L'infrastructure Chapril est composée de 2 serveurs physiques hébergés chez Hetzner.de :

• maine
  • adresse ipv4 publique routable : 94.130.8.2
  • adresse ipv6 publique routable : 2a01:4f8:10b:c41:: / 64
  • adresse privée dans le réseau interne : 192.168.1.2
  • adresse privée de l'interface libvirt (virbr0) : 192.168.1.4
• coon
  • adresse ipv4 publique routable : 94.130.8.3
  • adresse ipv6 publique routable : 2a01:4f8:10b:c42:: / 64
  • adresse privée dans le réseau interne : 192.168.1.3
  • adresse privée de l'interface libvirt (virbr0) : 192.168.1.5

Une adresse ip flottante, appelée fip est configurée côté Hetzner pour pointer sur l'un ou l'autre serveur physique. En situation normale, fip est attachée au serveur maine.

Les 2 serveurs physiques hébergent un certain nombre de machines virtuelles grâce aux technologies libvirt, qemu, kvm.

• Routage des machines virtuelles
• Liste des machines virtuelles
• Implémentation de l'IPv6 sur les machines virtuelles

Les partitions accueillant les images des machines virtuelles sont dupliquées en utilisant drbd. La duplication est faite d'un serveur vers l'autre, et donc c'est une duplication croisée. La duplication ne remplace pas la sauvegarde mais donne une chance d'avoir une continuité de service plus facile en cas d'incident.

Dans la charte CHATONS (https://chatons.org/fr/charte), on peut lire :

Le CHATON s'engage à publier annuellement la liste des paquets installés sur les serveurs hébergeant des services fournis aux utilisateurs, par exemple en utilisant l'outil vrms sous Debian et dérivées, ou un outil équivalent pour les autres distributions ;

Liste des audits :

• audit des paquets 2020

Nominalement, les vm et les pm de l'infra n'ont pas à swapper. Si une machine swappe quand même, c'est soit un problème de dimensionnement, soit un incident ponctuel (processus qui part en vrille). Dans ces cas, la présence de swap est une sécurité pour la continuité de fonctionnement (sinon kill aveugle).

Afin de minimiser l'utilisation du cache, réglage du vm.swappiness=1 via sexy-chapril dans :

* /etc/sysctl.d/ * /etc/systemd/system/systemd-sysctl.service.d/swappiness.conf

Voir https://agir.april.org/issues/4716.

Notes

De : Emmanuel Lacour via RT <support@easter-eggs.com>
Sujet : [Easter-eggs #73359] Re: Question de swappiness pour le SI April 

Salut à tous,

petite mise à jour sur cette demande avant de la clore:

on a constaté qu'à priori en Debian buster, vm.swappiness=1 ne suffisait pas
car les services sont démarés en cgroups v1 qui met un swappiness par défaut de 60,
quelle que soit la valeur de vm.swappiness. Vu surtout sur des serveurs avec MySQL
ou InfluxDB qui semblaient swapper sans réelle raison.

On a trouvé ça:

https://github.com/systemd/systemd/issues/9276

cf. par exemple: cat /sys/fs/cgroup/memory/system.slice/memory.swappiness

Du coup la solution semble être d'ajouter une action post à systemd-sysctl:

cat /etc/systemd/system/systemd-sysctl.service.d/swappiness.conf 

[Service]
ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 2 -maxdepth 2 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \;
ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 3 -maxdepth 3 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \;
ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 4 -maxdepth 4 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \;
ExecStartPost=/bin/find /sys/fs/cgroup -mindepth 5 -maxdepth 5 -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \;
ExecStartPost=/bin/find /sys/fs/cgroup -name memory.swappiness -exec /bin/sh -c 'sysctl -n vm.swappiness > "{}"' \;

puis:

systemctl daemon-reload
systemctl restart systemd-sysctl.service

testé sur plusieurs VMs chez nous avec succès 

• La charte du groupe adminsys de l'April
• La définition d'un travail terminé.
• Cette documentation, qui est disponible également sur le dépôt git git@admin.cluster.april.org:doku.git
• Les mots de passes chiffrés, qui sont disponibles uniquement sur le dépôt git git@admin.cluster.april.org:password-store.git

• Création d'une machine virtuelle
• Sauvegarde des machines
• Installation d'un postfix en satellite
• Installer un client (Satellite) Icinga2
• Ajouter IPv6 à une VM
• Un firewall simple pour un guest
• Restauration d'une machine depuis un backup
• Procédure de création d'alias mail

• Redémarrer le cluster
• Redémarrer maine
• Redémarrer coon
• Agrandissement d'un qcow (image d'une machine virtuelle)
• Redimensionnement d'un volume LVM
• Déployer des test smarts
• Basculer le cluster d'un noeud à l'autre

• Ajout d'un enregistrement à la zone DNS
• Ajout d'un host au reverse proxy
• Ajout d'une sonde personnalisée au monitoring

• Configuration password-store
• Ajouter un administrateur au cluster
• Ajouter un animateur de service au cluster

• DRBD - mirroring inter-serveurs niveau block
• Paquets Debian
• DNS
• Mail
• Pare-feu des hôtes
• Interconnexion Sympa <-> Postfix (+ installation de Sympa à documenter)
• Installation serveur hôte
• Affichage du statut des services avec cachet (status.chapril.org)
• Installation et configuration du monitoring
  • icinga.chapril.org
  • grafana.chapril.org
• agir.chapril.org
• listes.chapril.org
• turn.chapril.org
• wiki.chapril.org

• www.chapril.org
  • v1.chapril.org
  • v2.chapril.org
  • banner.chapril.org
• date.chapril.org
• drop.chapril.org
• mumble.chapril.org
• pad.chapril.org
• kanban.chapril.org
• paste.chapril.org
• pouet.chapril.org
• minetest.chapril.org
• valise.chapril.org
• visio.chapril.org
• xmpp.chapril.org

FAQ services (conventions techniques et autres).