HAL Journées Réseaux de l'Enseignement Supérieur et de la Recherche
Not a member yet
    1242 research outputs found

    Déploiement d'une solution complète de type PaaS dans un environnement de Cloud ou de laboratoire, destinée à une large communauté

    No full text
    L'instance OKD4, baptisée PLMshift [1] au sein de la PLM de Mathrice [2], permet aux chercheurs et informaticiens des laboratoires de mathématiques de déployer des applications de différents types : sites web statiques ou CMS, démonstrateurs mathématiques (ShinyR, etc.), des instances de notebook Jupyter et JupyterHub pour la formation, etc.Forts de l'expérience acquise, nous présenterons dans ce tuto, le déploiement [3] d'une solution OKD4 basée sur du matériel BareMetal ou sur une infrastructure Cloud OpenStack en abordant l'ensemble des points permettant de mettre en œuvre cette solution complète de Plateform-as-a-Service, gérée, supervisée et en exploitation.Il débutera par une brève introduction à l'infrastructure Kubernetes.Il abordera les spécificités dans un contexte PaaS ouvert à un public large (problématique d'isolation et de sécurisation des ressources).Ensuite, nous découvrirons de nombreux aspects dans un contexte de production dont :- le branchement à une authentification fédérée ;- les quotas sur les ressources par utilisateur ;- l'utilisation avancée des opérateurs Kubernetes ;- l'industrialisation des configurations ;- le provisionnement automatique des ressources ;- le ciblage et la réservation des ressources par les teintes, les tolérances et les affinités ;- la gestion des flux réseaux ;- la supervision ; la délégation des accès aux logs ;- l'exploitation de GPU ;- le stockage hyperconvergé de type bloc, fichier ou S3 ;- les spécificités de la sauvegarde et du PRA ;- etc.Nous aborderons également les différents écueils et choix nécessaires qui ne sont pas toujours très explicites dans la documentation à disposition.Par ailleurs, à travers notre présentation, nous montrerons tout le potentiel qu'apporte une telle plateforme [4] en matière de co-construction de services communs et de passage du savoir et des compétences dans les laboratoires.[1] [https://plmshift.pages.math.cnrs.fr](https://plmshift.pages.math.cnrs.fr)[2] [https://www.mathrice.fr](https://www.mathrice.fr)[3] [https://plmteam.pages.math.cnrs.fr/docs/okd](https://plmteam.pages.math.cnrs.fr/docs/okd)[4] [https://plmlab.math.cnrs.fr/plmshift](https://plmlab.math.cnrs.fr/plmshift

    « Le graal » : WebAuthn, l’authentification web renforcée pour tous

    No full text
    Nos utilisateurs sont régulièrement confrontés au supplice du mot de passe : « je ne m’en souviens plus », « il est trop complexe », « je me le suis fait voler ». Mais de nouvelles technologies vont y mettre fin !Depuis 10 ans, le consortium FIDO Alliance produit des standards libres et ouverts pour réduire la dépendance aux mots de passe.Cela a abouti aux spécifications d’authentification FIDO2 dont la composante web « WebAuthn » est standardisée par le W3C depuis mars 2019. Celles-ci proposent une alternative ergonomique et sécurisée aux mots de passe et aux multiples facteurs d’authentification existant sur le web (mots de passe, certificats x509, OTP…).Dans cet article et cette présentation, nous exposerons ce standard et ses avantages par rapport aux autres facteurs les plus courant.Nous expliquerons ensuite pourquoi le CNRS l’a choisi pour sécuriser les accès sensibles de son système d’information de gestion et de service (SIGS) par des mécanismes à plusieurs facteurs.Pour continuer, nous présenterons et nous détaillerons un retour d’expérience sur la mise en place d’un second fournisseur d’identité dédié à l’authentification forte et basé sur Keycloak. Aussi, nous dévoilerons quelques développements « maison » déployés pour la gestion de clés de sécurité FIDO2. Nous évoquerons les mécanismes de support, d’enrôlement et de secours.Enfin, nous partagerons nos perspectives pour proposer aux utilisateurs une alternative aux mots de passe pour les accès les moins sensibles du SIGS du CNRS grâce à WebAuthn

    Sécurité : est-ce pêcher, que de croquer la pomme au CNRS ?

