Re: [FRnOG] [MISC] La "backdoor" de Chrome

[alexandre derumier]

On 07/04/2021 10:38, Wallace wrote:

Ok LE c'est génial on l'utilise beaucoup, ce que veut dire Erwan c'est
que beaucoup d'équipements dont les IPMI cités ne sont pas programmables
soit en local (pas de crontab, pas d'os où l'on pourrait déposer un LE)
soit à distance pour pousser de nouveaux certificats.

La seule méthode que je vois actuellement sur les IPMI c'est programmer
un firefox ou chrome headless pour refaire les actions qu'un humain
ferait pour déposer de nouveaux certificats. Mais c'est sortir
l'artillerie lourde pour un élément qui est censé être simple.


on le fait au boulot pour les cartes idrac de dell, via puppet qui lance 
la commande racadm,


avec un certif wildcard généré via letsencrypt sur un autre serveur


'/usr/bin/racadm sslkeyupload -f /etc/ssl/private/star.rsa.domain.com -t 
1 && /usr/bin/racadm sslcertupload -f 
/etc/ssl/certs/star.rsa.domain.com.crt -t 1 && /usr/bin/racadm racreset'





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Souci Zayo ?

[alexandre derumier]

Salut Johann,

oui à Civ à lille

Mail àfr-...@zayo.com <mailto:fr-...@zayo.com>et préciser :

 * Client – Customer : M6 WEB
 * Service Order : 1055509
 * Circuit ID : DDOS/243791//ZYO
 * AS34993

<https://whois.ipip.net/AS34993>



 <https://whois.ipip.net/AS34993>

<https://whois.ipip.net/AS34993>

On 18/12/2020 15:42, Johann wrote:

Hello,

Est-ce que Gaëtan et Alexandre vous ne seriez pas sur Lille par curiosité?
Je suis off today, mais du coin de l'œil j'ai pu voir que y'a un souci sur
ce POP.

Johann

Le ven. 18 déc. 2020 à 15:40, Charley SEDEAU  a écrit :


Hello,

RAS par chez nous pour le moment (avec l'anti ddos également).

Vous êtes sur quel ASN ? Zayo FR ou Zayo Bandwidth ?

- Charley


Le ven. 18 déc. 2020 à 15:36, alexandre derumier  a
écrit :


Salut,

nous aussi je pense, ca semble collé au niveau timing.

(on utilise zayo en entrée avec leur solution antiddos)

On 18/12/2020 15:25, Gaetan Allart via frnog wrote:

Bonjour,

On a de gros soucis à travers Zayo depuis 15H13. Quelqu'un d'autre
voit la même chose ?

Merci,

-- Gaëtan Allart



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Souci Zayo ?

[alexandre derumier]

Salut,

nous aussi je pense, ca semble collé au niveau timing.

(on utilise zayo en entrée avec leur solution antiddos)

On 18/12/2020 15:25, Gaetan Allart via frnog wrote:

Bonjour,

On a de gros soucis à travers Zayo depuis 15H13. Quelqu'un d'autre
voit la même chose ?

Merci,

-- Gaëtan Allart




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

[Alexandre DERUMIER]

Si ca interesse quelqu'un qui utilise proxmox,
je suis entrain de dev une nouvelle fonctionnalité sdn,
avec le support (entre autre) de bgp-evpn (avec frr) sur proxmox, avec gateway 
anycast et co.

(Pour l'instant que de l'ibgp, mais je vais ajouter ebgp prochainement)

J'ai ouvert un thread sur le forum pour la beta test. (les packages sont dans 
les repo officiel de proxmox).
Ca m'interesse d'avoir des retour :)
https://forum.proxmox.com/threads/proxmox-6-2-sdn-beta-test.69655/page-10#post-341003



- Mail original -
De: "Vincent Bernat" 
À: "David Ponzone" 
Cc: "Wallace" , "frnog" 
Envoyé: Mercredi 30 Septembre 2020 13:38:02
Objet: Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

❦ 30 septembre 2020 11:46 +02, David Ponzone: 

> Ok ça revient au même que le modèle avec une VM de routage, sauf que là, 
> c’est l’HV qui route. 
> J’avoue que je n’ai jamais considéré ce modèle. Pour moi l’HV est pas 
> là pour router. 

Jusqu'ici, il bridgeait. Router, c'est finalement pas tellement 
différent (enfin, plus pour un Linux que pour un switch hardware, mais 
pas sur le principe). 
-- 
Grief can take care of itself; but to get the full value of a joy you must 
have somebody to divide it with. 
-- Mark Twain 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] [FRnOG] Sécurité - Scan d'ip pu blique

[Alexandre DERUMIER]

>>C'est loin d'être la seule, par exemple les routeurs Turris Omnia fon
>>cela depuis longtemps.
>>
>>https://www.turris.com/en/omnia/overview/

je pensais plus aux flux l7, à partir des logs. (tout ce qui est https par 
exemple)

Mais merci pour l'info !

- Mail original -
De: "Stephane Bortzmeyer" 
À: "aderumier" 
Cc: "stef" , "frnog" 
Envoyé: Lundi 28 Septembre 2020 16:40:29
Objet: Re: [TECH] [FRnOG] Sécurité - Scan d'ip pu blique

On Mon, Sep 28, 2020 at 04:32:31PM +0200, 
Alexandre DERUMIER  wrote 
a message of 58 lines which said: 

> Merci pour la news, enfin une solution opensource collaborative de blacklist 
> :) 

C'est loin d'être la seule, par exemple les routeurs Turris Omnia fon 
cela depuis longtemps. 

https://www.turris.com/en/omnia/overview/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] [FRnOG] Sécurité - Scan d'ip pu blique

[Alexandre DERUMIER]

>>C'est pas con du tout ça :) 
>>
>>https://korben.info/crowdsec-fail2ban-liste-blocage-mutualisee.html 
>>(avec le l:) 
>>
>>https://doc.crowdsec.net 

Merci pour la news, enfin une solution opensource collaborative de blacklist :)
Je me demande comment ils font pour eviter que quelqu'un flood des fausses ips 
dans la blacklist ?



En closed-source, il y a bitninja qui marche vraiment bien (et pas trop cher)
https://bitninja.io/
un peu pauvre en ipv6, mais les blacklist/greylist ipv4 sont vraiment bien 
alimentée en temps réel.




- Mail original -
De: "stef" 
À: "frnog" 
Envoyé: Dimanche 27 Septembre 2020 17:16:56
Objet: Re: [TECH] [FRnOG] Sécurité - Scan d'ip pu blique

Le 27/09/2020 à 17:05, Varicap a écrit : 
> Bonjour à tous, 
> Je relance le sujet suite à la découverte d'un fail2ban mutualisé: 
> https://crowdsec.net/ 
> Une piste intéressante en français sur korben.info 
> https://korben.info/crowdsec-fail2ban-liste-blocage-mutualisee.htm 

C'est pas con du tout ça :) 

https://korben.info/crowdsec-fail2ban-liste-blocage-mutualisee.html 
(avec le l:) 

https://doc.crowdsec.net 

Faudrait voir comment on peut "gloper" ça avec OSSEC ou Wazuh... 

-- 
Be Seeing You 
Number Six 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Arista - VxLAN - REX

[Alexandre DERUMIER]

pour l'avoir testé, et bientot en prod,

en bgp-evpn, arista en symmetric est compatible avec frr en symmetric.  (testé 
également en asymetric, ca fonctionnait également)

(bgp-evpn avec frr(7.2.1) sur l'hyperviseur en gateway anycast pour les vms, 
avec l'arista en sortie qui annonce la default en type5)




- Mail original -
De: "Adrien DELBECQ" 
À: "frnog-misc" 
Envoyé: Lundi 21 Septembre 2020 22:31:41
Objet: Re:  [FRnOG] [MISC] Arista - VxLAN - REX

Bonsoir, 


Je pointais juste un soucis régulièrement omis quand on s’intéresse à la compat 
entre les différents constructeurs sur ces 2 techno, Sans rentrer dans les 
détails. Peu importe l’origine du “soucis”, Ce n’est pas une info/notion que je 
trouve très visible et ça peut occasionner quelques surprises quand on n’a pas 
l’info en amont. 

My bad pour arista/eod si ils le supportent. 

Je ne pense pas avoir donner une quelconque solution, mais juste lever un 
warning sur un point à ne pas ignorer lors de l’étude de Rémy. 

Bien à vous, 
Adrien 


>> On 21 Sep 2020, at 22:01, Fabien Delmotte  wrote: 
> Bonsoir, 
> 
> 
>> Attention aux implémentation si tu fais plus que du bridging : les 
>> implémentations symmetric / asymmetric IRB ne sont pas compatibles entre 
>> elles. 
> [FD] Ben, oui sinon elles porteraient le même nom ….. Mais ce n’est pas un 
> problème constructeur, juste une utilisation différente des "route type » (cf 
> les standards). 
> 
>> Cisco et arista n’ont pas d’implémentation sur l’asym 
> [FD] Ben, c’est faux Arista implémenté les deux modes et ils sont 
> configurables simultanément sur la même boîte. 
> 
>> (pas forcément un mal a mon sens ). 
> [FD] Avant de donner une solution, il faut connaître la problématique que 
> l’on souhaite adresser. 
> 
> Cordialement, 
> 
> Fabien 
> 
> 
>> Le 21 sept. 2020 à 21:14, Adrien DELBECQ  a écrit : 
>> 
>> Bonsoir, 
>> 
>> 
>> Attention aux implémentation si tu fais plus que du bridging : les 
>> implémentations symmetric / asymmetric IRB ne sont pas compatibles entre 
>> elles. 
>> Cisco et arista n’ont pas d’implémentation sur l’asym (pas forcément un mal 
>> a mon sens ). 
>> 
>> 
>> Bien à toi, 
>> Adrien 
>> 
 On 21 Sep 2020, at 17:38, Fabien Delmotte via frnog  
 wrote: 
>>> Bonjour, 
>>> Si tu es en EVPN + VXLAN globalement cela devrait être interopérable (merci 
>>> les standards). 
>>> Mais dans l’EVPN tu as encore des drafts ….. :) 
>>> Cordialement, 
 Le 21 sept. 2020 à 17:27, L-C FABRE  a écrit : 
 Huawei only 
 mais du moment que tes VTEP sont homogènes, le reste... 
>> Le 21 sept. 2020 à 16:45, Duchet Rémy  a écrit : 
> Bonjour la liste, 
> Je recherche des retours d’expérience sur les LEAF ARISTA pour du VXLAN. 
> Et plus généralement, si quelqu’un a déjà tenté de « mixer » les marques 
> en VXLAN (SPINE / LEAF). 
> Merci pour vos retours, 
> Rémy 
 --- 
 Liste de diffusion du FRnOG 
 http://www.frnog.org/ 
>>> --- 
>>> Liste de diffusion du FRnOG 
>>> http://www.frnog.org/ 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] patch management serveurs Linux

[Alexandre DERUMIER]

pour la gestion des repo debian, https://www.aptly.info/

c'est pas mal du tout. (possibilité de gérer des snapshots, version, merge,.. 


et pour la détection des failles, on utilise

https://vuls.io/

ca marche vraiment vraiment bien, cross distro, super rapide. (et y'a moyen de 
balancer les resultats dans un elasticsearch)



- Mail original -
De: "SECOND Fabien" 
À: "frnog-tech" 
Envoyé: Vendredi 18 Septembre 2020 12:53:03
Objet: [FRnOG] [TECH] patch management serveurs Linux

Bonjour à tous, 

Je voulais savoir si vous avez des retours d'expérience sur des solutions de 
gestion des patchs pour différentes distributions Linux. 
L'idée c'est de déployer des patchs de secu sur une ferme de serveurs 
hétérogène : Debian, Centos, RedHat ... 

Je pense déjà à mettre en place Ansible pour la gestion des confs mais je 
voudrais avoir une gestion assez fine pour les patchs de secu. 

Merci d'avance pour vos retours 

Fabien 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] De HDD à SSD dans un cluster ceph ?

[Alexandre DERUMIER]

>>Pour le usecase c'est du ceph NFS sur de la virt openstack. 

une raison particulière de passer par nfs (nfs gateway sur cephfs ?) au lieu 
d'utiliser du rbd directement ?




- Mail original -
De: "frnog" 
À: "Phil Regnauld" 
Cc: "frnog-tech" 
Envoyé: Mardi 8 Septembre 2020 12:26:55
Objet: Re: [FRnOG] [TECH] De HDD à SSD dans un cluster ceph ?

Pour le usecase c'est du ceph NFS sur de la virt openstack. Les liens sont 
10 ou 40G. Pour les applications c'est ~300-400 VMs, principalement des 
sites web, avec quelques applications plus gourmandes en I/O 
(BDD/Mail/DHCP) mais qui ne représentent qu'une poignée de service :) 

On Tue, Sep 8, 2020 at 12:18 PM Phil Regnauld  wrote: 

> Hugo Waltsburger via frnog (frnog) writes: 
> > 
> > On envisage de mettre des SSDs à la place parce qu'on a un peu de budget 
> en 
> > rab, mais on n'a aucune expérience de prod avec des SSDs, d'où la 
> question 
> > : à votre avis, des SSDs dans un cluster ceph, pertinent ou 
> > casse-gueule/overkill ? Quelles marques/modèles marchent bien/pas bien ? 
> > Quelles sont vos expériences de SSDs sur de la virt/prod de façon 
> générale 
> > ? 
> > 
> > Au plaisir de vous lire :) 
> 
> Samsung PM883 en prod ici, avec du HDD (HGST 6-8 To, avec du nvme 
> en 
> log/db devant). Pas overkill du tout, ça va bien sûr dépendre de 
> l'application principale. C'est pour faire RBD/S3/iscsi/nfs/... ? 
> 
> 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] De HDD à SSD dans un cluster ceph ?

[Alexandre DERUMIER]

Salut,

on est en full ssd ou nvme ici depuis 5 ans, ca tourne sans soucis.

Après overkill, ca depend de ton workload.
nous on fait principalement des petits random ios (beaucoup de vms), 
ca tournerait meme pas sur des hdd.

on tourne avec de l'intel principalement (ancien s3610 ou nouveau p4160).

le seul truc important : utiliser des ssd datacenters, pas du consumer (genre 
pas des samsung evo ou samsung pro)
(principalement pour les ecritures synchrone)

un blog sympa avec des benchs:
https://www.sebastien-han.fr/blog/2014/10/10/ceph-how-to-test-if-your-ssd-is-suitable-as-a-journal-device/

et après en fonction de tes besoins,si tu écris beaucoup ou pas, vérifier 
l'endurance des ssd (DWPD 1, 3, 5 ...)
(le prix est en fonction de l'endurance, ca peux aller du simple ou double ;)

- Mail original -
De: "frnog" 
À: "frnog-tech" 
Envoyé: Mardi 8 Septembre 2020 12:05:58
Objet: [FRnOG] [TECH] De HDD à SSD dans un cluster ceph ?

Hello la liste, 

Question ouverte aujourd'hui : mon association dispose d'un cluster ceph de 
14To (branché sur une virt openstack). Le truc c'est que les disques sont 
un peu fatigués et commencent doucement à merdouiller, du coup on aimerait 
bien les remplacer. 

On envisage de mettre des SSDs à la place parce qu'on a un peu de budget en 
rab, mais on n'a aucune expérience de prod avec des SSDs, d'où la question 
: à votre avis, des SSDs dans un cluster ceph, pertinent ou 
casse-gueule/overkill ? Quelles marques/modèles marchent bien/pas bien ? 
Quelles sont vos expériences de SSDs sur de la virt/prod de façon générale 
? 

Au plaisir de vous lire :) 

 

Frost 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] problème cloudflare paris ?

[Alexandre DERUMIER]

Merci pour ce retour.

Effectivement, ca fonctionne parfaitement maintenant.


- Mail original -
De: "Simon Muyal" 
À: "frnog" 
Envoyé: Jeudi 7 Novembre 2019 10:03:56
Objet: Re: [FRnOG] [TECH] problème cloudflare paris ?

Bonjour Alexandre, Benoit, 

Suite à la maintenance de ce matin, nous avons eu un souci sur un de nos 
équipements qui n'a pas reconvergé complétement (coté MPLS). Tout est 
réglé maintenant et une communication plus exhaustive sera faite sur la 
ML France-IX. 

Désolé du dérangement, 
Simon 


Le 07/11/2019 à 09:24, Benoit KOHLER a écrit : 
> Hello, 
> 
> Souci sur FranceIX ici aussi suite à la maintenance de ce matin. 
> 
> Cdt, 
> 
> On Thu, Nov 7, 2019 at 9:17 AM Alexandre DERUMIER  
> wrote: 
> 
>> Bonjour, 
>> 
>> nous avons pas mal de problème sur cloudflare Paris ce matin. (timeout,ssl 
>> handshake failure,... entre cloudfloure et notre AS). 
>> 
>> Uniquement à partir du pop cloudflare de Paris. (Bruxelles Ok) 
>> 
>> Est-ce que quelqu'une aurait également le problème ? 
>> 
>> Pas de soucis sur France-ix ? 
>> 
>> 
>> Cordialement, 
>> 
>> Alexandre 
>> 
>> 
>> --- 
>> Liste de diffusion du FRnOG 
>> http://www.frnog.org/ 
>> 
> 

-- 
 
<https://franceix.net> 
Simon MUYAL 
Directeur Technique / Chief Technical Officer 
Tel : +33 1 70 61 97 74 
Site : www.franceix.net <http://www.franceix.net> 

<https://fr-fr.facebook.com/ixpfranceix/> 
<https://twitter.com/ixpfranceix> 
<https://www.linkedin.com/company/france-ix/?originalSubdomain=fr> 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] problème cloudflare paris ?

[Alexandre DERUMIER]

Bonjour,

nous avons pas mal de problème sur cloudflare Paris ce matin. (timeout,ssl 
handshake failure,... entre cloudfloure et notre AS).

Uniquement à partir du pop cloudflare de Paris.  (Bruxelles Ok)

Est-ce que quelqu'une aurait également le problème ? 

Pas de soucis sur France-ix ?


Cordialement,

Alexandre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [TECH] Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques?

[Alexandre DERUMIER]

>>En avant pour commencer avec 1Po.

je n'ai pas posé la question mais c'est pour faire du stockage object ? ou de 
la vm via rbd ? ou cephfs ?


- Mail original -
De: "M" 
Cc: "frnog-tech" 
Envoyé: Lundi 9 Septembre 2019 10:58:35
Objet: [TECH]  Re: [TECH]  Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros 
disques?

Merci, je suis en phase avec toi. Nous sommes partis sur la même logique. 

En avant pour commencer avec 1Po. 

Merci 
Mathieu 

Le 9 sept. 2019 07:12, Alexandre DERUMIER  a écrit : 

>>Vous préconisez quoi comme sizing des moniteurs, Fw et stockage? 

pour les moniteurs,ca consomme vraiment pas grand chose. a moins de commencer à 
faire des super gros cluster avec la patate de disques, 
tu peux faire tourner 3 moniteurs quelque part sur les meme serveurs que les 
osd. 

ce qu'il faut sizer, c'est surtout la ram. il faut compter 3gb de ram par 
disque/osd. 

niveau cpu, plus tu dois faire d'ios, plus tu as besoin de cpu. (3 serveurs x 
24cores 3ghz : je monte à 700k iops en lecture 4k, et 150-200k ios en ecriture 
4k). 
maintenant si c'est pour faire du gros stream de video (pas beaucoup d'ios, 
mais de gros ios, pas besoin de gros cpu). 

idem si tu as besoin de latences faible, prévoir des grosses frequences cpu 
coté serveur et coté client également. 


>>Dernière question vous partez plus sur des distrib Suse ou redhat ? :-) 

debian :p 


- Mail original - 
De: "M D"  
À: "frnog-tech"  
Envoyé: Dimanche 8 Septembre 2019 12:03:08 
Objet: [TECH] Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques? 

Bonjour, 

Nous sommes en train de faire un sizing d'une Infra ceph plus pour des gros 
volumes que de la performance pure. 

Vous préconisez quoi comme sizing des moniteurs, Fw et stockage? 

Dernière question vous partez plus sur des distrib Suse ou redhat ? :-) 

Bon weekend a la liste 
Mathieu 

Le 7 sept. 2019 17:54, Alexandre DERUMIER  a écrit : 

>>Je suis en train de négocier des 3610 neuf, en 480go justement. Merci de 
>>la confirmation de ces disques. 

intel s3610 pas de soucis. par contre neuf, ca se vend encore ? 

les derniers qu'on a eu c'etait toujours la gamme 46xx , 45xx. 

Apres, niveau taille, on a des cluster avec 8x 1,6TB par noeud , des cluster 
avec 8x 6TB (nvme). 

ca n'a pas trop d'importance, tant que tu as les iops dont tu as besoin. 
(de toute facon, en ecriture 4k, c'est le cpu qui va limité avant les nvme). 

il faut juste faire attention qu'en cas de panne, tu va repliquer plus de 
données, donc prévoir plus de débit. 



- Mail original - 
De: "Olivier Lange"  
À: "Alexandre Bruyelles"  
Cc: "frnog"  
Envoyé: Samedi 7 Septembre 2019 14:29:08 
Objet: Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques? 

Je suis en train de négocier des 3610 neuf, en 480go justement. Merci de 
la confirmation de ces disques. 

Le sam. 7 sept. 2019 à 14:22, Alexandre Bruyelles  
a écrit : 

> Salut, 
> 
> Gros device = relativement peu d'IOPS, et gros impact en cas de panne 
> d'un device 
> 
> Mais les gros devices permettent d'augmenter la densité 
> 
> Si tu ne prévois pas d'évoluer, les 500GB sont bien 
> Sinon, les 2TB sont bien aussi 
> 
> Pour le modèle de flash, je te recommande les devices intel, nous avons 
> beaucoup de 3610 en production "SSD" (ils ont des nouveaux modèles 
> désormais) 
> 
> Cordialement, 
> 
> PS: https://www.frsag.org/ 
> 
> 
> On 9/7/19 9:47 AM, Olivier Lange wrote: 
> > Hello, 
> > 
> > Pour ceux qui ont de l'expériences de Ceph (avec Proxmox ou sans), j'ai 
> une 
> > question. 
> > 
> > J'ai des serveurs avec 6 emplacements disques 2,5. Je vais faire du full 
> > SSD pour mon cluster Ceph. Je n'ai pas de très gros besoins d'espace. Je 
> > privilégie la sécurité. 
> > 
> > Du coup, a votre avis, vaut-il mieux mettre 2 disques de 1,92To sur 
> chaque 
> > serveurs (donc 5x2x1,92To) ou vaut-il mieux mettre des disques plus petit 
> > mais plus nombreux (style 5x6x480Go) ? Sans parler d'évolution par la 
> > suite, ni de différence de stockage. 
> > 
> > Ma question est vraiment de savoir si, pour un espace identique, il vaut 
> > mieux avoir 2 gros disques ou 6 petits disques par serveur? 
> > 
> > Merci. 
> > 
> > --- 
> > Liste de diffusion du FRnOG 
> > http://www.frnog.org/ 
> > 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 



--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 



--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques?

[Alexandre DERUMIER]

>>Vous préconisez quoi comme sizing des moniteurs, Fw et stockage? 

pour les moniteurs,ca consomme vraiment pas grand chose. a moins de commencer à 
faire des super gros cluster avec la patate de disques,
tu peux faire tourner 3 moniteurs quelque part sur les meme serveurs que les 
osd.

ce qu'il faut sizer, c'est surtout la ram. il faut compter 3gb de ram par 
disque/osd.

niveau cpu, plus tu dois faire d'ios, plus tu as besoin de cpu. (3 serveurs x  
24cores 3ghz : je monte à 700k iops en lecture 4k, et 150-200k ios en ecriture 
4k).
maintenant si c'est pour faire du gros stream de video (pas beaucoup d'ios, 
mais de gros ios, pas besoin de gros cpu).

idem si tu as besoin de latences faible, prévoir des grosses frequences cpu 
coté serveur et coté client également.


>>Dernière question vous partez plus sur des distrib Suse ou redhat ? :-)

debian :p


- Mail original -
De: "M D" 
À: "frnog-tech" 
Envoyé: Dimanche 8 Septembre 2019 12:03:08
Objet: [TECH]  Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques?

Bonjour, 

Nous sommes en train de faire un sizing d'une Infra ceph plus pour des gros 
volumes que de la performance pure. 

Vous préconisez quoi comme sizing des moniteurs, Fw et stockage? 

Dernière question vous partez plus sur des distrib Suse ou redhat ? :-) 

Bon weekend a la liste 
Mathieu 

Le 7 sept. 2019 17:54, Alexandre DERUMIER  a écrit : 

>>Je suis en train de négocier des 3610 neuf, en 480go justement. Merci de 
>>la confirmation de ces disques. 

intel s3610 pas de soucis. par contre neuf, ca se vend encore ? 

les derniers qu'on a eu c'etait toujours la gamme 46xx , 45xx. 

Apres, niveau taille, on a des cluster avec 8x 1,6TB par noeud , des cluster 
avec 8x 6TB (nvme). 

ca n'a pas trop d'importance, tant que tu as les iops dont tu as besoin. 
(de toute facon, en ecriture 4k, c'est le cpu qui va limité avant les nvme). 

il faut juste faire attention qu'en cas de panne, tu va repliquer plus de 
données, donc prévoir plus de débit. 



- Mail original - 
De: "Olivier Lange"  
À: "Alexandre Bruyelles"  
Cc: "frnog"  
Envoyé: Samedi 7 Septembre 2019 14:29:08 
Objet: Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques? 

Je suis en train de négocier des 3610 neuf, en 480go justement. Merci de 
la confirmation de ces disques. 

