HAL Journées Réseaux de l'Enseignement Supérieur et de la Recherche
Not a member yet
1242 research outputs found
Sort by
Le dépôt de paquets WAPT RESINFO - De l'utilisateur local au développeur régional en passant par le mainteneur national
No full textInternational audienceWAPT is an ANSSI-certified software solution developed by the French company Tranquil.it. Through a centralized management console, WAPT lets you administer your IT assets in just a few clicks! You can deploy a plethora of software from different stores: the Tranquil.it store, the ESR-wide store, or after having “created” a specific software package that you can offer to the community.The RESINFO WAPT working group has been federating actions and knowledge around the WAPT tool since 2018. Today, the WG offers a secure central repository, organized by theme (chemistry, biology, embedded, cad, imaging, etc.) and comprehensive documentation accessible to all ESR entities(https://resinfo-gt.pages.in2p3.fr/wapt/gt-wapt/docs/).In this tutorial, we will present the system architecture, including the three levels of use and contribution to this national repository, so that you can use and contribute to it.* The “user” level: previously authorized to access the store, he can retrieve and deploy software in his unit after a simple validation test according to his local specificities.* Developer” level: submits software to the community via a GIT repository before validation.* The “maintainer” level: responsible for validating software for one or more themes submitted by developers to the GIT forge. Once validated, software is automatically made available in the national store.This tutorial will close with a call for contributors.WAPT est une solution logicielle, certifiée ANSSI, développée par la société française *Tranquil.it*. À travers une console de gestion centralisée, WAPT permet d’administrer un parc informatique en quelques clics ! Vous pouvez déployer une pléiade de logiciels à partir de différents magasins : celui de *Tranquil.it*, celui commun pour tout l'ESR, ou après avoir « créé un paquet » logiciel spécifique que vous pourrez proposer à la communauté.Le groupe de travail RESINFO WAPT fédère depuis 2018 les actions et les connaissances autour de l'outil WAPT. Aujourd'hui, le GT propose un dépôt central sécurisé, organisé en thématiques (*chemistry*, *biology*, *embeded*, *cad*, *imaging*, *etc*.) et une documentation complète accessible à l’ensemble des entités de l'ESR ([https://resinfo-gt.pages.in2p3.fr/wapt/gt-wapt/docs/](https://resinfo-gt.pages.in2p3.fr/wapt/gt-wapt/docs/)).Au travers de ce tutoriel, nous présenterons l'architecture système dont les trois niveaux d'utilisation et de contribution à ce magasin national afin que vous puissiez utiliser et contribuer. * Le niveau « utilisateur » : préalablement autorisé à accéder au magasin, il peut récupérer et déployer des logiciels dans son unité après un simple test de validation selon ses spécificités locales. * Le niveau « développeur » : il soumet des logiciels à la communauté via un dépôt GIT avant validation. * Le niveau « mainteneur » : il est responsable de la validation des logiciels d'une ou de plusieurs thématiques soumis par les développeurs sur la forge GIT. Une fois validés, les logiciels sont automatiquement mis à disposition dans le magasin national.Ce tutoriel sera clôturé par un appel aux contributeurs
(Re)Déploiement de conteneurs et machines virtuelles avec Guix
No full textGuix est un vrai couteau suisse pour tout administrateur système ! Comment peut-il être utilisé pour un déploiement reproductible de conteneurs ou machines virtuelles ?En tant que gestionnaire d'environnements logiciels, Guix fournit une traçabilité (reproductibilité) par sa conception même. Sur un cas d'usage mélangeant les écosystèmes Python et R, nous utilisons Guix pour produire des conteneurs (pack) au format Docker. Quelle est la spécificité de Guix ? Sa capacité d'inspection et la reproductibilité sans sacrifier la performance. Cette capacité d'inspection du conteneur binaire est essentielle dans un contexte de recherche scientifique ou simplement pour la sécurité.L'administrateur système que nous sommes s'intéresse surtout à l'orchestration de services, potentiellement dans des machines virtuelles isolées. Nous souhaitons un système « simple » et prédictible, en particulier dans le contexte