    No full text
    Les ordinateurs Apple ont toujours fait partie de l’écosystème informatique au sein de la communauté enseignement supérieur et recherche. L’achat de ces machines fruitées pourrait même être qualifié de « culturel » dans certaines unités.Il convient donc de faire un tour d’horizon sur la mise en réseau de ces ordinateurs dans nos laboratoires avec tout ce que cela implique en termes de sécurité et de sauvegarde.Cet atelier a été présenté lors de la formation Sécurité Informatique pour les Administrateurs Systèmes et Réseau du CNRS en Île de France (SIARS V2) en 2019.Dans un cadre institutionnel tel que le nôtre, tout comme avec Windows 10, il convient de ne pas activer certaines options de Mac OS, comme Siri par exemple. Via un pas-à-pas, nous détaillerons l’installation du système d’exploitation, la mise en place du compte administrateur de service, la liste des paramètres de sécurité liés aux sessions utilisateurs sur la machine, les bonnes pratiques à respecter, les options de chiffrement disponibles et compatibles pour les voyages à l’étranger (Chine, USA) et enfin comment mettre en place un système de sauvegarde automatique et adapté aux plateformes Apple.Ce tutoriel donnera toutes les pistes afin de permettre à un gestionnaire de parc ou un ASR d’installer et d’intégrer un Mac dans son organisation, en respectant à minima les préconisations de la PSSI du CNRS

    Plateforme d'enseignement en ligne Moodle en temps de COVID19

    No full text
    La plateforme d'enseignement en ligne Moodle est très largement déployée dans nos établissements. A Aix-Marseille, nous l'exploitons depuis 2005. Gérée à l'origine par le Pôle Infrastructure, l'application a été confiée au Pôle Environnement Numérique quelques années plus tard.Au Pôle Environnement Numérique, nous n'avons jamais dédié un personnel à temps plein sur cette application, et de ce fait, nous n'avons pas vraiment d'expert Moodle. Cependant, nous avons acquis les connaissances au fil de l'eau. Par contre, nous avons la gestion de la partie système et travaillons depuis longtemps sur les problèmes de performance avec nos collègues de l'infra pour les aspects réseau, stockage et virtualisation sous VMWARE.Au début, Moodle était plutôt utilisé en supplément d'autres support de cours. Le confinement a changé la donne, en plus des visio-conférences, Moodle est devenu l'outil incontournable de support de cours mais aussi de plateforme d'examens, aspect particulièrement critique générant des pics de charge importants et fréquents.Avant confinement, nous avions 8000 cours, 8000 quiz et 7500 utilisateurs par heure. Après confinement, nous avions 15000 cours, 16000 quiz et 14000 étudiants par heure. Ceci nous a amené à échanger autour de nos configurations avec les collègues des autres universités dans le cadre d'un GT ESUP et constater que nos architectures peuvent être très disparates. Nous avons passé du temps sur nos configurations, analysés tous les incidents, et levé quelques lièvres (systèmes, base de données, réseau, virtualisation).C'est cette histoire que nous voulons raconter

    Pedaweb : Solution d'hébergement pour la pédagogie

    No full text
    **Pedaweb** est une solution d’hébergement qui permet aux enseignants et étudiants d’Aix-Marseille Université de créer un espace web pédagogique personnel et sécurisé.Elle a été conçue dans le but de proposer un service qui facilite la mise en ligne de contenus et la pratique des technologies web, notamment en termes de confort d’accès pour l’utilisateur, de sécurité et de montée en charge.Elle répond aux besoins pédagogiques suivants : * manipulation de divers langages comme PHP ou python ; * déploiement de différents CMS ; * connexion à une base de données ; * visibilité des sites possible depuis internet ; * gestion simplifiée des sites ; * support d'un nombre important d’utilisateurs (potentiellement 70 000).**Pedaweb** s’appuie sur le couple Webmin/Virtualmin version GPL, dans une architecture supportant une charge évolutive, autour duquel nous avons développé des outils spécifiques (interface de gestion traitant les demandes des utilisateurs, scripts d’automatisation, tableaux de bord…)Ce poster présente notre plateforme d’hébergement web dans son ensemble, les solutions techniques utilisées ainsi que les différentes étapes nécessaires à la mise en place du service.Il fait également le bilan sur **Pedaweb**, en production depuis septembre 2020, et son utilisation actuelle

    Comment marche le fedivers ?