Le sam. 7 sept. 2019 à 14:22, Alexandre Bruyelles  
a écrit : 

> Salut, 
> 
> Gros device = relativement peu d'IOPS, et gros impact en cas de panne 
> d'un device 
> 
> Mais les gros devices permettent d'augmenter la densité 
> 
> Si tu ne prévois pas d'évoluer, les 500GB sont bien 
> Sinon, les 2TB sont bien aussi 
> 
> Pour le modèle de flash, je te recommande les devices intel, nous avons 
> beaucoup de 3610 en production "SSD" (ils ont des nouveaux modèles 
> désormais) 
> 
> Cordialement, 
> 
> PS: https://www.frsag.org/ 
> 
> 
> On 9/7/19 9:47 AM, Olivier Lange wrote: 
> > Hello, 
> > 
> > Pour ceux qui ont de l'expériences de Ceph (avec Proxmox ou sans), j'ai 
> une 
> > question. 
> > 
> > J'ai des serveurs avec 6 emplacements disques 2,5. Je vais faire du full 
> > SSD pour mon cluster Ceph. Je n'ai pas de très gros besoins d'espace. Je 
> > privilégie la sécurité. 
> > 
> > Du coup, a votre avis, vaut-il mieux mettre 2 disques de 1,92To sur 
> chaque 
> > serveurs (donc 5x2x1,92To) ou vaut-il mieux mettre des disques plus petit 
> > mais plus nombreux (style 5x6x480Go) ? Sans parler d'évolution par la 
> > suite, ni de différence de stockage. 
> > 
> > Ma question est vraiment de savoir si, pour un espace identique, il vaut 
> > mieux avoir 2 gros disques ou 6 petits disques par serveur? 
> > 
> > Merci. 
> > 
> > --- 
> > Liste de diffusion du FRnOG 
> > http://www.frnog.org/ 
> > 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 



--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques?

[Alexandre DERUMIER]

>>Je suis en train de négocier des 3610 neuf,  en 480go justement. Merci de
>>la confirmation de ces disques.

intel s3610 pas de soucis. par contre neuf, ca se vend encore ?

les derniers qu'on a eu c'etait toujours la gamme 46xx , 45xx.

Apres, niveau taille, on a des cluster avec 8x 1,6TB par noeud  , des cluster 
avec 8x 6TB (nvme).

ca n'a pas trop d'importance, tant que tu as les iops dont tu as besoin.
(de toute facon, en ecriture 4k, c'est le cpu qui va limité avant les nvme).

il faut juste faire attention qu'en cas de panne, tu va repliquer plus de 
données, donc prévoir plus de débit.



- Mail original -
De: "Olivier Lange" 
À: "Alexandre Bruyelles" 
Cc: "frnog" 
Envoyé: Samedi 7 Septembre 2019 14:29:08
Objet: Re: [FRnOG] [TECH] Ceph - priviégier petits ou gros disques?

Je suis en train de négocier des 3610 neuf, en 480go justement. Merci de 
la confirmation de ces disques. 

Le sam. 7 sept. 2019 à 14:22, Alexandre Bruyelles  
a écrit : 

> Salut, 
> 
> Gros device = relativement peu d'IOPS, et gros impact en cas de panne 
> d'un device 
> 
> Mais les gros devices permettent d'augmenter la densité 
> 
> Si tu ne prévois pas d'évoluer, les 500GB sont bien 
> Sinon, les 2TB sont bien aussi 
> 
> Pour le modèle de flash, je te recommande les devices intel, nous avons 
> beaucoup de 3610 en production "SSD" (ils ont des nouveaux modèles 
> désormais) 
> 
> Cordialement, 
> 
> PS: https://www.frsag.org/ 
> 
> 
> On 9/7/19 9:47 AM, Olivier Lange wrote: 
> > Hello, 
> > 
> > Pour ceux qui ont de l'expériences de Ceph (avec Proxmox ou sans), j'ai 
> une 
> > question. 
> > 
> > J'ai des serveurs avec 6 emplacements disques 2,5. Je vais faire du full 
> > SSD pour mon cluster Ceph. Je n'ai pas de très gros besoins d'espace. Je 
> > privilégie la sécurité. 
> > 
> > Du coup, a votre avis, vaut-il mieux mettre 2 disques de 1,92To sur 
> chaque 
> > serveurs (donc 5x2x1,92To) ou vaut-il mieux mettre des disques plus petit 
> > mais plus nombreux (style 5x6x480Go) ? Sans parler d'évolution par la 
> > suite, ni de différence de stockage. 
> > 
> > Ma question est vraiment de savoir si, pour un espace identique, il vaut 
> > mieux avoir 2 gros disques ou 6 petits disques par serveur? 
> > 
> > Merci. 
> > 
> > --- 
> > Liste de diffusion du FRnOG 
> > http://www.frnog.org/ 
> > 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Yhaoo KC

[Alexandre DERUMIER]

dig www.yahoo.com

; <<>> DiG 9.14.4 <<>> www.yahoo.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 3741
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.yahoo.com. IN  A

;; Query time: 1 msec
;; SERVER: 10.59.10.24#53(10.59.10.24)
;; WHEN: jeu. sept. 05 08:51:34 CEST 2019
;; MSG SIZE  rcvd: 42


oups ^_^


- Mail original -
De: "Sylvain sbu" 
À: "frnog-tech" 
Envoyé: Jeudi 5 Septembre 2019 08:40:23
Objet: [FRnOG] [TECH] Yhaoo KC

Bonjour, 

Depuis ce matin plus de yahoo c'est pareil chez vous? 
(c plus ce que c'était mai bon) 

SBU 



 
Garanti 
sans virus. www.avast.com 

 
<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche de contacts commerciaux pour fourniture de châssis supermicro

[Alexandre DERUMIER]

on passe par Econocom, super content du matos et technico commercial de qualité.

Voici l'email de mon contact.

"Quentin PATOU" 

- Mail original -
De: "Benoit SERRA" 
À: "frnog-biz" 
Envoyé: Mercredi 28 Août 2019 09:27:17
Objet: [FRnOG] [BIZ] Recherche de contacts commerciaux pour fourniture de  
châssis supermicro

Bonjour, 

Ma société cherche à acheter du matériel blade supermicro. On s'est fixé sur le 
matériel suivant : 
* deux châssis SuperMicro MBE-314E-420 avec chacun : 
* 2 switchs MBM-XEM-002 avec 2 GBic 10Gbps SR dans chaque switch * 4 
alimentations * 1 carte d’administration 
* 5 lames MBI-6128R-T2X chacune équipée de : 
* 2 SSD de 900 Go * 8 barrettes de 32 Go * 2 CPU Intel Xeon E5-2620v4N'étant 
pas experts de la solution, on aura aussi besoin d'une prestation pour 
configurer le matériel et nous fournir les procédures d'exploitation des 
châssis. 
Connaissez vous des entreprises apte à fournir ce matériel et venir nous 
l'installer et nous faire un transfert de compétence dessus ? 

Merci pour vos réponses. 



--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [IT SECURITY] Virtualisation de firewall, pentest, compromissions

[Alexandre DERUMIER]

Salut,

Perso je ne suis vraiment pas fan des firewall VM, principalement à cause des 
flood et petits paquets. (quoi que avec dpdk why not, mais bon si la vm plante 
...).

Par contre, faire du firewalling sur l'hyperviseur au niveau des bridges des 
vms (iptables FORWARD), je ne vois pas soucis en terme de performance. (comme 
sur proxmox ou openstack par exemple).

Comme cela le firewall est "distribué" sur l'ensemble des hyperviseurs.

Maitenant niveau securité, comme les ip destinations ne sont pas porté par 
l'hyperviseur (en tout cas si pas de nat 1:1), je ne pense pas qu'on puisse 
remonter dans le host avec une faille netfilter.
(mais je ne suis pas assez expert pour l'affirmer)


Si je ne dis pas de bétise,le firewalling chez google cloud fonctionne comme ca



- Mail original -
De: "Jean-Christophe Janczak" 
À: "frnog-tech" 
Envoyé: Lundi 1 Juillet 2019 08:17:45
Objet: [FRnOG] [TECH] [IT SECURITY] Virtualisation de firewall, pentest, 
compromissions

Bonjour la liste. 

Toujours un plaisir de lire assidûment vos nombreux et savoureux échanges. :-) 

Aujourd’hui je me lance pour une question qui me taraude depuis pal mal de 
temps à propos de la { possible | réelle } compromission d'architectures à base 
de " firewalls virtuels " 

Je lance donc une bouteille à la mer sur le sujet à tous les volontaires { 
étudiants IT Sec | hard core hackers | pen testers | IT Sec Officers | RSSI | 
net admin | sys admin | autres etc } de la liste afin d’avoir et partager 
vos avis éclairés et retours d’expériences en prod, et bonnes pratiques sur le 
sujet. :-) 


1) Autrefois au temps jadis, en mode old school, on mettait un firewall 
“physique” en coupure de réseau entre deux interfaces électroniques distinctes. 
Mais ça s’était avant ... 


2) depuis, "on" a inventé les firewalls « virtuels » et le « *SDN* / *SD 
Everything* » est passé par là avec un détour par les nuages. 
(Comme chacun sait, ca fuit, les nuages... mais aussi, un firmware (binaire de 
bas niveau) ou une vm (binaire de haut niveau) c’est toujours un peu “virtuel” 
;-) ) 


3) la question qui me préoccupe ici c’est le mode hybride, dans un contexte 
small/branch Office en LAB/TPE/PME/PMI/datacenter/... : 
un ou plusieurs firewall (vm) qui tournent sur un hyperviseur du marché { 
VMware | hyperV | KVM | XEN | oVIRT | ... } 
- avec une patte de la vm fw bridgée cote Wan, 
- et l’autre bridgée côté Lan, dmz, iot, wifi,  
Dans cette configuration l’hyperviseur : 
- opère et n’as pas d’IP sur la couche ISO/L2 côté WAN, 
- et il a une ip d'administration côté interne. 

WAN xdsl/cable/fibre <==> BOX FAI <==> Hypervisor_WAN_IF_bridge_noIP <==> 
Hypervisor_CPU_RAM ( host n x VM_FW ) <==> Hypervisor_LAN_IP_admin <==> reste 
du réseau interne 

Exemple de config graphique ici, mais SANS IP coté WAN : 
https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_simple-infra-map.jpg
 
https://blog.zwindler.fr/wp-content/uploads/2017/07/proxmox-install_full-infra-diag.jpg
 


3.a) le point positif c’est qu’on peut se faciliter l’administration (snapshot, 
souplesse etc ) et *densifier* le rendement/ratio puissance de calcul/coût au 
watt dans ce mode de fonctionnement. 


3.b) *SAUF QUE* : avant, en mode old school c’était les firewalls « physiques » 
qui protégeaient l’infra, les hyperviseurs et le reste, et PAS l'inverse : 
l'hyperviseur qui protège le FW !!! 


3.c) ma crainte est donc : 
- quelle confiance relative peut on raisonnablement accorder aux architectures 
de firewall virtuelles ? 
- *Jusqu'à quel point pouvons nous être sur ou pas* de la compromission d'une 
machine hôte qui héberge des FW virtuels ? 
- jusqu'à quel point nos hyperviseurs préférés sont-il "béton" ?? 

Nous savons tous que l’informatique n’est pas toujours une science "exacte" et 
je m’attends à ce qu’un jour ou l’autre une attaque soit réussie contre un 
hyperviseur côté WAN en couche 2 / bridge : 
- via { DDOS | flooding | magic packet | os fingerprint | faille, bug, etc ... 
} 
- et au détriment de la vm fw qui ne verra rien passer (par définition) de ce 
qui se passe à l’étage en dessous sur la couche hôte ! 


3.d) D'après ce que j'ai pu comprendre également si j'en crois la description 
officielle, et faute d'avoir mis les doigts jusqu'à présent dans des solutions 
Fortinet, le mode VDOM de Fortinet ressemble peu ou prou à de la virtualisation 
de Firewall ? => VRAI / FAUX ? jusqu'à quel point et à quel niveau, sur quel 
périmètre ? 
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-virtual-domains-54/1-VDOM-overview/1-Introduction.htm
 


3.e) je n’ai principalement pas/plus le temps, pour faire des pentests massifs 
et approfondis sur le sujet, et suivre en veille permanente la sécurité IT 
comme dans les temps anciens, d'où ma question ici présente pour partager les 
avis et retours d'expérience 


3.f) dans la bien nommée revue MISC MAG il me semble avoir vu passer, il y a 
fort longtemps, des articles sur le crack d’un 

Re: [FRnOG] [TECH] solution WAF

[Alexandre DERUMIER]

Wallarm ca marche pas mal en effet, par contre c'est hors de prix.

et pour avoir négocier avec leur commerciaux, c'est vraiment pas le genre de 
démarche commerciale que j'aime. 
(tarif non public, à la tete du client, tu fais le mort , bam t'as une 
ristourne de 50%)

Enfin bref...




Perso, j'utilise pour mes clients

https://bitninja.io/   (entre 10-40€ par mois/par serveur. ca dépend du nombre 
d'utilisateur sur le serveur. (uid>1000)


ca fait en autre waf (basé sur modsecurity), mais le plus interessant c'est la 
réputation d'ip collaborative (whitelist/greylist + captcha).

j'avais testé justement avec wallarm derriere, il me restait quelques 
injections sql qui passait encore derrière, on va dire 1% avec dedans pas mal 
de faux positif.



sinon j'attend avec impatience la sortie de darwin du projet vulture, qui sera 
un waf machine learning intégré à haproxy.
https://2018.pass-the-salt.org/files/talks/13-vulture.pdf



- Mail original -
De: "Wallace" 
À: "frnog-tech" 
Envoyé: Jeudi 27 Juin 2019 13:00:40
Objet: [FRnOG] [TECH] solution WAF



Bonjour à tous, 

On exploite du WAF en amont de certains clients, on est passé par les étapes 
Naxsi, IngenSec (qui a fermé), Wallarm. 

On est assez content de Wallarm même s'il reste des améliorations à faire et 
que techniquement on est pas fan d'une partie on premise avec une dépendance 
dans le cloud que l'on ne maitrise pas. Par contre leur modèle commercial n'est 
pas adapté à ce que l'on désire mettre en place se basant sur un coût par host 
au lieu d'un coût par domaine / site ou hits. 

Du coup qu'avez-vous testé et éprouvé en solutions WAF on premise tournant sous 
Linux? 


Merci par avance. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis sur solution de visio/web conf.

[Alexandre DERUMIER]

>>effectivement jitsi fonctionne très bien sois a installer sur sont reseau
>>ou en mode en ligne.

+1 pour jitsi :)

- Mail original -
De: "Ludovic RAMOSFILIPE" 
À: "Nabil Servais" 
Cc: re...@noordally.fr, "frnog-tech" 
Envoyé: Mardi 18 Juin 2019 11:59:18
Objet: Re: [FRnOG] [TECH] Avis sur solution de visio/web conf.

effectivement jitsi fonctionne très bien sois a installer sur sont reseau 
ou en mode en ligne. 

il y a aussi bigbluebutton (mode visio conférence) 

Lifesize est très bon mais vraiment très très très €€ 

sinon il y a zoom mode gratuit (limiter en temps dans la conférence) 

Le mar. 18 juin 2019 à 11:56, Nabil Servais  a 
écrit : 

> Bonjour, 
> 
> J'utilise https://jitsi.org/jitsi-meet/ régulièrement et je ne rencotnre 
> pas de soucis, en plus c'est opensource. 
> 
> Bien à vous. 
> 
> 
> Le mar. 18 juin 2019 à 11:33, Rehan NOORDALLY  a 
> écrit : 
> 
> > Bonjour à tous, 
> > 
> > Mes collègues et moi-même sommes en train d'étudier plusieurs solutions 
> > de Visio/Web conférences à déployer au sein de notre administration. 
> > 
> > J'aurais voulu savoir si vous aviez des "bêtes noires" ou au contraire 
> > des solutions que vous partageriez sans aucun soucis. 
> > 
> > Bien cordialement, 
> > 
> > -- 
> > Rehan NOORDALLY 
> > --- 
> > Liste de diffusion du FRnOG 
> > http://www.frnog.org/ 
> > 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur avec disques NVMe

[Alexandre DERUMIER]

>>Mais promox ne supporte pas les snapshot en LVM sur iSCSI.
>>Pas dans ma version en tout cas.

Sur iscsi, partagé, non, pas de snapsnot. (cluster-lvm).
sur du lvm local, avec le thin provisioning, les snapshots sont supportés, via 
le vg metadatas.
(le vg metadata ne peut pas etre partagé entre 2 noeuds, donc pas de mode 
cluster)



- Mail original -
De: "David Ponzone" 
À: "stef" 
Cc: "aderumier" , "Olivier Lange" , 
"Duchet Rémy" , "Richard Klein" , 
"Ludovic Scotti" , "frnog" 
Envoyé: Dimanche 16 Juin 2019 14:20:22
Objet: Re: [FRnOG] [TECH] Serveur avec disques NVMe

> 
> Je n'utiliserais pas qcow en prod, même pour du snapshot, c'est sous 
> performant, toujours une image raw en lvm... Mais ça n'enlève pas le bug, on 
> est bien d'accord :) 
> 

Mais promox ne supporte pas les snapshot en LVM sur iSCSI. 
Pas dans ma version en tout cas. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur avec disques NVMe

[Alexandre DERUMIER]

>>Qui se termine par ... 

>>We can confirm the testcase and the problem. 
>>Therefore we developed a solution. 
>>With this patch we solved the problem without impact of performance. 
>>Feel free to participate on the solution without data corruption. 

le patch en question est pour drbd, pas pour mdadm.



>>> c'est pour cela que proxmox n'autorise que le raid soft via zfs pour 
>>> l'instant. 

>>C'est du FUD ça... vu le nombre de potes qui utilisent proxmox en raid 
>>soft + lvm + ext4fs... :) 

pardon, je ne voulais pas dire "n'autorise pas", mais ne supporte pas, ne 
garantit pas
d'enventuels problèmes. (en gros, pas dispo dans l'installeur, mais rien 
n'empeche d'installer une debian en raid soft et d'installer proxmox au dessus).



suffit de voir le nombre de bugreport avec les snapshots de disques qcow2 sur 
nfs et raid soft 
par exemple. (ca snasphot, et au moment de rollback, c'est corrompu).
avec lvm, y'a moins de problème effectivement.



Au final, Je voulais juste dire que mdadm c'est pas 100% safe. (et la loi de 
murphy me fera tomber dans les 0.01% de bug possible).
Ce qui m'ennuie le plus, c'est que ca ne se bouge pas trop coté dev pour les 
fixer.





- Mail original -
De: "stef" 
À: "aderumier" , "Olivier Lange" 
Cc: "Duchet Rémy" , "Richard Klein" , 
"Ludovic Scotti" , "frnog" 
Envoyé: Dimanche 16 Juin 2019 11:14:21
Objet: Re: [FRnOG] [TECH] Serveur avec disques NVMe

> je ne sais pas pour vmware, mais pour proxmox par example, il ne recommande 
> pas le raid soft 
> pour une simple raison, il peux y avoir des corruption des données dans les 
> vms qui utilisent O_DIRECT. 

 

> https://bugzilla.kernel.org/show_bug.cgi?id=99171 

Qui se termine par ... 

We can confirm the testcase and the problem. 
Therefore we developed a solution. 
With this patch we solved the problem without impact of performance. 
Feel free to participate on the solution without data corruption. 

> c'est pour cela que proxmox n'autorise que le raid soft via zfs pour 
> l'instant. 

C'est du FUD ça... vu le nombre de potes qui utilisent proxmox en raid 
soft + lvm + ext4fs... :) 

Ici, c'est Xen/Debian + raid soft + lvm + ext4fs + vms Debian (entre 2 
-pour un atom- et 15 -xeon 8c-) les gros sont en debian 8, parfois avec 
un kernel 4.x, les petits sous debian 9, avec de bons uptimes et aucun fail. 

Le raid soft nux, utilisé depuis presque 15 ans, c'est rock-solid. 

De mémoire, j'ai eu une fois une merdouille : un raid1 2 disques, le 
client avait fait jouer du marteau piqueur dans le cagibi pour passer 
une gaine de 63. Bien sûr en plein hiver, cagibi désormais à 5° et le 
serveur désormais plein de poussière au cul de la gaine avec le vent 
glacé = les deux disques en rideau avec les partoches dézinguées "en 
quinconce" (aucune partoche identique fliguée des deux cotés)... 

Je me dis pas grave, on va restaurer en deux fois mais sur une partoche, 
la resynchro ne finissais jamais, à cause de "secteurs défectueux" que 
mdadm s'obstinais à vouloir restaurer. J'applique tout le délire (faut 
calculer !) pour invalider les secteurs défectueux vis à vis de Linux, 
mais sans succès... laissé tombé et tout refais à zéro. 

Sinon, une règle sage : pour tout ce qui est critique (médical, etc...) 
: raid1 3 disques :) 

-- 
Stéphane Rivière 
Ile d'Oléron - France 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur avec disques NVMe

[Alexandre DERUMIER]

>>Peut-être, même si j'ai jamais eu de soucis, et qu'aujourd'hui avec ceph, le 
>>raid hard perd encore plus d'intérêt...

ceph également pour la prod (avec du nvme), pas de soucis.
Le problème, c'est pour faire du raid local avec du nvme.

c'est assez bien décrit dans le bug
>>https://bugzilla.kernel.org/show_bug.cgi?id=99171


mais une simple vm , avec une partition de swap en o_direct, peux corrompre le 
raid soft

"
Take a virtual machine, give it a disk - put the image on a software raid and 
tell qemu to disable caching (iow. use O_DIRECT, because the guest already does 
caching anyway).
Run linux in the VM, add part of the/a disk on the raid as swap, and cause the 
guest to start swapping a lot.

What *seems* to be happening is this: kernel decides to swap out part of some 
memory. At the same time the process it belongs to exits and the kernel marks 
the pages as unused - the swap write is still in flight. The kernel now knows 
that this area is unused and thus there is no reason to ever re-read it from 
the swap device. Someone else needs memory, the kernel gives 'em the affected 
pages. The swap write is still in flight. The new process starts using the 
memory, at this point we really don't care what kind of garbage data ends up 
being written to the disk, simply because we won't ever need it.
The swap writes finish. Now the raid is degraded.
"


J'ai 100% confiance en linux, sauf pour mdadm, trop de bugs. 
(encore recemment (kernel 4.19), bug de corruption avec blk-mq
https://bugzilla.kernel.org/show_bug.cgi?id=201685)



(Donc pour l'instant raid hard pour l'os, et replication ceph pour les datas)


- Mail original -
De: "Olivier Lange" 
À: "aderumier" 
Cc: "Duchet Rémy" , "stef" , "Richard Klein" 
, "Ludovic Scotti" , "frnog" 

Envoyé: Dimanche 16 Juin 2019 10:26:20
Objet: Re: [FRnOG] [TECH] Serveur avec disques NVMe

Peut-être, même si j'ai jamais eu de soucis, et qu'aujourd'hui avec ceph, le 
raid hard perd encore plus d'intérêt... 

Le dim. 16 juin 2019 à 09:40, Alexandre DERUMIER < [ mailto:aderum...@odiso.com 
| aderum...@odiso.com ] > a écrit : 


>>Et c'est l'une des raisons qui m'ont fait définitivement abandonner vmware 
>>depuis quelques temps... 

je ne sais pas pour vmware, mais pour proxmox par example, il ne recommande pas 
le raid soft 
pour une simple raison, il peux y avoir des corruption des données dans les vms 
qui utilisent O_DIRECT. 

[ https://bugzilla.kernel.org/show_bug.cgi?id=99171 | 
https://bugzilla.kernel.org/show_bug.cgi?id=99171 ] 

(via mdadm, idem avec du raid lvm) 

c'est pour cela que proxmox n'autorise que le raid soft via zfs pour l'instant. 


- Mail original - 
De: "Olivier Lange" < [ mailto:olang...@gmail.com | olang...@gmail.com ] > 
À: "Duchet Rémy" < [ mailto:r...@duchet.eu | r...@duchet.eu ] > 
Cc: "stef" < [ mailto:s...@genesix.org | s...@genesix.org ] >, "Richard Klein" 
< [ mailto:varicap@gmail.com | varicap@gmail.com ] >, "Ludovic Scotti" 
< [ mailto:tonton...@gmail.com | tonton...@gmail.com ] >, "frnog" < [ 
mailto:frnog@frnog.org | frnog@frnog.org ] > 
Envoyé: Samedi 15 Juin 2019 21:32:28 
Objet: Re: [FRnOG] [TECH] Serveur avec disques NVMe 

Pour moi, en 2019, un raid hard, c'est juste un spof de plus sur un 
serveur. Aucun intérêt. Je préfère largement rajouter un disque 
supplémentaires pour le prix d'une carte raid. 

Et c'est l'une des raisons qui m'ont fait définitivement abandonner vmware 
depuis quelques temps... 

Olivier 

Le sam. 15 juin 2019 à 21:27, Duchet Rémy < [ mailto:r...@duchet.eu | 
r...@duchet.eu ] > a écrit : 

> Nagios ou équivalent + logiciel du fabricant (pour moi Dell, qui le 
> fournit gratuitement). 
> Fonctionne sur Linux et Windows, vmware. 
> Préviens même des updates firmware, des predictives failures etc.. 
> 
> Rémy 
> 
> 
> 
>  Message d'origine  
> De : Stéphane Rivière < [ mailto:s...@genesix.org | s...@genesix.org ] > 
> Date : 15/06/2019 19:07 (GMT+01:00) 
> À : Duchet Rémy < [ mailto:r...@duchet.eu | r...@duchet.eu ] >, Richard Klein 
> < [ mailto:varicap@gmail.com | varicap@gmail.com ] >, 
> Ludovic Scotti < [ mailto:tonton...@gmail.com | tonton...@gmail.com ] > 
> Cc : [ mailto:frnog@frnog.org | frnog@frnog.org ] 
> Objet : Re: [FRnOG] [TECH] Serveur avec disques NVMe 
> 
> > Le choix raid soft ou hard est un choix d'économie avant tout selon moi. 
> 
> Sincèrement... non... En tout cas pour moi... 
> 
> J'ai eu des clients haut de gamme, au début, j'ai voulu les soigner, 
> leur mettre le meilleur, pas lésiner... La seule fois où j'ai perdu un 
> RAID... La honte... Bon, y'avait des sauvegardes... 
> 
> Depuis, je suis KISS pour ça..