d'un redéploiement de l'infrastructure, autant pour l'étendre que pour résoudre une panne. La traçabilité étant au cœur de Guix, le redéploiement est prédictible : à partir d’un fichier fixant une révision et d'un fichier décrivant la configuration du système, Guix est capable de redéployer cette configuration dans cette révision, aussi bien aujourd’hui que dans le futur.Comment configurer ces machines virtuelles ? Guix fournit un langage dédié qui permet d'orchestrer les services (journaux, courriel, intégration continue, etc.).Cette présentation développe l’aspect Administration Système et Service rapidement évoqué dans le tuto court « Reproductibilité des environnements logiciels avec GNU Guix » aux JRES 2021/22 et elle prolonge la présentation « Administration système reproductible avec GNU Guix » par Julien Lepiller aux JRES 2019
SLICES-FR : l’infrastructure de recherche nationale pour l’expérimentation Cloud et Réseaux du futur
No full textNational audienceEn s'appuyant sur l'expérience acquise avec les plateformes Grid'5000 (2003) et FIT (2011), l’infrastructure de recherche SLICES-FR (Scientific Large Scale Infrastructure for Computing/Communication Experimental Studies France) démarrée en 2022 regroupe une quinzaine d’établissements de l’ESR. SLICES-FR, financée par les PEPR Cloud et Réseaux du Futur, a pour ambition d’unifier l’accès aux services d’expérimentation dans les domaines des protocoles réseaux, des technologies radio, des services et de la collecte de données ainsi que du calcul parallèle et distribué. Au-delà du paysage français, SLICES-FR s'interface à l'échelle européenne avec SLICES-RI (Research Infrastructure) qui est la première infrastructure labellisée ESFRI dédiée à la recherche en informatique, pour une durée d’exploitation prévue jusqu’en 2040.SLICES-FR exploite une infrastructure à grande échelle répartie sur douze sites en France permettant l'accès contrôlé et uniforme à des technologies de pointe hétérogènes et variées. Elle répond à la nécessité de soutenir la recherche fondamentale dans ces domaines (Cloud, HPC, Edge, IoT, SDR, Beyond 5G) où l'accès à de tels instruments est essentiel. En plus de fournir un accès distant aux ressources matérielles, SLICES-FR vise à proposer des services de configuration bas-niveau (baremetal) et tout une suite d’outils de traitement des résultats, notamment la consommation énergétique, pour permettre l’évaluation complète d’une application numérique de bout en bout. A travers notre article, nous présenterons l'architecture retenue pour construire cette infrastructure distribuée en France et en Europe, ainsi que les solutions réseaux pour interconnecter les ressources entre-elles
Le roi est mort ? Un mail pour un bien.
No full textJimi Hendrix, Kurt Cobain et Amy Winehouse sont morts à 27 ans.C'est exactement l'âge qu'a aujourd'hui le logiciel de listes de diffusion Sympa, développé pendant 20 ans par notre communauté, le CRU puis RENATER.Il est omniprésent dans nos DSI. Vous travaillez pour l'éducation ou la recherche et vous envoyez des mails à des listes ? Il y a 90 % de chances que vous le fassiez avec Sympa.Et pourquoi ? Parce qu'il fait son boulot. Sans faire de bruit et pour un minimum d'efforts humains.S'il est aussi bien adapté à nos besoins, c'est parce qu'il a été développé par et pour notre communauté. Or, depuis quelques années, RENATER, garant du logiciel, est tenu à l'écart du développement. Comment, dès lors, s'assurer que notre communauté puisse disposer d'un outil fiable ?À l'issue d'une réflexion portant tant sur les fonctionnalités que sur le contexte actuel, notre conclusion fût de développer un nouvel outil. Depuis zéro, mais en se fondant sur notre expérience approfondie du logiciel et de ses applications. C'est l'occasion de le moderniser et de l'adapter aux nouvelles technologies.Dans cet article, vous découvrirez : - les raisons pour lesquelles nous avons lancé le développement d'un successeur à Sympa ; - les fonctionnalités du logiciel, sa rétrocompatibilité et ses améliorations ; - la méthodologie et l'état d'avancement du développement.Après 27 ans de règne, il est temps pour le vieux roi de mourir. Mieux vaut partir comme Jim Morrison que comme Elvis Presley
Dansons la Samba en grappe dans des conteneurs
