OctoHebdo, nouvelle édition n °5 : 15 décembre 2015

Lien wiki : https://wiki.federez.net/federez:membres:rapports-activite:20151215

Bonjour à tous ! L'OctoHebdo est de retour (avec beaucoup de retard *ahem*). Cette fois-ci, ce sont le Rezel (Télécom Paris) et le Binet Réseau (de l'X) qui nous parlent de leurs activités.

La préparation des journées FedeRez continue, si vous êtes intéressés pour nous aider à organiser cet événement, vous pouvez vous inscrire sur la mailing journees@federez.net [0]. Dans tous les cas, vous devriez bientôt avoir des nouvelles de ces journées 2016 !

[0] https://lists.federez.net/

Le Binet Réseau (BR - br@eleves.polytechnique.fr) est l'association d'informatique de l'École polytechnique. Il faut savoir que le réseau appartient à l'école et est géré par la DSI. Notre rôle est donc de fournir des services aux élèves (DNS, sites internes), de les aider (support mail, permanences) et de donner des formations (développement, linux…).

Nous avons sorti il y a un mois un “cloud promo” de 36 To, fonctionnant avec Pydio (plus modulaire et complet qu'OwnCloud), synchronisé avec notre LDAP (contenant en particulier les associations). Le serveur est un SuperMicro 3U (de récupération) avec 16 emplacements 3.5' dont 8 sont actuellement occupés par des disques de 6 To montés en RAID 6 chiffré. La promotion semble très bien accueillir ce nouveau service, avec déjà 10 To occupés.
Depuis le début de l'année nous sommes en train de moderniser notre infrastructure avec Salt, Incinga2 et Grafana.

• PlatalBank : développer un système de paiement interne facilitant les dépenses lors des activités associatives. Le projet évolue depuis quelques mois et risque de se heurter à la concurrence Lydia. Nous avons choisi Django et AngularJS, le code est sur Github : https://github.com/BinetReseau/platalbank-client ;

• Projet Sigma : plate-forme communautaire inter-écoles dont on a parlée sur la mailing-list Federez ! Cinq écoles sont actuellement investies dans le projet dont le développement a commencé il y a un mois. Technologies retenues : Django et Angular 2. Les premiers composants que nous sommes en train de développer sont : utilisateurs, groupes (écoles, associations…), annonces et calendrier partagé.

L'objectif est triple : développer un outil d'une qualité qu'une asso seule ne pourrait pas obtenir, faciliter la communication et les échanges entre différentes écoles, et apporter un tel outil à toutes les écoles qui n'ont pas les moyens d'en développer un.
Vous pouvez toujours nous rejoindre, le projet promet d'être très intéressant et très complet ! Objectif : sortir une première bêta début 2016. Le code est ici : https://github.com/ProjetSigma

Angular 2 nous donne beaucoup de fil à retordre : nouvelle alpha tous les deux jours incluant des “breaking changes”, absence de documentation, aucune bibliothèque portée en TypeScript s'intégrant facilement, configuration gulp complexe… Le moment est très désagréable pour débuter un projet Angular : en choisissant AngularJS 1, au moment où le projet sera terminé il faudra le migrer vers Angular 2, et en choisissant Angular 2 on subit sa jeunesse.

Bonjour membres de la communauté Federez! C'est à notre tour (Rezel de Sup Telecom, ENST, Telecom Paris, Telecom ParisTech…) de vous présenter ce que l'on a fait lors de cette année scolaire. Si vous avez des questions n'hésitez pas!

Avant nous étions sur de vieux Alcatel Omniswitch 66(24/48), 100Mbps avec uplink 1Gbps. Nous avons changé car ils présentaient de plus en plus de soucis (multicast, étages entiers qui tombaient en random…) Après quelques nuits blanches, nous avons décidé de tout changer pour passer chez Brocade :

• Edges : 12 x Brocade ICX 6450-48 (1Gbps + 2x 10Gbps uplinks)
• Coeur : 2 x Brocade VDX 6740 (48x SFP 10Gbps + 2x 40Gbps uplinks)

Notre architecture est encore en étoile, avec au centre une ethernet fabric (faite par les VDX) sur laquelle sont nos serveurs. Tous nos switchs sont redondés (deux liens d'uplinks) vers la fabric.

Nous sommes maintenant en IPv6, nous donnons à chaque adhérent une IPv6 parmi un /61 (peu) et une IPv4 parmi un /21. Le plus dur à faire ici était la migration du proxy IPv4 vers celui IPv4 + IPv6. Niveau lien vers les internets, nous avons toujours un 200Mbps vers notre école et une box (fibrée) en backup en cas de grabuge.

• le firewall qui était géré par l'école l'est maintenant par nous même, le routage reste en soft sur du Linux
• ARP inspection et DHCP snooping sur les switchs pour forcer les adhérents à respecter notre DHCP et éviter le arp-poisoning
• Suricata : IPS

Évolutions en vue :

• Question du SDN pour des fins de tests + mise en prod?
• Demander un /48 en IPv6 (paperasse)
• Augmentation du lien école-Rezel
• Ajout d'une seconde box de secours dans le deuxième bâtiment en cas de coupure de la fibre les reliant : liaison avec le premier bâtiment via VPN + Serveur extérieur.

Nous étions sur des vieux Sunfire v20z, sur lesquels ont faisait tourner des VMs avec Xen. On a switché pour des serveurs offrant différentes caractéristiques, utiles pour nos services :

• 3x SuperMicro (Xeon 4 coeurs et 32Go de Ram)
• 2x Dell R720 (Double Xeon 6 coeurs, 72Go de Ram, 512Go SSD en RAID-1)

Ils sont équipés de carte réseau 10Gbps que nous virtualisations avec SR-IOV, les VMs sont sur du libvirt + KVM.

Nous avions aussi un problème avec le multicast de la télévision : afin de vérifier la connectivité de chaque étage nous avons fait un cluster de RapsberryPi 2. Ils vont nous servir aussi à contrôler les ports séries des switchs par SSH si on se plante en pushant une config.

Évolutions en vue :

• Faire un glusterFS entre nos 3 serveurs standards.
• Recyclage vieux serveurs?
• Pas grand chose d'autre : on a bien évolué de ce coté la

• BDD as a Service: PostgreSQL, MySQL, ElasticSearch, MongoDB : les adhérents comme nos services peuvent utiliser cette DBaaS
• Gitlab
• Refonte de l'authentification pour une solution centralisée : utilisation de freeIPA :
  • Gestion des règles d'accès machine
  • Gestion des règles sudo
  • Certificats machine
• Gestion centralisé des configurations des switchs : utilisation d'un GIT et push SSH
• Mise en place d'un monitoring avec la stack collectd + graphite + grafana (Monitoring serveurs)
  • Architecture éclatée avec plusieurs serveurs de stockage, et du load-balancing
• Observium (réseau + SNMP)
• Gestion d'adresses IP (phpIPAM)
• Migration des anciens services toujours utiles : DNS, DHCP, gestion d'adhérent, wifi pour les adhérents, IRC, TVLAN, mails (redondé sur serveur extérieur)

Évolutions en vues :

• VPN pour admins : accès restreint du SSH
• MAJ OPT sur IPA
• Blog technique

PS : Nous avons eu nos Brocade via un contact qui nous a fait un prix vraiment intéressant (la DSI de notre école était assez impressionnée par exemple). Si vous avez besoin, il s'agoir de François Devienne (+33 6 51 937 927 | francois.devienne@border6.com | www.border6.com) Précisez que vous venez de la part de Rezel ;)
Ou si vous préférez, on peut faire l'intermédiaire.