Re: [FRnOG] [TECH] Serveur avec disques NVMe

[Alexandre DERUMIER]

>>Et c'est l'une des raisons qui m'ont fait définitivement abandonner vmware 
>>depuis quelques temps... 

je ne sais pas pour vmware, mais pour proxmox par example, il ne recommande pas 
le raid soft
pour une simple raison, il peux y avoir des corruption des données dans les vms 
qui utilisent O_DIRECT.

https://bugzilla.kernel.org/show_bug.cgi?id=99171

(via mdadm, idem avec du raid lvm)

c'est pour cela que proxmox n'autorise que le raid soft via zfs pour l'instant.


- Mail original -
De: "Olivier Lange" 
À: "Duchet Rémy" 
Cc: "stef" , "Richard Klein" , 
"Ludovic Scotti" , "frnog" 
Envoyé: Samedi 15 Juin 2019 21:32:28
Objet: Re: [FRnOG] [TECH] Serveur avec disques NVMe

Pour moi, en 2019, un raid hard, c'est juste un spof de plus sur un 
serveur. Aucun intérêt. Je préfère largement rajouter un disque 
supplémentaires pour le prix d'une carte raid. 

Et c'est l'une des raisons qui m'ont fait définitivement abandonner vmware 
depuis quelques temps... 

Olivier 

Le sam. 15 juin 2019 à 21:27, Duchet Rémy  a écrit : 

> Nagios ou équivalent + logiciel du fabricant (pour moi Dell, qui le 
> fournit gratuitement). 
> Fonctionne sur Linux et Windows, vmware. 
> Préviens même des updates firmware, des predictives failures etc.. 
> 
> Rémy 
> 
> 
> 
>  Message d'origine  
> De : Stéphane Rivière  
> Date : 15/06/2019 19:07 (GMT+01:00) 
> À : Duchet Rémy , Richard Klein , 
> Ludovic Scotti  
> Cc : frnog@frnog.org 
> Objet : Re: [FRnOG] [TECH] Serveur avec disques NVMe 
> 
> > Le choix raid soft ou hard est un choix d'économie avant tout selon moi. 
> 
> Sincèrement... non... En tout cas pour moi... 
> 
> J'ai eu des clients haut de gamme, au début, j'ai voulu les soigner, 
> leur mettre le meilleur, pas lésiner... La seule fois où j'ai perdu un 
> RAID... La honte... Bon, y'avait des sauvegardes... 
> 
> Depuis, je suis KISS pour ça... Et KISS pour tout en fait... Je ne 
> touche que des trucs qui se caressent à la ligne de commande et qui 
> restent simples (j'ai pas dit simplistes :). 
> 
> Pour moi le choix RAID hard/soft peut aussi découler d'une contrainte 
> soft, comme certains hyperviseurs ou systèmes aiment bien croire qu'ils 
> sont sur un seul disque... 
> 
> Marrant comme on a tous des expériences différentes... 
> 
> Les cycles de recharge monitorables : compatible avec quel OS ou 
> hyperviseur ? (par curiosité). 
> 
> -- 
> Stéphane Rivière 
> Ile d'Oléron - France 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re[2]: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

>>LXC depuis Proxmox 4 

oui, passage à LXC depuis la version4.
il y a pas mal d'embrouille avec le passage de openvz/virtuozzo 7. (avec 
virtuozzo pour la partie commercial, et openvz la partie opensource)
je n'ai plus l'historique en tête, mais je sais qu'il y avait également la 
problématique
qu'openvz était un gros patch kernel out of tree, qui ne fonctionnait que sur 
les kernel redhat 2.6.32.

Bref passage à LXC, qui est natif dans le kernel. (mais moins abouti qu'openvz, 
pour les migration live par exemple)

- Mail original -
De: "Kevin Labécot" 
À: "Olivier Lange" , "Laurent-Charles Fabre" 

Cc: "jehan procaccia INT" , "frnog-misc" 

Envoyé: Mardi 28 Mai 2019 09:37:34
Objet: Re[2]: [FRnOG] [MISC] Solution de virtualisation

Oui ;) 
LXC depuis Proxmox 4 



-- Message d'origine -- 
De: "Olivier Lange"  
À: "Laurent-Charles Fabre"  
Cc : "jehan procaccia INT" ; "Frnog misc" 
 
Envoyé : 28/05/2019 09:34:50 
Objet : Re: [FRnOG] [MISC] Solution de virtualisation 

>Le mar. 28 mai 2019 à 09:29, Laurent Fabre  a écrit : 
> 
>> Bonjour, 
>> 
>> OpenVZ = Proxmox VE 
>> 
> 
>C'était le cas avant. Depuis la v5 (voir la v4 je n'ai plus l'historique en 
>tête) on est passé a lxc pour les CT non? 
> 
>Olivier 
> 
>--- 
>Liste de diffusion du FRnOG 
>http://www.frnog.org/ 
> 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

on utilise des dac passif 3m (switchs mellanox 40G),

voici le resultat d'un ping -f


74763 packets transmitted, 74763 received, 0% packet loss, time 1846ms
rtt min/avg/max/mdev = 0.011/0.014/0.431/0.008 ms, ipg/ewma 0.024/0.013 ms


coté stockage, je pense que les nvme sont autour de 0.02ms. 
Pas certain que ca change grand chose entre du cuivre et de la fibre.
 





- Mail original -
De: "Laurent-Charles Fabre" 
À: "Michel Py" 
Cc: "Florent H. CARRÉ (COLUNDRUM)" , "frnog-misc" 

Envoyé: Lundi 27 Mai 2019 22:46:47
Objet: Re: [FRnOG] [MISC] Solution de virtualisation

Re, 

La distance ça me gêne pas pour les DAC 
On a du 5M en passif et 15M actif sans pb depuis des années. 
DAC actif Brocade et Fiber24 
Pas testé avec FS, vu le prix on ne fait que du SFP+ 

Pour les SFP vs DAC je ne suis pas physicien mais je constate, on gagne au 
global sur une grosse charge intensive type backup. 
Constaté suite à remplacement de DAC actif sur baie VNX2 et blade Dell par SFP+ 
pour une histoire réglementaire. 
Le support EMC ne s’est pas privé de surenchérir: on vous l’avais dis ... 
Mon intuition est que ce n’est pas lié à la vitesse de propagation dans le 
média mais plutôt au temps de réponse et de monté des composants émetteur et 
récepteur. 
Sûrement plus significatif vu la faible longueur d’un DAC ou des jarretières FO 
en DC. 
Le temps de serialisation a 10G ça ne doit pas couter bien cher non plus ? 
Je ne pense pas non plus que ce soit un pb de parasitage, toujours va la faible 
longueur mais peut être vu la densité de câbles. 

Après, au prix des SFP+ de nos jour, il y a deux effets de bord qui me vont 
bien : 
- pas de souci de codage du DAC au deux bout avec certain constructeur tatillon 
- bien plus facile de ranger les fibres que les twinax 

Dans le même ordre d’idée (le prix !) 
J’ai pas le temps et la ressource pour valider le comportement du 10G sur 
Cat6a. 
Si l’un de vous a des retours, c’est un sujet qui m’intéresse. 

Tant que j’y pense, paramétrage des baies en MTU 1500 plutôt que jumbo. 
Ceci suite à un débug sur VMWare avec store NFS V4. 
On n’a pas touché au réseaux qui est resté en Jumbo. 
Expliquez le comme vous voulez, ça marche bien mieux. 
En iSCSI on n’a pas vu de différence. 

Laurent-Charles FABRE 


Le 27 mai 2019 à 19:10, Michel Py  a écrit 
: 

>> Laurent-Charles Fabre a écrit : 
>> La vitesse c’est tout pareil. 
>> C’est la latence qui est meilleure en optique qu’en cuivre. 
>> Ou si tu préfère le laser module plus proprement qu’un RLC 
> 
> Tu as des liens ? la propagation dans le cuivre c'est plus rapide que dans la 
> fibre, un DAC c'est plus simple qu'un SFP, moins d'électronique, pas de 
> sérialisation supplémentaire, comment çà pourrait être plus rapide ? 
> 
> Le seul problème du DAC c'est la distance, moi je ne fais que du 2m, 3m 
> j'essaierais mais pas plus. 
> 
> Michel. 
> 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

> erasure coding ca marche bien pour les objets, mais pour les vms ce 
> n'est pas recommandé niveau perf. 
> il y a moyen de faire du tiering avec un pool repliqué au dessus du 
> pool erasure coding, 
> mais le tiering fonctionne pas bien avec les vms. 

>>Intéressant, cela se matérialisait comment ? 

il suffit de créer 2 pools, 1 pool en erasure coding, 1 pool en replicat
et ensuite dire que le pool replicat est le cache du pool erasure coding 

http://docs.ceph.com/docs/master/rados/operations/erasure-code/

"
ERASURE CODED POOL AND CACHE TIERING
Erasure coded pools require more resources than replicated pools and lack some 
functionalities such as omap. To overcome these limitations, one can set up a 
cache tier before the erasure coded pool.

For instance, if the pool hot-storage is made of fast storage:

$ ceph osd tier add ecpool hot-storage
$ ceph osd tier cache-mode hot-storage writeback
$ ceph osd tier set-overlay ecpool hot-storage
will place the hot-storage pool as tier of ecpool in writeback mode so that 
every write and read to the ecpool are actually using the hot-storage and 
benefit from its flexibility and speed.

More information can be found in the cache tiering documentation.
"

Le problème pour les vms, si ne dit pas de betise, c'est que ce sont des objets 
de 4M ou 10M qui sont monté dans le pool.
(meme si la vm fait des accès sur des blocs de 4k)



- Mail original -
De: "Kevin Decherf" 
À: "aderumier" 
Cc: "frnog" 
Envoyé: Lundi 27 Mai 2019 10:58:22
Objet: Re: [FRnOG] [MISC] Solution de virtualisation

On Mon, May 27, 2019, at 10:23, Alexandre DERUMIER wrote: 
> >>C'est effectivement la recommandation pour un replicated_pool. 
> >>Tu peux également créer un pool à code à effacement pour faire un 
> >>équivalent 
> >>RAID 5/6 mais les implications ne sont pas tout à fait les mêmes. 
> 
> erasure coding ca marche bien pour les objets, mais pour les vms ce 
> n'est pas recommandé niveau perf. 
> il y a moyen de faire du tiering avec un pool repliqué au dessus du 
> pool erasure coding, 
> mais le tiering fonctionne pas bien avec les vms. 

Intéressant, cela se matérialisait comment ? 

-- 
Kevin Decherf - @Kdecherf 
GPG 0x108ABD75A81E6E2F 
https://kdecherf.com 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

>>Je profite du débat pour poser 2 3 questions sur proxmox ^^ 

>>Je travail a la mise en place d’un lab virtuel sous proxmox, j’ai les 
>>principes de bases de gestion des utilisateur mais un problème reste 
>>cependant. Comment donner le droit a des utilisateur de >>créer des vms et 
>>choisir leur switch ? Je peux seulement donnée le droit ou non de 
>>add/remove/modify des vms? 

>>Comment empêcher un utilisateur qui doit pouvoir créer des vms et les 
>>attribuer a un switch sans qu’il puisse ce placer sur mon vmbr0 par exemple ? 

Malheuresement, actuellement, il n'y a pas de gestion de permissions sur les 
switchs/vlans.

Je suis justement entrain de travailler dessus (où on pourra définir les 
switchs au niveau "datacenter", et plus en local sur chaque noeud, l'equivalent 
de DRS sous vmware).
A partir de là, on pourra donner des permissions d'utilisation de tel ou tel 
switch, et des droits d'admin pour créer des switchs également, dans un plage 
vlan/vxlan allouée par exemple.
(Il y aura également la gestion des vxlan, et vxlan avec bgp-evpn + frr)

J'essaye de terminer le code pour la version 6 de proxmox. (qui devrait arriver 
juste après la release de debian buster)


- Mail original -
De: "roca emile" 
À: "Laurent-Charles Fabre" 
Cc: "David Touitou" , "Richard DEMONGEOT" 
, "Olivier Lange" , "aderumier" 
, "Lucas Viallon" , "frnog-misc" 

Envoyé: Lundi 27 Mai 2019 10:53:03
Objet: Re: [FRnOG] [MISC] Solution de virtualisation

Bonjour, 

Je profite du débat pour poser 2 3 questions sur proxmox ^^ 

Je travail a la mise en place d’un lab virtuel sous proxmox, j’ai les principes 
de bases de gestion des utilisateur mais un problème reste cependant. Comment 
donner le droit a des utilisateur de créer des vms et choisir leur switch ? Je 
peux seulement donnée le droit ou non de add/remove/modify des vms? 

Comment empêcher un utilisateur qui doit pouvoir créer des vms et les attribuer 
a un switch sans qu’il puisse ce placer sur mon vmbr0 par exemple ? 

Merci d’avance ^^ 

Cordialement, 

Roca Emile 

> Le 27 mai 2019 à 10:33, Laurent-Charles Fabre  a écrit : 
> 
> Bonjour, 
> 
> je laisse les Proxmox addict commenter cette partie. 
> Mais 3 c’est le mini pour la sécurité. 
> J’ajouterai juste que vu le prix et le professionnalisme du support, donner 
> quelques €uro à Proxmox pour le support me parait une bonne idée. 
> Ces gens sont capable de SSH nocturne sur votre infra pour vous dépatouiller 
> d’un incident. 
> C’est appréciable. 
> 
> Sur ce qui est des SSD en Raid, je me permets une remarque. 
> Ne pas considérer le SSD comme du rotatif. 
> Il faut prendre en compte le « vieillissement » du SSD à l’usage qui est 
> différent de celui d’un rotatif. 
> 
> Je peuts échanger dans les détail en MP mais les cookbook c’est : 
> - éviter les contrôleurs RAID hardware (qui sont prévus pour du rotatif) 
> - le Raid 5, c’est pas pour les SSD, vive le 0, 1, 10. (google write 
> amplification) 
> - utiliser un HBA et laisser l’OS/FS/Soft dédié gérer les SSD en sachant que 
> c’est du SSD 
> - avoir le bon noyau avec les bonnes options (trim) 
> - utiliser des SSD typé pour l’usage envisagé (Cache, Write Intensive, Read 
> Intensive) 
> - fuyez les nouveaux SSD QLC 
> - Quand je dis SSD, ça peut se décliner en nvme mais là, sujet sur le nombre 
> de « disques » possible dans la boite 
> - nous c’était SSD Intel SLC puis Samsung MLC, quasi aucune panne mais 
> remplacé tout les 3 ans 
> ->mais vu le prix, une OceanStore 2600 avec du SSD à bord rentre en 
> comparaison tarifaire 
> -> le truc d’une baie pro sous support, c’est que la fiabilité du SSD en s’en 
> fou, l’usure est comprise dans le prix du support 
> 
> ET ne négligez votre politique de sauvegarde qui va devoir gérer toutes ces 
> Téra sur ces centaines de VM en 6H chrono. 
> 
> Un bon NAS maison en ZFS avec beaucoup de RAM et ZIL sur nvme + rotatif 7,4K 
> nombreux (12+) fait le taf pour pas cher 
> 
> My 2 cents d’hébergeur 
> 
> Joyeux POC :-) 
> 
> Laurent-Charles Fabre 
> 
> 
> 
>> Le 27 mai 2019 à 09:43, David Touitou  a écrit : 
>> 
>> 'jour, 
>> 
>>> Ca dépends du nombre de copies que tu souhaites. Par défaut, et 
>>> recomandé, c'est 3 copies. Donc ta donnée est sur 3 disques différents à 
>>> un instant T. 
>>> Du coup, 4*4/3 ~= 5To utile. 
>> 
>> Me semble aussi que la recommandation Proxmox c'est 5 serveurs pour un 
>> cluster. 
>> 
>> Concernant Ceph et les calculs de volumétrie, il a un truc ici : 
>> http://florian.ca/ceph-calculator/ 
>> 
>> David 
>> 
>> 
>> --- 
>> Liste de diffusion du FRnOG 
>> http://www.frnog.org/ 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

>>Pas forcément beaucoup d'io, on tourne actuellement sur du vmware, avec du 
>>disque non SSD...

>>Du coup, pour ceph, je dois prévoir quoi? Style 2x500 go en SSD pour proxmox, 
>>et après style 4x1to SSD par serveur. Avec 4 serveur basé sur de l'amd epyc, 
>>ça me permettra d'avoir quoi on espace >>disponible pour les VM? 4*4to 
>>disponible, ça doit faire a minima 8to SSD, voir 12 si je me base sur un 
>>calcul type raid 5?

sur ceph, pour les vms, il est recommandé de faire de la replication (x2 = 
raid1  , x3= raid1++).
tu peux meme creer des pools avec des niveaux de replications différents 
(genre, vms de test, tu fais un pool sans replication, vm critiques replicat 
x3, etc...).

il est recommandé de faire replication x3, mais replication x2 ca fonctionne 
également. (par contre, si tu perd 1disque il ne faut pas que tu en perde un 
2eme dans l'interval
de temps où le cluster rereplique les données)

Egalement, pour les ssd, il faut absolument prendre une gamme datacenter, avec 
des ecritures syncrones rapides pour le journal de ceph
https://www.sebastien-han.fr/blog/2014/10/10/ceph-how-to-test-if-your-ssd-is-suitable-as-a-journal-device/

(où à la limite, une paire de disques ssd/nvme en raid1 de qualité pour les 
journaux (il faut 4Go de journal pour chaque disque/os), et les datas sur des 
ssd moins chers)





- Mail original -
De: "Olivier Lange" 
À: "aderumier" 
Cc: "Lucas Viallon" , "frnog-misc" 

Envoyé: Dimanche 26 Mai 2019 21:43:28
Objet: Re: [FRnOG] [MISC] Solution de virtualisation



Le dim. 26 mai 2019 à 20:17, Alexandre DERUMIER < [ mailto:aderum...@odiso.com 
| aderum...@odiso.com ] > a écrit : 


>>Tu préconise plutôt un nas syno en réplication, en full disques SSD ou plutôt 
>>des serveurs avec ses disques SSD en ceph? 
>> 
>>En terme de disponibilité, ha, scalabilité ? 

ceph sans hésiter. (perso, je ne mettrait pas de prod sur un nas syno, c'est 
bien pour la maison, mais pour mettre des vms..ouch...). 

je sais pas trop comment tu pourrais gérer la HA avec un syno ? (2 controlleurs 
qui bascule ? ca existe ? ou alors de la replication entre 2 NAS en syncrone ?) 




Oui, ils ont une solution de réplication entre certains de leurs nas racks. Ont 
est plus dans la gamme Home ;). Mais si je peux avoir de la haute disponibilité 
du stockage avec une solution interne a proxmox, je prends. 

BQ_BEGIN


Avec ceph, 0 bascule en cas panne d'un noeud, en prod depuis 5ans, jamais eu un 
plantage ou lag. 
(il faut juste apprendre les concepts, mais après tout roule). 
Si tu dois faire vraiment beaucoup d'io, prévoit des cpu avec des grosses 
frequences et pas mal de coeurs. 
(mes benchs avec les cpu à 100%: lecture 4k : 700.000 iops/s , ecriture 4K: 150 
000 iop/s, avec 3 noeuds 24cores 3,1ghz chacun). 

BQ_END


Pas forcément beaucoup d'io, on tourne actuellement sur du vmware, avec du 
disque non SSD... 

Du coup, pour ceph, je dois prévoir quoi? Style 2x500 go en SSD pour proxmox, 
et après style 4x1to SSD par serveur. Avec 4 serveur basé sur de l'amd epyc, ça 
me permettra d'avoir quoi on espace disponible pour les VM? 4*4to disponible, 
ça doit faire a minima 8to SSD, voir 12 si je me base sur un calcul type raid 
5? 

Jamais fait de ceph, mais ça fait un moment que ça me titille... 

Ceph + cluster proxmox me donne accès a tout ( live motion, Snapshot, 
redémarrage sur un autre host, etc...)? 

Merci de ton retour d'expérience. Ça fait 6-7 ans que je bosse avec succès avec 
proxmox, et la le projet un peu plus évolué me tente bien ;) 

BQ_BEGIN



- Mail original - 
De: "Olivier Lange" < [ mailto:olang...@gmail.com | olang...@gmail.com ] > 
À: "aderumier" < [ mailto:aderum...@odiso.com | aderum...@odiso.com ] > 
Cc: "Lucas Viallon" < [ mailto:lucas.vial...@gmail.com | 
lucas.vial...@gmail.com ] >, "frnog-misc" < [ mailto:frnog-m...@frnog.org | 
frnog-m...@frnog.org ] > 
Envoyé: Dimanche 26 Mai 2019 18:56:12 
Objet: Re: [FRnOG] [MISC] Solution de virtualisation 

Alexandre, 


Je profite que tu sembles maîtriser... 

Tu préconise plutôt un nas syno en réplication, en full disques SSD ou plutôt 
des serveurs avec ses disques SSD en ceph? 

En terme de disponibilité, ha, scalabilité ? 

Merci. 
Olivier 

Le dim. 26 mai 2019 à 18:48, Alexandre DERUMIER < [ mailto: [ 
mailto:aderum...@odiso.com | aderum...@odiso.com ] | [ 
mailto:aderum...@odiso.com | aderum...@odiso.com ] ] > a écrit : 


Salut, 

je suis un des principaux contributeurs sur proxmox, 

j'espère ne pas te donner un avis biaisé. (on gère 3000 vms sous proxmox + ceph 
au taff) 

Concernant openstack, ca depend vraiment de la taille de ton équipe, 

openstack, ca fait tout, mais c'est quand meme l'usine à gaz. (et les montée de 
version pas facile) 
(à moins de partir sur une distro qui package tout, style mirantis [ [ 
htt

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

>>C'est effectivement la recommandation pour un replicated_pool.
>>Tu peux également créer un pool à code à effacement pour faire un équivalent
>>RAID 5/6 mais les implications ne sont pas tout à fait les mêmes.

erasure coding ca marche bien pour les objets, mais pour les vms ce n'est pas 
recommandé niveau perf.
il y a moyen de faire du tiering avec un pool repliqué au dessus du pool 
erasure coding,
mais le tiering fonctionne pas bien avec les vms.


- Mail original -
De: "Kevin Decherf" 
À: "frnog" 
Envoyé: Lundi 27 Mai 2019 09:21:55
Objet: Re: [FRnOG] [MISC] Solution de virtualisation

Hello, 

On Mon, May 27, 2019, at 09:17, Richard DEMONGEOT wrote: 
> Hello, 
> 
> 
> > Du coup, pour ceph, je dois prévoir quoi? Style 2x500 go en SSD pour 
> > proxmox, et après style 4x1to SSD par serveur. Avec 4 serveur basé sur 
> > de 
> > l'amd epyc, ça me permettra d'avoir quoi on espace disponible pour les 
> > VM? 
> > 4*4to disponible, ça doit faire a minima 8to SSD, voir 12 si je me base 
> > sur 
> > un calcul type raid 5? 
> 
> Ca dépends du nombre de copies que tu souhaites. Par défaut, et 
> recomandé, c'est 3 copies. Donc ta donnée est sur 3 disques différents à 
> un instant T. 
> Du coup, 4*4/3 ~= 5To utile. 

C'est effectivement la recommandation pour un replicated_pool. 
Tu peux également créer un pool à code à effacement pour faire un équivalent 
RAID 5/6 mais les implications ne sont pas tout à fait les mêmes. 

-- 
Kevin Decherf - @Kdecherf 
GPG 0x108ABD75A81E6E2F 
https://kdecherf.com 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

>>Me semble aussi que la recommandation Proxmox c'est 5 serveurs pour un 
>>cluster. 

3 serveurs minimum, pour avoir le quorum.  (idem pour les monitors cephs)

- Mail original -
De: "David Touitou" 
À: "Richard DEMONGEOT" 
Cc: "Olivier Lange" , "aderumier" , 
"Lucas Viallon" , "frnog-misc" 
Envoyé: Lundi 27 Mai 2019 09:43:52
Objet: Re: [FRnOG] [MISC] Solution de virtualisation

'jour, 

> Ca dépends du nombre de copies que tu souhaites. Par défaut, et 
> recomandé, c'est 3 copies. Donc ta donnée est sur 3 disques différents à 
> un instant T. 
> Du coup, 4*4/3 ~= 5To utile. 

Me semble aussi que la recommandation Proxmox c'est 5 serveurs pour un cluster. 

Concernant Ceph et les calculs de volumétrie, il a un truc ici : 
http://florian.ca/ceph-calculator/ 

David 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

>>Tu préconise plutôt un nas syno en réplication, en full disques SSD ou plutôt 
>>des serveurs avec ses disques SSD en ceph? 
>>
>>En terme de disponibilité, ha, scalabilité ? 

ceph sans hésiter. (perso, je ne mettrait pas de prod sur un nas syno, c'est 
bien pour la maison, mais pour mettre des vms..ouch...).

je sais pas trop comment tu pourrais gérer la HA avec un syno ? (2 controlleurs 
qui bascule ? ca existe ?   ou alors de la replication entre 2 NAS en syncrone 
?)


Avec ceph, 0 bascule en cas panne d'un noeud, en prod depuis 5ans, jamais eu un 
plantage ou lag.
(il faut juste apprendre les concepts, mais après tout roule).
Si tu dois faire vraiment beaucoup d'io, prévoit des cpu avec des grosses 
frequences et pas mal de coeurs.
(mes benchs avec les cpu à 100%: lecture 4k : 700.000 iops/s  , ecriture 4K: 
150 000 iop/s, avec 3 noeuds 24cores 3,1ghz chacun).



