Incident grave sur l’infrastructure le 22.11.2016

Bonjour à toutes et à tous,
comme vous l’avez très probablement constaté hier après-midi (mardi 22 novembre 2016), nous avons rencontré un grave incident sur la plate-forme matérielle de Paris.

Cet incident a engendré une coupure immédiate de presque tous les serveurs physiques sur le site de Paris et donc de tous les serveurs virtuels impactant ainsi tous les services délivrés par Web4all.

N’ont pas été impactés les serveurs situés à Roubaix et en Ariège assurant la redondance des DNS et rétention des emails ainsi que les serveurs assurant des rôles de stockage de données ou de sauvegardes.

Il est assez compliqué d’expliquer sans rentrer dans des détails techniques. Pour résumer nous devions, sur notre système de gestion d’infrastructure de virtualisation, effectuer une modification. Cette modification impacte la gestion des serveurs physiques et a déjà été effectué près d’une dizaine de fois depuis ces trois dernières années sans jamais le moindre souci.

Alors que tout se déroulait correctement (95 % des modifications poussées sur les serveurs), la dernière étape à provoqué une erreur. Mais pas un petit message d’erreur comme cela aurait dû / pu être le cas, l’ensemble des serveurs ont complètement et immédiatement « plantés ».

Nous avons donc relancé tous nos serveurs physiques. La plupart des serveurs virtuels et services ont commencés à redevenir opérationnels.

Cela a duré un peu plus d’une heure avant que l’infrastructure ne retombe à nouveau.

Nous avons alors dû déployer un serveur de gestion indépendant nous permettant de repousser une autre configuration sur les serveurs puis nous avons pu relancer tous les serveurs virtuels et les services.  Dans la mesure où tous les serveurs ont été arrêtés subitement (un peu comme si ils avaient eu une coupure d’alimentation électrique) nous avons eu pas mal de services en erreur de redémarrage à corriger afin que tout cela devienne opérationnel pour vous et vos utilisateurs.

Voici la chronologie des faits (heure de Paris) : 

  • 11H42 : début de l’intervention ;
  • 12H16 : coupure de tous les serveurs physiques ;
  • 12H55 : services opérationnels à 70% ;
  • 14H23 : nouvelle coupure complète des services ;
  • 14H57 : services opérationnels à 80% ;
  • 17H01 : services opérationnels à 90% ;
  • 17H59 : fin de l’incident, 100% des services opérationnels.

La coupure réelle et complète des services est d’environ 1H10.

L’ensemble de la coupure (incluant des services fonctionnant mal) est de 3H15.

Nous avons mis en place un serveur de virtualisation et les outils de gestion, indépendant de l’infrastructure de production pour reproduire le problème… ce que nous parvenons à faire dans 100 % des essais depuis hier soir. Sans trop nous avancer, cela laisse penser à un bug sur le système de virtualisation.

Nous sommes vraiment désolé pour cet incident et vous prions de nous excuser pour cette gêne en espérant que cela ne vous ait pas été trop préjudiciable.

Nous avions prévu en début de semaine de faire un petit article pour revenir sur la soirée de vendredi 18 où nous avons pu célébrer les 10 ans de Web4all mais vous comprendrez que cela est quelques peu repoussé, nous essayons de faire un article pour la fin de la semaine.

N’hésitez pas à suivre nos comptes Twitter, Facebook et la page Travaux dans ces là :

  • https://twitter.com/web4all_fr
  • https://www.facebook.com/Web4all.fr/
  • https://travaux.web4all.fr

Aurélien PONCINI


Pour ceux qui veulent un peu plus d’informations techniques, la modification impactait des switchs virtuels distribués sur nos serveurs ESXi. Nous avons rencontré l’erreur sur le DVs utilisant du LACP alors que les autres DVs ne posaient pas de souci.

Nous avons refait plus de 10 fois la modification depuis hier et à chaque fois nous rencontrons l’erreur sur le DVs utilisant du LACP. Cette intervention a déjà été réalisé à de nombreuses reprises sans jamais provoquer une telle erreur.

Dans tous les cas, comme hier, les serveurs affichent instantanément un PSOD (équivalement du BSOD de Windows).

Nous continuons nos tests et investigations…

En route pour… le BGP / Changement de datacenter

PetitNuage en visite chez NeoTelecoms

Bonjour à toutes et à tous. Une importante opération de maintenance est programmée fin juin, dans la nuit du 28 au 29 et aura un impact sur la disponibilité des services.

De plus les adresses IP de Web4all vont toutes être modifiées au cours de cette nuit. Nous vous invitons donc à lire les explications qui suivent.

Si vous ne souhaitez pas tout lire, rendez-vous sur la partie la plus importante : Avant le déménagement ainsi que la suite : Le déménagement… Au sujet de la coupure : impact

 

 

 

Historique du projet Housing et BGP de 2013 à aujourd’hui

Le 07 avril 2013, Web4all lançait son projet En-route-pour-le-housing et faisait appel à la générosité de ses adhérents, clients, visiteurs pour acquérir une trésorerie permettant d’effectuer la migration avec ses mois de locations en doubles. En quelques jours seulement, l’objectif des 7777 € était atteint et même dépassé ! http://blog.web4all.fr/en-route-pour-le-housing-objectif-atteint/ Encore un grand merci à vous toutes et tous !

Quelques semaines après, le 9 juin 2013, nous réalisions notre premier ping et pouvions avancer sur la migration http://blog.web4all.fr/en-route-pour-le-housing-ca-ping/

L’été fut chaotique en raison de problème de BIOS sur les serveurs de virtualisation. Le problème fut corrigé début août après prêt de 4 semaines de dures journées et nuits de recherches.

Le 25 février 2014 à 11H28 nous recevions ce fabuleux mail de la part du RIPE :

We are pleased to welcome Association WEB4ALL as a Local Internet Registry (LIR) and member of the RIPE NCC.

Web4all obtenait alors le statut de LIR : https://apps.db.ripe.net/search/query.html?searchtext=ORG-AW16-RIPE#resultsAnchor

Le 26 février à 13H16 nous recevions une allocation d’adresses IPv6 :

We have allocated the following prefix of IPv6 address space to your registry fr.web4all: 2a01:9de0::/32

Toujours le 26 février, 13H19, allocation d’adresses IPv4… issu du dernier /8 disponible auprès du RIPE NCC :

We have allocated the following prefix of IPv4 address space to your registry fr.web4all (you will receive the assignment approval shortly): 185.49.20.0/22

Et pour finir, le 27 février à 12H32…… Web4all se voyait attribuer son AS !

The RIPE NCC has today assigned the following Autonomous System Number AS199712 to Association WEB4ALL

Nous allons y revenir dans la suite de cet article mais vous pouvez aussi trouver pas mal d’informations sur un de nos articles précédents : http://blog.web4all.fr/zimbra-attaques-projets-2014-et-salon-solution-linux/#bgp

Avril 2014, nous ajoutions deux serveurs de virtualisation portant à 6 le nombre d’hyperviseur (soit 1.5 To de RAM).

Mai 2014 : Web4all souscrit à une offre Anti-DDOS Arbor Networks, nous vous en parlions là : http://blog.web4all.fr/zimbra-attaques-projets-2014-et-salon-solution-linux/#ddos

Fin juin 2014 : mise en place des nouveaux firewalls, des routeurs BGP, déménagement dans la nouvelle baie, changement des adresses IP

Et nous devrions au cours de l’été 2014 recevoir trois serveurs de virtualisation ainsi qu’une unité de stockage (SAN).

Pourquoi un déménagement / migration

En 2013 Web4all a fait le choix d’une baie d’hébergement avec 46U disponible et 3kVA de capacité électrique. Nous avions alors cela :

  • 2 firewalls
  • 2 switchs 48 ports
  • 2 switchs 24 ports pour l’iSCSI
  • 4 serveurs de virtualisation
  • 1 serveur de backup
  • 1 baie de stockage (DAS)
  • 2 serveurs reliés au DAS pour publier les fichiers des hébergements
  • 1 SAN

Bref, ca donnait ça :

baie_sans_legende2013

 

Avec cela, on avait un peu de marge…

Le soucis, c’est que comme nous venons de le dire, nous avons depuis ajouté deux serveurs de virtualisation et même une baie Equallogic que Web4all s’est faite offrir en début d’année (d’occasion). Bien souvent la limitation dans une baie de serveurs est atteinte non pas la capacité à déposer des équipements… mais plutôt pas la capacité d’alimentation électrique.

Bref, ca donnait ça :

baie_sans_legende2013vs2014

 

A l’heure actuelle, nous dépassons quasiment en permanence cette capacité électrique de 3kVA. Bien que cela ne soit pas gênant en temps normal (nous pouvons monter à 3kVA sur chaque bandeau et nous en avons deux) cela serait une terrible erreur. En cas de perte d’une des arrivées électrique nous perdrions toute redondance car la seule arrivée qui serait encore active serait en limite.

Il s’agit là d’un problème dont nous avions pleinement conscience et nous n’avons pas attendu le mois de mai pour prévoir une issue de secours… Dès le mois de février nous étions en discussion avec notre commerciale de Neo Telecoms pour envisager de changer de baie (notre baie ne permettant pas de monter au-delà des 3kVA).

Après avoir étudié les différents avantages et inconvénients dans les différents datacenter où Neo Telecoms est présent et les différentes capacités électriques disponibles, nous avons optés pour le dernier datacenter Neo Telecoms, inauguré en septembre 2013 en plein cœur de Paris ! Une petite présentation ? 

Nous serons sur une baie de type haute-densité avec une capacité de 5kVA et la possibilité de monter à 7kVA si cela est nécessaire sans déménager à nouveau.

Et donc au final… voilà à quoi va ressembler la baie une fois déménagée et le matériel en cours de commande :

baie_sans_legende2013vs2014vs2014v2

 

Le but de cette opération est donc triple :

  • Mettre en place notre matériel dans une nouvelle baie afin de pouvoir accueillir encore plus de matériel ;
  • Avoir un seul interlocuteur pour le datacenter et réseau. Actuellement nous ne travaillons qu’avec Neo Telecoms mais le datacenter appartient à Equinix. Là nous n’aurons que Neo Telecoms comme interlocuteur ;
  • Mettre en place notre nouveau matériel réseau qui va nous permettre de diffuser notre AS et nos IP.

AS, IP… Késako ?

Le but de cet article n’est pas de détailler les points techniques, si vous souhaitez des informations vous trouverez cela sur mon précédent article : http://blog.web4all.fr/zimbra-attaques-projets-2014-et-salon-solution-linux/#bgp

On pourrait dire que désormais Web4all sera une (toute) petite partie d’Internet. Nous serons identifié en tant que Web4all et non plus Neo Telecoms (et avant 2013 nous sortions en OVH).

Avec la pénurie d’adresses IPv4 les adresses IP coutent chères et sont limités. Chez Neo Telecoms nous n’en avons que 64. Chez OVH 254 mais à plus d’un euros par IP et par mois… cela fait vite un sacré budget.

En devenant LIR, avec notre AS et nos IP nous allons disposer de 1024 adresses IP sans coût direct. Il y a en revanche des coûts indirect : l’infrastructure BGP notamment mais nous ne faisons pas tout cela que pour les IP.

Avant le déménagement

Vous n’avez rien à faire. La préparation est effectuée par Web4all. Manquant de connaissance dans le domaine du routage BGP, Web4all a fait appel à une société dont c’est le métier : un opérateur. Il s’agit de la société INEONET qui nous avait déjà aidé dans le projet en 2013 : http://www.ineonet.com

Un ingénieur d’INEONET travaille déjà avec nous depuis plusieurs semaines (mois, même…) pour préparer tout cela. Il a déjà configuré la partie routage dans leurs ateliers ainsi que les nouveaux firewalls puisque nous remplaçons nos pare-feu par des modèles plus puissants.

Cet ingénieur va monter sur Paris la semaine prochaine afin de mettre en place le matériel avec nous et valider le bon fonctionnement. Si tout est bon, alors nous pourrons passer à l’étape suivante.

Le déménagement… Au sujet de la coupure : impact

Autant ne pas perdre de temps et dire les choses rapidement : il y aura une coupure de service de 02H30 à 05H30 dans la nuit du samedi 28 juin au dimanche 29 juin.

Dans la nouvelle baie, nous aurons déjà les équipements réseaux en place (routeurs et firewalls).

  • Il nous faudra alors démonter de l’ancienne baie tous les serveurs, les baies de stockages, les swicths. Cela prendra environ 45 minutes ;
  • Ensuite nous allons charger le matériel dans nos véhicules et devoir faire la route de Saint-Denis à Paris 2. N’ayant pas d’avertisseur lumineux ou sonore, nous comptons environ 20 minutes de trajet ;
  • Nous déchargerons le matériel et le mettrons en place dans la nouvelle baie. Il faut compter 1H00 ;
  • Nous relançons le tout et effectuons des tests… comptez 30 minutes.

Nous arrivons donc à 2H35 soit 3H00 en laissant une petite marge. Mais il est fort probable si tout se passe correctement que nous parvenions à effectuer les opérations en moins de temps.

Web4all n’est pas en mesure d’avoir une infrastructure doublée pour effectuer une migration sans coupure. Bien que cela ait été étudié, le coût était de plus de 20000 € de matériel à acheter.

Durant ce temps là…

  • Les sites ne seront plus accessibles ;
  • Le webmail et les mails en POP / IMAP ne seront plus accessibles ;
  • Les mails seront TOUJOURS réceptionnés par un serveur dédié à cela chez ONLINE. Aucune perte de mail à prévoir. Il s’agit du fonctionnement habituel des MTA, donc c’est déjà en place ;
  • Les zones DNS seront toujours publiés chez ONLINE et OVH. Aucun impact donc ;
  • quelques personnes avec des polos Web4all courront dans Equinix PA2 et Paris… si vous êtes dehors cette nuit là ne prenez pas peur…

Et après le déménagement / la coupure ?

Web4all devra modifier les zones DNS afin de faire pointer sur les bonnes adresses IP.

  • Si vos zones DNS sont gérées par Web4all (ce qui est le choix par défaut pour vos domaines) alors vous n’aurez rien à faire ;
  • Si vos zones DNS ne sont pas gérées par Web4all alors vous serez contacté sous peu pour gérer cette modification ;
  • Si vous ne savez pas, alors dites-vous que si vous ne recevez pas de mails de notre part d’ici la migration c’est que vous n’avez rien à gérer.

Sachez que Web4all fera en sorte que les flux de l’ancien datacenter soient redirigés sur le nouveau durant quelques jours, la modification des IP dans les zones DNS ne sera donc pas urgente pour les clients gérants leurs zones. Nous vous contacterons dans les jours qui viennent.

Voilà je pense avoir fais le tour. Nous contacterons les clients qui ont des modifications à effectuer d’ici la migration. Pour les autres vous n’avez rien à gérer, Web4all s’en charge.

Une fois tout cela terminé, Web4all travaillera avec ses adresses IP qui ne seront donc plus liés à un fournisseur ni à un emplacement géographique. Nous ne devrions plus avoir de problématique de modification d’adresse IP dans le futur !

En vous remerciant de votre compréhension.

Note : le patch Zimbra devrait sortir dans les jours qui viennent selon l’éditeur Zimbra.

Zimbra / Attaques / Projets 2014 et salon Solution Linux !

Plaquettes Web4all

Les jours qui viennent de s’écouler furent intenses. Tant pour l’équipe de Web4all que pour vous, utilisateurs de notre plate-forme. Comme vous avez pu le constater nous avons du faire face (et c’est d’ailleurs toujours le cas) à deux problèmes majeurs vous impactant directement : la mise à jour Zimbra qui comporte un bug rendant très lente l’ouverture du webmail –voir quasi impossible pour de rares utilisateurs– et des attaques à répétitions ces deux dernières semaines et principalement ce dernier week-end et début de semaine, attaques qui sont qualifiés de DDoS, nous y reviendrons pas la suite mais rassurez vous aucune intrusion sur l’architecture n’a été détecté et donc aucun piratage de données ne semble lié à ces attaques qui avaient pour unique but de mettre sur les genoux notre infrastructure.

