Ceci est une ancienne révision du document !
Table des matières
Administration système
Exposition sommaire de l'infrastructure chapril
Serveurs physiques
L'infrastructure Chapril est composée de 2 serveurs physiques hébergés chez Hetzner.de :
- maine
- adresse ipv4 publique routable : 94.130.8.2
- adresse ipv6 publique routable : 2a01:4f8:10b:c41:: / 64
- adresse privée dans le réseau interne : 192.168.1.2
- adresse privée de l'interface libvirt (virbr0) : 192.168.1.4
- coon
- adresse ipv4 publique routable : 94.130.8.3
- adresse ipv6 publique routable : 2a01:4f8:10b:c42:: / 64
- adresse privée dans le réseau interne : 192.168.1.3
- adresse privée de l'interface libvirt (virbr0) : 192.168.1.5
Une adresse ip flottante, appelée fip est configurée côté Hetzner pour pointer sur l'un ou l'autre serveur physique. En situation normale, fip est attachée au serveur maine.
Machines virtuelles
Les 2 serveurs physiques hébergent un certain nombre de machines virtuelles grâce aux technologies libvirt, qemu, kvm.
Duplication en tant réel
Les partitions accueillant les images des machines virtuelles sont dupliquées en utilisant drbd. La duplication est faite d'un serveur vers l'autre, et donc c'est une duplication croisée. La duplication ne remplace pas la sauvegarde mais donne une chance d'avoir une continuité de service plus facile en cas d'incident.
Audit des paquets installés
Dans la charte CHATONS (https://chatons.org/fr/charte), on peut lire :
Le CHATON s'engage à publier annuellement la liste des paquets installés sur les serveurs hébergeant des services fournis aux utilisateurs, par exemple en utilisant l'outil vrms sous Debian et dérivées, ou un outil équivalent pour les autres distributions ;
Liste des audits :
Réglage du swappiness
Nominalement, les vm et les pm de l'infra n'ont pas à swapper. Si une machine swappe quand même, c'est soit un problème de dimensionnement, soit un incident ponctuel (processus qui part en vrille). Dans ces cas, la présence de swap est une sécurité pour la continuité de fonctionnement (sinon kill aveugle).
Afin de minimiser l'utilisation du cache, réglage du vm.swappiness=1 via sexy-chapril dans :
* /etc/sysctl.d/ * /etc/systemd/system/systemd-sysctl.service.d/swappiness.conf
Voir https://agir.april.org/issues/4716.
Notes
De : Emmanuel Lacour via RT <support@easter-eggs.com> Sujet : [Easter-eggs #73359] Re: Question de swappiness pour le SI April Salut à tous, petite mise à jour sur cette demande avant de la clore: on a constaté qu'à priori en Debian buster, vm.swappiness=1 ne suffisait pas car les services sont démarés en cgroups v1 qui met un swappiness par défaut de 60, quelle que soit la valeur de vm.swappiness. Vu surtout sur des serveurs avec MySQL ou InfluxDB qui semblaient swapper sans réelle raison. On a trouvé ça: https://github.com/systemd/systemd/issues/9276 cf. par exemple: cat /sys/fs/cgroup/memory/system.slice/memory.swappiness Du coup la solution semble être d'ajouter une action post à systemd-sysctl: cat /etc/systemd/system/systemd-sysctl.service.d/swappiness.conf [Service] ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 2 -maxdepth 2 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \; ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 3 -maxdepth 3 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \; ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 4 -maxdepth 4 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \; ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 5 -maxdepth 5 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \; ExecStartPost=/bin/find /sys/fs/cgroup -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \; puis: systemctl daemon-reload systemctl restart systemd-sysctl.service testé sur plusieurs VMs chez nous avec succès
Outils d'administration système
- Cette documentation, qui est disponible également sur le dépôt git git@admin.cluster.april.org:doku.git
- Les mots de passes chiffrés, qui sont disponibles uniquement sur le dépôt git git@admin.cluster.april.org:password-store.git
Procédures
Ajout d'une machine au cluster
Intervention sur les machines
- Agrandissement d'un qcow (image d'une machine virtuelle)
Intervention sur les services
Accès au cluster
Documentation des services de l'infrastructure
-
- icinga.chapril.org
- grafana.chapril.org