- Mail original -
De: "Olivier Lange" 
À: "aderumier" 
Cc: "Lucas Viallon" , "frnog-misc" 

Envoyé: Dimanche 26 Mai 2019 18:56:12
Objet: Re: [FRnOG] [MISC] Solution de virtualisation

Alexandre, 


Je profite que tu sembles maîtriser... 

Tu préconise plutôt un nas syno en réplication, en full disques SSD ou plutôt 
des serveurs avec ses disques SSD en ceph? 

En terme de disponibilité, ha, scalabilité ? 

Merci. 
Olivier 

Le dim. 26 mai 2019 à 18:48, Alexandre DERUMIER < [ mailto:aderum...@odiso.com 
| aderum...@odiso.com ] > a écrit : 


Salut, 

je suis un des principaux contributeurs sur proxmox, 

j'espère ne pas te donner un avis biaisé. (on gère 3000 vms sous proxmox + ceph 
au taff) 

Concernant openstack, ca depend vraiment de la taille de ton équipe, 

openstack, ca fait tout, mais c'est quand meme l'usine à gaz. (et les montée de 
version pas facile) 
(à moins de partir sur une distro qui package tout, style mirantis [ 
https://www.mirantis.com/software/openstack/ | 
https://www.mirantis.com/software/openstack/ ] ). 


Ovirt, ca fait un bail que je l'ai pas utilisé, les anciennes version étaient 
pas top, mais ca semble s'etre bien améliorer. 

Pour proxmox, je pense que c'est le stockage qui va te limiter les 
fonctionalité. (snapshot, thin provisining,...). 
Je ne sais pas quel est ton modèle de NAS/SAN, mais si les api ne sont pas 
implémenter dans proxmox, 
le seul moyen de le gérer, c'est de faire un gros lun + du lvm coté proxmox 
pour gérer les disques. 
(mais pas de thin provisining, pas de snapshots). 
(A la limite, tu peux toujours recupérer tes ssd, et faire un cluster ceph) 


N'hésites pas à me demander si tu as des besoins spécifiques. 



- Mail original - 
De: "Lucas Viallon" < [ mailto:lucas.vial...@gmail.com | 
lucas.vial...@gmail.com ] > 
À: "frnog-misc" < [ mailto:frnog-m...@frnog.org | frnog-m...@frnog.org ] > 
Envoyé: Vendredi 24 Mai 2019 13:21:19 
Objet: [FRnOG] [MISC] Solution de virtualisation 

Bonjour, 

Bon je sais ce n'est pas trop réseau mais je pose quand même la question, 
n’hésitez pas a faire des retours en privés pour ne pas ennuyer. 

Après avoir externalisé nos serveurs dans des cloud de grand nom, nous 
souhaitons maintenant les ré-internaliser. Nous avons eu de trop mauvaise 
expérience (Attention, on ne cherche pas de nouveau prestataire ou cloud). 

Nous avons donc un NAS haut de gamme bourré de SSD et supportant ISCSI, 
plusieurs serveurs pour faire des nodes, des switch cisco nexus 100% 10G 
bref que du bonheur pour moi en terme d’équipement. 

Aujourd'hui je dois choisir la solution software, de base j'ai ProxMox dans 
la tête mais je voulais connaitre l'avis de ceux qui comme moi on rapatrié 
ou on gardé en interne. 

Proxmox, OVirt, OpenStack que choisir ? sachant que nous aimerions disposer 
de la Haute Disponibilité avec si possible déplacement des VM a chaud. 

merci d'avance 
Lucas 

--- 
Liste de diffusion du FRnOG 
[ http://www.frnog.org/ | http://www.frnog.org/ ] 


--- 
Liste de diffusion du FRnOG 
[ http://www.frnog.org/ | http://www.frnog.org/ ] 





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de virtualisation

[Alexandre DERUMIER]

Salut,

je suis un des principaux contributeurs sur proxmox,

j'espère ne pas te donner un avis biaisé. (on gère 3000 vms sous proxmox + ceph 
au taff)

Concernant openstack, ca depend vraiment de la taille de ton équipe,

openstack, ca fait tout, mais c'est quand meme l'usine à gaz. (et les montée de 
version pas facile)
(à moins de partir sur une distro qui package tout, style mirantis 
https://www.mirantis.com/software/openstack/).


Ovirt, ca fait un bail que je l'ai pas utilisé, les anciennes version étaient 
pas top, mais ca semble s'etre bien améliorer.

Pour proxmox, je pense que c'est le stockage qui va te limiter les 
fonctionalité. (snapshot, thin provisining,...).
Je ne sais pas quel est ton modèle de NAS/SAN, mais si les api ne sont pas 
implémenter dans proxmox,
le seul moyen de le gérer, c'est de faire un gros lun + du lvm coté proxmox 
pour gérer les disques.
(mais pas de thin provisining, pas de snapshots).
(A la limite, tu peux toujours recupérer tes ssd, et faire un cluster ceph)


N'hésites pas à me demander si tu as des besoins spécifiques.



- Mail original -
De: "Lucas Viallon" 
À: "frnog-misc" 
Envoyé: Vendredi 24 Mai 2019 13:21:19
Objet: [FRnOG] [MISC] Solution de virtualisation

Bonjour, 

Bon je sais ce n'est pas trop réseau mais je pose quand même la question, 
n’hésitez pas a faire des retours en privés pour ne pas ennuyer. 

Après avoir externalisé nos serveurs dans des cloud de grand nom, nous 
souhaitons maintenant les ré-internaliser. Nous avons eu de trop mauvaise 
expérience (Attention, on ne cherche pas de nouveau prestataire ou cloud). 

Nous avons donc un NAS haut de gamme bourré de SSD et supportant ISCSI, 
plusieurs serveurs pour faire des nodes, des switch cisco nexus 100% 10G 
bref que du bonheur pour moi en terme d’équipement. 

Aujourd'hui je dois choisir la solution software, de base j'ai ProxMox dans 
la tête mais je voulais connaitre l'avis de ceux qui comme moi on rapatrié 
ou on gardé en interne. 

Proxmox, OVirt, OpenStack que choisir ? sachant que nous aimerions disposer 
de la Haute Disponibilité avec si possible déplacement des VM a chaud. 

merci d'avance 
Lucas 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Perte de paquet entre esxi et le switch juniper ex3400

[Alexandre DERUMIER]

>>Merci Alexandre je vais effectivement vérifier je ne vois pas d'autre raison 
>>au drop.

Une autre raison possible, c'est si jamais le buffer de l'asic du switch sature.
apres je ne connais pas du tout la gamme ex3400, ni le traffic que tu envoi.

mais j'ai déjà eu le cas sur des vieux cisco 2960, où il y avait un buffer 
partagé pour 4 ports 1gbit,
et en vrai on pouvais pas tirer 4x1gbit sans drop.
(mais ca se voit dans les counters du switch dans ce cas)



- Mail original -
De: "Kevin Thiou" 
À: "aderumier" 
Cc: "frnog-tech" 
Envoyé: Vendredi 19 Avril 2019 10:00:57
Objet: Re: [FRnOG] [TECH] Perte de paquet entre esxi et le switch juniper ex3400

Moi no plus je ne touche pas la MTU. 
Merci Alexandre je vais effectivement vérifier je ne vois pas d'autre raison au 
drop. 

Le jeu. 18 avr. 2019 à 20:09, Alexandre DERUMIER < [ mailto:aderum...@odiso.com 
| aderum...@odiso.com ] > a écrit : 


>>Quelles pourrait être la raison de leur disparition ? Si le paquet est trop 
>>gros, le switch va en faire plusieurs petits non ? 

Ca depend si le protocol/client spécifie le "do not fragment bit" (DF). 

dans ce cas, ca drop. 

(par exemple, avec https c'est le cas généralement, avec que http non. ) 



- Mail original - 
De: "Kevin Thiou" < [ mailto:kevinth...@gmail.com | kevinth...@gmail.com ] > 
Cc: "frnog-tech" < [ mailto:frnog-t...@frnog.org | frnog-t...@frnog.org ] > 
Envoyé: Jeudi 18 Avril 2019 10:31:35 
Objet: Re: [FRnOG] [TECH] Perte de paquet entre esxi et le switch juniper 
ex3400 

J'ai continué à chercher, mais je me pose une question sur la disparition 
de mes paquets. 

Quelles pourrait être la raison de leur disparition ? Si le paquet est trop 
gros, le switch va en faire plusieurs petits non ? 

Le mer. 17 avr. 2019 à 10:47, Kevin Thiou < [ mailto:kevinth...@gmail.com | 
kevinth...@gmail.com ] > a écrit : 

> Effectivement il y a quelque chose qui joue avec ma MTU. 
> Sur la pieuvre, quelque soit la MTU que je configure, je me retrouve avec 
> une MTU à 1574 derrière le Pfsense (je soupçonne le scrubbing). 
> 
> Du coup je vais sortir le pfsense de la chaîne pour voir si c'est mieux. 
> 
> Merci de vos réponses. 
> 
> Le mar. 16 avr. 2019 à 17:00, Kevin Thiou < [ mailto:kevinth...@gmail.com | 
> kevinth...@gmail.com ] > a écrit : 
> 
>> C'est une Polycom RealPresence Trio 8500, mais je ne vois pas de rapport 
>> à la borne vu que les paquets sont bien envoyés en voix ou en vidéo. 
>> 
>> Le mar. 16 avr. 2019 à 16:26, Kamel Moudachirou < [ 
>> mailto:m...@kodekh-telecom.fr | m...@kodekh-telecom.fr ] > a 
>> écrit : 
>> 
>>> Bonsoir 
>>> 
>>> Peux-tu donner les caractéristiques de la pieuvre ? 
>>> 
>>> Envoyé de mon iPhone 
>>> 
>>> Kamel 
>>> 
>>> > Le 16 avr. 2019 à 16:09, Kevin Thiou < [ mailto:kevinth...@gmail.com | 
>>> > kevinth...@gmail.com ] > a écrit : 
>>> > 
>>> > Bonjour, 
>>> > 
>>> > j'ai un problème auquel je ne trouve pas de solution. 
>>> > 
>>> > Je test une nouvelle pieuvre qui a des capacités vidéo. 
>>> > 
>>> > Lors d'un appel voix, tout fonctionne. Lors d'un test en vidéo l'appel 
>>> > n'aboutie pas. 
>>> > 
>>> > J'ai fais des traces pour voir où cela coince. J'arrive à la 
>>> conclusion que 
>>> > les paquets INVITE sont perdus entre un esxi et l'interface du switch 
>>> où 
>>> > celui-ci est connecté. 
>>> > 
>>> > Ca me parait étrange, donc une de mes traces doit être bancale. 
>>> > 
>>> > Sur l'esxi je fais : 
>>> > 
>>> > *pktcap-uw --trace --ip 172.19.136.58 --vlan 515 -o capture* 
>>> > The trace session is enabled. 
>>> > The session filter IP(src or dst) address is 172.19.136.58 
>>> > The session filter VLAN is 515 
>>> > The output file is capture 
>>> > No server port specifed, select 48586 as the port 
>>> > Local CID 2 
>>> > Listen on port 48586 
>>> > Accept...Vsock connection from port 1033 cid 2 
>>> > *Dump: 5*, broken : 0, drop: 0, file err: 0Join with dump thread 
>>> > failedDestroying session 9 
>>> > 
>>> > Sur le switch c'est un ex3400 j'ai configuré un forwarding-options 
>>> analyzer 
>>> > : 
>>> > *set forwarding-options analyzer packet_capture input ingress interface 
>>> > ge-0/0/0.0* 
>>> > *set forwarding-options analyzer packet_capture input ingress interface 
>>> > ge-1/0

Re: [FRnOG] [TECH] Perte de paquet entre esxi et le switch juniper ex3400

[Alexandre DERUMIER]

>>Quelles pourrait être la raison de leur disparition ? Si le paquet est trop
>>gros, le switch va en faire plusieurs petits non ?

Ca depend si le protocol/client spécifie le "do not fragment bit"  (DF).

dans ce cas, ca drop.

(par exemple, avec https c'est le cas généralement, avec que http non. )



- Mail original -
De: "Kevin Thiou" 
Cc: "frnog-tech" 
Envoyé: Jeudi 18 Avril 2019 10:31:35
Objet: Re: [FRnOG] [TECH] Perte de paquet entre esxi et le switch juniper ex3400

J'ai continué à chercher, mais je me pose une question sur la disparition 
de mes paquets. 

Quelles pourrait être la raison de leur disparition ? Si le paquet est trop 
gros, le switch va en faire plusieurs petits non ? 

Le mer. 17 avr. 2019 à 10:47, Kevin Thiou  a écrit : 

> Effectivement il y a quelque chose qui joue avec ma MTU. 
> Sur la pieuvre, quelque soit la MTU que je configure, je me retrouve avec 
> une MTU à 1574 derrière le Pfsense (je soupçonne le scrubbing). 
> 
> Du coup je vais sortir le pfsense de la chaîne pour voir si c'est mieux. 
> 
> Merci de vos réponses. 
> 
> Le mar. 16 avr. 2019 à 17:00, Kevin Thiou  a écrit : 
> 
>> C'est une Polycom RealPresence Trio 8500, mais je ne vois pas de rapport 
>> à la borne vu que les paquets sont bien envoyés en voix ou en vidéo. 
>> 
>> Le mar. 16 avr. 2019 à 16:26, Kamel Moudachirou  a 
>> écrit : 
>> 
>>> Bonsoir 
>>> 
>>> Peux-tu donner les caractéristiques de la pieuvre ? 
>>> 
>>> Envoyé de mon iPhone 
>>> 
>>> Kamel 
>>> 
>>> > Le 16 avr. 2019 à 16:09, Kevin Thiou  a écrit : 
>>> > 
>>> > Bonjour, 
>>> > 
>>> > j'ai un problème auquel je ne trouve pas de solution. 
>>> > 
>>> > Je test une nouvelle pieuvre qui a des capacités vidéo. 
>>> > 
>>> > Lors d'un appel voix, tout fonctionne. Lors d'un test en vidéo l'appel 
>>> > n'aboutie pas. 
>>> > 
>>> > J'ai fais des traces pour voir où cela coince. J'arrive à la 
>>> conclusion que 
>>> > les paquets INVITE sont perdus entre un esxi et l'interface du switch 
>>> où 
>>> > celui-ci est connecté. 
>>> > 
>>> > Ca me parait étrange, donc une de mes traces doit être bancale. 
>>> > 
>>> > Sur l'esxi je fais : 
>>> > 
>>> > *pktcap-uw --trace --ip 172.19.136.58 --vlan 515 -o capture* 
>>> > The trace session is enabled. 
>>> > The session filter IP(src or dst) address is 172.19.136.58 
>>> > The session filter VLAN is 515 
>>> > The output file is capture 
>>> > No server port specifed, select 48586 as the port 
>>> > Local CID 2 
>>> > Listen on port 48586 
>>> > Accept...Vsock connection from port 1033 cid 2 
>>> > *Dump: 5*, broken : 0, drop: 0, file err: 0Join with dump thread 
>>> > failedDestroying session 9 
>>> > 
>>> > Sur le switch c'est un ex3400 j'ai configuré un forwarding-options 
>>> analyzer 
>>> > : 
>>> > *set forwarding-options analyzer packet_capture input ingress interface 
>>> > ge-0/0/0.0* 
>>> > *set forwarding-options analyzer packet_capture input ingress interface 
>>> > ge-1/0/0.0* 
>>> > *set forwarding-options analyzer packet_capture input egress interface 
>>> > ge-1/0/0.0* 
>>> > *set forwarding-options analyzer packet_capture input egress interface 
>>> > ge-0/0/0.0* 
>>> > *set forwarding-options analyzer packet_capture output interface 
>>> > ge-0/0/47.0* 
>>> > 
>>> > qui envoie le trafic vers un serveur qui fait tourner un tcpdump : 
>>> > *sudo tcpdump -n -i enp3s0f1 host 172.19.136.58* 
>>> > 
>>> > Je me retrouve avec rien dans la capture. 
>>> > 
>>> > Quelqu'un aurait il une idée ? 
>>> > 
>>> > --- 
>>> > Liste de diffusion du FRnOG 
>>> > http://www.frnog.org/ 
>>> 
>>> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] arista: vrrp vs varp avec de nombreux vlans, quelqu'un a déjà testé ?

[Alexandre DERUMIER]

Bonjour à tous, 

on est entrain de regarder pour remplacer nos gateway centrales de notre lan, 
qui font routage inter-vlan, 
pour l'ensemble de nos vlans (+- 200 vlans, peut être beaucoup plus à 
l'avenir). 


Est-ce que quelqu'un à un retour d'experience sur Arista avec vrrp ? 

Principalement, quel est le temps de failover avec de nombreuses ip/vlan ? (et 
surtout est-ce que le temps de failover augmente lorsqu'il y a plus de vlans ?) 
Est-ce qu'il y a une limite à 256 vip? (group vrrp) (on aura une vip par vlan) 



Est-ce que quelqu'un a déjà tester varp ? (le reste du lan est déjà en mlag, on 
peux donc également passer les arista en mlag si besoin). 
Sur le papier, ca semble parfait, la meme ip sur les 2 equipements et c'est le 
mlag qui gère. 
Mais en vrai, est-ce que l'implémentation est stable ? pas de bug ? 



Cordialement, 

Alexandre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Gros troll velu : le datacenter est mort

[Alexandre DERUMIER]

de toute facon, le serveur c'est mort également ^_^

https://engineering.flosports.tv/death-to-servers-why-serverless-is-the-next-major-evolution-of-the-internet-367f1f45b7b6


- Mail original -
De: "stef" 
À: "frnog" 
Envoyé: Lundi 11 Février 2019 09:50:50
Objet: Re: [FRnOG] [MISC] Gros troll velu : le datacenter est mort

Le 11/02/2019 à 01:54, Michel Py a écrit : 
> Cà avait du m'échapper cet l'été dernier : 

Nobody's perfect. (C) Some like it hot. 

> https://www.zdnet.com/article/the-data-center-is-dead-heres-what-comes-next/ 

Merci. Contient de vrais morceaux : "Special report: The future of 
Everything as a Service" 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre

[Alexandre DERUMIER]

https://twitter.com/scaleway/status/1093945962538721283


- Mail original -
De: "Nico" 
À: "David B." , "frnog-misc" 
Envoyé: Dimanche 10 Février 2019 09:37:18
Objet: RE: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre

Ok merci pour vos retours, ça me rassure (ou pas) de ne pas se sentir seul dans 
le même cas 

Bon dimanche 

-Message d'origine- 
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David B. 
Envoyé : dimanche 10 février 2019 09:23 
À : frnog-m...@frnog.org 
Objet : Re: [FRnOG] [MISC] Iliad / Scaleway - Pb de fibre 

Bonjour, 

Je partage l'avis d'Arnaud. 
Client historique, j'ai des xconnects entre DC2 et DC3 down et je ne 
vois aucune communication (pas un email, pas un sms, rien). 
Pour l'offre hébergée ça communique, mais les autres clients, rien... 

Attention, je ne dis pas de réparer plus vite, on est tous conscient que 
c'est long à réparer. Juste qu'une communication, ça aiderait... 

Bon dimanche. 

Le 09/02/2019 à 23:41, Arnaud Launay a écrit : 
> Ici on a bien reçus les SMS... Par contre, ce n'est pas 
> franchement très bien filtré. 
> 
> On a deux liens en location par chez eux pour relier DC2 et DC3, 
> et rien chez scaleway. Du coup, que leurs services soient HS, 
> quelque part, je m'en moque autant que de savoir si le trombone 
> trouvé dans mon pantalon il y a deux semaines était dans la poche 
> droite ou la poche gauche. 
> 
> Par contre, le fait que le lien est tombé à 14h14 hier, qu'il est 
> toujours down, et qu'aucune communication n'ait été faite là-dessus, 
> ça, ça me pose plus de problèmes. 
> 
> C'est bien de faire du nuage, mais il faudrait voir à ne pas 
> oublier les clients datacentres "historiques"... 
> 
> Et, non, je n'ai pas ouvert de ticket auprès du NOC, dans le cas 
> présent, une communication générale serait plus adaptée que du 
> cas pas cas. 'Fin bon, j'espère que ce sera réparé pour lundi 
> matin, avant que la pelleteuse ne coupe l'autre câble. 
> 
> Arnaud. 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


--- 
L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel 
antivirus Avast. 
https://www.avast.com/antivirus 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Analyser de traffic

[Alexandre DERUMIER]

>>Peut être elasticflow [ https://github.com/robcowart/elastiflow | 
>>https://github.com/robcowart/elastiflow ] 

Je ne connaissais pas du tout, merci !


- Mail original -
De: "Nicolas Girardi" 
À: "Alexandre Derumier" 
Cc: "Sylvain sbu" , "frnog-tech" 
Envoyé: Vendredi 1 Février 2019 08:16:50
Objet: Re: [FRnOG] [TECH] Analyser de traffic

Bonjour, 
Peut être elasticflow [ https://github.com/robcowart/elastiflow | 
https://github.com/robcowart/elastiflow ] 

Nicolas Girardi. 

Le 1 févr. 2019 à 06:28, Alexandre DERUMIER < [ mailto:aderum...@odiso.com | 
aderum...@odiso.com ] > a écrit : 




Salut, 


BQ_BEGIN

BQ_BEGIN
Je cherche un analyser de trafic (via xflow ou pcap) qui saurait donner des 



BQ_END

BQ_BEGIN

BQ_BEGIN
infos comme un ntop 

BQ_END

BQ_END

Bien, justement, coté opensource, ntop me venait en tête. ce n'est pas 
suffisant pour ton besoin ? 

il est normalement possible de rejouer des pcap avec disk2n , [ 
https://www.ntop.org/products/traffic-recording-replay/disk2n/ | 
https://www.ntop.org/products/traffic-recording-replay/disk2n/ ] ). 
pour les xflow je ne ne sais pas. (y'a ce qu'il faut pour les netflow avec 
nprobe [ https://www.ntop.org/products/netflow/nprobe/ | 
https://www.ntop.org/products/netflow/nprobe/ ] ) 


- Mail original - 
De: "Sylvain sbu" < [ mailto:sbu12...@gmail.com | sbu12...@gmail.com ] > 
À: "frnog-tech" < [ mailto:frnog-t...@frnog.org | frnog-t...@frnog.org ] > 
Envoyé: Jeudi 31 Janvier 2019 22:47:26 
Objet: [FRnOG] [TECH] Analyser de traffic 

Bonjour, 
Je cherche un analyser de trafic (via xflow ou pcap) qui saurait donner des 
infos comme un ntop ou prtg, ou un solarwin NetFlow Traffic Analyzer voir 
ce que propose les FW PaloAlto. (en moins toufu) 
idéalement open source sous linux 
il faudrait des stat type classement par "top" utilisation 
- AS origine (peut être un outils différent) 
- cathegorisation de traffic (games, infos social netwok etc..) 
- service (https, torrent, ipsec en co) 


Je ne sais pas si cela existe? 

cdt 
SBU 


< [ 
https://www.avast.com/sig-email?utm_medium=email_source=link_campaign=sig-email_content=webmail
 | 
https://www.avast.com/sig-email?utm_medium=email_source=link_campaign=sig-email_content=webmail
 ] > 
Garanti 
sans virus. [ http://www.avast.com/ | www.avast.com ] 
< [ 
https://www.avast.com/sig-email?utm_medium=email_source=link_campaign=sig-email_content=webmail
 | 
https://www.avast.com/sig-email?utm_medium=email_source=link_campaign=sig-email_content=webmail
 ] > 
<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2> 

--- 
Liste de diffusion du FRnOG 
[ http://www.frnog.org/ | http://www.frnog.org/ ] 


--- 
Liste de diffusion du FRnOG 
[ http://www.frnog.org/ | http://www.frnog.org/ ] 

BQ_END



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Analyser de traffic

[Alexandre DERUMIER]

Salut,

>>Je cherche un analyser de trafic (via xflow ou pcap) qui saurait donner des 
>>infos comme un ntop

Bien, justement, coté opensource,  ntop me venait en tête. ce n'est pas 
suffisant pour ton besoin ?

il est normalement possible de rejouer des pcap avec disk2n , 
https://www.ntop.org/products/traffic-recording-replay/disk2n/).
pour les xflow je ne ne sais pas. (y'a ce qu'il faut pour les netflow avec 
nprobe https://www.ntop.org/products/netflow/nprobe/)


- Mail original -
De: "Sylvain sbu" 
À: "frnog-tech" 
Envoyé: Jeudi 31 Janvier 2019 22:47:26
Objet: [FRnOG] [TECH] Analyser de traffic

Bonjour, 
Je cherche un analyser de trafic (via xflow ou pcap) qui saurait donner des 
infos comme un ntop ou prtg, ou un solarwin NetFlow Traffic Analyzer voir 
ce que propose les FW PaloAlto. (en moins toufu) 
idéalement open source sous linux 
il faudrait des stat type classement par "top" utilisation 
- AS origine (peut être un outils différent) 
- cathegorisation de traffic (games, infos social netwok etc..) 
- service (https, torrent, ipsec en co) 


Je ne sais pas si cela existe? 

cdt 
SBU 



 
Garanti 
sans virus. www.avast.com 

 
<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Alexandre DERUMIER]

>>Pour arriver à garder un pied dans le monde merveilleux de 
>>"l'infrastructure as code" on a passé un peu de temps dernièrement à faire 
>>évoluer un "provider" Terraform[1] pour pouvoir piloter directement Proxmox 
>>depuis Terraform de la même manière qu'on le fait avec OpenStack. 
>>Du coup je me dit que ça peut sûrement en intéresser parmi vous alors je 
>>pose ça là : https://github.com/enix/terraform-provider-proxmox 

Super, un grand merci ! J'en avais justement besoin :)

on gère +- 3000vms sous proxmox chez nous avec du script maison pour deployer 
les vms,
un petit terraform, c'est toujours mieux :)


(au passage, je suis contributeur sur proxmox, si jamais vous avez besoin de 
features
manquantes, je peux toujours remonter les remonter aux devs de proxmox en 
direct)


- Mail original -
De: "Romain Degez" 
À: "frnog-tech" 
Envoyé: Lundi 28 Janvier 2019 15:07:36
Objet: Re: [FRnOG] [TECH] Hyperviseur KVM et backup

Bonjour à tous, 

Je vois que ça cause pas mal de Proxmox! 
Je n'imaginais pas qu'il y avait tant d'utilisateurs actifs, et qui font 
des choses un peu sioux avec : c'est cool! 
Plutôt réconfortant, en ces temps où tout le monde ne semble d'avoir d'yeux 
que pour VMware, Openstack ou carrément AWS/GCP/Azure :-) 

On utilise également beaucoup Proxmox chez nous pour des petits clusters 
parcque c'est incroyablement solide. Et les gars derrières Proxmox 
continuent à maintenir et faire évoluer la solution dans le bon sens : 
c'est rassurant! 