Concernant l’équipe Web4all ce ne sont pas que les derniers jours qui furent intense mais les dernières semaines. Car, comme l’an dernier à cette époque de l’année, nous avons de nombreux projets en cours qui sont très prenant en temps : acquisition de nouveau matériel stockage et serveurs, passage en LIR auprès du RIPE, acquisition de matériel réseau dit « BGP« , fabrication d’objets de communication, déménagement de datacenter en vue et l’organisation du salon Solution Linux au CNIT à la Défense les 20 et 21 mai où Web4all aura, pour la première fois, un stand pour vous accueillir ! Face aux récents problèmes et aux différents projets, nous nous devions de communiquer auprès de vous tous, certains utilisateurs ont d’ailleurs exprimés cette attente sur les réseaux sociaux et forums, mais cela était prévu, nous souhaitions juste vous apporter des réponses concrètes sur certains points et pour cela il fallait que certains dossiers aient avancés. Et par soucis de transparence, nous avons décidé de rendre cette communication publique sur notre blog, communication unique pour tous ces points afin de ne pas importuner nos clients avec le mails de notification pour chaque article important.

Je n’aborde pas la faille Heartbleed, sachez que même si nous n’avons pas eu le temps de communiquer là dessus, Web4all a corrigé tous les serveurs le jour même où la faille a été rendu publique et les certificats SSL de Web4all ont tous été régénérés.

Autre sujet qui prends du temps ces dernières semaines, l’externalisation de la comptabilité. Les discussions sont en cours et pour rester dans un esprit associatif, nous avons pris attache avec un cabinet associatif, le CER France.

Je pense que cela sera déjà pas mal en terme d’informations, je vous laisse donc lire le détail de tout cela. Bien que certains titres puissent contenir des termes techniques, je vais essayer d’être le plus compréhensible possible afin que tout le monde puisse prendre un minimum de plaisir à lire cet article. Si jamais une partie venait à être un peu trop complexe, je ne doute pas que vous demanderez des informations.  Je vous invite si vous avez des commentaires à les faire ici-même ou mieux encore (ouvre plus facilement à des réponses si cela est attendu) sur nos forums à cette adresse : http://forums.web4all.fr/topic/9434-blog-zimbra-attaques-projets-2014-et-salon-solution-linux/

Et n’oubliez pas que vos critiques nous permettent d’avancer, qu’elles soient bonnes ou mauvaises 😉

Mise à jour Zimbra provoquant de fortes perturbations sur l’utilisation de la messagerie


Dans la nuit du 26 au 27 avril nous avons procédé à une mise à jour de la suite logicielle Zimbra, solution utilisée pour vous fournir un service de messagerie électronique (Emails) dans le cadre des hébergements mutualisés. Cette tâche avait été annoncée sur la plate forme « Web4all Travaux » : http://travaux.web4all.fr/task/258

Comme de nombreux utilisateurs vous avez du constater que cette mise à jour à pour effet de ralentir énormément l’ouverture du webmail et pour certains utilisateurs –très peu– il est quasiment impossible d’utiliser le webmail correctement. Il s’agit là d’un problème que nous prenons très au sérieux, nous sommes nous mêmes utilisateurs de cette plate forme de messagerie à titre personnel, professionnel pour certains de l’équipe et bien entendu, dans le cadre de Web4all il s’agit là de notre principal outil de travail.

De nombreuses questions nous ont été posées au sujet de cette mise à jour : « Pourquoi ne pas avoir testé la mise à jour ? », « Pourquoi ne pas avoir attendu qu’elle soit fiable ? », « Pourquoi ne pas faire un retour arrière ? »… Je vais donc vous apporter quelques réponses qui même s’ils ne rendront pas la messagerie fonctionnelle tout de suite pour autant, vous permettrons, je l’espère de comprendre « le pourquoi du comment ».

La mise à jour a été testé sur deux serveurs Zimbra par les personnes de Web4all. Nous avons validé le fonctionnement et aucun problème ne s’est présenté que ce soit dans le cas d’une nouvelle installation ou d’une mise à jour. Nous avons donc pris toutes les précautions mais un test reste un test et tous les paramètres d’un environnement de production ne sont jamais réunis à commencer par la charge lié aux utilisateurs et les actions des utilisateurs qui sont très variées et impossible à reproduire en intégralité.

La mise à jour en question ne datait pas de la veille. Web4all a attendu près de un mois avant de déployer cette mise à jour qui était minime (pas de gros changement), des corrections de bugs principalement, bugs qui impactaient certains d’entre vous sur les affichages et impressions d’emails. Cette mise à jour était donc nécessaire pour certains utilisateurs, il y avait une réelle plus-value. Web4all a consulté les forums de la communauté Zimbra francophone et anglophone comme nous le faisons à chaque fois afin de voir si certains utilisateurs remontaient des dysfonctionnement : personne ne s’en plaignait.

L’infrastructure Zimbra chez Web4all est complexe, composée de nombreux serveurs avec des rôles bien définit. La mise à jour modifie les données du LDAP, des bases MySQL et d’autres paramètres. Un retour arrière est impossible à notre connaissance. De plus le problème ayant été constaté plusieurs heures après, un rollback complet aurait été plus grave puisque les données traités durant ce laps de temps auraient été perdues.

A titre d’information, pour ceux qui connaissent un petit peu Zimbra, notre infrastructure actuelle est composée ainsi :

  • 1 serveur LDAP Master contenant l’intégralité des données de provissionning (comptes, listes de distributions, alias, domaines…) ayant également un rôle de STORE pour les requêtes API venant du manager IWAL ;
  • 5 serveurs MTA et répliquas LDAP pour la réception et l’envoi des emails, et pour soulager le LDAP master ;
  • 9 serveurs STORE pour le stockage des boites mails ;
  • 2 serveurs PROXY pour avoir un point d’accès unifié quelque soit le STORE où est positionné la boite email de l’utilisateur ;
  • 2 serveurs HA-PROXY (non Zimbra) pour répartir la charge entre les PROXY et gérer les indisponibilités éventuelles ;
  • 2 serveurs APACHE (non Zimbra) pour la gestion du ActiveSync (Push pour smartphones, tablettes…) ;
  • 1 serveur MYSQL (non Zimbra) pour le provissionning Push.

Mais revenons en au problème qui vous (et nous) impacte. Une fois le problème constaté nous avons d’abord cherché de notre côté si nous n’avions pas un problème avant d’alerter la communauté Zimbra. Une fois tout vérifié et validé de notre côté nous avons demandé à la communauté Zimbra francophone si des problèmes similaires avaient été constatés par des membres. Personne ne semble avoir rencontré ce problème.

Nous nous sommes alors tourné vers les forums anglophones et là encore personne ne semblait rencontrer de problème similaire.

Le 27 avril soit le soir même de la mise à jour (difficile d’être plus réactif) Benoit GEORGELIN (Expert Infrastructure chez Web4all) a ouvert un bug sur l’interface Zimbra dédiée à cet effet. Vous pouvez d’ailleurs en prendre connaissance ici : https://bugzilla.zimbra.com/show_bug.cgi?id=89504

A l’heure actuelle nous ne pouvons malheureusement qu’attendre que les équipes de Zimbra sortent un fix pour ce bug (un correctif). Les équipes Zimbra ont bien reconnu qu’ils s’agissaient d’un bug et le Bugzilla mentionne d’ailleurs qu’à ce jour nous ne sommes plus les seuls à avoir remonté ce gros problème.

Pour finir sur ce point critique, des utilisateurs nous ont demandés pourquoi nous ne passions par en version payante de Zimbra et inclure cela dans nos offres afin de bénéficier d’un support Zimbra. Il faut savoir qu’à ce jour la version payante semble être impacté de la même manière, cela ne change donc rien. De plus, le coût de la version payante en licence est d’un peu de moins de 2€ HT par mois par utilisateur. Faites le calcul sur un hébergement Start et vous pouvez multiplier le prix de l’hébergement par 20 ce qui est impossible, soyons réaliste.

Web4all prend ce problème très au sérieux, nous avons pleinement conscience de l’impact pour vous mais nous ne pouvons malheureusement rien faire à part attendre que Zimbra corrige cela. Et le statut associatif ne change rien à cela, nous serions une société il en serait exactement de même.

Attaques DDoS récurrentes début mai 2014 et mesures prises


Comme vous l’avez surement constaté ou lu sur les réseaux sociaux (où je vous invite à nous suivre Facebook / Twitter / Google+ ) ces derniers jours, Web4all a été la cible d’attaques dites DDoS (Attaque par déni de service). Ces attaques ont pour but de mettre sur les genoux l’infrastructure en la bombardant de requêtes… une fois à saturation le trafic légitime ne peut plus être traité et l’infrastructure ne répond plus.

La définition de Wikipédia est simple à comprendre :

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

  • l’inondation d’un réseau afin d’empêcher son fonctionnement ;

  • la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;

  • l’obstruction d’accès à un service à une personne en particulier.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.

L’attaquant cracker n’a pas forcément besoin de matériel sophistiqué. Ainsi, certaines attaques DOS peuvent être exécutées avec des ressources limitées contre un réseau beaucoup plus grand et moderne. On appelle parfois ce type d’attaque « attaque asymétrique » (en raison de la différence de ressources entre les protagonistes). Un cracker avec un ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des réseaux beaucoup plus importants.

Le premier point qu’il faut prendre en compte c’est que Web4all n’est pas visé en particulier. En temps normal il peut s’agir du site d’un client et pas forcément de l’entité Web4all. De plus, de nombreux articles relatent un pic historique d’attaques DDoS ces derniers jours avec notamment dans les pays ciblés… la France 🙁 Web4all n’échappent donc pas à cela.

Malheureusement face à une attaque DDoS il n’y a pas grand chose à faire à part attendre que l’assaillant cesse. Ces dernières années ce type d’attaques s’étant considérablement répandues, les constructeurs d’équipements réseaux ont pris des mesures pour proposer des solutions afin de stopper l’impact (ou le limiter dans le cas de très grosses attaques).

Web4all a donc pris des mesures sans attendre. Dès dimanche matin (le 11 mai) nous étions en contacts avec nos fournisseurs en équipements réseaux (INEONET, opérateur et expert en Infrastructures et sécurité réseaux) et NeoTelecoms, notre fournisseur de transit Internet. Et oui chez Web4all on est sympa on fais bosser nos fournisseurs n’importe quand mais c’est aussi pour cela que nous les avons choisit car il y a un vrai accompagnement de leur part.

Vu qu’il s’agit de dossiers à plusieurs milliers d’euros, même dans l’urgence, il n’est pas possible de prendre des décisions à la va-vite. Nous avons donc étudié avec ces deux fournisseurs les actions que nous pouvions entreprendre et dans quels délais.

Du côté d’INEONET nous avons pu définir que les firewalls que nous avons ne sont plus suffisamment dimensionnés pour notre infrastructure. Nous avons donc étudié la gamme de firewall qui nous est accessible (l’aspect budgétaire est à prendre en compte, certains firewalls coûtants plusieurs dizaines de milliers d’euros, à multiplier par deux pour assurer une redondance). Nous avons pu dégager plusieurs modèles nous correspondant et nous arrêter sur un modèle qui devrait nous être livré d’ici quelques jours.

Du côté de NeoTelecoms, des mesures de protection ont été mise en place dans l’urgence afin de nous aider en attendant de trouver des solutions. Merci à NeoTelecoms de nous sauver un peu InExtremis ! Nous avons donc souscrit chez NeoTelecoms aujourd’hui l’offre IpDefender reposant sur des boitiers Arbor Networks qui assure une protection contre les attaques de types DDoS. Là aussi le coût n’est pas négligeable, on parle en milliers d’euros par an. Si vous souhaitez en savoir plus sur l’offre de protection DDoS vous trouverez les informations ici : http://www.neotelecoms.com/fr/ip-defender/caracteristiques-detaillees

Le système, n’est pas encore complètement en place, Benoit GEORGELIN et moi-même (Aurélien PONCINI) devons assister à une formation pour prendre l’outil en main puis procéder à la configuration en fonction de notre infrastructure. Il se peut donc que nous connaissions encore quelques dysfonctionnements dans les jours à venir si nous sommes à nouveau la cible d’attaque.

ipdefender

Acquisition de nouveaux matériels de types stockages et serveurs


Nous y reviendrons d’ici deux ou trois mois, mais depuis quelques semaines nous travaillons sur l’évolution de l’infrastructure matérielle. Comme vous l’avez peut-être lu sur les réseaux sociaux (sur lesquels je vous invite -à nouveau- à nous suivre 🙂  Facebook / Twitter / Google+ ) nous avons début avril mis en place deux nouveaux serveurs de virtualisation, apportant 512 GB de RAM et du CPU ce qui s’est clairement ressenti sur la navigation de vos sites.

Mais cela n’était qu’un petit peu de souffle neuf, nous travaillions sur l’acquisition de matériel avant la mise en place des serveurs mais ces dossiers sont long à gérer de part notre statut associatif 🙁 Il est donc prévu si tout va bien que nous rajoutions d’ici quelques semaines une unité de stockage haute performance d’un peu plus de 10To (en RAID10 10k) ainsi que trois serveurs de virtualisation dotés des tout derniers CPU Intel Xeon-V2 dans leur modèle les plus puissants.

A titre d’information le budget pour les serveurs et la baie de stockage est de 40.000 €

Affaire à suivre 🙂

Voici les serveurs de virtualisation, il y en a un en plus qui est temporaire et n’est pas sur la photo :
hyperviseur

Acquisition de nouveaux matériels de types réseaux BGP


Je ne vais pas recommencer le paragraphe comme le précédent mais là aussi sur les réseaux sociaux vous auriez pu lire que… ok j’arrête avec les réseaux sociaux 😉 Courant février 2014 Web4all a procédé, non sans mal, à son inscription auprès du RIPE, organisme « en charge de la gestion d’internet en Europe« , vous trouverez une explication sur Wikipédia là aussi 😉

Ainsi Web4all :

Nous sommes donc là aussi sur un gros projet puisque cela nécessite d’acquérir des routeurs BGP, de se former sur ces technologies nouvelles pour nous et de préparer une mise en place sans aucune coupure de service. Encore une fois, il faut bien prendre en compte qu’entre les frais d’inscriptions au RIPE et les acquisitions de routeurs BGP nous sommes sur un budget de plusieurs milliers d’euros annuel.

Quelques sites qui parlent très bien de tout cela :

Là aussi, affaire à suivre dans quelques semaines.

Fabrication des objets de communication


Sur les réseaux sociaux… ok j’arrête ! N’empêche que vous auriez pu y voir… nos objets de communication que nous avons fait fabriquer pour le salon. Pour le moment nous ne les avons pas encore tous reçus mais les premiers sont arrivés :

  • Tours de cous ;
  • Plaquettes ;
  • Kakémono ;
  • et nous attendons encore : stylos, tapis de souris, polos, chemises, mugs, nuages anti-stress (on en aura bien besoin !), cartes de visites…

Ces objets vous attendrons sur notre stand (voir ci-dessous) et très prochainement sur une boutique Goodies que nous allons mettre en ligne !

La création artistique a été réalisé par de jeunes talents Toulousain, AGITEO, n’hésitez pas à faire appel à eux si vous cherchez des personnes compétentes, dynamiques, sérieuses et débordantes d’idées ! Autre chose ? Ils sont rapide !

Retrouvez Agiteo sur leur site et sur Facebook ainsi que Twitter !