    No full text
    The "fediverse" (portmanteau word, from "federation" and "universe") is the set of decentralized social networks, managed independently, but exchanging messages. The last two years, it gathered a lot of interest, and many programs now connect to the fediverse (Mastodon, Pleroma, PeerTube, FunkWhale, WriteFreely, PixelFed, Mobilizon...) The decentralized social networks are a hot topic currently, specially giving the bad practices of the GAFA. Because of censorship and mishandling of personal data, a lot of people are looking for alternatives.How does the fediverse work? One can often read "all these programs talk the ActivityPub protocol". But ActivityPub is actually only a part of what you need to "talk fediverse". There are other protocols. Some are very generic (ActivityPub), some are underspecified (authentication on the fediverse). In its current state, the fediverse is not well documented and good explanations are scarce. Many developers had to read the source code of the other programs to understand what they were supposed to do. We will therefore explain how the fediverse work, under the nice Web interfaces. We'll talk about ActivityPub, but also about the ActivityStreams format, the Webfinger protocol, the idea of "linked data", the JSON-LD format, the HTTP signatures, and everything you need to "talk fediverse".This talk will be technical, although the social aspects of the fediverse are also raising a lot of issues.Le « fédivers » (contraction de « fédération » et « univers ») est l'ensemble des réseaux sociaux décentralisés qui sont gérés indépendamment mais échangent des messages. C'est un des grands succès des deux dernières années, avec de nombreux logiciels largement utilisés, Mastodon, Pleroma, PeerTube, FunkWhale, WriteFreely, PixelFed, Mobilizon... Les réseaux sociaux décentralisés connaissent en ce moment un nouveau gain d'intérêt, motivé par les pratiques déplorables des GAFA, par exemple en matière de censure, ou de traitement des données personnelles.Comment fonctionne ce fédivers ? On lit souvent « il utilise ActivityPub ». Mais ActivityPub n'est qu'une petite partie des protocoles nécessaires pour faire tourner le fédivers. Il faut en fait toute une suite de protocoles, parfois très génériques (comme ActivityPub) et parfois mal spécifiés (le mécanisme d'authentification). Globalement, le fédivers est insuffisamment décrit et on manque encore de travaux de synthèse. Le développeur qui débute doit souvent lire le code source de ses prédécesseurs pour comprendre ce qu'il doit faire. On va expliquer comment fonctionne le fédivers sous le capot. On parlera donc d'ActivityPub, mais aussi du format ActivityStreams, du protocole Webfinger, du concept « Linked Data » et du format JSON-LD, des signatures HTTP, et de tout ce qui est nécessaire pour faire tourner le fédivers.Il s'agira d'un exposé centré sur le fonctionnement technique du fédivers (bien que son fonctionnement social soulève également de très nombreuses questions)

    SANTORIN : Retex sur une infrastructure DevOps

    No full text
    The ISD of the Rennes Education Authority is responsible at national level for the design and management of the IS for examinations and competitive examinations. In a context of reducing resources and increasing our scope of action, we are carrying out a technological and organisational transformation that aims to increase the quality of service and reduce the downtime linked to production deployments.To reach this target, we have chosen to automate deployment in a DevOps approach. The national SANTORIN application, deployed in a Kubernetes cluster, was chosen to be the driver of this change. On 17 and 19 June 2019, this application managed the transition to digitisation of the preliminary Baccalaureate exams. 200,000 copies were scanned and made available to the markers. The next objective for the 2020 Baccalaureate is to manage 800,000 copies in half a day and 30 million copies per year.This transformation of our deployment methods means we can now deploy new versions in a few minutes, without service interruptions, and offer a "scalable" service to respond to the ramp-up automatically.In a “DevOps” spirit, “We”, a member of the SANTORIN Development team and a member of the Ops team, are going to talk to you about the deployment infrastructure we have put in place, the transformation it has made for us and the issues we have encountered.La DSII de l'Académie de Rennes est responsable au niveau national de la conception et de la gestion du SI des examens et concours. Dans un contexte de réduction des moyens et d'accroissement de notre périmètre d’action, nous menons une transformation technologique et organisationnelle qui a pour objectifs d’augmenter la qualité de service et de diminuer les temps d’interruption liés aux mises en production.Pour atteindre cette cible, nous avons fait le choix de l’automatisation du déploiement dans une approche « DevOps ». L’application nationale SANTORIN, déployée sur un cluster Kubernetes, a été choisie comme pilote de cette mutationCette application a géré le 17 et 19 juin 2019 la dématérialisation des copies des épreuves anticipées du Baccalauréat. 200 000 copies ont été ainsi numérisées et mises à disposition des correcteurs. Le prochain objectif pour la gestion du baccalauréat 2020, est de gérer 800 000 copies en une demi-journée et 30 millions de copies à l’année.Cette transformation de nos méthodes de déploiement, nous permet aujourd’hui de déployer de nouvelles versions en quelques minutes, sans interruption de service. Et d'offrir un service "scalable" de répondre à la montée en charge de manière automatique.Dans l'esprit « DevOps », « Nous », un membre du Développement SANTORIN et un membre des Ops, allons vous présenter l’infrastructure de déploiement que nous avons mis en place et la transformation qu’elle a entraînée chez nous et vous exposer les problématiques que nous avons rencontrés