Pour arriver à garder un pied dans le monde merveilleux de 
"l'infrastructure as code" on a passé un peu de temps dernièrement à faire 
évoluer un "provider" Terraform[1] pour pouvoir piloter directement Proxmox 
depuis Terraform de la même manière qu'on le fait avec OpenStack. 
Du coup je me dit que ça peut sûrement en intéresser parmi vous alors je 
pose ça là : https://github.com/enix/terraform-provider-proxmox 

Si vous n'avez jamais entendu parler de Terraform... c'est l'occasion de 
s'y mettre ;-) 

++ 

-- 
RD 


[1] - https://www.terraform.io/ 




On Mon, Jan 21, 2019 at 5:43 PM Olivier Divel  
wrote: 

> Super merci Messieurs pour ces retours ! 
> 
> Je vais me faire un petit Lab Proxmox alors :) 
> 
> 
> Olivier Divel 
> 
> Le lun. 21 janv. 2019 à 16:49, Florian Haller-Casagrande < 
> florian...@laposte.net> a écrit : 
> 
> > Bonjour, 
> > 
> > 
> > J'utilise Proxmox depuis quelques années (à titre essentiellement 
> > perso), et j'avais fait un petit retour ici : 
> > https://blog.lrdf.fr/article2/retour-experience-proxmox 
> > 
> > Si ça peut t'aider à y voir un peu plus clair :) 
> > 
> > 
> > Florian HC 
> > 
> > 
> > On 1/21/19 4:32 PM, Olivier Divel wrote: 
> > > Bonjour à tous, 
> > > 
> > > J'envisage d'installer des Hyperviseur KVM, peut être avec une solution 
> > tel 
> > > Proxmox (si vous avez des retours/avis je suis preneur) 
> > > 
> > > L'idée est de sortir mes différentes machines de Management/Services de 
> > mon 
> > > Infra VMWARE afin de laisser dessus uniquement nos machines clientes. 
> > > (Bah oui VMWARE ça coûte cher et je préfère optimiser en laissant sur 
> mes 
> > > serveurs de prod des VM que l'on valorise directement). 
> > > 
> > > Bon jusque la ça va, par contre je ne sais pas comment aller backuper 
> les 
> > > VM que j'aurais mis dessus. 
> > > Sur la prod j'utilise Veam-Backup mais je ne sais pas s'il peut faire 
> le 
> > > boulot. 
> > > 
> > > Si vous avez des idées/avis/retours ça serait top 
> > > 
> > > Merci bien :) 
> > > 
> > > 
> > > Olivier Divel 
> > > 
> > > --- 
> > > Liste de diffusion du FRnOG 
> > > http://www.frnog.org/ 
> > 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Alexandre DERUMIER]

>>Oui enfin, un coup de lzop -d, puis un vma extract, et tu retrouves ton 
>>.raw/.qcow2 non ?

oui, mais il faut faire l'extract, ("vma extract" va lire completement le 
backup et recreer le fichier un fichier raw).
on ne peux pas le monter directement.


- Mail original -
De: "David Ponzone" 
À: "aderumier" 
Cc: "Joel DEREFINKO" , "boris tassou" 
, "frnog" 
Envoyé: Mardi 22 Janvier 2019 18:02:23
Objet: Re: [FRnOG] [TECH] Hyperviseur KVM et backup

Oui enfin, un coup de lzop -d, puis un vma extract, et tu retrouves ton 
.raw/.qcow2 non ? 


> Le 22 janv. 2019 à 17:42, Alexandre DERUMIER  a écrit : 
> 
>> 
>> Hmm pour l’avoir fait quelques fois, une sauvegarde full étant l’image 
>> complète du disque, il y a toujours un moyen en CLI de la monter où on veut 
>> pour aller y prendre le fichier qu’on veut: 
> 
> specificiquement avec proxmox, les backup généré par proxmox ne sont pas au 
> format qcow2, mais .vma qui est un format de backup spécifique à proxmox. 
> 
> (Pour l'histoire, le code de backup qemu a été d'abord implémenter dans 
> proxmox avec le format vma, puis repris par les devs de qemu, mais avec le 
> support de qcow2 comme format). 
> 
> le format vma n'est pas remontable avec nbd. 
> 
> la différence entre vma et qcow2, c'est que vma le backup stream les block en 
> sequentiels. 
> alors que les backups qcow2, bien, c'est un disque qcow2, donc les ecriture 
> pendant le backup ne sont pas séquentielles. (du coup, pas possible pour 
> streamer ca sur une bande ou autre tar dans un pipe) 
> 
> 
> Il faudrait que les devs de proxmox implémente un driver vma pour nbd, pour 
> pouvoir remonter le truc. 
> 
> 
> 
> Après, il y a toujours moyen d'utiliser les backup de qemu natifs, mais il 
> faut le scripter (via le monitor qemu), ce n'est pas intégré dans proxmox. 
> 
> 
> - Mail original - 
> De: "Joel DEREFINKO"  
> À: "David Ponzone" , "boris tassou" 
>  
> Cc: "frnog"  
> Envoyé: Mardi 22 Janvier 2019 11:40:15 
> Objet: RE: [FRnOG] [TECH] Hyperviseur KVM et backup 
> 
> Hello, 
> 
> A priori Cohesity sait s'interfacer avec KVM. 
> Par contre, aucune idée de la granularité offerte. (sur VMWare ca va jusqu'au 
> fichier) 
> 
> Niveau interface, je n'ai eu qu'une démo mais ca à l'air simple à prendre en 
> main. 
> 
> joel 
> 
> -Message d'origine- 
> De : frnog-requ...@frnog.org  De la part de David 
> Ponzone 
> Envoyé : mardi 22 janvier 2019 11:07 
> À : boris.tas...@securmail.fr 
> Cc : frnog@frnog.org 
> Objet : Re: [FRnOG] [TECH] Hyperviseur KVM et backup 
> 
> Ce qui est exactement ce qu’explique le lien que j’ai envoyé. 
> Je dis ça, je dis rien :) 
> Mais la librairie libguestfs semble encore plus pratique. 
> 
>> Le 22 janv. 2019 à 10:10, boris.tas...@securmail.fr a écrit : 
>> 
>> Il est possible de monter le qcow2 (raw à vérifier) avec nbd directement le 
>> proxmox ou n'importe quel linux pour avoir accès au contenu du disque et 
>> pouvoir récupérer des fichiers 
>> 
>> Le 2019-01-22 08:35, David Ponzone a écrit : 
>>> 
>>> Hmm pour l’avoir fait quelques fois, une sauvegarde full étant l’image 
>>> complète du disque, il y a toujours un moyen en CLI de la monter où on 
>>> veut pour aller y prendre le fichier qu’on veut: 
>>> http://alexeytorkhov.blogspot.com/2009/09/mounting-raw-and-qcow2-vm-disk-images.html
>>>  
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Alexandre DERUMIER]

> 
> Hmm pour l’avoir fait quelques fois, une sauvegarde full étant l’image 
> complète du disque, il y a toujours un moyen en CLI de la monter où on veut 
> pour aller y prendre le fichier qu’on veut:

specificiquement avec proxmox, les backup généré par proxmox ne sont pas au 
format qcow2, mais .vma qui est un format de backup spécifique à proxmox.

(Pour l'histoire, le code de backup qemu a été d'abord implémenter dans proxmox 
avec le format vma, puis repris par les devs de qemu, mais avec le support de 
qcow2 comme format).

le format vma n'est pas remontable avec nbd.

la différence entre vma et qcow2, c'est que vma le backup stream les block en 
sequentiels.
alors que les backups qcow2, bien, c'est un disque qcow2, donc les ecriture 
pendant le backup ne sont pas séquentielles. (du coup, pas possible pour 
streamer ca sur une bande ou autre tar dans un pipe)


Il faudrait que les devs de proxmox implémente un driver vma pour nbd, pour 
pouvoir remonter le truc.



Après, il y a toujours moyen d'utiliser les backup de qemu natifs, mais il faut 
le scripter (via le monitor qemu), ce n'est pas intégré dans proxmox.


- Mail original -
De: "Joel DEREFINKO" 
À: "David Ponzone" , "boris tassou" 

Cc: "frnog" 
Envoyé: Mardi 22 Janvier 2019 11:40:15
Objet: RE: [FRnOG] [TECH] Hyperviseur KVM et backup

Hello, 

A priori Cohesity sait s'interfacer avec KVM. 
Par contre, aucune idée de la granularité offerte. (sur VMWare ca va jusqu'au 
fichier) 

Niveau interface, je n'ai eu qu'une démo mais ca à l'air simple à prendre en 
main. 

joel 

-Message d'origine- 
De : frnog-requ...@frnog.org  De la part de David 
Ponzone 
Envoyé : mardi 22 janvier 2019 11:07 
À : boris.tas...@securmail.fr 
Cc : frnog@frnog.org 
Objet : Re: [FRnOG] [TECH] Hyperviseur KVM et backup 

Ce qui est exactement ce qu’explique le lien que j’ai envoyé. 
Je dis ça, je dis rien :) 
Mais la librairie libguestfs semble encore plus pratique. 

> Le 22 janv. 2019 à 10:10, boris.tas...@securmail.fr a écrit : 
> 
> Il est possible de monter le qcow2 (raw à vérifier) avec nbd directement le 
> proxmox ou n'importe quel linux pour avoir accès au contenu du disque et 
> pouvoir récupérer des fichiers 
> 
> Le 2019-01-22 08:35, David Ponzone a écrit : 
>> 
>> Hmm pour l’avoir fait quelques fois, une sauvegarde full étant l’image 
>> complète du disque, il y a toujours un moyen en CLI de la monter où on 
>> veut pour aller y prendre le fichier qu’on veut: 
>> http://alexeytorkhov.blogspot.com/2009/09/mounting-raw-and-qcow2-vm-disk-images.html
>>  


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Alexandre DERUMIER]

>>Je conçois que Veeam m'a donné de mauvaises habitudes avec les "One-click"
>>et le sureBackup. Il faut cependant reconnaître qu'il est devenu
>>incontournable de pouvoir parcourir les Guest-files pour aller chercher LE
>>fichier et le restaurer à sa place sans avoir à remonter la vm, la démarrer
>>hors réseau, etc.. Est-ce qu'on peut le faire avec l'export tgz de
>>proxmoxVE ? (je veux dire, est-ce qu'on peut le faire sans être non plus un
>>barbu ?)

Pas moyen de remonter le backup pour lire les fichiers dedans.
il faut le restorer (soit reecraser la vm existante ou créer une nouvelle vm).

(ou alors, backup proxmox pour le disaster recovery + backup des fichiers dans 
les vms avec un soft de backup classique)



>>Ensuite, ce que je n'ai pas trouvé dans le backup proxmoxVE (mais j'ai peut 
>>être mal cherché) c'est la notion de rétention, avec la possibilité de 
>>garder X quotidiens, Y hebdo, Z mensuels.. et je ne parle pas du GFS. Oui, 
>>y'a surement des gens qui ont écrit des scripts qui gèrent cela mais il 
>>faut les trouver... puis les intégrer. 

la planification intégrée dans la gui est assez basique, et la rotation est un 
simple "je garde X backup".
Ca génère juste un simple cron.

mais il y a moyen de scripter ca assez facilement. (la commande de backup est 
"vzdump  ", "man vzdump" pour avoir toutes les options. ).

Il y a bacula qui intègre un plugin pour gérer les backup proxmox également
https://www.baculasystems.com/corporate-data-backup-software-solutions/bacula-enterprise-data-backup-tools/backup-and-recovery-for-proxmox
(avec stream direct vers bande si besoin)




Apres, comme je l'ai indiqué dans mon mail précedent, si vous utilisez ceph 
comme stockage (qui est intégré dans proxmox),
c'est plus simple pour les backups (full + différentiels, + possibilité de lire 
les fichiers dans le backup)


Alexandre.


- Mail original -
De: "Olivier Vailleau" 
Cc: "frnog-tech" 
Envoyé: Lundi 21 Janvier 2019 22:23:54
Objet: Re: [FRnOG] [TECH] Hyperviseur KVM et backup

Bonjour, 
Je me posait les mêmes questions que mon homonyme sur le backup proxmoxVE. 
Oui, la solution a le mérite d'intégrer un "backup" qui fait ce que 
j’appellerais un Zip par abus de langage (ou un tgz.. ou un bgz, je sais 
plus). 
Mais qu'est-ce qu'on en fait après de ces fichiers ? 

Je conçois que Veeam m'a donné de mauvaises habitudes avec les "One-click" 
et le sureBackup. Il faut cependant reconnaître qu'il est devenu 
incontournable de pouvoir parcourir les Guest-files pour aller chercher LE 
fichier et le restaurer à sa place sans avoir à remonter la vm, la démarrer 
hors réseau, etc.. Est-ce qu'on peut le faire avec l'export tgz de 
proxmoxVE ? (je veux dire, est-ce qu'on peut le faire sans être non plus un 
barbu ?) 

Ensuite, ce que je n'ai pas trouvé dans le backup proxmoxVE (mais j'ai peut 
être mal cherché) c'est la notion de rétention, avec la possibilité de 
garder X quotidiens, Y hebdo, Z mensuels.. et je ne parle pas du GFS. Oui, 
y'a surement des gens qui ont écrit des scripts qui gèrent cela mais il 
faut les trouver... puis les intégrer. 
Je passe le fait que ma hiérarchie oblige l'export sur bande magnétique... 
Heureusement que Veeam sait piloter succinctement un streamer LTO. 

J'ai de grands espoirs dans l'OpenSource et ProxMoxVE/kvm/qemu sont des 
outils hallucinants qui promeuvent efficacement le libre tout comme le 
firent OpenOffice ou Firefox. Mais malheureusement, ils sont encore trop 
difficiles à appréhender pour le commun des admins mortels et rasés. 
Dans mon Job, je suis le plus barbu de l'équipe. Je joue dans un PVE 
labo/test/validation mais je suis loin d'imaginer le mettre en prod ! 
Alors comment convaincre mes dirigeants que le libre, c'est le bon coté de 
la force ? 

S'il y avait une vrai solution de backup avec proxmox ou si Veeam proposait 
une intégration KVM, je pense que je ferai le saut très facilement car 
VmWare est décidément trop cher. Et on serait prêt à acheter la 
maintenance/support proxmox pour avoir l'assurance ceinture/bretelles et 
aussi pour jouer le jeu du financement du libre. 

Cela fera peut être réagir des proxmoxiens.. et après tout, tant mieux si 
dans le troll généré j'arrive à glaner des URLs ou nom de produits 
miraculeux ! 

Voila pour ma réflexion à 2 balles... 
Olivier. 

Le lun. 21 janv. 2019 à 17:48, Alexandre DERUMIER  a 
écrit : 

> Si jamais tu utilise ceph comme stockage distribué avec proxmox, 
> 
> il est également possible de backuper ceph directement (sans passer par 
> proxmox), 
> 
> l'avantage c'est que tu auras les backups differentiels. 
> 
> il y a des outils très bien intégrés avec proxmox/ceph pour ca: 
> 
> https://github.com/EnterpriseVE/eve4pve-barc 
> 
> ou notre outil maison 
> 
> https://github.com/JackSlateur/backurn

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Alexandre DERUMIER]

>>Il est possible sous Proxmox (de ce que j'ai pu tester dans ma maquette),
>>de faire des snapshots pour les sauvegardes.
>>Ceci à pour avantage de laisser UP la VM et de ne pas avoir d'interruption
>>de service (sauvegarde à chaud)

les backup de proxmox se font à chaud, sans interruption de la vm, et sans 
faire de snapshot sur les disques.
Quand le backup démarre, il y a un bitmap en mémoire qui track les blocs qui 
seraient ecrit pendant le backup.
Si il y a une ecriture sur un bloc qui n'est pas encore backupé, il va d'abord 
etre sauvegardé, avant d'être ecrasé.
A la fin du backup, tu as l'etat du disque au moment où le backup a démarrer.
(donc en gros, c'est +- comme un snapshot, c'est pour que proxmox appelle ce 
mode de backup "snapshot")


Backup full uniquement. Techniquement qemu implemente déjà les incrementales, 
mais pas encore super stable.
(comme il n'y a pas de snapshot sur les disques, il faudrait garder le bitmap 
en permanence avec les changements entre 2 backup,
et si la vm est stoppé, le bitmap est perdu,..)
Mais c'est prévu sur la roadmap pour proxmox 6.


>>Le fichier de sauvegarde généré par Proxmox dans ce cas est-il une 
>>sauvegarde totale ou juste un snapshot qui permet de revenir à une date 
>>antérieure si besoin? 

une sauvergarde totale.

(Note qu'il y a également la notion de snapshot dans proxmox, qui utilise les 
snapshot disques,
mais un snapshot ce n'est pas un sauvegarde.  Si tu perd ton stockage, tu perd 
ton disque + les snapshots)


- Mail original -
De: "Anthony Frnog" 
À: "Olivier Vailleau" 
Cc: "frnog-tech" 
Envoyé: Lundi 21 Janvier 2019 22:52:51
Objet: Re: [FRnOG] [TECH] Hyperviseur KVM et backup

Bonsoir à tous, 

Je regarde aussi pour passer de Vmware à Proxmox VE. 
La question que je me pose est la suivante: 

Il est possible sous Proxmox (de ce que j'ai pu tester dans ma maquette), 
de faire des snapshots pour les sauvegardes. 
Ceci à pour avantage de laisser UP la VM et de ne pas avoir d'interruption 
de service (sauvegarde à chaud) 

Le fichier de sauvegarde généré par Proxmox dans ce cas est-il une 
sauvegarde totale ou juste un snapshot qui permet de revenir à une date 
antérieure si besoin? 

Merci à vous 
Anthony 


Le lun. 21 janv. 2019 à 22:25, Olivier Vailleau  
a écrit : 

> Bonjour, 
> Je me posait les mêmes questions que mon homonyme sur le backup proxmoxVE. 
> Oui, la solution a le mérite d'intégrer un "backup" qui fait ce que 
> j’appellerais un Zip par abus de langage (ou un tgz.. ou un bgz, je sais 
> plus). 
> Mais qu'est-ce qu'on en fait après de ces fichiers ? 
> 
> Je conçois que Veeam m'a donné de mauvaises habitudes avec les "One-click" 
> et le sureBackup. Il faut cependant reconnaître qu'il est devenu 
> incontournable de pouvoir parcourir les Guest-files pour aller chercher LE 
> fichier et le restaurer à sa place sans avoir à remonter la vm, la démarrer 
> hors réseau, etc.. Est-ce qu'on peut le faire avec l'export tgz de 
> proxmoxVE ? (je veux dire, est-ce qu'on peut le faire sans être non plus un 
> barbu ?) 
> 
> Ensuite, ce que je n'ai pas trouvé dans le backup proxmoxVE (mais j'ai peut 
> être mal cherché) c'est la notion de rétention, avec la possibilité de 
> garder X quotidiens, Y hebdo, Z mensuels.. et je ne parle pas du GFS. Oui, 
> y'a surement des gens qui ont écrit des scripts qui gèrent cela mais il 
> faut les trouver... puis les intégrer. 
> Je passe le fait que ma hiérarchie oblige l'export sur bande magnétique... 
> Heureusement que Veeam sait piloter succinctement un streamer LTO. 
> 
> J'ai de grands espoirs dans l'OpenSource et ProxMoxVE/kvm/qemu sont des 
> outils hallucinants qui promeuvent efficacement le libre tout comme le 
> firent OpenOffice ou Firefox. Mais malheureusement, ils sont encore trop 
> difficiles à appréhender pour le commun des admins mortels et rasés. 
> Dans mon Job, je suis le plus barbu de l'équipe. Je joue dans un PVE 
> labo/test/validation mais je suis loin d'imaginer le mettre en prod ! 
> Alors comment convaincre mes dirigeants que le libre, c'est le bon coté de 
> la force ? 
> 
> S'il y avait une vrai solution de backup avec proxmox ou si Veeam proposait 
> une intégration KVM, je pense que je ferai le saut très facilement car 
> VmWare est décidément trop cher. Et on serait prêt à acheter la 
> maintenance/support proxmox pour avoir l'assurance ceinture/bretelles et 
> aussi pour jouer le jeu du financement du libre. 
> 
> Cela fera peut être réagir des proxmoxiens.. et après tout, tant mieux si 
> dans le troll généré j'arrive à glaner des URLs ou nom de produits 
> miraculeux ! 
> 
> Voila pour ma réflexion à 2 balles... 
> Olivier. 
> 
> Le lun. 21 janv. 2019 à 17:48, Alexandre DERUMIER  a 
> écrit : 
> 
> > Si j

Re: [FRnOG] [TECH] Hyperviseur KVM et backup

[Alexandre DERUMIER]

Si jamais tu utilise ceph comme stockage distribué avec proxmox,

il est également possible de backuper ceph directement (sans passer par 
proxmox),

l'avantage c'est que tu auras les backups differentiels.

il y a des outils très bien intégrés avec proxmox/ceph pour ca:

https://github.com/EnterpriseVE/eve4pve-barc

ou notre outil maison

https://github.com/JackSlateur/backurne


- Mail original -
De: "Olivier Divel" 
À: "frnog-tech" 
Envoyé: Lundi 21 Janvier 2019 16:32:48
Objet: [FRnOG] [TECH] Hyperviseur KVM et backup

Bonjour à tous, 

J'envisage d'installer des Hyperviseur KVM, peut être avec une solution tel 
Proxmox (si vous avez des retours/avis je suis preneur) 

L'idée est de sortir mes différentes machines de Management/Services de mon 
Infra VMWARE afin de laisser dessus uniquement nos machines clientes. 
(Bah oui VMWARE ça coûte cher et je préfère optimiser en laissant sur mes 
serveurs de prod des VM que l'on valorise directement). 

Bon jusque la ça va, par contre je ne sais pas comment aller backuper les 
VM que j'aurais mis dessus. 
Sur la prod j'utilise Veam-Backup mais je ne sais pas s'il peut faire le 
boulot. 

Si vous avez des idées/avis/retours ça serait top 

Merci bien :) 


Olivier Divel 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] solution serveur IM/chat libre

[Alexandre DERUMIER]

jamais utilisé rocket.chet, mais il y a mattermost qui est pas mal également.

https://www.mattermost.org/

(compatible avec les api slack si besoin)


- Mail original -
De: "Michel Py" 
À: "frnog" 
Envoyé: Jeudi 20 Décembre 2018 01:08:59
Objet: [FRnOG] [TECH] solution serveur IM/chat libre

Bonsoir à tous et à toutes, 

Je recherche une solution d'IM / chat, installée localement, logiciel libre. 
Au hasard je suis tombé sur https://rocket.chat, est-ce que quelqu'un a un 
retour ? 
Je prends les suggestions aussi, un truc tout emballé qui juste marche çà me 
conviendrait. 
Probablement basé sur XMPP, mais là aussi je prends les idées. 

Michel. 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bonne méthode pour filtrage IP/MAC sur VLAN SW CISCO

[Alexandre DERUMIER]

>>J'ai préféré déployer du 802.1x
+1 pour le 802.1.x

il y a packetfence en opensource qui gère ca vraiment bien

https://packetfence.org/

- Mail original -
De: "Jérôme Nicolle" 
À: "frnog" 
Envoyé: Mardi 11 Décembre 2018 20:06:32
Objet: [FRnOG] [TECH] Bonne méthode pour filtrage IP/MAC sur VLAN SW CISCO

Salut Sébastien, 

Le 08/12/2018 à 12:10, Sébastien 65 a écrit : 
> De votre côté comment vous gérez la gestion du filtrage IP/MAC par VLAN ? 

Non, jamais. Trop lourd à maintenir sur les tailles de LAN qui le 
requièrent. 

J'ai préféré déployer du 802.1x, en couplant l'inventaire (netbox ou 
GLPI) pour générer les profils d'attributions. 

C'est un peu plus lourd à mettre en place mais beaucoup plus léger à 
utiliser au quotidien. 

@+ 

-- 
Jérôme Nicolle 
+33 6 19 31 27 14 



--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage http / https transparent (was: Filtrage https par Certificate Name CN)

[Alexandre DERUMIER]

>>Comme je n'ai rien trouvé d'existant en open-source pour faire du filtrage
>>en mode transparent, j'ai développé un outil open-source pour se faire :
>>
>>https://github.com/luigi1809/webfilter-ng

Merci pour le partage !

perso, je connais https://mitmproxy.org/, mais il ne fait pas de filtrage 
(développé en python).


- Mail original -
De: "Louis" 
À: "Félix Bouynot" 
Cc: "frnog-tech" 
Envoyé: Mardi 27 Novembre 2018 16:50:06
Objet: Re: [FRnOG] [TECH] Filtrage http / https transparent (was: Filtrage 
https par Certificate Name CN)

Bonjour, 

pour info, je n'ai pas utilisé squid + squidguard qui ne me permettait pas 
de faire du filtrage en mode transparent. 