Agiteo_kakemono
Agiteo_plaquette
Agiteo_plaquette2
Agiteo_tour_cou

 

Salon Solution Linux au CNIT de la Défense les 20 et 21 mai 2014


Web4all sera pour la première fois depuis sa création, présent sur un salon. Et pas n’importe lequel puisqu’il s’agit DU salon Solution Linux qui se tient au CNIT à La Défense (92).

Nous serons présent deux jours et serons très heureux de vous accueillir sur notre stand pour vous offrir quelques cadeaux, un café, faire connaissance dans le monde réel ! Alors n’attendez plus et passez nous voir sur le stand D1 !

L’entrée y est gratuite, il suffit de demander votre badge ici : http://www.solutionslinux.fr/preinscription.html

Linux_FR

Web4all soutient l’ISAT Eco Rallye


Il y a quelques semaines, nous avons été contactés par des étudiants de l’ISAT (Institut Supérieur de l’Automobile et des Transports) qui portent un projet audacieux. Plutôt que de le décrire, je vous met ce qui est indiqué sur leur site, bien entendu hébergé chez Web4all :

 Le projet ISAT ECO RALLYE est un nouveau projet pédagogique à l’ISAT, Institut Supérieur de l’Automobile et des Transports. Il a pour but la création d’un véhicule de rallye écologique afin de courir lors du rallye de Monte-Carlo des énergies nouvelles, la version écologique du mythique rallye. Nous participerons également au Mondial de l’Automobile 2014 à Paris.

 Cette compétition spécialisée est l’occasion de mettre en valeur les innovations et l’écologie. Le but n’est pas seulement d’être le plus rapide, mais surtout le plus respectueux de l’environnement.

 Nous souhaitons participer à cette compétition afin d’approfondir nos connaissances sur les voitures de compétition moins polluantes. Notre but est de créer totalement un véhicule avec les technologies de demain afin de participer à cette compétition. Les maîtres-mots de ce projet sont l’écologie, l’innovation et la compétition.

Nous avons tout de suite aimé le concept, parce que certains d’entre nous aiment l’automobile (quoi, moi ?) mais surtout car l’automobile est un secteur d’activité indispensable à l’économie française et que la majorité des gens ont besoins d’une automobile. C’est un domaine qui vit une véritable révolution depuis des années sur la partie sécurité, habitable, assistance… et beaucoup de domaines mais qui reste encore très lié à l’énergie fossile. Aussi, le concept d’allier performances et énergies nouvelles nous a tout de suite plu et aussi car chez Web4all nous aimons les défis et sommes persuadé que l’équipe de l’ISAT Eco Rallye saura relever ce défi ! Nous les soutenons.

isat

A titre d’information, Web4all a offert l’hébergement du site internet et effectué un don de 750 €.

Le site : http://www.isat-eco-rallye.fr/

Le mot de la fin

Si vous êtes arrivé jusqu’ici, je ne peux que vous remercier pour votre attention ! La semaine se terminera pour Web4all par une réunion de quasiment l’ensemble de l’équipe sur Paris, nous vous mettrons quelques photos sur les réseaux sociaux 😉

Bonne semaine à toutes et à tous :)

Rapport de hack sur plusieurs hébergements chez Web4all

Logo Web4allBonjour, le 30 janvier 2014 un client nous informait via le système de tickets sur le manager que ses sites avaient été la cibles d’actes de piratage. Ceci est assez courant. En effet les applications clients telles que Joomla, WordPress, PhpBB et autres (pour ne citer que les plus connues) sont constamment la cible de délinquants (appelons un chat un chat, ces personnes ne méritent pas d’autre nom…). Une fois une faille identifiée sur une version de WordPress (par exemple) ou l’un de ses modules, ces délinquants prennent un « malin plaisir » à exploiter ces failles sur les sites qu’ils trouvent et se donnent alors à cœur joie, au mieux à défacer le site (remplacer la page d’accueil) au pire à détruire votre travail. Il y a aussi ceux qui ne font rien de visible mais qui vont placer leur script pour effectuer par exemple du mailing (du SPAM ben entendu) ou du phising (souvent lié avec les envois de SPAM).

Des clients victimes de sites piratés nous en avons tous les jours. Il ne se passe pas un jour sans que nos systèmes  -de manière automatique- ou un membre de notre équipe (les outils d’automatisation ne détectent pas tout) doivent effectuer des actions telles que :

  • procéder au blocage de l’envoi des mails pour un compte mails Zimbra : les identifiants du compte mails sont détournés, le hackeur utilise alors le SMTP pour envoyer des dizaines de milliers de mails SPAM
  • procéder au blocage de l’envoi des mails pour un site sur la plate forme web : piratage d’un site dans le but d’envoyer du SPAM. Si aucune action n’est prise, alors plusieurs centaines de milliers de mails partent dans la journée
  • procéder au blocage de la publication du site : il arrive que la seule solution pour limiter les dégâts soit de dé publier le site, cela peut être le cas lors de problème de SPAM comme sus-cité mais également dans le cas de sites permettant par exemple un dépôt de commentaire sans contrôle (commentaires sur blog, livre d’or…). Les robots déposent alors des millions de commentaires ce qui impacte l’ensemble de l’infrastructure et donc l’ensemble de nos clients
  • répondre aux demandes des partenaires et autorités

Bref, revenons en au client qui nous a signalé son problème. Sur le coup on reste peu inquiet car cela ne cible que le client en question, nous le guidons donc sur les démarches à effectuer pour remettre en ligne son site mais également éviter que cela ne se reproduise trop rapidement.

Quelques heures après nous avions plusieurs clients qui se sont manifestés sur les forums et tickets (5 au total). Cela n’est rien sur le nombre de clients mais ce fût suffisant pour que nous remettions en question la partie qui nous incombe et que nous effectuons les recherches nécessaires pour affirmer que tout était en ordre de notre côté.

Benoit GEORGELIN a alors effectué les recherches et il aura eu bien raison puisqu’il aura :

  • découvert une faille de sécurité sur la plate forme Web4all ayant facilité le passage du hackeur d’un hébergement à un autre
  • pu établir une liste d’hébergement compromis

Avant de donner le détail du rapport de M. GEORGELIN, je conclu cette introduction en rappelant…

Quelques principes de bases :

  • vous devez toujours veiller à ce que vos applications soient à jour
  • vous devez toujours veiller à ce que vos modules des applications soient à jour et que seuls les modules ou thèmes strictement nécessaires (que vous utilisez) soient installés. Ne laissez pas des modules ou thèmes installés s’il ne vous servent pas !
  • vous devez vous assurez de la provenance de ce que vous installez. Ne faites pas une confiance aveugle aux développeurs. Assurez vous que les modules que vous ajoutés sur vos CMS soient connu et réputés fiables. Téléchargez les sur les sites officiels
  • vous ne devez jamais fournir vos identifiants à un tiers (pas même à l’équipe de Web4all !)
  • vous devez comprendre ce que vous faites et donc comprendre le fonctionnement des CHMOD ; les hébergements qui ont été impactés sont ceux qui avaient des CHMOD mal définit !
  • un hébergement est étanche vis à vis des autres hébergements. Au sein d’un même hébergement : aucune étanchéité ! Un site piraté sur votre hébergement donne indéniablement accès à TOUT votre hébergement.

Rapport sur Hack découvert sur un site chez Web4all.fr 

Les informations nominatives, noms d’utilisateurs, téléphones… ont été masqués par nos soins. Le rapport est « brut » : utilisation interne non prévue à être communiqué, il est donc peu explicite sur certaines parties.

Le 30/01/2014 : Un client remonte un hack sur ses 3 sites.

Il se trouve que ce hakeur à hacké plusieurs sites sur l’infrastructure Web4all. Celui-ci a utilisé un site en interne a l’infra pour lui permettre de lire des fichiers situé sur les autres hébergements comme les fichiers config.php pour avoir accès aux bases MySQL.

Trace visible dans les logs, IP utilisée : 197.205.98.166

Le hackeur semble avoir pénétré le premier site en date du 29 janvier 2014.

La première trace de l’utilisation de son script pour visualiser les autres hébergements: [29/Jan/2014:22:02:39]

J’ai trouvé le site cachette du hackeur car celui-ci l’utilisait comme source pour ses fichiers vérolés a déposer sur les autres hébergements via un appel HTTP dessus ou pour naviguer sur les fichiers du site en question :

rencontre-xxMASKxx.fr-combined.log-20140131:197.205.98.166 - - [30/Jan/2014:11:41:13 +0100] "GET / HTTP/1.1" 200 907
"http://cxxMASKxxnne.org/a/Indishell/root/datas/vol2/xxMASKxx/var/www/rencontre-xxMASKxx.fr/" "Mozilla/5.0 (Windows NT 5.1;

Il se trouve que le hackeur s’est caché sur un espace hacké sans le défacer.
Sur l’espace ce trouve des outils simples en Php permettant des fonctions via PHP.

Un fichier « pca.txt » contenant une liste d’email et ce qui semble etre des mots de passe se trouve a la racine de l’hébergement

J’ai testé des login/passe sur gmail , aucun ne fonctionnait.

Le hackeur a pu utiliser une faille, la seule et certainement unique possible ou connue a ce jour sur un CloudLInux : Symlink du à un manque de configuration

Cf : http://docs.cloudlinux.com/index.html?securelinks.html

Par défaut Cloudlinux ne protège pas contre cette attaque il faut que cela soit configuré au niveau des paramètres du kernel.

La configuration pour interdire l’utilisation du symlink à été appliquée sur l’ensembles des serveurs HTTP.

Un dossier /a/root renvoyait vers /   ( /a/root -> / )

Apache2 tournant en dehors de la cage, le hackeur peut naviguer sur le serveur en dehors de la cage.
L’accés dépendra des droits relatifs au serveur, son processus aura comme user w4apache(34)
Le hackeur a pu avoir une visibilité totale sur les domaines hébergés chez Web4all
Le hackeur a pu accéder a n’importe quel fichier disposant des droits > 770

 Il semble que le hackeur a pu hacker plusieurs base de données grâce à ce procédé et un fichier « sql.php » lui permettant exécuter des actions rapide :

  1. Mettre le login, pass, db dans un cookie de son navigateur
  2. Réaliser des actions sur la tables d’une base (listTables,add, édit,delete, logout, et Submit pour la sauvegarde )

Au moins 4 bases de données sont identifiées :

  • 1xxxxx_bo4l2
  • 1xxxxx_familia
    • tablename=wp_users
  • 1xxxxx_champa
    • tablename=zc9bd_users
  • 1xxxxx_9g47ya
    • tablename=sotvm_users

Les mots de passe de ses bases sont donc totalement compromis.

 Site cachette du hakeur : URL retirée du rapport public.

Le screen (modifié car appartient à un client) ne présentait aucune trace de hack :
rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

Boite à outils du hakeur :

rapport-de-hack-sur-plusieurs-hebergements-chez-web4allQui permet ensuite de naviguer dans l’arborescence :

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

Depuis /data/vol1 ou vol2 des dossiers sont en erreur 403

/datas/vol2/xxMASKxxtgelais.com
/datas/vol2/xxMASKxxnsports.fr/

Mais pas tous , comme eux qui sont accessible :

/datas/vol2/xxMASKxxtariat.com/
/datas/vol2/xxMASKxxenceverte.com/

A voir pourquoi…

Cagefs a totalement empêché la création de l’attaque complète des serveurs

Le hackeur avait une fonction PHP pour parser /etc/passwd et créer des symlink pour hacker les autres clients

lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 41 27 janv. 11:46 w4axxxxxx .. wp-config.php -> /home/w4axxxxxx /public_html/wp-config.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 45 27 janv. 11:46 w4axxxxxx .. configuration.php -> /home/w4axxxxxx /public_html/configuration.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 43 27 janv. 11:46 w4axxxxxx .. conf_global.php -> /home/w4axxxxxx /public_html/conf_global.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 38 27 janv. 11:46 w4axxxxxx .. config.php -> /home/w4axxxxxx /public_html/config.php
lrwxrwxrwx  1 w4axxxxxx w4axxxxxx 40 27 janv. 11:46 w4axxxxxx .. Settings.php -> /home/w4axxxxxx /public_html/Settings.php

En image :

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

 Le fichier sql.php du hackeur contient un « phpmyadmin fait maison »

rapport-de-hack-sur-plusieurs-hebergements-chez-web4all

EN DATE DU 30-01-2014

Ci-dessous les logs des sites compromis et/ou des fichiers visités par le hackeur (tout confondu, voir plus bas par extensions)

345 lignes retirées du rapport public.

Actions du côté de Web4all

  • Communication ou pas ? -> effectuée le 06.02.2014 sur le blog
  • Prévenir les clients concernés a minima –> effectué le 01 et 02 février 2014 via le système de tickets
  • S’assurer que le hackeur n’a pas pu avoir accès a des fichiers contenant des mots de passe chez nous, car il a exploré de anciens fichier de web4all –> aucun fichiers préoccupant (les sites de l’association étant sur une infrastructure à part, les fichiers présent ici sont ceux générés par défaut par le manager)
  • Vérifier nos droits sur les fichiers -> correction effectué (voir au dessus l’explication de la faille Securelinks)
  • Effectuer un dépôt de plainte ? En cours de discussions, IP hors de France… peu de chance que cela ait une utilité
Whois IP
Status
ALLOCATED
Contact Email
Registrant
DySetif
ALGERIA
Administrative Contact
Security Departement
Alger
Telephone: 21321911224
Fax: 21321911208
Email:
Technical Contact
Security Departement
Alger
Telephone: 21321911224
Fax: 21321911208
Email:
197.205.98.166 is the IP address you have a ran a report for on January, 31, 2014.

 

En route pour le housing : ça stocke !

En route pour le housing : ça ping !Bonjour à toutes et à tous, déjà près de 4 semaines se sont écoulés depuis notre article En route pour le housing : ça ping ! soit presque 10 semaines depuis l’article En route pour le housing : objectif atteint ! et nous ne pensions vraiment pas que cela serait aussi long. Je pourrais même commencer cet article comme le précédent : « nous en avons parcouru du chemin, résolu des problèmes, fait des kilomètres, passé des nuits à -ne pas- dormir… Un jolie chemin parsemé d’embûches plus énervantes les unes que les autres. De bonnes doses de stress vous amenant par moment à vous poser la question « Non mais qu’est-ce qui nous a pris de nous lancer là dedans ?! » Sans parler des problèmes qui amènent à des dépenses totalement imprévues… heureusement que votre générosité à toutes et tous nous a permit d’avoir un peu de trésorerie de côté pour ne pas avoir en plus à se soucier (trop) de l’aspect financier… » car c’est à peu près le même discours que nous pouvons tenir ce jour.

Mais avec tout de même une différence -considérable- : tout est en place et la migration va commencer !

Avant de vous donner le récit de ces 4 dernières semaines donc, je vous informe que nous allons effectivement débuter la migration cette semaine (première semaine du mois de juillet). Nous aurions aimé pouvoir prévenir longtemps à l’avance mais nous avons rencontré tellement de petits problèmes auxquels se sont accumulés beaucoup d’incidents sur l’infrastructure actuellement utilisée par vos sites que nous allons devoir procéder rapidement, pour ne pas dire dans l’urgence… 🙁

Rassurez vous, vous n’aurez rien à faire et les opérations seront quasiment transparente et la plupart seront effectuées la nuit. Sachez d’ailleurs qu’Aurélien PONCINI (moi-même donc) a prit deux semaines de congés qui seront intégralement dédiées à Web4all. De même Benoit GEORGELIN (résidant au Canada) a également prit deux semaines de congés et rentre spécialement en France pour procéder à la migration des données et à la prise en main de tout ce qui a été fait ces dernières semaines.

Vous voyez, malgré que Web4all ne soit uniquement composée de bénévoles, nous faisons tout pour que le service soit le meilleur possible.

