. L'association d'un membre au groupe `sudo` est réalisée grâce à l'annuaire LDAP (voir plus bas).
+</bootnote>
 ### Installer un pare-feu
@@ Ligne 45: / Ligne 52: @@
 Pour l'heure...
-<bootnote web>→ [[technique:adminsys:monitoring:metrologie:collect:system_metrics|Récupérer les métriques du système d'exploitation]]</bootnote>
+<bootnote web>→ [[technique:adminsys:monitoring:collect:system_metrics|Récupérer les métriques du système d'exploitation]]</bootnote>
 ### Permettre aux machines d'envoyer des mails
@@ Ligne 70: / Ligne 77: @@
 Notre système de [[technique:adminsys:monitoring:metrologie:stack-picasoft|métrologie]] récupère des métriques un peu partout sur l'infrastructure, notamment sur l'état de santé de Proxmox.
-<bootnote web>→ [[technique:adminsys:monitoring:metrologie:collect:proxmox_metrics|Récupérer les métriques d'une nouvelle installation Proxmox]]</bootnote>
+<bootnote web>→ [[technique:adminsys:monitoring:collect:proxmox_metrics|Récupérer les métriques d'une nouvelle installation Proxmox]]</bootnote>
 ## Spécifique aux machines virtuelles
@@ Ligne 87: / Ligne 93: @@
 <bootnote web>
 → [Installation de Docker sur Debian](https://docs.docker.com/engine/install/debian/)
 → [[technique:docker:admin:config|Configuration de Docker pour Picasoft]]
 </bootnote>
-### Exposer le démon Docker via TLS
+### Récupérer les fichiers de configuration des services
-Par défaut, l'installation Docker d'une machine n'est accessible que depuis cette machine : logique. Mais pour certains services, c'est utile de pouvoir communiquer avec le démon Docker depuis une autre machine, par exemple pour demander des informations sur les conteneurs en train de tourner.
+Sur toutes nos machines virtuelles, on lance forcément Traefik, notre [[technique:tech_team:traefik|super reverse proxy]]. Les fichiers de configuration de tous nos services sont stockés sur le Gitlab de l'UTC, il faut donc les récupérer sur la machine.
-<bootnote>[[technique:graph_services|L'outil qui produit des graphes des services]] utilise les démons Docker des machines à distance.</bootnote>
+<bootnote web>→ [[technique:docker:picasoft:dockerfiles#utiliser_le_depot_sur_les_machines|Cloner et configurer le dépôt de configuration des services]]</bootnote>
-Il y a une procédure longue et chiante pour exposer le démon de manière sécurisée (TLS, donc chiffrement) à l'extérieur. Et tant qu'à faire, pourquoi ne pas générer des graphes pour la nouvelle machine ? :-)
+### Lancer Traefik et exporter ses métriques
+Traefik aussi exporte un tas de métriques ! C'est notamment elles qui nous permettent de lever des alertes s'il y a trop d'erreurs sur un service. Traefik étant un service un peu spécial, il y a un peu de configuration à faire.
 <bootnote web>
-→ [[technique:docker:admin:socket-certs|Exposer et sécuriser le démon Docker]]
+→ [Premier lancement de Traefik sur une machine](https://gitlab.utc.fr/picasoft/projets/services/traefik/).
-→ [Ajouter le démon dans le service de génération des graphes](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/tree/master/pica-graphbot) (voir `config.json`)
+→ S'inspirer de la [[technique:adminsys:monitoring:collect:service_metrics|page générique d'export de métriques]] et du fichier existant pour configurer les métriques Traefik.
 </bootnote>
-### Récupérer les fichiers de configuration des services
+### Lancer la collecte des logs avec Promtail
-Sur toutes nos machines virtuelles, on lance forcément Traefik, notre [[technique:tech_team:traefik|super reverse proxy]]. Les fichiers de configuration de tous nos services sont stockés sur le Gitlab de l'UTC, il faut donc les récupérer sur la machine.
+Les logs des conteneurs docker et du journal systemd des machines virtuelles sont collectés et envoyés sur la machine `monitoring` afin de pouvoir les centraliser et permettre la rotation et l'analyse des logs. La collecte et l'envoie des logs est fait par le service promtail qui se lance comme tous les autres services Docker.
-<bootnote web>→ [[technique:docker:picasoft:dockerfiles#utiliser_le_depot_sur_les_machines|Cloner et configurer le dépôt de configuration des services]]</bootnote>
+<bootnote web>
+→ [Premier lancement de Promtail sur une machine](https://gitlab.utc.fr/picasoft/projets/services/promtail/).
+</bootnote>
-### Lancer Traefik et exporter ses métriques
+### Exposer le démon Docker via TLS
-Traefik aussi exporte un tas de métriques ! C'est notamment elles qui nous permettent de lever des alertes s'il y a trop d'erreurs sur un service. Traefik étant un service un peu spécial, il y a un peu de configuration à faire.
+Par défaut, l'installation Docker d'une machine n'est accessible que depuis cette machine : logique. Mais pour certains services, c'est utile de pouvoir communiquer avec le démon Docker depuis une autre machine, par exemple pour demander des informations sur les conteneurs en train de tourner.
+<bootnote>[[technique:graph_services|L'outil qui produit des graphes des services]] utilise les démons Docker des machines à distance.</bootnote>
+Il y a une procédure longue et chiante pour exposer le démon de manière sécurisée (TLS, donc chiffrement) à l'extérieur. Et tant qu'à faire, pourquoi ne pas générer des graphes pour la nouvelle machine ? :-)
 <bootnote web>
-→ [Premier lancement de Traefik sur une machine](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/tree/master/pica-traefik).
+→ [[technique:docker:admin:socket-certs|Exposer et sécuriser le démon Docker]]
-→ S'inspirer de la [[technique:adminsys:monitoring:metrologie:collect:service_metrics|page générique d'export de métriques]] et du fichier existant pour configurer les métriques Traefik.
+→ [Ajouter le démon dans le service de génération des graphes](https://gitlab.utc.fr/picasoft/projets/services/graph-bot) (voir `config.json`)
 </bootnote>