Comme je n'ai rien trouvé d'existant en open-source pour faire du filtrage 
en mode transparent, j'ai développé un outil open-source pour se faire : 

https://github.com/luigi1809/webfilter-ng 

Les flux ne sont pas déchiffrés - pas besoin donc d'installer de 
certificats racines sur la machine. Le filtrage https est basé sur le tag 
SNI de TLS et non sur les certificates name CN. 

Louis 

Le ven. 25 mai 2018 à 17:06, Félix Bouynot  a 
écrit : 

> Bonjour, 
> 
> Avec Squid c'est 3 lignes : 
> 
> acl DiscoverSNIHost at_step SslBump1 
> ssl_bump peek DiscoverSNIHost 
> ssl_bump splice all 
> 
> Tu lis le nom de domaine puis tu tunnelles. (le strict minimum donc, tu 
> casses rien même en cas de HSTS+HPKP, tu espionnes rien d'autre que le 
> nom de domaine) 
> Pour le filtrage t'as plus qu'à suivre un tutoriel squidguard. 
> 
> Félix 
> 
> Le vendredi 25 mai 2018 à 15:58 +0200, Louis a écrit : 
> > Bonjour, 
> > 
> > je cherche une solution open-source pour faire du filtrage https par 
> > Certificate Name (transmis en clair par le serveur à l'établissement de 
> la 
> > session) à base de blacklist. 
> > 
> > Je vois que fortigate propose quelque chose du genre (sans gestion de 
> > blacklist à première vue): 
> > 
> > http://kb.fortinet.com/kb/viewContent.do?externalId=FD31710 (solution 
> 1). 
> > 
> > Je cherche idéalement à faire ça avec squid et squidguard. 
> > 
> > merci de votre aide! 
> > 
> > Louis 
> > 
> > --- 
> > Liste de diffusion du FRnOG 
> > http://www.frnog.org/ 
> > 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Nom de domaine Nordnet/Orange

[Alexandre DERUMIER]

>>Partage d’expérience, j’ai aussi de grosses galères avec NordNet. Un client 
>>qui avait son nom de domaine là bas depuis 15 ans. L’adresse postale est plus 
>>bonne et impossible d’obtenir de code EPP sur le site, ils >>l’envoient par 
>>mail. 
>>
>>Là où ça devient marrant, c’est que l’adresse mail enregistrée est « 
>>nonapplicable@pir.nordnet < mailto:nonapplicable@pir.nordnet >.net ». Et le 
>>pseudo-support par chat ose me dire « On vous a envoyé votre code EPP sur 
>>>>votre adresse nonapplica...@pir.nordnet.net < 
>>mailto:nonapplica...@pir.nordnet.net > ! » Ah, d’accord. :-) 
>>
>>A force de batailler pour leur faire comprendre que cette adresse leur 
>>appartenait et donc, que j’en ai forcément pas l’accès, ils m’ont sorti un 
>>formulaire papier à imprimer, remplir et leur renvoyer avec des 
>>>>justificatifs etc, pour changer les infos. 
>>
>>Depuis l’envoi, plus aucune nouvelles de leur part, on attend.

Bienvenue au club, on a exactement le meme probleme avec 200 domaines 
historiques d'il y a 15 ans. adresse postale plus bonne et encore mieux, aucun 
email enregistré.

résultat, on peux pas bouger et on doit renouveller chaque année.



Alexandre Derumier 
Ingénieur système et stockage 

Manager Infrastructure 



- Mail original -
De: "Quentin Leconte" 
À: "Xavier ROCA" 
Cc: "frnog-misc" 
Envoyé: Mercredi 10 Octobre 2018 14:52:55
Objet: Re: [FRnOG] [MISC] Nom de domaine Nordnet/Orange

Bonjour, 

Partage d’expérience, j’ai aussi de grosses galères avec NordNet. Un client qui 
avait son nom de domaine là bas depuis 15 ans. L’adresse postale est plus bonne 
et impossible d’obtenir de code EPP sur le site, ils l’envoient par mail. 

Là où ça devient marrant, c’est que l’adresse mail enregistrée est « 
nonapplicable@pir.nordnet <mailto:nonapplicable@pir.nordnet>.net ». Et le 
pseudo-support par chat ose me dire « On vous a envoyé votre code EPP sur votre 
adresse nonapplica...@pir.nordnet.net <mailto:nonapplica...@pir.nordnet.net> ! 
» Ah, d’accord. :-) 

A force de batailler pour leur faire comprendre que cette adresse leur 
appartenait et donc, que j’en ai forcément pas l’accès, ils m’ont sorti un 
formulaire papier à imprimer, remplir et leur renvoyer avec des justificatifs 
etc, pour changer les infos. 

Depuis l’envoi, plus aucune nouvelles de leur part, on attend. 

Bon courage à toi en tous cas ! Et si y’a une personne de NordNet ici, je 
l’accueille les bras ouverts ! 

Quentin 


> Le 10 oct. 2018 à 14:30, Xavier ROCA  a écrit : 
> 
> Bonjour, 
> 
> 
> 
> Quelqu’un de Nordnet/Orange serait-il présent ici pour nous donner un petit 
> coup de main sur un nom de domaine. 
> 
> On a une clients qui a pris la direction d’une boîte sans avoir les 
> informations sur l’antériorité de son nom de domaine. 
> 
> Apparemment c’est passé par Orange (registrar NordNet). 
> 
> Et impossible de trouver comment obtenir la possibilité de le géré. 
> 
> Cela devient très compliquer pour eux et la hotline ne comprend pas vraiment 
> le besoin ... 
> 
> 
> 
> Deux possibilités redonner les infos a la cliente (je fournis tous en MP sur 
> email pro). 
> 
> Ou a lors on le met ailleurs, mais il faudrait qu’elle puisse quand même 
> recevoir le code d’autorisation donc que son mail soit bien le destinataire. 
> 
> 
> 
> D’avance merci a celle ou celui qui peut nous aider sur le sujet. 
> 
> 
> 
> Xavier 
> 
> 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

[Alexandre DERUMIER]

>>Les entreprises qui ont externalisé l'administration de leur parc de 
>>serveurs doivent connecter leur réseau dédié d'admin. (IPMI...) à 
>>l'Internet, moyennant un filtrage (plus ou moins) bien serré. 
>>Et vu le nombre qu'on en voit sur Shodan, la pratique fait fureur. 

my 2 cents:

Le minimum c'est quand meme un vpn ou bastion ssh/proxy pour accéder au réseau 
OOB.
et les cartes BMC n'ont pas de default gw vers internet.

ou alors les admins doivent changer de métier ^_^


- Mail original -
De: "daniel Azuelos" 
À: "frnog" 
Envoyé: Vendredi 5 Octobre 2018 12:56:14
Objet: Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

[ Mes questions & réponses sont dans le sens normal de lecture. ] 

Le 05/10/2018, Philippe Bourcier  a écrit : 

> Les gens qui auraient fait ça se seraient donc autant embêté pour 
> accéder au réseau OOB de leurs victimes (la BMC elle est reliée à un 
> réseau OOB, on est d'accord)... réseau OOB qui aurait donc accès à 
> Internet. 
> Je sais pas vous, mais chez moi un OOB n'a pas accès à Internet... 
> Ca semble être une règle minimale de sécurité. 
[...] 

Les entreprises qui ont externalisé l'administration de leur parc de 
serveurs doivent connecter leur réseau dédié d'admin. (IPMI...) à 
l'Internet, moyennant un filtrage (plus ou moins) bien serré. 
Et vu le nombre qu'on en voit sur Shodan, la pratique fait fureur. 

D'ailleurs sans externalisation, le réseau d'admin. est accessible 
indirectement. On ne va pas tous en doudoune en salle serveur pour 
intervenir sur le réseau d'admin.. 
-- 
« Je reste optimiste. La vie m'a appris qu'avec le temps 
le progrès l'emporte toujours. » 
Simone Veil 
 
daniel Azuelos 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

[Alexandre DERUMIER]

un article un peu plus technique:

https://www.theregister.co.uk/2018/10/04/supermicro_bloomberg/

"The spy chip could have been placed electrically between the baseboard 
management controller (BMC) and its SPI flash or serial EEPROM storage 
containing the BMC's firmware. Thus, when the BMC fetched and executed its code 
from this memory, the spy chip would intercept the signals and modify the 
bitstream to inject malicious code into the BMC processor, allowing its masters 
to control the BMC."

Ca serait donc au niveau de la bmc.

Après est-ce que c'est exploitable si la bmc n'est pas accessible sur le net ?
vu la taille du chip, ca semble difficile d'implémenter un exploit ou autre 
autonome.



- Mail original -
De: "Michel Py" 
À: "frnog-misc" 
Envoyé: Vendredi 5 Octobre 2018 00:39:10
Objet: [FRnOG] [MISC] la porte dérobée des serveurs Supermicro

Un troll de luxe pour ce vendredi ! 

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
 

En bref : les carte mères de serveurs Supermicro contiennent un composant conçu 
par les services de renseignements Chinois qui permettrait de prendre le 
contrôle du serveur. Comme un root kit, mais dans le matériel. 

Michel. 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

[Alexandre DERUMIER]

netbox est pas mal

https://github.com/digitalocean/netbox


- Mail original -
De: "Olivier MORFIN" 
À: "frnog-tech" 
Envoyé: Mercredi 26 Septembre 2018 11:46:19
Objet: [FRnOG] [TECH] Opérateurs/hébergeurs : Quel IPAM/CMDB utilisez-vous ?

Bonjour à tous, 
Je lance un petit sondage auprès des opérateurs/hébergeurs pour savoir quel 
IPAM/CMDB utilisez vous ? Si vous utilisez un produit développé maison, ça 
m’intéresse aussi de le savoir, ça me permettra de justifier l'embauche 
d'un dev dans ma société :) 

Merci. 
Olivier 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] BGP avec des switches "OpenNetwork"

[Alexandre DERUMIER]

>>J'ai plus survolé que lu, mais ce que j'en ai retenu est que le miracle qui 
>>fait tout à pas cher n'existe pas vraiment; si on veut 1 million de routes et 
>>la performance, va falloir sortir le carnet de chèques ou >>implémenter une 
>>solution d'optimisation BGP.

Sinon, il y a turborouter de 6wind. (distro linux avec dpdk + frr), déjà plus 
abordable.
ils ont porté pas mal de choses dans le dataplane (iptables, gre, ...).








- Mail original -
De: "Michel Py" 
À: "aderumier" , "guillaume barrot" 

Cc: "Jérôme Nicolle" , "frnog" 
Envoyé: Vendredi 14 Septembre 2018 19:41:24
Objet: RE: [FRnOG] [TECH] BGP avec des switches "OpenNetwork"

> Alexandre DERUMIER a écrit : 
> de la doc interessante qui explique tout ca pour jericho: 
> https://xrdocs.io/cloud-scale-networking/tutorials/Understanding-ncs5500-jericho-plus-systems/
>  
> https://xrdocs.io/cloud-scale-networking/tutorials/2017-08-03-understanding-ncs5500-resources-s01e02/
>  
> https://xrdocs.io/cloud-scale-networking/tutorials/2017-08-07-understanding-ncs5500-resources-s01e03/
>  

J'ai plus survolé que lu, mais ce que j'en ai retenu est que le miracle qui 
fait tout à pas cher n'existe pas vraiment; si on veut 1 million de routes et 
la performance, va falloir sortir le carnet de chèques ou implémenter une 
solution d'optimisation BGP. 

Michel. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] BGP avec des switches "OpenNetwork"

[Alexandre DERUMIER]

>>Le switch (et je parle bien d'un switch) qui tient le plus de routes à ma
>>connaissance, c'est le Dell S4248FBL ou équivalent chez d'autres
>>constructeurs
>>https://i.dell.com/sites/doccontent/shared-content/data-sheets/en/Documents/dell-emc-networking-s4200-on-spec-sheet.pdf
>>https://www.dell.com/support/home/us/en/04/product-support/product/networking-s4248fb-on/manuals

>>" • Supports greater than 1 million IPv4 route entries". Voilà, on sait pas
>>exactement combien.
>>Mais 700k IPV4 HOST table, attention. Donc, en clair, faut le bencher en
>>condition réelle avant de prendre sa décision, on peut pas s'amuser à se
>>lancer là dedans avec la bite et le couteau.


Arista Egalement, jusque 2millions de routes dans les derniers models, asic 
jericho

mais c'est +- la meme chose, 700k HOST routes.(memoire LEM), et le reste en 
mémoire LPM.

En fonction de la taille du préfix, ca va dans telle ou telle mémoire.


(autour de 30K pour un arista 7280r2k)



de la doc interessante qui explique tout ca pour jericho:

https://xrdocs.io/cloud-scale-networking/tutorials/Understanding-ncs5500-jericho-plus-systems/
https://xrdocs.io/cloud-scale-networking/tutorials/2017-08-03-understanding-ncs5500-resources-s01e02/
https://xrdocs.io/cloud-scale-networking/tutorials/2017-08-07-understanding-ncs5500-resources-s01e03/


- Mail original -
De: "guillaume barrot" 
À: "Michel Py" 
Cc: "Jérôme Nicolle" , "frnog" 
Envoyé: Vendredi 14 Septembre 2018 00:10:57
Objet: Re: [FRnOG] [TECH] BGP avec des switches "OpenNetwork"

Le switch (et je parle bien d'un switch) qui tient le plus de routes à ma 
connaissance, c'est le Dell S4248FBL ou équivalent chez d'autres 
constructeurs 
https://i.dell.com/sites/doccontent/shared-content/data-sheets/en/Documents/dell-emc-networking-s4200-on-spec-sheet.pdf
 
https://www.dell.com/support/home/us/en/04/product-support/product/networking-s4248fb-on/manuals
 

" • Supports greater than 1 million IPv4 route entries". Voilà, on sait pas 
exactement combien. 
Mais 700k IPV4 HOST table, attention. Donc, en clair, faut le bencher en 
condition réelle avant de prendre sa décision, on peut pas s'amuser à se 
lancer là dedans avec la bite et le couteau. 
Attention aussi à un détail : la mémoire d'un Qumran, c'est la DDR. C'est 
clairement pas aussi rapide que la mémoire d'un ASIC traditionnel, même si 
les écarts se réduisent à chaque génération. Donc la perf à 2M de routes et 
les ports saturés de petits paquets, ça se teste avant d'annoncer "ouais 
bien sur que ça marche, c'est marqué dans la datasheet". 

Un ASIC de switch, c'est pensé pour du DC, donc pensé pour tenir des 
millions de MAC, pas de routes v4 préfixées, ou de classes de QoS 
hierarchiques. 
Donc ça fait du routage, ça fait du MPLS même, mais faut pas réver non plus 
on peut pas magiquement le transformer en PE. 
En metroethernet switch ou en routeur P, oui, à condition de bien vérifier 
ses besoins en terme de QoS et d'encapsulation (notamment le QinQ NSTO = 
Not So Transparent Obviously). 

Attention à l'OS aussi, et aux demons de routage. Mieux vaut partir avec un 
NOS payant mais avec du support, à moins de savoir (vraiment) tatilloner le 
kernel et débugguer l'API SAI qui permet la communication avec l'ASIC. 
Openswitch (en fait un Dell OS 10 en mode community) est un bon départ pour 
se former, mais je conseille de partir sur un vrai NOS si on veut partir en 
prod (OCNOS, OS10EE). 

Pour un PE qui tient N x millions de routes et si pas de grosses 
contraintes sur les ports, un bon vieux serveur des familles, un Linux 
DPDK-FRRisé (par une vraie boite de logiciel qui sait faire, hein, apt-get 
install all-and-it-magically-works ne fonctionne pas, même avec le -f qui 
va bien), et tu peux avoir un routeur sympa. Un slot PCIe 3.0x8 c'est line 
rate à 64Gbit/s donc une quad 10G dessus, ou une 2 x 25G ça passe. 1 x 100G 
ou 2 x 40G splittée en 8 x 10G ça passe sur un PCIe x16. 
Sur un serveur 2U bi CPU, ça commence à faire quelques ports. 
Après faut pas réver, c'est pas gratuit, et un ASR ou MX au broke (des fois 
même neuf) sera surement moins cher. Mais y a d'autres intérêts à tourner 
en soft pur. 

En route reflector basique (pas d'adress familly trop exotique), pas photo, 
un serveur à la con (récup, broke, VM) en 2 x 1G, avec FRR, le tour est 
joué. Le nombre de routes ne sera limité que par la RAM. 


Le jeu. 13 sept. 2018 à 18:35, Michel Py  
a écrit : 

> >> Philippe Bourcier a écrit : 
> >> Si j'étais fabricant de switchs... que je n'avais pas de gamme de 
> >> routeurs, mais que ca m'intéresse quand même d'attaquer ce marché par le 
> >> bas (petits ISPs, etc)... ce serait un truc que je creuserais, 
> clairement. 
> 
> > Jérôme Nicolle a écrit : 
> > À quoi bon s'emmerder alors que des ASIC juste un cran au dessus 
> (Jericho ou Qumran 
> > avec BCM52311) peuvent largement encaisser des millions de routes ? 
> 
> Le prix ? Quelle est la différence entre un switch qui a une FIB de 8K et 
> un qui a une FIB de 2 

[FRnOG] [JOBS] Ingénieur système / Lille (cdi)

[Alexandre DERUMIER]

Odiso, filiale du groupe M6, est une structure à taille humaine en pleine 
croissance. 

Nous proposons des solutions d’hébergement et d’infogérance on premise et cloud.


Nous intervenons aussi sur des prestations d’audit, de la formation et de 
l’assistance technique. 
Nos forces sont la haute disponibilité, la webperf et surtout une équipe à 
toute épreuve. 
Nous travaillons en agilité dans un domaine passionnant en évolution constante 
et fortement axé sur les solutions Open Source. 
Pour continuer à développer notre activité, nous recherchons un SysAdmin (H/F).


Vos Missions

- Participer à la conception de nos infrastructures avec des notions fortes de 
continuité de services, 
  de performances, d’automatisations en mesurant le tout et surtout en 
amélioration continue.
- Concevoir et accompagner à la mise en place de projets haute-disponibilité et 
haute-performance 
  pour nos clients mais aussi pour les projets M6 Web
- Maintien en Condition Opérationnelle de nos différentes plate-formes.
- Nourrir votre curiosité sur des technologies innovantes, libres et opensource.
- Créer et maintenir des procédures opérationnelles.
- Automatiser, Tester et Mesurer aux maximum toutes tâches.
- Et surtout vous faire plaisir ! Ce n’est pas le monde des bisounours, 
  mais c’est quand même plus sympa de travailler en aimant ce qu’on fait.

L’environnement technique

Systèmes : GNU/Linux Debian & CentOS, Windows server.
Services Web : Apache, Nginx, PHP-FPM, Varnish, IIS.
Service Load Balancing : Haproxy, Corosync, Pacemaker.
Stockage : Ceph.
Bases de données : MySQL, SQL Server, Postgresql, MongoDB, Elasticsearch.
Virtualisation : KVM, Proxmox.
Supervision : Icinga2, InfluxDB, Grafana.
Gestion des configurations : Puppet.
Scripting : Perl, Bash, Python.
Contenaire : Docker, Kubernetes.
Environnements : On premise, GCP, AWS.


Pour postuler : 

https://www.odiso.com/recrutement/ingenieur-sysadmin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Alexandre DERUMIER]

Notez que le kernel linux a également un rate limit par default sur icmp.

Si je me souviens, c'est dans le cas d'un iptables REJECT, en udp, où un packet 
icmp (Destination Unreachableà doit être envoyé pour dire que le port est fermé.
(l'équivalent du RST en tcp). 
c'est pour eviter de flooder en cas de spoof d'ip source.


  icmp_ratelimit (integer; default: 1000; since Linux 2.4.10)
  Limit  the  maximum rates for sending ICMP packets whose type 
matches icmp_ratemask
  (see below) to specific targets.  0 to disable any limiting, 
otherwise the  minimum
  space between responses in milliseconds.

   icmp_ratemask (integer; default: see below; since Linux 2.4.10)
  Mask made of ICMP types for which rates are being limited.

  Significant bits: IHGFEDCBA9876543210
  Default mask: 00110011000 (0x1818)

  Bit definitions (see the Linux kernel source file 
include/linux/icmp.h):

  0 Echo Reply
  3 Destination Unreachable *
  4 Source Quench *
  5 Redirect
  8 Echo Request
  B Time Exceeded *
  C Parameter Problem *
  D Timestamp Request
  E Timestamp Reply
  F Info Request
  G Info Reply
  H Address Mask Request
  I Address Mask Reply

  The  bits marked with an asterisk are rate limited by default 
(see the default mask above).
- Mail original -
De: "Michael Bazy" 
À: "Michel Py" 
Cc: "VALOIS, Pascal" , "frnog" , 
"Guillaume Tournat" 
Envoyé: Mercredi 29 Août 2018 10:56:20
Objet: RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

Côté support, je reconnais qu'ils ont à peu près le même problème que beaucoup 
d'autres (gros) éditeurs : le niveau 1 qui comprend souvent les trucs à côté 
(je les soupçonne d'être payés au nombre de tickets clôturés sans être 
escaladés). 

Mon best practice pour ça est de choisir un bon presta pour t'accompagner. 

Ou sinon prendre un TAM, mais c'est (beaucoup) plus cher. 

Michael 

-Message d'origine- 
De : Michel Py  
Envoyé : mercredi 29 août 2018 00:16 
À : Guillaume Tournat  
Cc : Michael Bazy ; VALOIS, Pascal 
; frnog@frnog.org 
Objet : RE: [FRnOG] [MISC] Fortigate et traceroute : la honte 

> Guillaume Tournat a écrit : 
> On parle de paquets avec TTL expiré, qui devraient donc être rejetés. 
> Qu’il y ait du throttle la dessus, ça ne me choque pas. 

Cà devrait être ma décision, pas la leur. C'est pas choquant, mais 1 packet par 
seconde faut qu'ils arrêtent de fumer la moquette. 

En plus, leur support technique qui comprend rien essaie de m'expliquer que 
c'est çà qui bloque mon traceroute en sortant, alors qu'il n'y a aucun rapport. 
Ce lien était à propos des traces de l'extérieur, ce qui reste honteux. 

Marche sans problème avec Sophos, Untangle, ASA, OPNSense et pfSense !!! Mais 
pas avec Fortigate, parce qu'ils se croient plus intelligents que le reste du 
monde. 

Michel. 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Solution de Visio Conf ?

[Alexandre DERUMIER]

sinon, 

en full webrtc, il y a jitsi meet (full opensource)

soit en saas (gratuit)

https://meet.jit.si/

et il y a également de moyen de d'installer un serveur local.


(après faut un petit rasperry ou autre pour piloter la camera)



- Mail original -
De: "SIMANCAS Hugo" 
À: "Jérôme Quintard" 
Cc: "frnog-misc" 
Envoyé: Vendredi 24 Août 2018 15:26:55
Objet: RE: [FRnOG] [MISC] Solution de Visio Conf ?

Super, merci @ tous pour vos réponses. 

Hugo 

De : Jérôme Quintard  
Envoyé : mercredi 22 août 2018 00:10 
À : SIMANCAS Hugo  
Cc : frnog-m...@frnog.org 
Objet : Re: [FRnOG] [MISC] Solution de Visio Conf ? 

Hello de Solaborate. Se pose sur un TV. Supporte Skype, Skype Pro, Webex et de 
très nombreux autres pour 449$. J’en ai une vingtaine dans les salles de 
réunion c’est plutôt simple mais ça reste un androïd avec les app associées. 

https://www.solaborate.com/hello 

Vidéo très bonne mais son pas suffisant à mon goût (la v2 qui arrive va 
corriger ce soucis). 

Jérôme 


Le 20 août 2018 à 12:32, SIMANCAS Hugo 
mailto:hugo.siman...@humansconnexion.com>> a 
écrit : 
Bonjour, 

J’aurais deux salles à équiper en Visio conf avec grand écran, caméra …. 
Auriez vous une solution pas trop cher mais intéressante ? 

Merci d’avance 

Hugo 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Thèse Pro: Le SDN est-il le future des réseaux ?

[Alexandre DERUMIER]

>>Y a nécessairement une couche réseau aussi chez ovh quand tu prends un 
>>virtual rack etc... c’est à ça que je pensais! 


https://www.ovh.com/fr/blog/vrack-3-0-le-reseau-prive-dovh-revu-de-fond-en-comble-pour-continuer-a-anticiper-les-besoins-des-projets-it/

vrack 2.0, c'etait du simple QinQ
vrack 3.0, c'est du vxlan.

la version 3.0 semble distribuée, il y a peut être un control plane séparé 
(evpn bgp ?)
- Mail original -
De: "David Ponzone" 
À: "sebastien lesimple" 
Cc: "Michel Py" , "Maxime KIEFFER" 
, "frnog-misc" 
Envoyé: Vendredi 17 Août 2018 14:22:13
Objet: Re: [FRnOG][MISC] Thèse Pro: Le SDN est-il le future des réseaux ?

Y a nécessairement une couche réseau aussi chez ovh quand tu prends un virtual 
rack etc... c’est à ça que je pensais! 