La migration se déroulera ainsi :

  • 01-02 juillet : Migration du portail Web4all : site, forums, outils interne… afin de valider le fonctionnement de l’infrastructure
  • 02-03 juillet : Migration des serveurs DNS ns1.web4all.fr / ns2.web4all.fr Ne vous inquiétez pas, aucun impact de votre côté et aucune modification à effectuer !
  • 04-05 juillet : Migration de la plate-forme de stockage + FTP + HTTP + MySQL : tous les sites internet devraient basculer. Aucune modification n’est à effectuer de votre côté. Seuls les clients qui n’utilisent pas les DNS de Web4all auront des modifications à faire, ils seront individuellement prévenus. Web4all met des solutions en place pour que ces derniers n’aient pas de coupure de service
  • Après le 05 juillet : Migration Zimbra : en attente pour le moment

Comme vous le voyez, vous n’avez aucune modification de votre côté à effectuer. La coupure de service pour la bascule FTP/HTTP/MySQL ne devrait pas excéder 60 minutes (que nous tenterons de réduire).

L’architecture de production actuelle rencontre de sérieux problèmes et il est temps de la mettre à la retraite. Pour ne rien vous cacher le Filer qui contient les fichiers commence à faiblir. Aucun risque de perte de données car nous avons des répliquas mais en cas de casse il faudra alors procéder à une migration dans l’urgence ce qui serait encore moins agréable…

Voilà, nous allons désormais vous raconter ce qu’il s’est passé ces 4 dernières semaines. Les photos servant à illustrer l’aventure ont été prises sur le coup, tel que nous avons vécu l’événement, sans forcément avoir le temps de prendre la pose… alors pardonnez nous pour la médiocre qualité de certaines photos.

Certains d’entre vous ont pu suivre en quasi temps réel cet événement puisque nous avions relayé cela sur les réseaux sociaux. A ce sujet, je vous rappelle que vous pouvez suivre l’actualité de Web4all sur les différents réseaux FacebookTwitter et Google+

Perception du matériel de stockage…

Le dernière article avait été publié juste avant que nous recevions la dernière partie du matériel, dédiée au stockage.
Cette partie est composée de :
– 1 SAN pour le stockage des machines virtuelles
– 1 serveur de backups
– 2 serveurs pour publier les données des sites internet (publient le NFS pour les serveurs HTTP)
– 1 DAS qui stocke les disques dur pour les deux serveurs sus-cités (reçu juste avant la rédaction du précédent article)

Des cartons, encore des cartons... La dernière livraison est enfin là !Des cartons, encore des cartons… La dernière livraison est enfin là !

L'arrière du SAN DELL MD3620i. Equipé de double contrôleurs 10 GB.L’arrière du SAN DELL MD3620i. Equipé de double contrôleurs 10 GB.

L'avant du SAN DELL MD3620i. Equipé de 24 disques de 900GB SAS 10k 2.5L’avant du SAN DELL MD3620i. Equipé de 24 disques de 900GB SAS 10k 2.5

Serveurs pour le cluster ZFS. Double cartes 10GB. 256GB de ram. Cartes SAS à ajouter.Serveurs pour le cluster ZFS. Double cartes 10GB. 256GB de ram. Cartes SAS à ajouter.

Serveurs pour le cluster ZFS avec leur baie de disques. Les fichiers des sites seront là !Serveurs pour le cluster ZFS avec leur baie de disques. Les fichiers des sites seront là !

Avant du serveur de backup. 6HDD de 4ToAvant du serveur de backup. 6HDD de 4To

Arrière du serveur de backup. 6 cartes 1GB (deux sont inutilisables car de marques Broadcom donc incompatibles avec Nexenta, d'où l'ajout de 4 cartes Intel).Arrière du serveur de backup. 6 cartes 1GB (deux sont inutilisables car de marques Broadcom donc incompatibles avec Nexenta, d’où l’ajout de 4 cartes Intel).

On amène le SAN et le serveur de backup au datacenter…

Oui pour le moment nous n’amenons pas le cluster ZFS car il reste du travail à faire dessus… il reste donc dans le salon d’Aurélien PONCINI… :/

Encore une fois, la voiture se retrouve bien chargée... heureusement qu'on ne paye pas les trajets au poids...Encore une fois, la voiture se retrouve bien chargée… heureusement qu’on ne paye pas les trajets au poids…

Il faut connecter le SAN 10GB sur ces ports, à l'arrière des switchs 24 ports. Assez difficile d'accès car cela n'est ni à l'avant de la baie, ni à l'arrière maisau millieu du fait de la faible profondeur des switchs...Il faut connecter le SAN 10GB sur ces ports, à l’arrière des switchs 24 ports. Assez difficile d’accès car cela n’est ni à l’avant de la baie, ni à l’arrière maisau millieu du fait de la faible profondeur des switchs…

On a un petit peu oublié de préparer les repères sur les câbles. Donc on fait sur place. Heureusement Web4all a sa petite Dymo portable :)On a un petit peu oublié de préparer les repères sur les câbles. Donc on fait sur place. Heureusement Web4all a sa petite Dymo portable 🙂

Câbles 10GB pour le SAN...Câbles 10GB pour le SAN…

Le SAN est dans la place !!!Le SAN est dans la place !!!

Chantal QUINQUIS participe également, et pas juste pour la photoChantal QUINQUIS participe également, et pas juste pour la photo

A nouveau Chantal :)A nouveau Chantal 🙂

Au tour d'Aurélien PONCINI...Au tour d’Aurélien PONCINI…

Ça commence a se remplir. Il manque encore 2 serveurs et un DAS. #avantDeLaBaieÇa commence a se remplir. Il manque encore 2 serveurs et un DAS. #avantDeLaBaie

Ça commence a se remplir. Il manque encore 2 serveurs et un DAS. #arrièreDeLaBaieÇa commence a se remplir. Il manque encore 2 serveurs et un DAS. #arrièreDeLaBaie

Configuration du Cluster ZFS à la maison…

Il faut désormais s’occuper du cluster ZFS qui va stocker les fichiers des sites internet.
Ce dernier devra assurer la publication des données en NFS pour les serveurs Web de manière rapide et permanente. Si tout se passe correctement nous devrions donc sur cette partie de l’infrastructure bénéficier d’un fort avantage comparé à aujourd’hui. En effet nous aurons désormais un cluster et non un serveur tout seul qui, en cas de défaillance, ne publie plus rien… et nous passons de 8 HDD à 24.. le RAID devrait aller plus vite… beaucoup plus vite 🙂

Il faut alors ajouter les cartes HBA dans les serveurs, configurer le tout, faire quelques essais et pour le coup on vous a même fait une petite vidéo… Juste pour que vous voyez le bruit que cela peut faire dans mon salon durant la phase de configuration 🙂

A côté, le bruit des switchs juste derrière le canapé était relativement faible…

Mais avant cela nous avons dû commander deux modules de stacking pour les swicths 48 ports afin d’unifier le tout en un switch 96 ports… Merci à la société Ineonet qui nous aura permis d’être livré dans la journée ! Et merci à Autolib’ qui nous aura encore une fois bien dépanné… ce jour là, il aura tout de même fallu 1H45 pour faire 5 kms en région parisienne… de quoi devenir fou 🙁

Ca y est, on a les cartons des stack !Ca y est, on a les cartons des stack !

Voilà les fameux modules de stack avec leurs câbles 40GBVoilà les fameux modules de stack avec leurs câbles 40GB

Les cartes HBA pour que nos serveurs se connectent aux disques dans la baie de stockage.Les cartes HBA pour que nos serveurs se connectent aux disques dans la baie de stockage.

Cartes insérées dans le support...Cartes insérées dans le support…

Cartes en place dans les serveurs !Cartes en place dans les serveurs !

Parrallèlement à tout cela, nous avons commencé à répliquer les serveurs de sauvegardes pour bénéficier des données au sein de la baie 🙂

Allez on tire un peu sur le filer de backupsAllez on tire un peu sur le filer de backups

On tire un peu sur le Transit @NeoTelecoms pour début de migration. Ca marche très bien...et on est qu'à 1/3On tire un peu sur le Transit @NeoTelecoms pour début de migration. Ca marche très bien…et on est qu’à 1/3

Cluster Nexenta en cours d'install ! Et on a même le JBOD affiché ! (pas d'origine ^^) Ca en fait du disque ! Cluster Nexenta en cours d’install ! Et on a même le JBOD affiché ! (pas d’origine ^^) Ca en fait du disque !

Yeah \o/ Ca prend forme ! nmc@zfs-clu-01a:/$ zpool iostat & nmc@zfs-clu-01a:/$ zpool statusYeah \o/ Ca prend forme ! nmc@zfs-clu-01a:/$ zpool iostat & nmc@zfs-clu-01a:/$ zpool status

Et comme promi, une petite vidéo :

On amène le Cluster ZFS au datacenter !

Les fameux modules de stack mis en place avec leur câbles 40GB en RING (on assure ainsi la redondance)Les fameux modules de stack mis en place avec leur câbles 40GB en RING (on assure ainsi la redondance)

Allez pour changer... encore un petit chargement dans la voiture ? Promis, c'est le dernier !Allez pour changer… encore un petit chargement dans la voiture ? Promis, c’est le dernier !

A un moment, la lumière s'est éteinte... et là ca clignote de partout...A un moment, la lumière s’est éteinte… et là ca clignote de partout…

Il faut monter les racks de la MD3060e / Un peu galère !Il faut monter les racks de la MD3060e / Un peu galère !

Puis on amène le monstre, duquel on a retiré les disques, alim, controleur, ventilation... Trop Lourd :/Puis on amène le monstre, duquel on a retiré les disques, alim, controleur, ventilation… Trop Lourd :/

Maintenant il faut remettre alims, ventilos et contrôleurs à l'arrière de la MD3060eMaintenant il faut remettre alims, ventilos et contrôleurs à l’arrière de la MD3060e

On rack, on rack...On rack, on rack…

MD3060e remontée (pour la partie arrière) !MD3060e remontée (pour la partie arrière) !

Et maintenant on passe à la partie avant. Il faut mettre les HDDEt maintenant on passe à la partie avant. Il faut mettre les HDD

Et voilà la baie remplie (avec quelques câbles non rangés car temporaires) !Et voilà la baie remplie (avec quelques câbles non rangés car temporaires) !

Le haut de la baie... difficile d'avoir toute la baie d'un coup en raison du manque de recul :(Le haut de la baie… difficile d’avoir toute la baie d’un coup en raison du manque de recul 🙁

La partie Stockage au complet !!! La partie Stockage au complet !!!

Et voilà, petite photo devant la baie complète (avec des câbles à retirer et à ranger !!!)Et voilà, petite photo devant la baie complète (avec des câbles à retirer et à ranger !!!)

Voilà maintenant on passe à la configuration et peu de photo à montrer de cela…

Un article à notre sujet a été publié sur le site de Neo-Telecoms 🙂 http://www.neotelecoms.com/fr/actualites/paris-bienvenue-lhebergeur-web4all

Merci, merci et encore merci !

Aurélien PONCINI

Président Fondateur de Web4all

En route pour le housing : ça ping !

En route pour le housing : ça ping !Bonjour à toutes et à tous, déjà plus de 6 semaines se sont écoulés depuis notre article En route pour le housing : objectif atteint ! et nous en avons parcouru du chemin, résolu des problèmes, fait des kilomètres, passé des nuits à -ne pas- dormir… Un jolie chemin parsemé d’embûches plus énervantes les unes que les autres. De bonnes doses de stress vous amenant par moment à vous poser la question « Non mais qu’est-ce qui nous a pris de nous lancer là dedans ?! » Sans parler des problèmes qui amènent à des dépenses totalement imprévues… heureusement que votre générosité à toutes et tous nous a permit d’avoir un peu de trésorerie de côté pour ne pas avoir en plus à se soucier (trop) de l’aspect financier…

L’architecture de production actuelle nous prend énormément de temps actuellement, nous rencontrons beaucoup de problèmes notamment de performances et cela tombe vraiment mal…

Nous allons vous raconter ici ce qu’il s’est passé depuis que nous avons atteint l’objectif. Les photos servant à illustrer l’aventure ont été prises sur le coup, tel que nous avons vécu l’événement, sans forcément avoir le temps de prendre la pose… alors pardonnez nous pour la médiocre qualité de certaines photos.

Certains d’entre vous ont pu suivre en quasi temps réel cet événement puisque nous avions relayé cela sur les réseaux sociaux. A ce sujet, je vous rappelle que vous pouvez suivre l’actualité de Web4all sur les différents réseaux FacebookTwitter et Google+

Avant la perception du matériel…

Fin février 2013, nous prenons attache avec DELL (ce qui avait déjà été fait mi 2012 pour une première étude du projet). Des confs-call, encore des confs-call, des outils d’analyse d’infrastructure (Dpack mis à disposition par DELL afin d’analyser les ressources utilisées sur l’infra) nous permettent de cibler le besoin réel. On se plonge dans les graphiques de Cacti pour en tirer des courbes d’évolutions : quelle quantité d’espace disque pour les sites web en 2010 ? en 2011 ? 2012 ? Idem pour les boites mails, les bases de données…

Il nous faut être capable de prévoir (avec une marge d’erreur bien entendu, ce n’est qu’une prévision) quelle quantité d’espace sera nécessaire fin 2013, 2014 et 2015… et vu qu’on est un peu parano, on prend quasiment 50% de plus que le besoin…

Nous prenons également attache avec la société Ineonet Systèmes & Réseaux pour la partie réseaux et hyperviseurs. Pourquoi passer par un intermédiaire pour le matériel ? Nous franchissons un cap important, nous allons devoir gérer des éléments et des technologies que nous n’avions pas à gérer jusqu’alors et il est indispensable de pouvoir s’appuyer sur les compétences de personnes dont le réseau est la spécialité. En tant qu’opérateur, Ineonet maîtrise parfaitement le monde du réseau.

Les mois de mars et avril ont été consacrés à l’étude du projet, la réalisation de devis, la recherche de financement. Il aura aussi fallu faire le point avec la MAIF (notre assureur) afin de modifier le contrat pour que l’intégralité du matériel soit couvert ainsi que le transport du matériel effectué par nos soins (on est jamais trop prudent…).

Nous sommes le 24 avril 2013, l’objectif des dons est atteint. Nous n’avions bien entendu pas attendu ce moment pour commander le matériel. A cet instant précis tout est déjà commandé… sauf que… vous verrez par la suite que tout n’est pas aussi simple…

6 mai 2013 : réception du matériel réseaux et hyperviseurs

Là où la majorité des Français ont pu profiter d’une semaine où le nombre de jours fériés a dépassé le nombre de jours travaillés, Aurélien PONCINI a pris la route  en direction de l’Ariège, plus précisément Verniolle où se trouve la société Ineonet Systèmes & Réseaux

Après quelques heures pour faire le point sur ce que l’équipe de Web4all avait décidé, le lundi aura permis en compagnie de M. DUTTO Jean-Pierre (Directeur Technique, INEONET),  de découvrir les firewalls Fortinet qui seront en tête de l’infrastructure Web4all. Découverte, mise à jour, tests pour coller aux besoins de Web4all… le simple déballage du matériel vous ramène en enfance, vous ouvrez votre cadeau les yeux émerveillés…

Un emballage de qualité. Cela fait fortement penser aux produits Apple où je dois reconnaître qu'ils font fort sur la finition des emballages :)Un emballage de qualité. Cela fait fortement penser aux produits Apple où je dois reconnaître qu’ils font fort sur la finition des emballages 🙂

En cas de doute sur la marque... c'est écrit assez gros ? :)En cas de doute sur la marque… c’est écrit assez gros ? 🙂

En route pour le housing : ça ping !