    Nova - Un nuage arc-en-ciel au-dessus des Alpes

    No full text
    Vidéo https://replay.jres.org/videos/watch/c0ce8c10-fc41-4cf7-9069-9d2c225f9e0aInternational audienceA pooled and shared on-demand Infrastructure as a Service (IaaS), based on the **Openstack** software suite, was rolled out on the Grenoble university campus in 2018 and updated in 2019.We present the methods used to deploy and manage the infrastructure: **racadm** and **preseed** for basic system installation, then **Kolla** for Openstack deployment. This latter solution, based on containers for each service, enables a centralised and logged configuration (GitLab) of controllers and calculation nodes. The solution is the benchmark solution for a **reproducible deployment** of Openstack. We have been able to expand our cloud easily with new nodes. The change in version of the basic OS was also successfully tested despite a few small hitches... As security is a key element in the proper operation of this type of shared service, each project has been made watertight and its data perfectly isolated from other projects, thanks to the encryption of all network flows in VXLANs.This OpenStack **infotainment** platform is operational. What is it all for? For example, our first users use the Jupyter Notebook through the provision of Jupyterhub servers (web portal); the Distributed Health Assessment IT System (SIDES project); the continuous integration in connection with the GitLab platform; the test for the Kubernetes container scheduler or the calculation and visualisation software, etc. Highly varied uses that other platforms had difficulty offering.**Nova**, a new platform, was born.Un service d’infrastructure à la demande (IaaS), mutualisé et fédéral, basé sur la suite logicielle **Openstack** a été déployé sur le campus universitaire de Grenoble durant l'année 2018 puis mis à jour en 2019.Nous présentons les méthodes que nous avons choisies pour déployer et gérer l'infrastructure : **racadm** et **preseed** pour l'installation du système de base, puis **Kolla** pour le déploiement d'Openstack. Cette dernière solution, basée sur des conteneurs pour chaque service, permet une configuration centralisée et historisée (GitLab) des contrôleurs et des nœuds de calcul. La solution s'impose comme la solution de référence pour un **déploiement reproductible** d'Openstack. Notre nuage a ainsi été facilement étendu avec de nouveaux nœuds. Le changement de version de l'OS de base a aussi pu être testé avec succès malgré quelques petits couacs... La sécurité étant un élément clef du bon fonctionnement de ce type de service mutualisé, chaque projet a été rendu étanche et ses données parfaitement isolées vis-à-vis des autres projets, grâce au chiffrement de tous les flux réseaux dans des VXLAN.Cette plate-forme **d'infonuagisme** OpenStack est opérationnelle. À quoi tout cela sert ? Nos premiers utilisateurs font par exemple du Notebook Jupyter au travers de la mise à disposition de serveurs Jupyterhub (portail web) ; du Système Informatique Distribué d'Évaluation en Santé (projet SIDES) ; de l'intégration continue en liaison avec la plateforme GitLab ; du test pour l'ordonnanceur de conteneurs Kubernetes ou encore du logiciel de calcul et de visualisation... Des usages très variés que les autres plateformes avaient des difficultés à proposer.**Nova**, une nouvelle plateforme est née

    MyAcademicID pour une identité étudiante européenne unique pour l’enseignement supérieur