David Ponzone 



> Le 17 août 2018 à 11:38, Sébastien Lesimple  
> a écrit : 
> 
> David, tu confondrait pas virtualisation des fonction réseau avec réseau 
> définis par les applications? 
> (SDN Vs NFV) 
> Pour moi, je vois plutôt les interfaces de commandes OVH comme du GUI attaché 
> à du déploiement automatique mode Terraform/Salt/Ansible/you name it... 
> Industrialisation du provisioning en quelques sortes, mais c'est pas du SDN. 
> Seb. 
> 
>> Le 17/08/2018 à 09:35, David Ponzone a écrit : 
>> 
>> Pour moi, c’est essentiellement la séparation du control-plane et 
>> data-plane. 
>> https://en.m.wikipedia.org/wiki/Software-defined_networking 
>> 
>> Après il est clair que c’est (devenu) un mot fourre-tout. 
>> Personne fait de SDN sur la liste ? 
>> 
>> Sur le fond, un hébergeur comme OVH qui permet à ses clients de tout 
>> commander en ligne en quelques minutes, c’est du « SDN » ou pas ? 
>> 
>> David Ponzone 
>> 
>> 
>> 
>> Le 17 août 2018 à 04:09, Michel Py  a 
>> écrit : 
>> 
 Maxime KIEFFER a écrit : 
 Si le temps vous manque, je vous encourage toutefois à répondre rapidement 
 à ce petit questionnaire : https://goo.gl/forms/sbTOLtkwZSgARn7b2 ! 
>>> 
>>> T'aurais du attendre vendredi, mais bon comme c'est déjà ici je donnes des 
>>> croquettes : 
>>> 
 Vous faites partie d'une entreprise de taille... * 
 ... petite (<50 personnes) 
 ... moyenne ( 50 - 250 personnes) 
 ... grande (>250 personnes) 
>>> 
>>> Je travaille pour une entreprise de plus de 250 personnes, et c'est une 
>>> petite entreprise. Je pense que moyenne c'est plus de 1000 et grande plus 
>>> de 5000, c'est un autre troll. 
>>> 
>>> En ce qui concerne SDN, j'ai jamais vraiment compris ce que c'était. 
>>> 
 Sébastien Lesimple a écrit : 
 Le SDN ou comment vendre une bouse inutile et hors de prix a des imbéciles 
 qui ne comprennent rien aux réseaux. 
>>> 
>>> J'aurais tendance à plussoyer sur ce coup-là. Un nouveau buzzword, une 
>>> autre couche de peinture sur la merde marketing de l'année dernière. 
>>> Cà fait longtemps que je l'avais pas sorti, mais un dicton populaire dit 
>>> que merde + peinture = propreté. 
> Dicton de la Royale: "Peinture sur merde égale properté" ;) 
>>> 
>>> C'est quoi au juste, SDN ? oui je sais ce que l'acronyme veut dire. Un 
>>> routeur qui sort lui-même de son emballage et qui se configure tout seul en 
>>> lisant les pensées des dirigeants qui lisent la pub de Junisco dans la 
>>> revue qu'ils trouvent sur la table d'attente du dentiste ? 
>>> 
>>> Michel. 
>>> 
>>> 
>>> --- 
>>> Liste de diffusion du FRnOG 
>>> http://www.frnog.org/ 
> 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Thèse Pro: Le SDN est-il le future des réseaux ?

[Alexandre DERUMIER]

>>Pour moi, c’est essentiellement la séparation du control-plane et data-plane. 
>>https://en.m.wikipedia.org/wiki/Software-defined_networking 

Pour moi aussi.
La quasi totalité des SDN utilisent des overlays (vxlan, geneve,) ou 
openflow avec des control planes centralisés ou distribués.

opencontrail, vmware nsx, openstack dragonflow,...

les protocols en dessous sont normalisés, par contre chaque sdn implemente le 
truc à sa sauce niveau controlleur.



>>Personne fait de SDN sur la liste ?

vxlan + bgp evpn (avec FRR ;) en cours de test. (integration sur nos 
hyperviseurs , avec gateway anycast distribuée).

au moins c'est du standard , pas de proprio, et ca fonctionne sous linux, 
arista, cisco, juniper...


- Mail original -
De: "David Ponzone" 
À: "Michel Py" 
Cc: "sebastien lesimple" , "Maxime KIEFFER" 
, frnog-m...@frnog.org
Envoyé: Vendredi 17 Août 2018 09:35:20
Objet: Re: [FRnOG][MISC] Thèse Pro: Le SDN est-il le future des réseaux ?

Pour moi, c’est essentiellement la séparation du control-plane et data-plane. 
https://en.m.wikipedia.org/wiki/Software-defined_networking 

Après il est clair que c’est (devenu) un mot fourre-tout. 
Personne fait de SDN sur la liste ? 

Sur le fond, un hébergeur comme OVH qui permet à ses clients de tout commander 
en ligne en quelques minutes, c’est du « SDN » ou pas ? 

David Ponzone 



Le 17 août 2018 à 04:09, Michel Py  a écrit 
: 

>> Maxime KIEFFER a écrit : 
>> Si le temps vous manque, je vous encourage toutefois à répondre rapidement 
>> à ce petit questionnaire : https://goo.gl/forms/sbTOLtkwZSgARn7b2 ! 
> 
> T'aurais du attendre vendredi, mais bon comme c'est déjà ici je donnes des 
> croquettes : 
> 
>> Vous faites partie d'une entreprise de taille... * 
>> ... petite (<50 personnes) 
>> ... moyenne ( 50 - 250 personnes) 
>> ... grande (>250 personnes) 
> 
> Je travaille pour une entreprise de plus de 250 personnes, et c'est une 
> petite entreprise. Je pense que moyenne c'est plus de 1000 et grande plus de 
> 5000, c'est un autre troll. 
> 
> En ce qui concerne SDN, j'ai jamais vraiment compris ce que c'était. 
> 
>> Sébastien Lesimple a écrit : 
>> Le SDN ou comment vendre une bouse inutile et hors de prix a des imbéciles 
>> qui ne comprennent rien aux réseaux. 
> 
> J'aurais tendance à plussoyer sur ce coup-là. Un nouveau buzzword, une autre 
> couche de peinture sur la merde marketing de l'année dernière. 
> Cà fait longtemps que je l'avais pas sorti, mais un dicton populaire dit que 
> merde + peinture = propreté. 
> 
> C'est quoi au juste, SDN ? oui je sais ce que l'acronyme veut dire. Un 
> routeur qui sort lui-même de son emballage et qui se configure tout seul en 
> lisant les pensées des dirigeants qui lisent la pub de Junisco dans la revue 
> qu'ils trouvent sur la table d'attente du dentiste ? 
> 
> Michel. 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] avis arista 7280R(2) comme routeur edge avec 4 fullview bgp

[Alexandre DERUMIER]

Salut Vincent !

>>Utilises tu du Cumulus/frr avec du support ou vous vous supportez seul avec 
>>la communauté ? 
cumulus/frr

>>Quelle version de FRR est déployée? 

3.2+cl3u3 

>>Combien de ports utilises tu? / as tu besoin? 

4 ports 10G pour les peer, + 2x40g pour l'uplink, et ensuite on a besoin de 4-6 
ports 10G pour brancher des proxy/lb en ecmp


le truc principal qu'on a en ce moment, c'est lorsqu'un peer tombe, frr 
lag/freeze (peut être le cpu, ou un bug frr, un case est ouvert) et watchfrr 
restart le daemon).
et on a également des problèmes à ce moment là avec des peers qui tournent sous 
bird sur nos proxy.


(Why not 6wind turborouter ;)  mais je n'ai pas vu le support du sflow dans la 
doc)



- Mail original -
De: "Vincent JARDIN" <vincent.jar...@6wind.com>
À: "aderumier" <aderum...@odiso.com>, "guillaume barrot" 
<guillaume.bar...@gmail.com>
Cc: "Raphael Mazelier" <r...@futomaki.net>, "frnog" <frnog@frnog.org>
Envoyé: Vendredi 30 Mars 2018 09:05:20
Objet: Re: [FRnOG] [TECH] avis arista 7280R(2) comme routeur edge avec 4 
fullview bgp

Utilises tu du Cumulus/frr avec du support ou vous vous supportez seul avec 
la communauté ? Quelle version de FRR est déployée? 

Combien de ports utilises tu? / as tu besoin? 

Le 30 mars 2018 8:53:46 AM Alexandre DERUMIER <aderum...@odiso.com> a écrit : 

>>> > Meme question : pourquoi avoir autant de full (et meme besoin de full 
>>> > tout 
>>> > court, tu es SP ?). Pour le reste Arista : the new kid on the block, pas 
>>> > parfait mais pour du simple ca fait très bien le taf. 
> 
> Je n'ai pas préciser, on est hébergeur, avec 4 peers actuellement. Traffic 
> franco/francais principalement, donc effectivement, 
> dans le principe, pas besoin d'avoir 700k routes. 
> 
>>> Sinon, un Edge Core ou Dell base Broadcom avec de l'IPinfusion, ça doit le 
>>> faire aussi (cf le Linx) 
> 
> Actuellement on a un edgecore justement (avec cumulus/frr), avec border6 
> qui optimise la fib. (avec 1000 prefix on couvre 90% de notre traffic) 
> Ca marche bien, sauf que on a pas mal de bugs coté frr, ou des freeze du 
> daemon bgp, et le cpu est quand meme bien chargé. 
> (et il manque le support des tunnels GRE, le PBR fonctionne mais c'est un 
> peu hacky on niveau config,...) 
> 
> Comme Arista on est tarifs corrects (vs juniper,cisco,...) on se posait la 
> question d'avoir quelque chose de plus stable. (les 1millions de routes, 
> c'est bonus) 
> 
> 
> (Note, je ne suis l'ingé réseau de la boite, donc je vais laisser mon 
> collègue vous donner plus de détails, histoire de pas dire de betises ;) 
> 
> 
> 
> 
> 
> 
> 
> - Mail original - 
> De: "Guillaume Barrot" <guillaume.bar...@gmail.com> 
> À: "Raphael Mazelier" <r...@futomaki.net> 
> Cc: "frnog" <frnog@frnog.org> 
> Envoyé: Vendredi 30 Mars 2018 01:37:49 
> Objet: Re: [FRnOG] [TECH] avis arista 7280R(2) comme routeur edge avec 4 
> fullview bgp 
> 
> Sinon, un Edge Core ou Dell base Broadcom avec de l'IPinfusion, ça doit le 
> faire aussi (cf le Linx) 
> 
> Le 29 mars 2018 à 22:43, Raphael Mazelier <r...@futomaki.net> a écrit : 
> 
> > On 29/03/2018 20:21, Guillaume Barrot wrote: 
> > 
>> > Avant de te répondre dans le détail, comment arrives-tu à 4 fullview ? Tu 
>> > fais de la DFZ dans des VRF ? 
>> > Tu as besoin de combien de ports / type ? 
>> > 
>> > 
>> > 
> > Meme question : pourquoi avoir autant de full (et meme besoin de full tout 
> > court, tu es SP ?). Pour le reste Arista : the new kid on the block, pas 
> > parfait mais pour du simple ca fait très bien le taf. 
> > 
> > -- 
> > Raphael Mazelier 
> > 
> > 
> > 
> > 
> > --- 
> > Liste de diffusion du FRnOG 
> > http://www.frnog.org/ 
> > 
> 
> 
> 
> -- 
> Cordialement, 
> 
> Guillaume BARROT 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] avis arista 7280R(2) comme routeur edge avec 4 fullview bgp

[Alexandre DERUMIER]

>>> Meme question : pourquoi avoir autant de full (et meme besoin de full tout 
>>> court, tu es SP ?). Pour le reste Arista : the new kid on the block, pas 
>>> parfait mais pour du simple ca fait très bien le taf. 

Je n'ai pas préciser, on est hébergeur, avec 4 peers actuellement. Traffic 
franco/francais principalement, donc effectivement,
dans le principe, pas besoin d'avoir 700k routes.

>>Sinon, un Edge Core ou Dell base Broadcom avec de l'IPinfusion, ça doit le
>>faire aussi (cf le Linx)

Actuellement on a un edgecore justement (avec cumulus/frr), avec border6 qui 
optimise la fib. (avec 1000 prefix on couvre 90% de notre traffic)
Ca marche bien, sauf que on a pas mal de bugs coté frr, ou des freeze du daemon 
bgp, et le cpu est quand meme bien chargé. 
(et il manque le support des tunnels GRE, le PBR fonctionne mais c'est un peu 
hacky on niveau config,...)

Comme Arista on est tarifs corrects (vs juniper,cisco,...) on se posait la 
question d'avoir quelque chose de plus stable. (les 1millions de routes, c'est 
bonus)


(Note, je ne suis l'ingé réseau de la boite, donc je vais laisser mon collègue 
vous donner plus de détails, histoire de pas dire de betises ;)







- Mail original -
De: "Guillaume Barrot" 
À: "Raphael Mazelier" 
Cc: "frnog" 
Envoyé: Vendredi 30 Mars 2018 01:37:49
Objet: Re: [FRnOG] [TECH] avis arista 7280R(2) comme routeur edge avec 4 
fullview bgp

Sinon, un Edge Core ou Dell base Broadcom avec de l'IPinfusion, ça doit le 
faire aussi (cf le Linx) 

Le 29 mars 2018 à 22:43, Raphael Mazelier  a écrit : 

> On 29/03/2018 20:21, Guillaume Barrot wrote: 
> 
>> Avant de te répondre dans le détail, comment arrives-tu à 4 fullview ? Tu 
>> fais de la DFZ dans des VRF ? 
>> Tu as besoin de combien de ports / type ? 
>> 
>> 
>> 
> Meme question : pourquoi avoir autant de full (et meme besoin de full tout 
> court, tu es SP ?). Pour le reste Arista : the new kid on the block, pas 
> parfait mais pour du simple ca fait très bien le taf. 
> 
> -- 
> Raphael Mazelier 
> 
> 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 
> 



-- 
Cordialement, 

Guillaume BARROT 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] avis arista 7280R(2) comme routeur edge avec 4 fullview bgp

[Alexandre DERUMIER]

Bonjour,

quelqu'un aurait-il un retour d'experience sur les arista 7280R (ou R2),

comme routeur bgp edge avec 4 fullview bgp ?

(Surtout au niveau cpu, nombre de routes (apparement 1million -> 2millions (R2))

Fiabilité, stabilité (bug, ralentissements ou autres ...)

Merci D'avance.

Cordialement,

Alexandre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Solution Boitier envoi SMS pour supervision

[Alexandre DERUMIER]

http://www.smseagle.eu/

dual sim et possibilé de HA avec 2 boitiers.

- Mail original -
De: "Lucas Viallon" 
À: frnog-...@frnog.org
Envoyé: Mardi 16 Janvier 2018 18:27:35
Objet: [FRnOG] [BIZ] Solution Boitier envoi SMS pour supervision

Bonjour, 

J'ai un serveur de supervision centreon qui transmet actuellement les 
alertes par sms en en uploadant un fichier en FTP a un boitier opengear 
(qui a une carte sim dedans) 

Je cherche a changer le boitier opengear, quelqu'un utilise ce type de 
hardware ? 

une solution hardware connecté au reseau lan et acceptant une carte sim 

merci pour vos conseils 
Lucas 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VMTHUNES : Ou comment se passer de vmware

[Alexandre DERUMIER]

+1 pour proxmox. On fait tourner 4000vms sans aucun soucis 
(linux,bsd,windows,...)

pour la répartition de charge, effectivement ca manque, mais c'est prévu sur la 
roadmap pour 2018.

(sinon ca peut se scripter avec les api et un peu de monitoring maison)


- Mail original -
De: "Joris SOWKA" 
À: "frnog-tech" 
Envoyé: Vendredi 17 Novembre 2017 16:48:53
Objet: RE: [FRnOG] [TECH] VMTHUNES : Ou comment se passer de vmware

Bonjour la liste, 

Chez nous xenserver + xen-orchestra répondent à ces besoins. 

Joris. 

-Message d'origine- 
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Kevin CHAILLY | Service Technique 
Envoyé : vendredi 17 novembre 2017 16:41 
À : frnog-t...@frnog.org 
Objet : RE: [FRnOG] [TECH] VMTHUNES : Ou comment se passer de vmware 

Bonjour, 

J'en profite pour une question subsidiaire, 

Utilisant actuellement le couple Veeam B + VMware, 

Quelles sont les solutions de backup que vous utilisez sur tous les 
hyperviseurs cités (hors backup par agent / backuppc) ? 

Merci, 

Kévin 

-Message d'origine- 
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Cousin Kevin Envoyé : vendredi 17 novembre 2017 16:28 À : Xavier ROCA Cc : 
Adrien Gillard; Guillaume LAPOUGE; frnog-t...@frnog.org Objet : Re: [FRnOG] 
[TECH] VMTHUNES : Ou comment se passer de vmware 

+1 pour oVirt, qui gagnerait à être connu. 

Le 17/11/2017 à 15:39, Adrien Gillard a écrit : 
> Tu peux aussi regarder du côté d'Ovirt, c'est pas ce que Redhat 
> promeut le plus (RHV pour la version avec le support), mais le projet 
> continue de vivre et offre les fonctionnalités de base de vSphere (vMotion, 
> HA, DRS...). 
> En plus ça s'intègre facilement avec un GlusterFS ou un Openstack. 
> 
> Adrien 
> 
> 2017-11-17 15:18 GMT+01:00 Xavier ROCA : 
> 
>> Nutanix, le seul bémol serait le HA sans coupure lors d'une perte 
>> inattendue d'un nœud là il faut encore 1 mn avec la 5.5 pour repartir 
>> et sans perte 
>> 
>> 
>> Xavier 
>> 
>> -Message d'origine- 
>> De : Guillaume LAPOUGE [mailto:g.lapo...@figa.fr] Envoyé : vendredi 
>> 17 novembre 2017 14:18 À : 'frnog-t...@frnog.org' 
>>  Objet : [FRnOG] [TECH] VMTHUNES : Ou comment 
>> se passer de vmware 
>> 
>> Bonjour chère liste, 
>> Ce matin j’ai voulu renouveler ma maintenance vsphere entreprise. 
>> Et bien les cocos ils arrêtent cette version et obligent à migrer 
>> sois en vsphere standard ou entreprise plus. 
>> Bon déjà je trouve ça scandaleux VMWare est un très bon produit mais 
>> faut pas charrier. 
>> Alors soit : 
>> 
>> - Je paye normal je migre en standard et je perds le DRS et donc 
>> la 
>> répartition de charge, qui est ma foi un minimum sur un cluster de prod. 
>> 
>> - Je paye une blinde « entreprise plus » mais je garde mon DRS. 
>> 
>> Alors pourquoi pas changer mais vers quoi et c’est là que je me pose 
>> des questions. 
>> 
>> - Proxmox : HA mais pas de répartition de charge à ma 
>> connaissance. 
>> 
>> - Openstack : HA oui mais répartition de charge je ne sais pas, 
>> pour un cluster de 2 nœuds et de 50 vm c’est un peu overkill. 
>> 
>> - HyperV : Pas sûr que ce soit moins cher puis berk. 
>> 
>> - Nutanix : connais pas 
>> 
>> Et XEN et autre je connais pas. 
>> 
>> Alors la question est quel produit open source ou autre sait gérer : 
>> 
>> - Le HA 
>> 
>> - La répartition de charge 
>> 
>> - Et permet un backup des vms simple en prod comme VDP. 
>> 
>> - En gardant le principe du stockage san et des nœuds en cluster 
>> donc pas l’hyperconvergé. 
>> 
>> 
>> 
>> 
>> --- 
>> Liste de diffusion du FRnOG 
>> http://www.frnog.org/ 
>> 
>> 
>> 
>> 
>> --- 
>> Liste de diffusion du FRnOG 
>> http://www.frnog.org/ 
>> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Qradar MOA

[Alexandre DERUMIER]

idem ici:


Prefix 1Origin 1Prefix 2Origin 2TypeFirst seen  
Last seen
2a0a:1580::/29  AS34993 2a00::/12   AS12552 Less specific   2017-10-25 
00:00:00 N/A
2a0a:1580::/29  AS34993 2a00::/12   AS12552 Less specific   2017-10-07 
02:47:00 2017-10-20 08:08:00


Note que Qrator on ajouté de nouveaux checks recemments

https://radar.qrator.net/blog/full-path-incidents-and-bogons


je pense que ca inclus ces nouvelles alertes MOAS et bogons.



- Mail original -
De: "Julien Escario" 
À: "frnog" 
Envoyé: Vendredi 3 Novembre 2017 18:09:56
Objet: [FRnOG][TECH] Qradar MOA

Bonsoir, 
Le radar Qrator me remonte une alerte de type MOA sur notre préfixe ipv6. 

A priori, l'AS12552 annonce le préfixe 2a00::/12. OK, c'est less specific mais 
crade quand même et peut potentiellement impacter plusieurs d'entre nous. 

Première fois que ca m'arrive. On fait quoi dans ce cas là ? Un petit mail à 
leur noc ? D'après leur fiche sur qrator, je crois pouvoir dire que ce sont des 
sagouins (https://radar.qrator.net/as12552), il y a de bonnes chances qu'ils 
s'en foutent royalement. 

Julien 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Refonte infrastructure

[Alexandre DERUMIER]

Quelqu'un rancher en prod ?

j'ai commencer à regarder openshift, mais c'est vraiment l'usine à gaz, surtout 
pour gérer plusieurs clusters.

J'avais vu une demo de rancher au Paris container day, et ca semblait vraiment 
bien foutu.

Rancher permet de deployer du kubernetes,swarm,cattle(l'orchestrateur de 
rancher), et spawner des instances sur des machines local,google,aws,...


(On compte commencer à mettre en prod du docker l'année prochaine, pour du 
stateless only (pas de bdd ou autre, uniquement des applis php,node,...)


- Mail original -
De: "Sébastien Lesimple" 
À: "Nicolas Girardi" , "Tristan Mahé" 

Cc: frnog@frnog.org
Envoyé: Vendredi 22 Septembre 2017 15:12:51
Objet: Re: [FRnOG] [BIZ] Refonte infrastructure

Dommage de ne pas avoir pensé à Outscale à la place d'AWS ;) 

Le 22/09/2017 à 08:15, Nicolas Girardi a écrit : 
> Bonjour, 
> 
> DS2I nous accompagne actuellement sur une migration vers le cloud (AWS) avec 
> du : 
> - terraform 
> - consul/service discovery 
> - packer 
> - EC2 : ES, MySQL 
> - Services Managés (en remplacement de RabbitMQ) 
> - ELB 
> - Autoscaling 
> - route53 
> 
> L’objectif étant de faire du déploiement blue/green 
> 
> PS : ils viennent d’être racheté par DevoTeam. 
> 
> Cdlt. 
> 
> Nicolas Girardi. 
> 
>> Le 22 sept. 2017 à 00:25, Tristan Mahé  a écrit : 
>> 
>> Docker en prod ? ;) 
>> 
>> On n'est pas vendredi, grrr... 
>> 
>> Tu n'as pas indiqué la techno d'autoprovisionning que vous utilisez au 
>> fait ( Ansible ? Chef ? Puppet ? ... ), ce qui pourrait te permettre de 
>> monter baremetal sur differents fournisseurs, ou t'affranchir de ton 
>> fournisseur de cloud sans pour autant 
>> 
>> tomber dans le fossé docker en prod avec publish sur un repo privé de 
>> tes images ( quid du maintenir l'os a jour etc... il y as suffisament de 
>> litterature sur le sujet si tu es curieux ;) ). 
>> 
>> My 2cents. 
>> 
>>> On 09/21/2017 02:04 PM, Gaël Demette wrote: 
>>> Bonsoir la liste, 
>>> 
>>> Aujourd'hui se pose la question de modifier notre infrastructure, 
>>> actuellement exclusivement chez AWS (Ireland), en effet notre stack à 
>>> la base assez simple commence à se complexifier avec nos évolutions à 
>>> venir. Du coup, Elastic Beanstalk commence à ne plus être suffisant. 
>>> On voudrait surtout en profiter pour abstraire le fournisseur de 
>>> Cloud. Malheureusement, notre petite startup n'a pas le temps de faire 
>>> tout cela, et souhaiterait étudier la possibilité d'externaliser ces 
>>> évolutions. 
>>> 
>>> J'avais en tête de tout passer sur Docker. Il faudrait donc faire 
>>> cette prestation, ainsi que nous former sur le fonctionnement de 
>>> l'infrastructure faite. 
>>> 
>>> Stack actuel : 
>>> 
>>> * S3 pour deux applications EmberJS (SPA) 
>>> * AWS Elastic Beanstalk (Avec nginx + NodeJS) -> Deux environnements, 
>>> le premier l'API (REST et websockets), le second une app NuxtJS (SPA 
>>> avec server-side rendering) 
>>> * AWS ElastiCache (Redis) 
>>> * Simple replicaset MongoDB (sur des EC2) 
>>> 
>>> Stack cible : 
>>> 
>>> * ArangoDB 
>>> * RabbitMQ (non fixé, si vous avez des suggestions sur des 
>>> alternatives, on est ouvert) 
>>> * MongoDB (On ne souhaite pas tout migrer sur ArangoDB d'un coup sans 
>>> plus de feedbacks) 
>>> * Plus de EmberJS 
>>> * Probablement plus de Redis (Pub/Sub couverte par RabbitMQ, key-value 
>>> storage couvert par ArangoDB), ça ne me gène pas de rester sur 
>>> ElastiCache le temps que nos devs fassent le nécessaire ;) 
>>> * Trois environnements "AWS Elastic Beanstalk like", API + Website 
>>> (NuxtJS) + Backoffice (Anciennement les deux apps EmberJS, 
>>> nouvellement NuxtJS avec Server side rendering) 
>>> 
>>> Mon rêve serait d'avoir une infra qu'on puisse utiliser tant pour 
>>> mettre en place des environnements à la volée, identiques à la prod, 
>>> et ce de manière agnostique du fournisseur de serveurs / cloud, Docker 
>>> semblait faire sens ici. "Plus qu'à" ajouter un système permettant de 
>>> scale, monitor, et self heal et on est bon. 
>>> 
>>> Il me faudrait des propositions commerciales pour ce genre de 
>>> prestation, n'hésitez pas à me contacter en privé, avec un ordre de 
>>> prix. Et en me demandant les informations qu'il vous faudrait pour un 
>>> devis. Il me faudra un devis assez détaillé pour que je puisse choisir 
>>> en retirant des choses dedans si le budget ne correspond pas. Il va 
>>> falloir que l'on fasse ces évolutions, mais peut être pas tout d'un 
>>> coup (Si seulement mes budgets étaient illimités...) 
>>> 
>>> En vous souhaitant une bonne soirée, 
>>> 
>>> Gaël 
>>> 
>>> 
>>> --- 
>>> Liste de diffusion du FRnOG 
>>> http://www.frnog.org/ 
>> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 



--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 

Re: [FRnOG] [ALERT] Rupture entre Orange et Azure

[Alexandre DERUMIER]

Idem vers ogone et paypal également, tout refonctionne depuis quelques minutes


- Mail original -
De: "Sylvain Rabot" <sylv...@abstraction.fr>
À: "aderumier" <aderum...@odiso.com>
Cc: "frnog-alert" <frnog-al...@frnog.org>
Envoyé: Mercredi 28 Juin 2017 11:40:12
Objet: Re: [FRnOG] [ALERT] Rupture entre Orange et Azure

Pour info c'est revenu à la normale pour Azure depuis quelques minutes. 