No full textÀ l'ère des technologies de stockage « big data » et du cloud, __l'université de Rennes__ a fait le choix de migrer ses données fichier à rebours des effets de mode, en s’inscrivant dans une continuité. L’utilisation des technologies éprouvées, Open Source, maitrisées (limite low-tech), déjà disponibles sur le SI, a permis de remplacer intégralement les couches basses, arrivées à obsolescence tout en conservant l’interfaçage et l’intégration dans l’écosystème existant. C’est en combinant les briques servant à la virtualisation sur notre infrastructure hyperconvergée et en exploitant une partie des ressources inutilisées que nous avons repris fonctionnellement les possibilités de Dell FluidFS. L’agencement de conteneur **LXC** sous **Proxmox**, l’utilisation de **CephFS** pour le stockage de fichier, l'orchestration des partages **Samba**, le regroupement en grappe par **CTDB** donne le « la » de la solution. Le tout rythmé par **RabbitMQ** et la cadence du provisionnement automatique (**Powershell**) avec une délégation aux partenaires. **Si vous êtes intéressé, n’hésitez pas à rentrer dans la danse !*
Pas d'IPv6 sans multicast
No full textInternational audienceLe protocole IPv6 n'utilise plus de broadcasts mais uniquement des paquets multicast pour diverses raisons, il est notamment question d'efficacité pour des réseaux locaux de grande taille, et aussi de limitation de la fuite d'informations. Qu'en est-il en pratique ?Cette présentation décortique l'utilisation du multicast en IPv6 : comment il est utilisé pour différents composants : découverte des voisins, autoconfiguration...Elle donne une vue d'ensemble de ce qu'il se passe en terme de multicast lorsque qu'un nœud rejoint un réseau IPv6 puis qu'il ouvre une connexion TCP vers un autre et qu'un ou plusieurs commutateurs se trouvent sur le chemin physique.Les commutateurs réseau ont un rôle important à jouer pour la diffusion des paquets multicast; c'est à ce niveau qu'intervient MLD (RFC3810) pour assurer une diffusion efficace des trames multicast au sein du réseau.La plupart des commutateurs implémentent l'interception des annonces IGMP et MLD snooping (RFC4541), ce qui leur permet d'apprendre sur quels ports se trouvent les nœuds abonnés à une adresse de multicast donnée et ainsi (tout comme pour les adresses MAC) de ne relayer un paquet multicast qu'à destination des nœuds abonnés (contrairement à un paquet de type broadcast est toujours envoyé sur tous les ports). Cela consomme des ressources, qui peuvent manquer et perturber le bon fonctionnement du protocole. Enfin, quelques outils permettant d'analyser et de superviser ce trafic multicast seront présentés
Gestion automatique des certificats via ACME et Apache
No full textÀ la fin de l’année 2020, le CABForum a réduit la durée de vie des certificats serveurs X.509, passant de trois ans à un an, augmentant de fait le rythme des opérations de renouvellement.Dans le contexte Inria, ce sont dorénavant plus de 1500 certificats qu’il faut renouveler tous les ans pour l’ensemble des 10 sites géographiques. Les processus existants n’étaient donc plus adaptés et un fonctionnement manuel n’était plus envisageable.Dans le cadre d’une exploitation globale portée par le service Production de la DSI, nous avons étudié différents moyens de gérer automatiquement ces certificats (création/renouvellement/révocation) afin de garantir une livraison sécurisée aux équipements devant les utiliser.Nos travaux nous ont conduits à développer et déployer une solution visant à automatiser ces traitements en les associant à des modules d’orchestration (Puppet et Ansible) garantissant un déploiement maîtrisé.Cette solution se compose d’un serveur de génération et distribution des certificats et d’un script client permettant d’authentifier les demandes pour les récupérer. Cette authentification, basée sur des référentiels externes de confiance (CA, DNS ou LDAP) garantit ainsi que chaque machine cliente ne pourra récupérer que les certificats pour lesquels elle aura préalablement été autorisée.Le poster présente l’architecture multi-tenant, basée sur des applications reconnues, des protocoles standards (ACME/HTTPS/LDAP) et des développements simples pour assurer les communications entre les tiers ainsi que l’exploitation et la surveillance.Venez découvrir les détails de l’intégration de cette solution dans notre SI et échanger sur la façon dont vous pourriez l’intégrer au vôtre
Kubernetes : déploiement et sécurisation de l'infrastructure et des applications