    No full text
    MyAcademicID focuses on developing a European Student eID scheme for higher education. This will allow students to identify and register themselves electronically at higher education institutions when going abroad on exchange and to access different student services in Europe.The digital infrastructure supporting the European Student eID for Higher Education will be the result of the integration of eduGAIN and the European Student Identifier and the establishment of digital bridges between them and the eIDAS interoperability framework being rolled out by the European institutions.Moreover, the project seeks to integrate the European student eID into four e-services: the Online Learning Agreement, the Erasmus+ Dashboard, the Erasmus+ Mobile App and the PhD Hub Platform. Additionally, the Portuguese national student ID (Estudante ID) will be made interoperable with the European Student eID, showcasing how national identity providers can join this digital scheme. Future integration with Erasmus Without Paper is also foreseen.The scalability of the project and the potential for integration of the European Student eID with a myriad of other student services (both online and offline), not only pave the way for seamless student mobility and a stronger, reinforced European student status throughout Europe, but make MyAcademicID a key component of the European Student Card Initiative spearheaded by the European Commission.Le projet MyAcademicID vise à implémenter les briques de base pour l’adoption d’une identité étudiante européenne pour l’enseignement supérieur. L’objectif principal est de permettre aux étudiants en situation d’échange à l’étranger de s’identifier et s’inscrire électroniquement dans les établissements d’enseignement supérieur et d’accéder à différents services.L’infrastructure technique vouée à supporter cette identité étudiante européenne sera le résultat de l'intégration d'eduGAIN avec l’identifiant étudiant européen (//European Student Identifier// ou ESI), et de l’établissement de passerelles avec le cadre d’interopérabilité eIDAS, en cours de déploiement par les institutions européennes.Le projet vise en outre à intégrer cette identité étudiante européenne dans quatre e-services liés à la mobilité étudiante : //Online Learning Agreement//, //Erasmus+ Dashboard//, //Erasmus+ Mobile App// et la plate-forme //PhD Hub//. En complément, l’identité étudiante nationale portugaise (//Estudante ID//) sera rendue interopérable avec l’identité étudiante européenne, démontrant ainsi la faisabilité pour un fournisseur d’identités de niveau national de rejoindre le modèle de solution proposé. Enfin, l’intégration future de la plate-forme //Erasmus Without Paper// est également prévue. Le passage à l’échelle du projet et le potentiel d’intégration de l’identité étudiante européenne avec une myriade d’autres services (en ligne et hors ligne), non seulement ouvrent la voie à une mobilité facilitée des étudiants et à un renforcement du statut étudiant à travers l’Europe, mais font aussi de MyAcademicID un élément clé de l’initiative carte étudiante européenne (//European Student Card Initiative//) lancée par la Commission Européenne

    Cas d'usage d'un service L3VPN Renater à l'échelle d'un institut

    No full text
    Inria's IT team has completed a project to deploy a unified telephony solution through its IP network.In this context, it was necessary to provide all the exchanges related to this infrastructure (signalling and voice flows but also user and administrator access to the telephony portal).How to address and route these TOIP flows to connect the elements spread between the nine Inria locations?After a rapid evaluation, the choice was made to use private IPv4 addressing RFC1918 associated with L3VPN Renater routing.First, we will address the initial issue and the choice in terms of both IP addressing and flow routing mechanism.After explaining this choice, we will look at what an L3VPN service on Renater is and how to connect it.The key point of the solution is the development of a WAN routing policy between the different connected sites.We will then discuss the functionalities put in place to ensure these flow exchanges via the double WAN connections of each Inria site:* implementation of BGP peerings and local redistribution of L3VPN IPv4 Inria prefixes* routing policy specific to the flows to be processed via L3VPN (Policy Based Routing)* management of the resilience between WAN access: dual homing, rapid convergence.Lastly, we will look at the other use cases of this L3VPN service, envisaged to be scalable from the outset.La DSI Inria a instruit un projet de déploiement d'une solution de téléphonie unifiée à travers son réseau IP.Dans ce cadre, il était nécessaire d'assurer l'ensemble des échanges liés à cette infrastructure (flux signalisation et voix mais aussi accès utilisateurs et administrateurs au portail téléphonie).Comment adresser et router ces flux TOIP pour connecter les éléments répartis entre les neuf localisations Inria ?Après évaluation rapide, le choix s'est porté sur l'utilisation d'un adressage IPv4 privé RFC1918 associé à un routage L3VPN Renater.Nous aborderons dans un premier temps la problématique initiale et le choix tant au niveau de l'adressage IP qu'au niveau du mécanisme de routage des flux.Après avoir éclairé ce choix, nous découvrirons en quoi consiste un service L3VPN sur Renater et les modalités de raccordement.Le point clé de la solution repose sur l'élaboration d'une politique de routage WAN entre les différents sites raccordés.Nous évoquerons donc ensuite les fonctionnalités engagées pour assurer ces échanges de flux via les doubles raccordements WAN de chaque site Inria : * mise en place des peerings BGP et redistribution locale des préfixes L3VPN IPv4 Inria* politique de routage spécifique aux flux à traiter via le L3VPN (Policy Based Routing)* gestion de la résilience entre accès WAN : dual homing, convergence rapideEnfin, nous verrons les autres cas d'usage de ce service L3VPN pensé dès le départ comme évolutif

    0

    full texts

    1,242

    metadata records
    Updated in last 30 days.
    HAL Journées Réseaux de l'Enseignement Supérieur et de la Recherche
    Access Repository Dashboard
    Do you manage Open Research Online? Become a CORE Member to access insider analytics, issue reports and manage access to outputs from your repository in the CORE Repository Dashboard! 👇