2017-06-28 11:34 GMT+02:00 Alexandre DERUMIER < [ mailto:aderum...@odiso.com | 
aderum...@odiso.com ] > : 


Bonjour, 

serait il possible qu'il y ait des problèmes entre Orange et Ogone ( [ 
http://secure.ogone.com/ | secure.ogone.com ] ) ? 

C'est le premier jours des soldes, et j'ai pas mal de remontées d'alertes de 
clients mobile qui n'arrivent pas à se connecter à ce domaine (pour le 
paiement) 




- Mail original - 
De: "Sylvain Rabot" < [ mailto:sylv...@abstraction.fr | sylv...@abstraction.fr 
] > 
À: [ mailto:frnog-al...@frnog.org | frnog-al...@frnog.org ] 
Envoyé: Mercredi 28 Juin 2017 11:30:13 
Objet: [FRnOG] [ALERT] Rupture entre Orange et Azure 

Bonjour, 


Il semblerait que depuis ce matin il y ait une rupture entre Orange et 
Azure. Office 365 semble être affecté aussi. 

Cordialement. 

-- 
Sylvain Rabot < [ mailto:sylv...@abstraction.fr | sylv...@abstraction.fr ] > 

--- 
Liste de diffusion du FRnOG 
[ http://www.frnog.org/ | http://www.frnog.org/ ] 







-- 
Sylvain Rabot < [ mailto:sylv...@abstraction.fr | sylv...@abstraction.fr ] > 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Rupture entre Orange et Azure

[Alexandre DERUMIER]

Bonjour,

serait il possible qu'il y ait des problèmes entre Orange et Ogone 
(secure.ogone.com) ?

C'est le premier jours des soldes, et j'ai pas mal de remontées d'alertes de 
clients mobile qui n'arrivent pas à se connecter à ce domaine (pour le paiement)




- Mail original -
De: "Sylvain Rabot" 
À: frnog-al...@frnog.org
Envoyé: Mercredi 28 Juin 2017 11:30:13
Objet: [FRnOG] [ALERT] Rupture entre Orange et Azure

Bonjour, 


Il semblerait que depuis ce matin il y ait une rupture entre Orange et 
Azure. Office 365 semble être affecté aussi. 

Cordialement. 

-- 
Sylvain Rabot  

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] mission DBA galera cluster très urgent !

[Alexandre DERUMIER]

>notre cluster galera vient de tomber et je ne parvient pas à le récupérer. 
>>On peut ce satisfaire d'une récupération sur un seul nœud. 

tu devrais pouvoir boostraper un noeud sans probleme,

simplement en modifiant le my.cnf

wsrep_cluster_address = gcomm://

et un mysql start.





- Mail original -
De: "catalan dougwald" 
À: frnog-j...@frnog.org
Envoyé: Lundi 15 Mai 2017 07:20:09
Objet: [FRnOG][JOBS] mission DBA galera cluster très urgent !

Bonjour, 

notre cluster galera vient de tomber et je ne parvient pas à le récupérer. 
Le backup a pas joué sont rôle. 
Il nous faut l'aide urgente d'un DBA pour rétablir le service. 

Cluster multi-master de 2 machines + 2 garb. 
Environ 70 Go de données sur 150 tables. 
On peut ce satisfaire d'une récupération sur un seul nœud. 

C'est très urgent. 

Merci. 

06 50 27 34 68 
catal...@meta-gen.com 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Threshold monitoring, autre soft a part smokeping ?

[Alexandre DERUMIER]

Grafana permet d'envoyer des alertes sur seuil depuis la dernière version.

c'est juste un peu plus compliqué pour configurer le pooling snmp. (nous on le 
fait avec telegraf qui envoi dans influxdb)


- Mail original -
De: "marc celier" 
À: "frnog-tech" 
Envoyé: Jeudi 27 Avril 2017 12:21:11
Objet: [FRnOG] [TECH] Threshold monitoring, autre soft a part smokeping ?

Bonjour a tous, 
J'aimerai mettre en place un outil de surveillance des seuils et generer des 
alertes en cas de franchissement. Je sais que smokeping gere cela comme il 
faut. 
ma question est de savoir, s'il existe un outil qui effectue des correlations 
entre les evenements, et qui genere uniquement une alerte lorsque ce 
depassement de seuil intervient simultanement sur plusieurs interfaces ? 
Merci. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution Anti DDOS

[Alexandre DERUMIER]

sinon, pas trop cher mais pas opensource

Wanguard 

https://www.andrisoft.com/


- Mail original -
De: "Xavier Beaudouin" 
À: "ST Batignolles" 
Cc: "frnog-tech" 
Envoyé: Mercredi 29 Mars 2017 09:22:17
Objet: Re: [FRnOG] [TECH] Solution Anti DDOS

Hello, 

Si tu n'arrives pas détailler ton traffic par VLAN, ca doit dépendre de ton 
matériel qui t'envoie du netflow / whatever. 

Fastnetmon vas detecter (rapidement) les DDoS, après c'est toi d'agir. A noter 
qu'il ne fait pas de mitigation L7 (eg filtrer la merde et te ressortir un 
traffic propre) mais peux te virer le traffic parasite SI tes équipements 
supportent BGP Flowspec Et encore c'est du "grossier" :) 

Dernier point: pas de support IPv6 la dernière fois que j'ai matté le code. 

Xavier 

- Mail original - 
> De: "ST Batignolles"  
> À: "frnog-tech"  
> Envoyé: Mardi 28 Mars 2017 23:45:46 
> Objet: [FRnOG] [TECH] Solution Anti DDOS 

> Bonjour, 
> 
> Je suis à la recherche d’une solution anti DDOS (open source). 
> 
> Actuellement j’utilise Nfsen, et n’arrive pas à détailler mon traffic 
> (vlans). 
> 
> Merci 
> 
> Stéphane 
> 
> --- 
> 
> Liste de diffusion du FRnOG 
> 
> http://www.frnog.org/ 
> 
> 
> --- 
> Liste de diffusion du FRnOG 
> http://www.frnog.org/ 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution Anti DDOS

[Alexandre DERUMIER]

Bonjour,

Peux-être

"fastnetmon" pourrait répondre à ton besoin.


https://github.com/pavel-odintsov/fastnetmon
https://fastnetmon.com/


"Complete BGP Flow Spec support, RFC 5575
Process and distinguish incoming and/or outgoing traffic
Trigger block/notify script if an IP exceeds defined thresholds for 
packets/bytes/flows per second
Thresholds can be configured per-subnet with the hostgroups feature
Announce blocked IPs via BGP to routers with ExaBGP
GoBGP integration for unicast IPv4 announcements (you need build support 
manually).
Full integration with Graphite and InfluxDB
API (you need build support manually)
Redis integration
MongoDB integration
Deep packet inspection for attack traffic
netmap support (open source; wire speed processing; only Intel hardware NICs or 
any hypervisor VM type)
SnabbSwitch support (open source, very flexible, LUA driven, very-very-very 
fast)
Filter NetFlow v5 flows or sFLOW packets with LUA scripts (useful for excluding 
particular ports)
Supports L2TP decapsulation, VLAN untagging and MPLS processing in mirror mode
Works on server/soft-router
Detects DoS/DDoS in as little as 1-2 seconds
Tested up to 10Gb with 12 Mpps on Intel i7 3820 with Intel NIC 82599
Complete plugin support
Captures attack fingerprints in PCAP format
Complete support for most popular attack types
"


- Mail original -
De: "ST Batignolles" 
À: "frnog-tech" 
Envoyé: Mardi 28 Mars 2017 23:45:46
Objet: [FRnOG] [TECH] Solution Anti DDOS

Bonjour, 

Je suis à la recherche d’une solution anti DDOS (open source). 

Actuellement j’utilise Nfsen, et n’arrive pas à détailler mon traffic 
(vlans). 

Merci 

Stéphane 

--- 

Liste de diffusion du FRnOG 

http://www.frnog.org/ 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: RE : RE: [FRnOG] [TECH] Analyser de traffic (mise en forme)

[Alexandre DERUMIER]

>>+ 1 pour ELK ( ou en ce qui me concerne EK, je n'utilise pas Logstash )

Chez nous, on utilise packetbeat pour analyser les flux réseaux en live, avec 
envoi direct dans elastic
https://www.elastic.co/products/beats/packetbeat

(de plus il y a des dashboard kibana fournis pour http/mysql/smtp,etc)



- Mail original -
De: "edouard chamillard" 
À: "Benjamin" , "Sylvain sbu" , 
"frnog-tech" 
Envoyé: Dimanche 12 Juin 2016 01:26:25
Objet: RE : RE: [FRnOG] [TECH] Analyser de traffic (mise en forme)



Jvais etre tres con et tres basique. C'est quoi ce que vous cherchez. Parce que 
des solutions on en a des kilos pour cent francs, mais faudrais ptet y mettre 
des problemes specifiques en face. Sinon jvais encore vendre du solarwinds ;) 


Envoyé de mon Galaxy S5 4G+ Orange 

 Message d'origine  
De : Benjamin  
Date : 11/06/2016 22:58 (GMT+00:00) 
À : 'Sylvain sbu' , frnog-t...@frnog.org 
Objet : RE: [FRnOG] [TECH] Analyser de traffic (mise en forme) 

Bonjour La liste ! 

+ 1 pour NTopNG 
+ 1 pour ELK ( ou en ce qui me concerne EK, je n'utilise pas Logstash ) 

NTopNG est top pour la capture de paquet, la génération/suivi des flux et le 
DPI, et en plus il possède une option pour exporter les flux terminés dans 
Elastic. 
Derrière un Kibana pour générer les petits camemberts ect et tadaaa !!! tu as 
ce qu'il faut ! Et le chef est content ! 

Des plugins Kibana peuvent être intéressants : 
https://github.com/elastic/kibana/wiki/Known-Plugins 

Petit bémol, je ne sais pas si c'est ma config, mais mon NTopNG n'est pas super 
stable, j'ai pas mal de Segfault ... si ça parle à qqun ? 

Bonne soirée. 
Benjamin. 


-Message d'origine- 
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Sylvain sbu 
Envoyé : mardi 7 juin 2016 12:48 
À : frnog-t...@frnog.org 
Objet : [FRnOG] [TECH] Analyser de traffic (mise en forme) 

Bonjour, 
Le sujet a peut être déjà été abordé, mais je recherche un analyser de traffic 
pour chefs Qui générerait (facilement) one shoot ou journalierement des beau 
graphs pour chefs (camemberts, barre graphes etc..) avec le trafic par app 
(http, mail etc...) en fonction d'une capture de trafic ou de syslog adéquate. 
Si qqun à des soft a proposer 
cdt 
SBU 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Using RIPE Atlas to Debug Network Connectivity Problems

[Alexandre DERUMIER]

Merci pour l'info

On a une petite sonde chez nous,

est-ce que ca vaut le coup de d'acheter un atlas anchor ?

- Mail original -
De: "Stéphane Bortzmeyer" 
À: "frnog-tech" 
Envoyé: Mardi 10 Mai 2016 21:40:25
Objet: [FRnOG] [TECH] Using RIPE Atlas to Debug Network Connectivity Problems

Vous avez certainement entendu parler des sondes RIPE Atlas, vous en 
avez probablement une dans votre réseau mais vous n'avez peut-être pas 
encore eu le temps de vous mettre à les utiliser pour déboguer vos 
problèmes. Si c'est le cas, voici une doc qui peut vous aider (moi, en 
tout cas, cela m'aide) : 

https://labs.ripe.net/Members/stephane_bortzmeyer/using-ripe-atlas-to-debug-network-connectivity-problems
 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a déjà essayé ?

[Alexandre DERUMIER]

Ah propos de dpdk, je viens de voir une news sur le project cloudrouter,
qui vient d'ajouter le support de dpdk dans la version 3.0

https://cloudrouter.org/

Je vais essayer de le tester également

- Mail original -
De: "Vincent Bernat" 
À: "Michel Py" 
Cc: "Francois Romieu" , "Vincent JARDIN" 
, frnog@frnog.org
Envoyé: Dimanche 1 Mai 2016 19:24:16
Objet: Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a 
déjà essayé ?

❦ 1 mai 2016 17:10 GMT, Michel Py  : 

> Puisqu'on est sur dans le sujet des performance routeur logiciel, 
> est-ce que quelqu'un a essayé de faire passer du vrai trafic dans une 
> Olive ou un IOU ? 

Le vMX utilise DPDK pour obtenir de bonnes perfs. Peu probable que tu 
arrives à quoi que ce soit avec Olive ou IOU. 
-- 
Treat end of file conditions in a uniform manner. 
- The Elements of Programming Style (Kernighan & Plauger) 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a déjà essayé ?

[Alexandre DERUMIER]

> Je ne connaissais pas du tout 6wind, mais les spec sont assez impressionnates 
> 
> http://www.6wind.com/products/6wind-turbo-router/ 
> 
> Il y a des appliances ? ou alors c'est une simple distro que tu peux deployer 
> sur des serveurs ? 
> 

>>Tu as l'option soit de mettre des packages (ex. .deb) sur une 
>>distribution ou bien le tout packagé avec une distribution que tu peux 
>>booter directement. 

> Autre question, est-ce qu'on a des perfs identiques dans une vm ? 
> (qemu-kvm/dpdk/vhost-user ?) 

>>"oui" , c'est même un des gros intérêts. 

Ca a l'air vraiment interessant, effectivement


Et au niveau tarifs ? (je sais pas si c'est le bon endroit pour poser la 
question ?)





- Mail original -
De: "Vincent JARDIN" <vincent.jar...@6wind.com>
À: "aderumier" <aderum...@odiso.com>
Cc: "Vincent Bernat" <ber...@luffy.cx>, "Michel Py" 
<mic...@arneill-py.sacramento.ca.us>, "raf" <r...@futomaki.net>, frnog@frnog.org
Envoyé: Lundi 2 Mai 2016 11:15:00
Objet: Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a 
déjà essayé ?

Le 02/05/2016 11:01, Alexandre DERUMIER a écrit : 
> Je ne connaissais pas du tout 6wind, mais les spec sont assez impressionnates 
> 
> http://www.6wind.com/products/6wind-turbo-router/ 
> 
> Il y a des appliances ? ou alors c'est une simple distro que tu peux deployer 
> sur des serveurs ? 
> 

Tu as l'option soit de mettre des packages (ex. .deb) sur une 
distribution ou bien le tout packagé avec une distribution que tu peux 
booter directement. 

> Autre question, est-ce qu'on a des perfs identiques dans une vm ? 
> (qemu-kvm/dpdk/vhost-user ?) 

"oui" , c'est même un des gros intérêts. 

Cordialement, 
Vincent 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a déjà essayé ?

[Alexandre DERUMIER]

>>Oui, tu as plusieurs solutions: 
>>- un datapath logiciel sur serveurs (cf 6WIND aussi), là tu peux 
>>monter à 200Mpps @ 64 bytes ; avec ces datapath/fast path, tu peux 
>>utiliser BIRD, Quagga, ExaBPG, Strongswan, Opendaylight, etc...

Je ne connaissais pas du tout 6wind, mais les spec sont assez impressionnates

http://www.6wind.com/products/6wind-turbo-router/

Il y a des appliances ? ou alors c'est une simple distro que tu peux deployer 
sur des serveurs ?

Autre question, est-ce qu'on a des perfs identiques dans une vm ?  
(qemu-kvm/dpdk/vhost-user ?) 





- Mail original -
De: "Vincent JARDIN" 
À: "Vincent Bernat" , "Michel Py" 

Cc: "raf" , frnog@frnog.org
Envoyé: Vendredi 29 Avril 2016 20:15:18
Objet: Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a 
déjà essayé ?

Le 29/04/2016 12:51, Vincent Bernat a écrit : 
> ❦ 29 avril 2016 17:20 GMT, Michel Py  : 
> 
>>> En revanche avant de penser à utiliser packet journey comme 
>>> forwarding plane :), il faut bien évaluer si cela en vaut la peine. 
>>> Est ce que tu fais tant de trafic que tu ait besoin de dpdk ? aka 
>>> supérieur à xGo/s ? Est ce qu'un simple linux/bsd bien tuné ne 
>>> suffirait pas ? 
>> 
>> La carte mentionnée sur la page de Gandi est une 40 Gbit/s (XL710). 
>> 
>> Question de débutant dans ce domaine : un serveur comme ci-dessus, 
>> avec juste BIRD et une distro sans fioritures (pas de DPDK, pas de 
>> packet shader), on peut en sortir quel débit, avec des paquets de 64 
>> octets ? Je me suis laissé dire qu'on dépassait difficilement 1 ou 2 
>> Gbit/s. 
> 
> Ça dépend combien de coeurs tu as sur ta machine, vu que pour du 
> routage, ça scale de manière linéaire sur le nombre de coeurs avec assez 
> peu d'efforts. Sur un proc récent, tu peux viser 2 Mpps par coeur. Du 
> coup, avec un hexacoeur, tu montes à 10G. Il semble qu'avec des noyaux 
> plus récents (> 4), les performances ont été multipliées par 2. Je suis 
> pas très à jour là-dessus. 
> 
> Cependant, via switchdev, l'offloading est désormais intégré dans le 
> noyau Linux et donc avec le bon choix de carte réseau, tu devrais 
> pouvoir sans effort en bénéficier sous peu. C'est le cas avec des 
> Mellanox et cela devrait arriver avec le 4.6. Il y a eu une démo en 100G 
> au dernier NetDev mais en switching uniquement si j'ai bien compris (je 
> n'y étais pas). 
> 

Oui, tu as plusieurs solutions: 
- un datapath logiciel sur serveurs (cf 6WIND aussi), là tu peux 
monter à 200Mpps @ 64 bytes ; avec ces datapath/fast path, tu peux 
utiliser BIRD, Quagga, ExaBPG, Strongswan, Opendaylight, etc... 

- un switch/ASIC + Switchdev c'est encore plus performant, mais tu es 
alors confronté aux limites des ASIC (regarde le nombre de routes par 
exemple). 

Ensuite, tout est une question de prix?! un server x86 avec des cartes 
PCI 40Gbps: c'est bon marché et tu n'auras pas de limitation du 
datapath. En effet, en sous-jacent switchdev te limitera avec les 
capacités de l'ASIC. Mais si tu veux beaucoup de ports 10G/40G, alors il 
y a un point d'inflexion où l'ASIC reste mieux en sacrifiant quelques 
fonctionnels. 

En cartes 40G, tu peux regarder les CX4 de Mellanox ou les cartes Intel. 
Vérifie que tu as bien les bus x16 et Gen3. 

Bons choix, 
Vincent 


--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a déjà essayé ?

[Alexandre DERUMIER]

>>Je confirme: avec un FreeBSD 11-head, branche routing (pour corriger un
>>bug de non-linéarité), c'est en effet environ 1.5Mpps/cœurs et linéaire à
>>condition de n'avoir qu'un seul package physique: Les architectures NUMA
>>posent d'autre problèmes.
>>
>>Exemple, avec un Intel Xeon E5-2650 a 2.6GHz et 8 cœurs (Hyperthreading
>>desactivé), on atteins "presque" les 10Mpps:

est-ce que ca scale avec plus de coeurs ?  (N'y a t il pas une limite sur le 
nombre de queues rx/tx ?)

Car on peux trouver des 24 cores chez intel sur les xeon v4 (2,2ghz), ou alors 
des 8-12 cores à 3ghz

(Mon besoin est autour des 10gbits)


Une chose interessante également avec packet-journey, c'est l'implementation 
des acls avec dpdk également.
Je ne sais pas sous freebsd, mais avec mikrotik par exemple, les perf 
s'effondre dès qu'il y a des acls.
(ca ne passe plus quand le fastpath dans ce cas)




- Mail original -
De: "Olivier Cochard-Labbé" 
À: "Vincent Bernat" 
Cc: "Michel Py" , "raf" 
, frnog@frnog.org
Envoyé: Samedi 30 Avril 2016 18:14:33
Objet: Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a 
déjà essayé ?

2016-04-29 19:51 GMT+02:00 Vincent Bernat : 

> ❦ 29 avril 2016 17:20 GMT, Michel Py  > : 
> 
> >> En revanche avant de penser à utiliser packet journey comme 
> >> forwarding plane :), il faut bien évaluer si cela en vaut la peine. 
> >> Est ce que tu fais tant de trafic que tu ait besoin de dpdk ? aka 
> >> supérieur à xGo/s ? Est ce qu'un simple linux/bsd bien tuné ne 
> >> suffirait pas ? 
> > 
> > La carte mentionnée sur la page de Gandi est une 40 Gbit/s (XL710). 
> > 
> > Question de débutant dans ce domaine : un serveur comme ci-dessus, 
> > avec juste BIRD et une distro sans fioritures (pas de DPDK, pas de 
> > packet shader), on peut en sortir quel débit, avec des paquets de 64 
> > octets ? Je me suis laissé dire qu'on dépassait difficilement 1 ou 2 
> > Gbit/s. 
> 
> Ça dépend combien de coeurs tu as sur ta machine, vu que pour du 
> routage, ça scale de manière linéaire sur le nombre de coeurs avec assez 
> peu d'efforts. Sur un proc récent, tu peux viser 2 Mpps par coeur. Du 
> coup, avec un hexacoeur, tu montes à 10G. Il semble qu'avec des noyaux 
> plus récents (> 4), les performances ont été multipliées par 2. Je suis 
> pas très à jour là-dessus. 
> 


Je confirme: avec un FreeBSD 11-head, branche routing (pour corriger un 
bug de non-linéarité), c'est en effet environ 1.5Mpps/cœurs et linéaire à 
condition de n'avoir qu'un seul package physique: Les architectures NUMA 
posent d'autre problèmes. 
 
Exemple, avec un Intel Xeon E5-2650 a 2.6GHz et 8 cœurs (Hyperthreading 
desactivé), on atteins "presque" les 10Mpps: 

 
https://github.com/ocochard/netbenches/blob/master/Xeon_E5-2650-8Cores-Chelsio_T540-CR/nXxq10g.random.harvest.mask.351/results/fbsd11-routing.r287531/README.md
 

(le harvest.mask mentionné sur ces graphs concerne la configuration des 
sources d'entropie a utiliser: Utilise le trafic Ethernet créer un problème 
de performance avec 8 cœurs ou plus). 

Cordialement, 

Olivier 

--- 
Liste de diffusion du FRnOG 
http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a déjà essayé ?

[Alexandre DERUMIER]

Merci pour les precisions.

J'ai également oublié de préciser que je voulais faire du bgp,
et voir potentiellement remplacer des routeurs hardware vieilissant par du 
logiciel.

Je n'ai jamais essayé quagua, mais si j'ai bien compris
http://www.nongnu.org/quagga/

c'est simplement une suite logiciel de plusieurs daemons (bgpd,zebra,) ?

donc zebra + bgpd , ca devrait être suffisant pour apprendre les routes et les 
injecter dans le kernel,

et ensuite c'est packet-journey qui s'occupe du forwarding via dpdk ?



- Mail original -
De: "Vincent Bernat" <ber...@luffy.cx>
À: "aderumier" <aderum...@odiso.com>
Cc: "frnog-tech" <frnog-t...@frnog.org>
Envoyé: Vendredi 29 Avril 2016 17:04:17
Objet: Re: [FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a 
déjà essayé ?

❦ 29 avril 2016 16:57 +0200, Alexandre DERUMIER <aderum...@odiso.com> : 

> j'imagine que ca doit fonctionner avec quagga en control plane ? (dans 
> la doc ils utilisent zebbra, donc j'imagine que ca doit fonctionner) 

Il n'y a pas besoin de Quagga. Le control plane est packet journey lui 
même. Le configuration plane est le noyau Linux. Tu ajoutes une route 
avec "ip route add", packet journey va être notifié et le prendra en 
compte lors du prochain paquet slow path. 

La doc mentionne bgpd et zebra comme exemple. zebra est le démon de 
Quagga qui reçoit les demandes des autres démons et qui effectue 
l'interface avec le noyau. Cela marcherait aussi avec bird par exemple. 

Par contre, jamais essayé moi même, mais c'est dans la todo liste. 
-- 
Terminate input by end-of-file or marker, not by count. 
- The Elements of Programming Style (Kernighan & Plauger) 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] router linux : quagga + packet-journey , quelqu'un a déjà essayé ?

[Alexandre DERUMIER]

Bonjour,

je suis tombé par hasard sur un projet de Gandi : packet-journey

https://github.com/Gandi/packet-journey

qui permet d'accéler le forwarding des packets sous linux via DPDK (20gbit/s 
annoncé avec des packets de 64bytes sur un petit intel E5-2630L)


Est-ce que quelqu'un l'aurait déjà testé ?

j'imagine que ca doit fonctionner avec quagga en control plane ? (dans la doc 
ils utilisent zebbra, donc j'imagine que ca doit fonctionner)


Si jamais il y a des gens de Gandi qui traine sur la mailing list, ca 
m'interesse d'avoir un retour d'expérience ;)

Cordialement,

Alexandre


---
Liste de diffusion du FRnOG
http://www.frnog.org/