No full textPlongez dans notre projet dédié à renforcer la sécurité et l'efficacité de l'infrastructure d'hébergement pour les applications distribuées avec Kubernetes.À travers une architecture évoluée, nous avons intégré des stratégies avancées de filtrage, d'inspection du trafic et de gestion des incidents. Tel que :• La sécurité du trafic entrant et sortant : - Afin de détecter de toute activité suspecte ou malveillante. - Limitation des accès sortants.• Les communications entre les différentes applications sont bloquées.• Et enfin la mise en place d'un Docker Private Registry .Ces mesures garantissent la confidentialité des données et renforcent la résilience opérationnelle, tout en simplifiant les déploiements.Nous voulons proposer à nos usagers une infrastructure sécurisée. Nos utilisateurs, développeurs, chercheurs, joueurs de foot, etc.. pourront ainsi automatiser leurs déploiements et profiter d’une gestion des applications conteneurisées.Joignez-vous à notre présentation pour découvrir comment ces solutions créatives peuvent transformer votre approche de la sécurité et de la gestion dans un environnement Kubernetes dynamique !#kubernetes #K3S #longhorn #docker #Calico #Kube-VIP #MetalLB #sécurité #firewal
Numérique éco-responsable à l'Université Grenoble Alpes
No full textL’Université Grenoble Alpes ambitionne de répondre aux enjeux écologiques grâce à une réflexion et un plan d’action déclinés dans son Schéma Directeur RSE (Responsabilité Sociale et Environnementale) 2022-2024. L’impact du numérique est une des thématiques pour laquelle un groupe de travail inter-établissements a été initié par la Vice-Présidence RSE de l’université en 2021. Le Groupe de Travail Numérique Eco-Responsable (GT NER) a pour finalité de proposer des actions pour réduire l’empreinte environnementale du numérique au sein de l’établissement.Nous proposons dans cet article et le poster associé de détailler le processus de recrutement des membres du groupe de travail, la méthodologie utilisée pour faire émerger les idées d’action, les actions proposées in fine et validées, les freins et leviers à leur déploiement au sein de l’université, ainsi que les acteurs et autres projets mobilisés.Nous donnerons ainsi un aperçu des actions de sensibilisation, de formations en cours de déploiement dans l'université. Nous présenterons les dispositifs mis en place pour faciliter / encourager la réparation des équipements numériques, les moyens en cours de mise en œuvre pour augmenter la durée d'utilisation des équipements pour l'ensemble des personnels et pour améliorer le traitement de fin de vie des objets.Enfin, nous conclurons sur les gains environnementaux escomptés par l’ensemble de ces mesures, leurs effets induits positifs et les axes d’améliorations
Sécurité des environnements conteneurisés et de l'orchestrateur Kubernetes
No full text**Conteneurs, c’est dans la boîte… mais n’oubliez pas le couvercle !**Kubernetes est synonyme de développement agile, de déploiement rapide, de résilience et d’optimisation des ressources. Bien que la segmentation des applications en microservices apporte des avantages considérables, elle introduit aussi de nouveaux défis en matière de sécurité, en raison de la complexité et de la nature dynamique des environnements conteneurisés.Nous commencerons par un rappel sur les conteneurs Linux : ce qu’ils sont et ce qu’ils ne sont pas, ainsi que leurs apports en termes de sécurité (mécanismes d’espaces de noms, groupes de contrôle, capacités Linux et filtres seccomp…), puis nous nous intéresserons aux scénarios d’échappement de conteneurs et d’élévation de privilèges, ainsi qu’aux stratégies permettant de les prévenir.La seconde partie se concentrera sur les enjeux de sécurité spécifiques à Kubernetes : principaux vecteurs d'attaque, mauvaises configurations, failles dans les images de conteneurs, élévation de privilèges… en mettant un accent particulier sur l’importance du contrôle d'accès basé sur les rôles (RBAC), la gestion sécurisée des secrets, l'utilisation des volumes montés, l'exposition des services et la mise en œuvre de politiques de sécurité rigoureuses.Cette présentation s’adresse aux administrateurs systèmes, aux développeurs, aux professionnels de la sécurité informatique et à toute personne intéressée par la sécurité des technologies de conteneurisation et d'orchestration