Le vidéo projecteur est tout de même bien pratique pour une formation :)Le vidéo projecteur est tout de même bien pratique pour une formation 🙂
Le mardi sera dans la continuité de la veille avec la prise en main des switchs 48 ports qui serviront à tout le réseau Web4all excepté le réseau iSCSI qui lui passera sur un couple de switchs 24 ports.

Non il ne s'agit pas d'un sapin de Noël mais des deux switchs 48 ports.Non il ne s’agit pas d’un sapin de Noël mais des deux switchs 48 ports.

En route pour le housing : ça ping !Nous allons désormais pouvoir commencer à faire travailler le tout ensemble… 🙂

Il n'y a pas grand chose de connecté mais cela permet déjà de configurer le tout !Il n’y a pas grand chose de connecté mais cela permet déjà de configurer le tout !

Passons désormais au déballage du premier serveur. Là aussi comme pour le reste du matériel, c’est tout bête mais qu’est ce que ça fait plaisir d’ouvrir les cartons et de déballer tout cela !
Ces serveurs, au nombre de 4, auront un rôle d’hyperviseur : ils hébergeront quasiment l’intégralité des services proposés par Web4all. Il s’agit de serveurs DELL R620 Bi-Xeon, 256GB de RAM, 16 cartes réseaux 1GB (il nous était impossible de passer en full 10GB du côté des switchs en raisons d’un tarif encore trop élevé, nous avons donc opté pour des serveurs avec beaucoup de ports réseaux permettant de faire des agrégats de liens.

En route pour le housing : ça ping !

Beaucoup d'emplacements disques durs laissés vides, ces serveurs n'ont pas besoin de stockage en local. Les données seront stockées sur des baies de disques externes. La carte Flash permet quant à elle d'installer un système d'exploitation situé dessus, même sans accès physique au serveur.Beaucoup d’emplacements disques durs laissés vides, ces serveurs n’ont pas besoin de stockage en local. Les données seront stockées sur des baies de disques externes. La carte Flash permet quant à elle d’installer un système d’exploitation situé dessus, même sans accès physique au serveur.

Les fameux 16 ports 1GB. Celui tout en bas à gauche étant à part car il s'agit du port iDRAC. Ce système permet de gérer intégralement le serveur à distance, même s'il est éteint (pas débranché hein... juste éteint).Les fameux 16 ports 1GB. Celui tout en bas à gauche étant à part car il s’agit du port iDRAC. Ce système permet de gérer intégralement le serveur à distance, même s’il est éteint (pas débranché hein… juste éteint).

La miniaturisation au maximum...La miniaturisation au maximum…

En route pour le housing : ça ping !

Les caches noir sont des emplacements de mémoire disponibles. Nous avons volontairement pris des serveurs permettant d'ajouter encore de la mémoire RAM dans les mois à venir si cela venait à être nécessaire. Ces caches permettent de conserver une circulation d'air telle qu'elle a été prévue.Les caches noir sont des emplacements de mémoire disponibles. Nous avons volontairement pris des serveurs permettant d’ajouter encore de la mémoire RAM dans les mois à venir si cela venait à être nécessaire. Ces caches permettent de conserver une circulation d’air telle qu’elle a été prévue.

Ca boot... et c'est long... il faut compter 7 minutes pour la phase de démarrage du serveur (sans parler de l'OS, juste le serveur).Ca boot… et c’est long… il faut compter 7 minutes pour la phase de démarrage du serveur (sans parler de l’OS, juste le serveur).

Installation du serveur comme si nous ne l'avions pas à portée de mains : tout est fait via la console iDRAC que vous voyez sur la gauche de l'écran.Installation du serveur comme si nous ne l’avions pas à portée de mains : tout est fait via la console iDRAC que vous voyez sur la gauche de l’écran.

Le mercredi et le jeudi, qui étaient fériés, auront eux aussi permit d’avancer sur le projet. Des questions soulevés au cours de la configuration avec M. DUTTO auront nécessité des recherches, des tests…
Le vendredi il faut charger tout cela dans le semi-remorque Web4all ^^ et direction Paris !

Afin de gagner de la place, nous mettons deux serveurs par carton en retirant une partie de l'emballage. Nous laissons tout de même la mousse sous le serveur du bas, entre les deux et sur le dessus afin de conserver une protection...Afin de gagner de la place, nous mettons deux serveurs par carton en retirant une partie de l’emballage. Nous laissons tout de même la mousse sous le serveur du bas, entre les deux et sur le dessus afin de conserver une protection…

Qui a dit que cela ne rentrerait pas dans la voiture ?Qui a dit que cela ne rentrerait pas dans la voiture ?

Go !Go !

12 mai 2013 : configuration  du matériel au siège de Web4all

Le matériel est enfin là, nous allons pouvoir procéder aux premiers tests…

A ce moment là on se dit que ça y’est tout est lancé, qu’il ne reste plus que le stockage à recevoir, que la configuration du matériel déjà reçu va aller vite… Qu’on aura quelques soucis alors on provisionne cela dans le planning… Et bien figurez vous qu’on était loin de la réalité… je dirais que là où nous avions prévu 25 %  de temps en plus il aura fallu 75% de temps en plus… bref un méchant sentiment de ne pas avancer voir même de reculer par moment…

Des soucis de configuration comme l’utilisation du mode « Redundant Interface » sur les firewall Fortinet avec les vLans sur lesquels nous auront passé plusieurs jours… des soucis de configurations des switchs / hyperviseurs pour l’utilisation du mode LACP.

Et puis il aura fallu prendre le temps de faire la liste complète de tous les câbles réseaux nécessaires : différentes tailles, couleurs, catégories (en fonction de si 1GB ou 10GB)…

Tout cela était sans compter qu’au moment de la validation effective de la commande de matériel chez DELL, un de leur ingénieur technique ne valide pas la commande (et heureusement) car il s’était aperçu que le modèle de baie de disque pour le cluster ZFS (qui permet de stocker et publier les fichiers de vos sites vers les serveurs web et FTP) ne permettait pas du tout de faire ce que nous souhaitions. En effet, un serveur ne pouvait accéder qu’à la moitié des disques même si l’autre serveur était à l’arrêt. Cela retirait tout l’intérêt du cluster que nous souhaitions faire. Nous étions au pied du mur, et n’avions plus le temps de modifier tout le projet… Il fallait trouver une solution et très rapidement. Nous avons alors passer une nuit complète à éplucher tout le catalogue de stockage DELL et à envisager différentes solutions de replis. Après des heures de discussions et de négociation avec DELL nous sommes parvenus à acquérir la baie 60 disques pour à peine plus cher que la baie 24 disques initialement prévue. Il nous aura fallu toutefois commander des disques et des cartes HBA qui n’étaient pas prévues mais bon… 🙁 L’essentiel est que cette partie soit enfin bouclée, le stockage est en cours de livraison 🙂
Les cartons sont arrivés dans l'appartement et ne prennent pas trop de place ^^Les cartons sont arrivés dans l’appartement et ne prennent pas trop de place ^^

On installe le matériel pour commencer la configurationOn installe le matériel pour commencer la configuration

Notre sapin de Noël :)Notre sapin de Noël 🙂

Il faut partir récupérer les câbles réseaux dans le 78. Jérome BEHUET, de l'équipe Web4all, s'est occupé de la commande. Aurélien PONCINI part à sa rencontre et ce n'était pas prévu... Autolib à la rescousse !Il faut partir récupérer les câbles réseaux dans le 78. Jérome BEHUET, de l’équipe Web4all, s’est occupé de la commande. Aurélien PONCINI part à sa rencontre et ce n’était pas prévu… Autolib à la rescousse !

Phase de décélération : on récupère l'énergie... on fait pareil sur nos serveurs ? :)Phase de décélération : on récupère l’énergie… on fait pareil sur nos serveurs ? 🙂

Voilà les câbles réseaux (il en manque quelques uns)Voilà les câbles réseaux (il en manque quelques uns)

Ce projet ne se résume pas qu'à de l'informatique... il faut étiqueter tout le matériel, les câbles... Soirée DYMO en tête à tête :(Ce projet ne se résume pas qu’à de l’informatique… il faut étiqueter tout le matériel, les câbles… Soirée DYMO en tête à tête 🙁

Nicolas DEVOUGE (à droite) avec Aurélien PONCINI pour configurer le matériel le temps d'un week-end...Nicolas DEVOUGE (à droite) avec Aurélien PONCINI pour configurer le matériel le temps d’un week-end…

Là, doit y avoir un truc qui marche pas...Là, doit y avoir un truc qui marche pas…

Là, doit y avoir un truc qui marche mieux...Là, doit y avoir un truc qui marche mieux…

Il n'y a pas (encore) beaucoup de câbles connectés... ça va venir...Il n’y a pas (encore) beaucoup de câbles connectés… ça va venir…

50 % des prises serveurs sur une prise, 50% sur une autre... et on surveille ce que cela donne sur le compteur EDF...50 % des prises serveurs sur une prise, 50% sur une autre… et on surveille ce que cela donne sur le compteur EDF…

Nicolas DEVOUGE reprend un peu de café... il va en avoir bien besoin...Nicolas DEVOUGE reprend un peu de café… il va en avoir bien besoin…

Des étiquettes... faites à la DYMO, on colle sur les colliers prévus à cet effet.Des étiquettes… faites à la DYMO, on colle sur les colliers prévus à cet effet.

On réparti les étiquettes avec les câblesOn réparti les étiquettes avec les câbles

On réparti les étiquettes avec les câblesOn réparti les étiquettes avec les câbles

Même notre trésorière Chantal QUINQUIS se prend au jeu :)Même notre trésorière Chantal QUINQUIS se prend au jeu 🙂

Un premier câblage à la va vite pour avancer et valider les tests...Un premier câblage à la va vite pour avancer et valider les tests…

Réception d'un colis... LSI ^^Réception d’un colis… LSI ^^

Et oui, LSI... nos fameuses cartes HBA qui n'étaient pas prévuesEt oui, LSI… nos fameuses cartes HBA qui n’étaient pas prévues

Le 08 juin, gros coup de stress en voyant que la carte ne rentrerait pas dans nos serveurs qui sont très compact ! Là ce fût un peu le dégoût... mais en cherchant bien dans le carton on trouve l'adaptateur... Ouf, Sauvé !Le 08 juin, gros coup de stress en voyant que la carte ne rentrerait pas dans nos serveurs qui sont très compact ! Là ce fût un peu le dégoût… mais en cherchant bien dans le carton on trouve l’adaptateur… Ouf, Sauvé !

Réception de colis... Ca y va en ce moment ! Pour la petite histoire, les colis du bas, qui contiennent des objets publicitaires ont été posés par le livreur sur le palier comme ça... :/Réception de colis… Ca y va en ce moment ! Pour la petite histoire, les colis du bas, qui contiennent des objets publicitaires ont été posés par le livreur sur le palier comme ça… :/

Disques durs commandés en plus, câbles SAS...Disques durs commandés en plus, câbles SAS…

Réception des GBIC pour l'arrivée de la fibre dans la baie. Tout ce qui va arriver dans la baie Web4all, passera par là !Réception des GBIC pour l’arrivée de la fibre dans la baie. Tout ce qui va arriver dans la baie Web4all, passera par là !

Il faut ranger un peu les câbles dans la baie ! On prend des bandes Velcro prévues à cet effet. Les couleurs permettront de différencier les groupes de câbles.Il faut ranger un peu les câbles dans la baie ! On prend des bandes Velcro prévues à cet effet. Les couleurs permettront de différencier les groupes de câbles.

Réception des modules 10GB qui seront à l'arrière des switchs pour les réseaux iSCSI et NFSRéception des modules 10GB qui seront à l’arrière des switchs pour les réseaux iSCSI et NFS

Mise en place des modules 10GBMise en place des modules 10GB

Dé-câblage complet pour contrôle et marquage des derniers câbles.Dé-câblage complet pour contrôle et marquage des derniers câbles.

Et on re-câble !Et on re-câble !

La baie est arrivée (100Kgs) ! Aurélien PONCINI part la récupérer au sud du 77 afin de ne pas avoir à attendre la livraison la semaine suivante... Il va falloir faire rentrer cela dans la Laguna... Cette fois-ci, l'autolib n'a pas été retenue :)La baie est arrivée (100Kgs) ! Aurélien PONCINI part la récupérer au sud du 77 afin de ne pas avoir à attendre la livraison la semaine suivante… Il va falloir faire rentrer cela dans la Laguna… Cette fois-ci, l’autolib n’a pas été retenue 🙂

Sur le chemin du retour, ptit clin d'oeil avec enfin du ciel bleuSur le chemin du retour, ptit clin d’oeil avec enfin du ciel bleu

La baie, débaléeLa baie, débalée

Il faut la porter, et la poser, tout seul, ca pèse !Il faut la porter, et la poser, tout seul, ca pèse !

5 tiroirs pour accueillir les disques5 tiroirs pour accueillir les disques

Double alimentation. Double contrôleur SASDouble alimentation. Double contrôleur SAS

Des cartons... vides... en fait la palette a une taille standard quelque soit le nombre de disques durs commandés. Dans notre cas nous n'avons pris que 24 disques sur 60, DELL a donc mis des cartons vides pour combler le vide sur la paletteDes cartons… vides… en fait la palette a une taille standard quelque soit le nombre de disques durs commandés. Dans notre cas nous n’avons pris que 24 disques sur 60, DELL a donc mis des cartons vides pour combler le vide sur la palette

C'est mieux avec des disques !C’est mieux avec des disques !

Vu le poids de la baie à vide, on comprend que les disques ne soient pas dedans ;)Vu le poids de la baie à vide, on comprend que les disques ne soient pas dedans 😉

600GB SAS 10k600GB SAS 10k

Les slots 0, 3, 6, 9 doivent obligatoirement être remplis sur les 5 tiroirs. On met donc 5 disques par tiroirs...Les slots 0, 3, 6, 9 doivent obligatoirement être remplis sur les 5 tiroirs. On met donc 5 disques par tiroirs…

Ca a quand même Ca a quand même « de la gueule » vous ne trouvez pas ?!

 

08 juin 2013 : installation du matériel dans le Datacenter !

Vous avez sûrement vu la photo de la Tour Eiffel plus haut… Il fait beau… il commence à faire chaud et c’est super, cela fait vraiment du bien au moral. En revanche, les serveurs eux n’aiment pas trop la chaleur, il devient donc impossible de les faire fonctionner sans climatisation avec des températures qui montent de jour en jour. Hors de question de prendre le moindre risque !

Et puis je dois reconnaître que le bruit des switchs juste derrière le canapé quand on prend le temps de regarder un film (oui il arrive de lâcher un peu le PC quand même…) devient pénible…

Alors vu que le 30 mai je suis allé effectuer la perception de la baie dans le datacenter, que le lien Fibre Optique est opérationnel et que nous avons suffisament avancé dans la configuration du matériel pour permettre de travailler à distance… on va emmener tout ce beau monde au datacenter…

Petite peur en arrivant à côté du Stade de France car comme à chaque évènement musical / sportif c’est un peu le bazar… le datacenter étant à 400 mètres j’ai eu un peu peur de me retrouver dans les bouchons mais finalement c’est passé nikel 🙂

L’installation du matériel aura ainsi pris 5 heures, de nuit pour Chantal QUINQUIS et Aurélien PONCINI.

On remballe tout et on met le tout dans la Laguna... Pas de place pour mettre les équipements réseaux dans les cartons... Moins de 5 kms à faire, ca va le faire...On remballe tout et on met le tout dans la Laguna… Pas de place pour mettre les équipements réseaux dans les cartons… Moins de 5 kms à faire, ca va le faire…

Il faut penser à tout : le diable, les outils, le PC portable pour les tests, à boire...Il faut penser à tout : le diable, les outils, le PC portable pour les tests, à boire…

Voici la baie B5, celle de Web4all !Voici la baie B5, celle de Web4all !

Firewalls et switchs 48 ports installés. La fibre n'est pas encore connectée.Firewalls et switchs 48 ports installés. La fibre n’est pas encore connectée.

On rack les serveursOn rack les serveurs

Ca, c'est NOTRE fibre ! :DCa, c’est NOTRE fibre ! 😀

Après près de 4 heures d'installation, on branche, on modifie la Gateway et l'IP du Fortinet et paf tout marche, c'est plaisant !Après près de 4 heures d’installation, on branche, on modifie la Gateway et l’IP du Fortinet et paf tout marche, c’est plaisant !

10 € la photo souvenir ! Première photo d'Aurélien PONCINI devant la baie.10 € la photo souvenir ! Première photo d’Aurélien PONCINI devant la baie.

On boot les serveurs et on rentre faire dodo...On boot les serveurs et on rentre faire dodo…

Et après ?

Nous devrions recevoir le matériel de stockage cette semaine :

  • deux serveurs R620 pour le cluster qui vont avec la baie de disques déjà reçue
  • un SAN DELL MD3620i pour le stockage des machines virtuelle
  • un R520 pour les backups

Un article vous relatera la suite des événements ! 🙂

Un article à notre sujet a été publié sur le site de Neo-Telecoms 🙂 http://www.neotelecoms.com/fr/actualites/paris-bienvenue-lhebergeur-web4all

Merci, merci et encore merci !

Aurélien PONCINI

Président Fondateur de Web4all

En route pour le housing : objectif atteint !

En route pour le housing : objectif atteint !Bonjour à toutes et à tous,

c’est avec une grande joie, un immense plaisir, une satisfaction des plus totales… que j’ai l’honneur de vous annoncer que nous avons atteint l’objectif des 7777 € dans le cadre du projet En-route-pour-le-Housing !

Certains d’entre vous l’avaient sûrement constaté avant la publication de cet article puisque nous avions relayé cela sur les réseaux sociaux. A ce sujet, je vous rappelle que vous pouvez suivre l’actualité de Web4all sur les différents réseaux Facebook, Twitter et Google+

Alors forcément je ne peux que, au nom de toute l’équipe vous remercier pour votre générosité ! Je peux même adresser ces remerciements au nom de l’association et de ses adhérents puisque certains des donateurs ne sont ni adhérents ni même clients !

Au-delà de vos dons, de votre soutien à ce projet, nous avons sincèrement été touchés par vos commentaires de soutien et d’encouragement. C’est vraiment ultra motivant pour nous de savoir qu’autant de monde est satisfait de nos services et prêt à continuer l’aventure en notre compagnie… ou plutôt d’en démarrer une nouvelle ! 🙂

Mais, pourquoi 7777… ?!

Certains d’entre vous se sont demandé « pourquoi 7777 € ?! » Pourquoi une telle somme et pourquoi que des 7…

Comme expliqué sur la page consacré au projet, nous devons acquérir du matériel, qui sera pris en location longue durée (leasing) et louer une baie pour accueillir ce matériel.  Cette location de baie comporte des frais de mise en service (mise en service de la baie et des deux connections réseaux) auxquels viennent s’ajouter les dépenses de renouvellement de serveurs actuels le temps de procéder à la migration.

Il ne faut pas oublier les accessoires (câbles réseaux, étiquetage…) ainsi que les frais liés à la mise en place pour les personnes qui vont y participer : l’association pourra quand même leur payer un sandwich (pas le temps d’un resto hein ;)) entre deux rackage de serveurs ! Avouez que c’est la moindre des choses… tout d’même. 😉

Nous avions besoin d’environ 8000 € alors nous avons décidé de définir l’objectif à 7777 car cette année, Web4all fête ses 7 ans d’existence ! 7 ans à vos côtés, à votre service, bénévolement.

Que va-t-il se passer maintenant ?

Les commandes de matériel prennent un peu de retard, nous espérons pouvoir réceptionner le tout le plus rapidement possible, début / mi-mai…

Actuellement l’équipe est en train de recréer la future architecture sur une infrastructure de pré-production afin de minimiser les tâches une fois que nous aurons reçu le matériel. Nous pourrons ainsi nous concentrer sur la partie matérielle et surtout, la migration des données de nos clients.

Quel sera le fournisseur de Web4all ?

Nous vous avions indiqué que nous ne communiquerions sur ce sujet qu’après signature du contrat. Et bien nous avons signé le contrat vendredi avec notre fournisseur pour le Housing ! Après avoir comparé plusieurs prestataires, notre choix s’est porté sur la société Neo Telecoms.

Neo Telecoms est une société Française, forte de dix années d’expérience se positionnant comme le second opérateur de transit IP en France. Présent dans 8 datacenters (centre de données) en France, Neo Telecoms assure une présence mondiale au niveau du réseau disposant de plus de 500 Gbps/s, présent dans plus de 50 datacenters répartis dans 10 pays (Europe et USA).

Le choix s’est porté sur Neo Telecoms en raison de leur qualité reconnue, de leurs implantations géographique, de leur parfaite connectivité à tous les FAI (Fournisseurs d’Accès Internet) français garantissant à vos visiteurs la meilleure connexion possible mais aussi pour l’esprit de cette société avec qui un contact de qualité a parfaitement été établi.

En effet, Neo Telecom reste une société à taille humaine, avec des collaborateurs motivés, passionnés par leur métier et une proximité avec les clients telle que celle que nous recherchions.

A ce sujet je tiens à remercier grandement notre commerciale pour le temps accordé, l’écoute, le conseil et le professionnalisme dont nous avions besoin pour nous lancer dans cette nouvelle aventure. Un grand merci également à tous ses collaborateurs et son directeur général qui m’ont accueilli avec beaucoup de sympathie.

Quelques chiffres :

  • 2 ème opérateur de transit français
  • 1 er opérateur IPv6 français
  • 10 ème opérateur IPv6 mondial

Plus d’informations sur Neo Telecom : http://www.neotelecoms.com/fr/reseaux

L’autre acteur que nous avions retenu pour le transit était la société Iliad où nous avons reçu un accueil sympathique et professionnel. Dans la mesure où nos serveurs secondaires et de backups sont actuellement là-bas, il aurait fallu migrer également cette partie pour ne pas tout centraliser. Par ailleurs, la taille de la société correspondait moins à ce que nous recherchions (proximité / société à taille humaine).

La migration : quand et comment ?

Tant que nous ne connaissons pas les dates exactes de réception du matériel, nous ne pouvons annoncer de dates pour le lancement de la migration. Soyez certains que vous serez informés sur le blog, les forums, les réseaux sociaux… et par mail. Bref, vous ne pourrez pas louper l’information 😉

Voilà, il ne nous reste plus qu’encore une fois à vous remercier grandement.

Vous n’avez pas eu le temps d’effectuer un don ? Il n’est pas trop tard, le portail en-route-pour-le-housing restera en ligne quelques temps encore et bien que l’objectif soit atteint nous ne sommes pas non plus « larges » financièrement parlant.

L’associatif a pu s’exprimer dans toute sa splendeur sur ce projet. Chacun d’entre vous a eu l’occasion d’apporter sa pierre à l’édifice ou plutôt son morceau de baie, et la baie s’est peu à peu dévoilée sur le portail jusqu’à obtenir cela, grâce à vous !

En route pour le housing : objectif atteint !

Merci, merci et encore merci !

Aurélien PONCINI

Président Fondateur de Web4all

Mise à jour de l’interface travaux.web4all.fr

Nouvelle interface travaux.web4all.fr

Cela faisait pas mal de temps que nous n’avions pas mis à jour l’interface Travaux : http://travaux.web4all.fr qui vous permet de rester informé des maintenances, évolutions, incidents en cours. Et on peut dire qu’elle commençait sérieusement à accuser un coup de vieux… Voilà qui est corrigé, une nouvelle version est en place. Nous espérons que cette dernière vous permettra de mieux suivre les maintenances à venir, et elles vont être nombreuses en raison du projet En-Route-Pour-Le-Housing… mais rassurez vous il n’y aura quasiment pas d’impact pour vous 🙂

Comme vous le savez nous essayons toujours de prévenir les maintenances que nous effectuons sur les différentes plateformes, lorsque cela nous est possible.

Alors n’hésitez pas à sauvegarder dans vos favoris cette page 😉 Pour rappel, elle est hébergée sur une infrastructure différente de la production Web4all. Ainsi, même si notre infrastructure principale est complètement down (cela n’arrive jamais mais qui sait…) cette page reste accessible.

 

Deux vues vous sont désormais proposées, la vue standard (comme avant) :

Nouvelle interface travaux.web4all.fr

Ainsi qu’une toute nouvelle présentation :

Nouvelle interface travaux.web4all.fr

Egalement un sacré lifting sur la visualisation des tâches :

Nouvelle interface travaux.web4all.fr

Et n’oubliez pas les autres moyens de rester informés de l’actualité Web4all !

Le projet En-Route-Pour-Le-Housing arrive à son terme, grâce à vous, un article arrive à ce sujet ! 🙂 Mais nous pouvons d’or et déjà vous remercier !

Web4all recherche des bénévoles pour enrichir son équipe

Logo Web4allBonjour à toutes et à tous. Voilà quelques mois que le blog est en place et peu d’articles ont été publiés. Malgré tous les récents projets que nous avons pu finaliser, il nous reste encore pas mal de travail. Ces dernières semaines, avec notamment la mise en place de SuExec (accompagnées de bon nombre de modifications sur notre architecture) nous ont amenées plus que jamais à nous faire prendre conscience que notre équipe à cruellement besoin d’être enrichie. Enrichie en terme d’effectifs mais également en terme de compétences.

Je vais donc vous détailler les besoins que nous avons et profils que nous recherchons, essayer de vous donner un maximum d’informations possible au cas où vous souhaiteriez postuler. Si cela n’est pas le cas, sachez que vous pouvez aider l’équipe bénévole de Web4all en rediffusant ce message le plus possible dans votre entourage et notamment sur les réseaux sociaux ou sur vos sites. Nous vous en remercions par avance.

Web4all c’est quoi?

Commençons tout d’abord par expliquer ce qu’est Web4all car si vous avez suivi un lien pour arriver jusqu’ici vous ne nous connaissez peut être pas.

Web4all est un hébergeur de sites internet et de services web. Nous avons pour but de permettre à toutes et à tous de pouvoir mettre en ligne leurs sites internet. Nous ne nous occupons pas de la création des sites ni de leur contenu. Le rôle de Web4all est uniquement d’assurer une disponibilité permanente de l’infrastructure afin que les sites des clients soient toujours visibles de tous.

Il existe beaucoup d’hébergeur sur le marché. Là où Web4all sort du lot, c’est de par son statut. En effet Web4all est une association régie par la loi Française de 1901, toute la trésorerie issue des ventes de produits et services a pour unique but d’être réinvesti et d’améliorer le service.

Les membres participants à la vie de Web4all sont tous des bénévoles. Il n’y a aucune rémunération directe ou indirecte. Ces derniers oeuvrent uniquement pour le plaisir. Plaisir de participer à un projet, plaisir d’agrandir ses compétences, plaisir d’aider les autres… chacun y trouve son intérêt 🙂

Pour finir, sachez qu’il n’y a pas de clientèle visée en particulier. Nos clients ont des profils très divers et le contenu de leurs sites également. Ainsi nous avons des personnes physiques : particuliers et des personnes morales : associations, entreprises, administrations.

Quelques chiffres à propos de nos clients :

  • 3371 clients
  • 2405 personnes physiques (particuliers mais aussi des personnes morales / auto entrepreneurs qui remplissent la fiche en tant que particulier)
  • 966 personnes morales :
    • 452 associations
    • 423 sociétés
    • 24 autres (syndics, syndicats…)

Puisque je vous parlais des administrations, nous avons par exemple un peu plus de 40 mairies à ce jour, une dizaine d’écoles, 2 IUT, 1 IUFM… Les administrations sont souvent réticentes à prendre des prestataires peu connus et c’est pour nous un signe de confiance envers la qualité de nos services que de les avoir comme clients. Au même titre que les personnes qui hébergent chez nous des boutiques (e-commerce) dont ils vivent, il y a donc une confiance envers nos services 🙂

En terme de contenus de sites nous avons de tout… blog, e-commerce, galeries photos (ou plus largement d’art : tableaux, créations artistiques…), forums, jeux en lignes, services divers… Bref, un peu de plus de 6500 sites internet hébergés à ce jour pour un trafic d’un peu plus de 300 Go journalier sur la partie Web.

Présentation de l’équipe

Actuellement, l’équipe est composée d’un peu moins d’une dizaine de personnes, avec des temps de présence assez variés. La plupart s’investissant tous les jours dans les diverses tâches en cours que nous aborderons par la suite.

Statutairement parlant, l’équipe Web4all est composé de deux groupes :

  • le Conseil d’Administration : les membres sont élus parmi les adhérents, par ces derniers. Nous l’appelons CA
  • le Groupe d’Appui : les membres sont intégrés  à l’équipe sur validation du Conseil d’Administration sans consultation des adhérents. Nous l’appelons GA

Le Groupe d’Appui permet à une personne d’être intégrée dans l’équipe Web4all sans devoir attendre l’assemblée générale mais cela permet surtout à l’équipe de bénéficier d’une gestion plus souple des personnes qui participent à l’aventure. Ainsi nous pouvons faire appel à des personnes pour des tâches bien précises, ou non ; pour des durées déterminées ou indéterminées. De plus, l’intégration au CA requiert au minimum 6 mois de présence au sein du GA, ce qui nous permet d’éviter qu’une personne parvienne au CA par pur hasard. Le Groupe d’Appui est donc un passage obligatoire pour celles et ceux qui souhaitent contribuer au développement de Web4all.

L’ensemble des deux groupes, CA et GA forment ce que nous avons nommés CGA

Les membres de l’équipe de Web4all (CGA) ont divers outils pour travailler et communiquer :

  • Zimbra : une messagerie @web4all.fr permettant de communiquer entre nous mais également avec des personnes externes à l’association. Des listes de diffusions sont également en place afin de simplifier les envois de mail à l’ensemble de l’équipe (pour le CA, le GA, le CGA, la technique, la comptabilité, les fournisseurs…)
  • Un chat XMPP qui était utilisé jusqu’alors mais qui vient récemment de laisser sa place à l’utilisation de Skype permettant à chacun de ne pas avoir –encore– un logiciel de plus sur ses différents postes de travail. Un groupe sur Skype nous permet de discuter n’importe quand, par écrit, en fonction de qui y est connecté. Nous organisons régulièrement des conférences orales avec tout ou partie de l’équipe pour avancer sur certaines thématiques.
  • Redmine : la plate-forme de management est utilisé de différentes manières. Au niveau de la technique elle nous permet de lister ce qui est en cours, ce qui est à faire mais également de référencer toutes modifications (même minime) effectuées sur l’architecture client (ceci est très récent). Nous l’utilisons également pour le développement de IWAL, le manager que nous avons développé en interne pour permettre aux clients de gérer leurs services. Pour finir, nous l’utilisons pour la partie communication, comptabilité… pour savoir ce qui est à faire et suivre l’avancement des tâches.
  • Alfresco : une GED (Gestion Electronique de Documents) dans laquelle nous reversons l’intégralité des documents reçus / envoyés par l’association depuis sa création. Les documents ne nous parvenant pas sous forme électronique sous alors scannés puis passé à l’OCR (reconnaissance de caractères) afin de nous permettre des recherches rapides dans nos archives. La GED se voit aussi reverser des documentations diverses : techniques, législatives…
  • Confluence : la plate forme de guides qui sera prochainement ouverte aux clients et à l’ensemble des internautes permet la réalisation et publication de guides. Cette plate forme est également utilisé en interne pour stocker toutes informations utiles aux membres de l’équipe.
  • Il y a ensuite beaucoup d’applications, surtout liées à la technique qu’il serait peu utile de lister ici car plus ciblé envers certains utilisateurs.

Les missions de l’équipe

Les membres du CGA ont différentes tâches. Certaines tâches pouvant être réalisées par n’importe qui, d’autres plus technique, seront réservées à certains membres. Parmi ces tâches nous auront notamment :

  • Maintien de la plate-forme actuelle
  • Recherches, tests et propositions d’évolutions ou de nouveaux services
  • Communication et promotion de notre structure d’hébergement
  • Support clients
  • Réalisation de documentations
  • Secrétariat
  • Comptabilité

La technique et la plate forme

Aujourd’hui la plate-forme Web4all, c’est quoi? c’est prêt de 100 serveurs virtuels et physiques faisant tourner l’architecture dont par exemple :

  • Un filer pour publier du ZFS à Roubaix avec réplication vers un datacenter à Paris
  • Plus de 15 serveurs web Apache / PHP
  • 2 serveurs MySQL à Rouvaix avec réplication vers un datacenter à Paris
  • Plusieurs couples de load balancers utilisant HA-Proxy en actif / passif
  • Plus de 10 serveurs composants l’architecture Zimbra Open Source Edition
  • Des serveurs DNS hébergeant les zones DNS de nos clients, les zones DNS pour notre réseau privé (à l’aide des Vues dans Bind) mais également les reverses DNS d’un FAI 😉
  • Des serveurs sous Windows pour certaines applications métiers (comptabilité, virtualisation, bureautique…) le tout dans un Active Directory
  • Du Tomcat pour Alfresco, Confluence
  • Du monitoring effectué depuis Paris à l’aide de Nagios, Centreon, Cacti, Smokeping, (on utilise aussi en parallèle, au cas où, les services de Woozweb en monitorant des sites que nous avons sélectionnés)
  • Un peu de réseau avec des serveurs faisant office de passerelles, routeurs, VPN d’administration, VPN site à site et Firewall (là je n’en dirais pas plus car ce n’est pas mon domaine ;))
  • En bien d’autres choses 🙂

Nous disposons pour faire tourner cette infra virtuelle, de 3 hyperviseurs reposant sur des serveurs de la gamme HG chez OVH. Ces serveurs ont des alimentations redondés, du réseau 2x10GB, Bi-Xeon 96 ou 128Go de RAM… auxquels viennent s’ajouter 4 hyperviseurs autonomes de types EG avec chacun 64 Go de RAM pour des services dont la redondance est effectuée au niveau logiciels par nos soins (cas des Apaches par exemple), voir cet article.

Nous avons également des serveurs chez Online à Paris afin d’assurer la redondance sur certains services (DNS, mails…) sans oublier l’externalisation des sauvegardes : MySQL, Fichiers, Mails.

Avec donc un pool d’environ 700Go de mémoire vive, un réseau redondé, des serveurs sur des datacenters différents.

Cette plate forme est gérée par une équipe de trois administrateurs : Benoit GEORGELIN, Nicolas DEVOUGE, et Aurélien PONCINI auxquels Jonathan GAULUPEAU vient apporter de l’aide quand le temps lui permet.

Nous avons également récemment intégrés deux membres dans l’équipe qui sont encore en « période d’essais » et qui devraient si tout se passe correctement rejoindre le groupe des administrateurs d’ici quelques semaines. Je reviendrais plus bas sur les modalités d’intégration dans l’équipe.

Toujours est-il que nous avons bien besoin d’aide sur cette partie.

Le support clients Web4all

Le support client est surement une des missions les plus importantes car c’est celle là qui fait la différence avec la majorité des hébergeurs. Mais elle est très prenante en terme de temps. De plus elle demande parfois des compétences particulière et un esprit de compréhension, de synthèse le tout le plus rapidement possible. Il est donc important, afin de pouvoir assurer cette mission du mieux que possible, d’être nombreux afin de pouvoir rapidement répondre et ce, sans se lasser. En effet au bout d’un moment la surcharge de travail peut nous lasser voir nous rendre plus irritable en apportant des réponses parfois un peu sèche pour peu que le client ait ouvert une brèche ou soit sur la défensive.

Je vais maintenant citer Simon qui, dans un mail d’introduction qu’il envoi aux nouvelles recrues fraîchement intégrées à l’équipe, présente sa vision du support –que je partage– vous aurez un aperçu de ce qui est demandé et attendu :

Si vous souhaitez commencer à prendre en charge du support client, si vous savez répondre, n’hésitez pas et répondez, essayez toutefois d’évaluer les connaissances et possibilités de chacun des clients qui postent un ticket, afin de coller au mieux à leurs attentes, il y en a pour qui il est préférable de mâcher le travail car on sent que le ticket va s’éterniser si on ne prend pas les devants, mais il y a également des utilisateurs expérimentés qui attendront d’avantage d’explications sur les démarches/procédures à appliquer, et qui préféreront procéder aux modifs sur manager eux même par exemple.

Dans tous les cas, il faut être sûr de la réponse que l’on apporte, et essayer de cibler exactement ce que demande le client, afin de conserver toute crédibilité auprès d’eux d’une part, mais également pour éviter de faire traîner en longueur des tickets qui n’en valent pas la peine. Donc tout ça pour dire que, dans un premier temps, vous allez avoir du temps pour lire les tickets postés par les clients, et lire nos réponses, vous ne pourrez pas répondre pour le moment, mais regardez le type de réponses apportées, et quels sont les types de demandes les plus courantes, vous verrez, beaucoup de demandes reviennent régulièrement. Cependant, même si la question posée par le client est ressortie X fois, il faut toujours traiter la demande client comme unique et personnelle, c’est ce qui fait aussi que les clients se sentent écoutés et qu’ils souhaitent rester chez nous, l’écoute et la prise en charge individuelle sont primordiales je pense dans la fidélisation client. Si vous ne savez pas répondre, ou si vous avez un doute, plutôt que poster une bêtise, posez votre question par mail, quelqu’un (moi par exemple) vous répondra et vous expliquera.

Pour ce qui est enfin de l’orthographe, essayez au maximum dans la mesure du possible de vous relire, une réponse au client truffée de fautes d’orthographe nous fait perdre toute crédibilité, n’oubliez pas que vous parlez désormais au nom de l’association Web4all, et non plus uniquement en votre nom propre, les réponses que vous apportez engagent donc directement l’association.

Voilà je pense quelques points qui résume ma vision du support client, et du moins celui que je m’efforce de proposer à nos clients avec l’équipe.

Les réponses aux tickets sont apportées un peu par toute l’équipe et principalement par Simon BRESSIER et Aurélien PONCINI. Benoit GEORGELIN et Nicolas DEVOUGE apportant des réponses à un nombre moindre de tickets mais sur des sujets généralement plus technique.

Là aussi, vous l’aurez compris nous avons besoin de personnes pour nous aider à être encore plus performant ! 🙂

La communication

Elle est très diverse et variée : réseaux sociaux, articles sur le blog, rédaction d’interview, partenariats avec des sites, mises en avant de sites clients… Il y a beaucoup d’idées et pas mal de travail de ce côté là que nous avons souvent laissé un peu à part faute de temps ou de compétences dans ce domaine. Nous avons pleinement conscience que pour faire de la communication il ne suffit pas d’en avoir juste l’envie. Il s’agit là d’un poste à part entière qui est preneur de temps. Mais ces missions sont indispensables à la survie de l’association…

Ce poste est actuellement occupé par Gregory THEPAULT qui manque de temps pour parvenir à mener à bien cette mission. Besoin de volontaires ! 🙂

Le développement applicatif

Que ce soit pour faire évoluer le manager, aider nos clients quand nous le pouvons au delà du simple cadre du support client (qui est censé être limité à ce qui est de notre ressort) ou pour justement pouvoir montrer au client que le soucis vient de son application et non de nos serveurs, nous avons besoins de développeurs.

Notez qu’il peut également y avoir des projets proposés par les dev, afin de lancer de nouvelles fonctionnalités liées ou non au manager 🙂

Actuellement nous avons beaucoup de choses en cours : améliorations de la gestion HTTP pour proposer des personnalisation de php.ini, personnalisation des vHosts, refonte du module MySQL et Bind. Mais encore la mise en place d’un installateur d’applications, l’interfaçage avec l’API de Gandi pour les certificats SSL… et j’en passe…

Actuellement ces missions sont assurées par Clément DEBIAUNE sur la partie système de ticket et site internet, Aurélien PONCINI sur la partie manager dans son ensemble, Simon BRESSIER pour ce qui concerne la partie gestion des emails sortants sur la plate forme HTTP (via phpmail() par exemple).

Je dois encore le préciser ? Nous avons besoin de monde ! 🙂

Le reste : comptabilité, juridique…

Il y a d’autres missions comme celle assurée par Chantal QUINQUIS : la comptabilité. Très preneuse de temps cette partie du travail demande une parfaite rigueur. Permanente. Nous sommes à la recherche éventuellement de personnes qui pourraient nous apporter leur aide sur ce point.

Le côté législatif aussi nous intéresse ! Si vous avez des compétences juridiques pour nous aider à mieux nous positionner afin d’être sûr que nous fassions tout dans les règles de l’art mais également pour conseiller nos clients lorsqu’ils en ont le besoin, nous sommes preneur 🙂

Le recrutement

Web4all, comme vu plus haut, c’est un peu plus de 3000 clients, 1900 hébergements, près de 7000 sites hébergés.
Vous vous en doutez, qui dit clients, dit beaucoup de questions de la part de ces clients, et donc du temps à prendre pour y répondre, nous sommes donc en perpétuelle recherche de personnes désireuses de nous rejoindre pour continuer à assurer un support client efficace et apprécié.

Ces clients attendent aussi de nouveaux services, des améliorations, du neuf de temps en temps 🙂

Et ces clients, il faut les faire venir, grâce à la communication

Enfin afin qu’ils restent grâce à un bon support et des nouveautés de temps en temps, nous ajouterons à tout cela des outils efficaces et complet leur permettant de tout gérer du mieux que possible !

Pour se faire, nous recherchons donc des personnes désireuses de rejoindre l’équipe pour les thématiques suivantes :

  • support client
  • administration système
  • développement PHP-HTML-JS-CSS, Perl, Bash…
  • communication
  • comptabilité, juridique

Sachez que chez Web4all, les membres de l’équipe devant avant tout se sentir bien au sein de l’équipe et donc se faire plaisir, chacun occupe un poste précis mais n’est pas « fixée » sur ce poste. Une même personne en fonction de ses compétences, du temps dont elle dispose et de ses envies peut avoir plusieurs casquettes et effectuer ainsi –par exemple– du support client, de l’administration et du développement.

Sachez que certains membres de l’équipe ont décrochés un emplois grâce à leur parcours au sein de Web4all. Ils ont pu mettre en avant ce qu’ils avaient fait, la participation à un sujet concret, visible de tous et utile, et qui est toujours en vie, preuve qu’il fonctionne ! 🙂

En entrant dans l’équipe, vous parlerez au nom de l’association, et nous tenons par dessus tout à conserver une complète crédibilité auprès de nos clients, nous recherchons donc des personnes matures, ayant un niveau convenable voire plus que convenable en Français écrit (exit les « kikoo lol »).

Si vous souhaitez postuler pour le support ou l’administration système, nous vous demanderons un minimum de connaissances dans le domaine de l’hébergement web (concepts de prise en charge dns, vhost apache, mysql, transferts de domaines, utilisation d’un client ftp, configuration d’un client mail… et j’en passe) et surtout savoir chercher, essayer de comprendre, quitte à passer des heures sur un problème où vous ignorez tout au départ ! Nous ne vous demandons pas de tout connaître non plus, l’équipe est aussi là pour vous aider à monter en compétences 😉

Je vous ai indiqué tout à l’heure la vision du support qu’en a Simon. Je vais donc vous apporter rapidement ma vision des choses concernant l’association d’un point de vue global. Web4all est une association qui vends des services, nous avons donc un rôle de prestataires de services auprès de nos clients. Ces derniers payent pour un service et attendent en retour quelque chose de pleinement fonctionnel. Je refuse d’entendre dans l’équipe des phrases du genre « on est une asso donc ce n’est pas pareil« . En postulant chez Web4all, considérez que vous postuliez comme pour un emploi. Même si il n’y a pas la pression du salaire qui vous permettra de subvenir à vos besoins à la fin du mois, j’attends des membres de l’équipe le plus grand professionnalisme.

Vous n’aurez pas d’horaires définies comme dans un emploi mais nous attendrons de vous une présence régulière et soutenue. Une présence d’une heure par jour est déjà le minimum pour parvenir à suivre ce qu’il se passe si vous postulez sur du support. Sur de l’administration système ce n’est même pas envisageable en dessous de deux heures par jour.

Me concernant je consacre plus de 40-50 heures par semaines à Web4all. La majorité des membres de l’équipe y consacrent entre 10 et 30 heures par semaines, parfois plus quand ils le peuvent et en ont l’envie ou que nous faisons face à des ennuis techniques.

Le plus important est la régularité. Nous préférons une personne présente 5 ou 6 heures par semaines, qu’une personne présente 30 heures une semaine puis totalement absente pendant un mois. Nous avons besoin de savoir qui est disponible et qui ne l’est pas. Un message nous informant que vous ne serez pas dispo pendant 15 jours est bien mieux qu’une absence non annoncée pendant 7 jours. La communication au sein de l’équipe est primordiale afin que les autres membres de l’équipe sachent ce qu’ils peuvent faire et dans quels délais.

Je vais arrêter là au risque de vous faire peur 😉 Car Web4all c’est aussi un lien social avec le reste de l’équipe, avec les clientsnous sympathisons beaucoup avec certains d’entre eux-. Web4all, c’est une aventure qui se vit avec passion, intensément et dont vous verrez qu’une fois que vous y aurez goûté, si la motivation est présente, vous ne pourrez plus vous passer.

Si vous souhaitez postuler au sein de Web4all, voici comment les choses se déroulent :

  • nous réceptionnons votre candidature et y répondons dans tous les cas (si votre candidature est bâclée, ne vous attendez pas à une réponse autre que par simple politesse)
  • un échange de mails se fait entre vous et nous en fonction de ce que vous aurez indiqué dans votre mail. Plus votre présentation est complète et détaillée, moins nous devrions avoir de questions à vous poser 🙂
  • un échange téléphonique / Skype aura très probablement lieu afin de discuter de vive voix. Pouvoir en savoir plus sur vous mais également vous permettre de nous poser toutes questions que vous jugez utile
  • un délais de quelques jours vous est laissé. Ce délais vous permet de réfléchir à tête reposée si vous souhaitez vraiment intégrer l’équipe
  • vous nous donnez votre réponse. Si vous acceptez de vous lancer dans l’aventure et que nous sommes toujours intéressé par votre profil, nous vous créons les accès à la plate forme Web4all. Vous aurez alors d’une adresse mail @web4all.fr afin de pouvoir communiquer avec l’équipe. Vous aurez accès aux sections privés des forums afin de pouvoir consulter les différentes discussions, y prendre part et donner votre avis. Vous pourrez vous exprimer au même titre que n’importe quel membre actif du CGA ! Pour finir sachez que vous n’aurez pas accès au manager ni à l’infrastructure de production.
  • Une période d’essais commence alors. Pour une durée indéterminée. L’expérience nous permet de vous donner comme information sur cette durée, une période de 6 à 12 semaines. Durant cette période je le répète vous n’aurez pas accès au manager ni à l’infrastructure de production. Cette période doit vous permettre, au même titre que dans une entreprise, de savoir si la fonction vous intéresse. Si c’est ce que vous attendiez de Web4all, si vous en avez le temps, l’envie… et si vous arrêtez en cours de route, personne ne vous le reprochera. Nous préférons une personne qui abandonne car elle a conscience qu’elle ne sera pas suffisamment disponible plutôt qu’une personne qui s’engage et jette l’éponge au bout de deux mois sans donner de nouvelles. De même, cette période permettra à l’équipe aussi de savoir si vous convenez ou non au poste, si l’entente avec le reste de l’équipe est correcte, bref, si vous collez au profil recherché 🙂
  • Si tout se passe bien, vous intégrez officiellement l’équipe. Il reste toutefois deux pré-requis à cela : être adhérent à l’association et signer un contrat de confidentialité. Ce contrat nous permet d’officialiser les choses dans les règles. Il s’agit de nous protéger, de rassurer nos clients en leur montrant que nous ne donnons pas les accès à n’importe qui aux données qui les concerne. Il vous faudra alors joindre à cela une photocopie d’une pièce d’identité ainsi qu’un justificatif de domicile.
  • Il faudra ensuite au minimum une à deux rencontres physiques avec au moins une personne de l’équipe pour vous permettre d’accéder au manager (données nominatives des clients) et encore quelques semaines pour accéder aux serveurs de production. Vous aurez cependant la possibilité de travailler sur des environnements de tests si besoin. Concernant les accès serveurs donc il faut en général plusieurs mois avant de l’envisager. Et cela ne sert à rien de le demander, c’est nous qui décidons quand nous sommes suffisamment en confiance.

Voilà je pense avoir fait le tour…

Voici donc comment postuler :

Envoyez un mail à recrutement arobase le nom de notre association .fr 😉

Indiquez y en sujet « Candidature support » ou « Candidature administration système« … bref vous avez compris le principe.

Le corps du mail devra contenir obligatoirement les informations suivantes :

  • Identité : nom, prénom, âge, adresse postale (lieu de résidence)
  • Etudes actuelles ou emploi actuel et précédents
  • Quels expériences avez vous dans des projets / associations ? Racontez nous un peu : quoi, où, quand, combien de temps…. 🙂
  • Comment avez vous connu Web4all ?
  • Quels domaines vous intéressent au sein de Web4all ?
  • Pourquoi souhaitez vous participer au projet Web4all (bénévolement) ? 
  • Temps disponible selon vous pour l’association
  • Vos compétences techniques si vous postulez pour du support, du dev ou de l’administration. N’hésitez pas à citer les produits que vous connaissez et votre niveau  de compétence estimé sur chacun de ces produits.

Il est important que vous fassiez un effort rédactionnel. Nous ne vous demandons pas une lettre de motivation mais nous n’en sommes pas loin. Nous vous demandons donc un texte qui soit un minimum structuré et avec un minimum de fautes.

Si vous avez un CV à joindre il sera le bienvenu. Si vous n’en avez pas ce n’est absolument pas un problème 🙂 ne vous en faites pas 🙂 Si vous avez un profil LinkedIn, Viadeo, Twitter public, n’hésitez pas à nous indiquer les liens. Ce sera toujours ça de moins comme recherches à faire pour nous 🙂

Merci pour votre lecture et n’oubliez pas, aidez nous, rediffusez le plus possible cet article !

Aurélien PONCINI

Président fondateur de Web4all.

HappyNewYear4all & retour sur les récentes modifications

Logo Web4all

Bonjour à toutes et à tous. Quoi de mieux pour commencer cette nouvelle année que le traditionnel « bonne année et meilleurs voeux« . Rien d’original certes, il y a sûrement bien mieux. Nous vous souhaitons sincèrement nos meilleurs voeux, en espérant que vos sites internet se développent autant que vous le voudrez (et que vous vous en donnerez les moyens). Nous ferons tout pour vous accompagner dans cette aventure.

L’année 2012 chez Web4all aussi se termine, beaucoup de projets auront vu le jour en cette année, certains auront mis du temps à être mis en production, certains sont visibles pour vous, d’autres moins… Nous allons donc revenir sur la dernière modification d’architecture qui a eu lieu le 25 et 26 décembre et qui a fortement impacté les sites de certains d’entres vous.

Si l’on devait résumer en une phrase cette modification ce serait compliqué tant les modifications sont conséquentes, mais les principales sont : Apache Worker & SuExec avec mise à jour du manager permettant à l’utilisateur de choisir sa version de PHP sans oublier l’apport du SSH ! Nous avons pour habitude de ne jamais faire de modification trop massive pour éviter en cas de problème de ne pouvoir isoler l’origine de ces derniers. Mais cette fois ci les modifications étaient dépendantes les unes des autres, nous obligeant à les mettre en production toutes en même temps.

Je vais essayer d’être le plus clair possible, certains passages seront un peu technique mais sans trop, je vous le promet 😉

Sommaire :

Cette fois ci je ne vous donnerais pas les temps passés sur chaque tâches, cela se compte en milliers d’heures

Il faut savoir que ce projet a débuté en 2009 (oui, vous avez bien lu, en 2009 !). Seulement, la croissance de Web4all nous obligeant en permanence à revoir notre copie, à refaire des essais, à laisser un peu de côté le projet pour se consacrer à d’autres…

Ce qui a changé et pourquoi


Les raisons sont nombreuses. La plus importante : la sécurité. Vient ensuite l’amélioration des performances ou encore l’apport possible de nouvelles fonctionnalités comme le SSH. Je vais donc vous expliquer un peu ce qui change par rapport à avant en prenant en exemple un hébergement.

Un hébergement avant la modification :

Avant la modification, cet hébergement ressemblait à cela :

Web4all Ancienne arborescence

L’hébergement se nomme w4a100010, cela n’a pas changé. Pour les clients les plus anciens, l’hébergement porte parfois comme nom celui d’un nom de domaine. Ensuite dans ce répertoire il y avait les données de vos sites. Un répertoire par domaine (en général, cela diffère d’un hébergement à un autre, ces valeurs étant personnalisables). Les fichiers appartenaient tous à l’utilisateur nommé www-data. Il s’agit sur le système de l’utilisateur dédié au serveur Web Apache qui publie vos sites.

Lorsqu’une personne naviguait sur votre site, le contenu statique (.html .css .js .gif .png…..) était servit par le serveur web Apache. Et lorsqu’il s’agissait d’un fichier .php alors Apache servait également le fichier grâce à « libapache2-mod-php5 » qui est le module lui permettant de traiter du PHP5.

Ainsi nous avions donc un serveur Web (enfin, plusieurs serveurs) qui servaient avec un même programme, sous un même utilisateur, pour tous les sites, tout le contenu quel qu’il soit.

Pour finir, ce serveur était configuré avec ce que nous appelons le « mod Prefork« . Le serveur lorsqu’il démarre créé un processus, le processus parent. Puis ensuite à chaque demande il va créer des threads enfants.

Voila une image que j’ai trouvé sur un site (non les serveurs ne sont pas en MacOSx mais en Linux, mais l’image étant assez parlante j’ai préféré prendre celle là que refaire quelque chose). Comme vous pouvez le voir nous avons bien le processus parent et les threads enfants :

Web4all Apache Prefork

Alors si l’on commençait par là… Notre premier soucis c’est celui là : Apache fait tout, il en fait trop. Alors nous allons faire différemment  nous allons faire travailler Apache sur le contenu pour lequel il a été conçu et pas plus. Le reste nous allons l’externaliser.

De plus, vu que Apache fait tout, avec un seul et même utilisateur : www-data, la sécurité était loin d’être parfaite. En effet, bien que nous ayons mis des protections sur la couche PHP avec OpenbaseDir et quelques modifications ou scripts « faits maison« , il était possible pour un utilisateur ayant un minimum de compétence dans le domaine, d’utiliser certaines failles pour hacker la plate forme comme cela s’est vu à quelques reprises depuis 2007.

Tout commence donc par l’utilisation de Apache, non plus en mode Prefork mais désormais en mode Worker ! Un processus parent au démarrage de l’application puis des processus enfants qui eux mêmes vont lancer des threads :

Web4all Apache Worker

Tout à l’heure nous disions :

« Lorsqu’une personne naviguait sur votre site, le contenu statique (.html .css .js .gif .png…..) était servit par le serveur web Apache. Et lorsqu’il s’agissait d’un fichier .php alors Apache servait également le fichier grâce à « libapache2-mod-php5″ qui est le module lui permettant de traiter du PHP5. »

Désormais, lorsqu’une personne navigue sur votre site, le contenu statique (.html .css .js .gif .png…..) est servit par le serveur web Apache. C’est tout. Alors que se passe t-il si le fichier est un fichier .php ? Et bien c’est très simple, Apache va envoyer la requête à PHP qui n’est plus un module de Apache, il est indépendant. Ceci grâce à Fast-CGI. Ainsi le contenu PHP de votre site est envoyé à l’application PHP qui va la traiter avec un utilisateur dédié à cela. Non plus www-data mais un utilisateur PHP dédié à cela et différent pour chaque hébergement ! Ainsi en cas de faille de sécurité sur un hébergement, l’utilisateur étant différent des autres hébergements, il ne pourra impacter les autres utilisateurs.

Cela nous oblige donc à créer un utilisateur sur chaque serveur Web pour chaque hébergement. Nous avons alors poussé l’idée plus loin, et nous avons créé au sein de chaque hébergement une arborescence système. Ainsi vous avez au sein de votre hébergement un ensemble de répertoire un peu comme si vous étiez seul sur le serveur. Cela va nous permettre par la suite de vous proposer certaines fonctionnalités telle que l’accès SSH.

Un hébergement après la modification :

Désormais un hébergement ressemble à cela :

Web4all Nouvelle arborescence

 

Oui, je vous l’accorde cela change beaucoup, alors ne vous inquiétez pas, nous allons détailler tout cela.

  • backups : il s’agit d’une nouveauté encore non officielle. Dans ce répertoire vous trouverez des liens vers les snapshots de votre hébergement. Il s’agit de clichés instantanés de votre hébergement tel qu’il était à certains moments. J’y reviendrais par la suite.
  • bin, dev, etc, lib, lib64, tmp, usr : il s’agit de répertoires systèmes utilisés par… le système. Vous ne pouvez pas écrire dedans, ils sont réservés à Web4all et nous permettrons certaines évolutions (encore une fois : comme le SSH)
  • var : c’est votre répertoire, celui dans lequel vos données vont se trouver. Ce dernier va contenir différents sous répertoires :
    • awstats : il contient les scripts pour les statistiques de vos sites (le fichier perl de génération et visualisation des statistiques ainsi que le fichier htpasswd pour protéger l’accès aux données). Comme vous le savez, Web4all, chaque nuit, génère les statistiques de visites de vos sites et vous permet d’y accéder via http://votresite.tld/stats Vous pouvez depuis le manager créer des comptes utilisateurs statistiques afin de donner un accès à des tiers. Le gros avantage de Awstats comparé à un logiciel comme Google Analytics ou encore Piwik, c’est qu’il voit ce que les autres ne voient pas. Si une page n’existe pas, cela va générer une erreur, ni Analytics, ni Piwik ou autre système de statistiques ne verront cette demande en erreur alors que Awstats lui travaille avec les logs de Apache, il sera donc en mesure de vous donner la liste des éléments appelés et qui ont retournés une erreur à vos visiteurs.
    • log : il contient les logs de visites de vos sites dans un sous répertoire apache2 (attention, sur la nouvelle version du manager vous devez demander à ce que la copie des logs soit effectué depuis la gestion de votre hébergement. Ceci n’est plus définit par défaut). Il contient également un autre sous répertoire, nommé awstats qui lui contient les données des statistiques dont nous venons de parler juste avant.
    • www : nous y voila, votre répertoire, le vrai, celui dans lequel se trouvent vos sites. Pour résumer, tout ce qui se trouvait avant dans votre hébergement a été déplacé ici !

Une dernière modification que vous aurez peut-être remarqué, l’utilisateur propriétaire des données n’est plus www-data, il s’agit désormais de w4a100010 qui a pour uid 100010 (dans cet exemple).

Comme dit plus haut, les données PHP sont désormais exécutées par PHP avec un utilisateur dédié par hébergement, cela implique donc que les données de chaque hébergement appartiennent à un utilisateur définit.

Cela est très bien mais impose certaines contraintes (positives !) en termes de sécurité. L’utilisateur PHP w4a100010 doit pouvoir lire les fichiers de votre site. Cela ne pose pas de soucis, elles lui appartiennent (il est le propriétaire de ces fichiers comme nous venons de le voir). En revanche, les autres fichiers (.html .css .js .gif .png…..) eux seront lus par le serveur Apache qui lui s’exécute toujours en www-data, il faut donc que ces fichiers lui soit accessible ! Vous devez donc sur ces fichiers avoir un CHMOD qui permette une lecture à un utilisateur autre c’est à dire au minimum un 4 sur le dernier chiffre.

Par exemple un fichier en lecture uniquement pour PHP : 0600 alors qu’un fichier lisible aussi pour apache devra avoir 0604 au minimum. L’avantage c’est que si vous indiquez par exemple 0400 sur le fichier de configuration de votre Joomla ou WordPress, il ne sera lisible que par votre site et par aucun autre ! Indispensable lorsque l’on sait que ce fichier contient vos identifiants d’accès à votre base de données !

Nous avons réalisé un topic sur nos forums qui explique tout cela : http://forums.web4all.fr/topic/3727-bien-choisir-les-permissions-sur-vos-fichiers/

Afin de ne pas impacter vos connexions FTP et notamment pour les personnes qui automatisent la récupération de données, nous avons déplacé les données de / vers var/www dans chaque hébergement et avons donc modifié les utilisateurs FTP afin qu’ils soient définit comme avant mais avec var/www en plus dans leurs chemins. Nous y reviendrons plus tard dans la partie « L’impact : attendu et inattendu » car cela a eu quelques conséquences sur les connexions au serveur de sauvegardes.

Ce qu’il faut donc retenir c’est que désormais, un hébergement contient une arborescence complète sur laquelle vous n’avez pas totalement la main. Une partie vous est réservée et appartient à un utilisateur dédié à votre hébergement. Ceci améliore donc considérablement la sécurité. Et grâce à la nouvelle architecture Apache / PHP, les performance s’en trouvent améliorées. Mais n’oubliez pas, vous devez gérer finement les permissions sur vos fichiers !

 

La mise en production


Lors de la mise en production, nous avons eu plusieurs éléments à modifier. Comme nous venons de le voir nous avons modifié la partie Apache et PHP mais pas uniquement. Je vais donc rapidement vous dire ce qui a été fait.

Manager :

Mise en production de la nouvelle version 1.5 de IWAL (il s’agit du nom du manager, entièrement développé par nos soins). Pour cette mise en place, nous avons mis en place une nouvelle plate forme afin de pouvoir travailler en parallèle de la production. L’ancienne version était sur un serveur Web et utilisait un petit serveur MySQL.

Voici donc ce qui a changé :

  • Mise en place d’un nouveau serveur MySQL à Roubaix avec réplication temps réel sur un autre serveur à Paris. Sauvegardes des bases de données toutes les heures à Paris.
  • Mise en place de deux serveurs avec répartition de charge pour la publication du manager afin d’assurer une haute disponibilité même en cas de maintenance.
  • Mise en place d’un serveur « CLI » (Command Line Interface), ce serveur assure le pilotage de l’infrastructure : système de fichiers, serveurs Web Apache, gestion des utilisateurs PHP / SSH, mises à jour des données et quotas, système de relance en cas d’impayés / échéance… traitement automatisé des paiements CB / Paypal… et bien d’autres tâches.

Cette nouvelle version du manager arbore un nouveau design. Esthétiquement différent mais également plus large ! Ce design va encore être un peu modifié suite aux remontées de certains utilisateurs. Nous avons quelques soucis d’affichage sur Internet Explorer et iPad, nous travaillons à la correction de cela. Mais déjà, nous avons uniformisés le design, les boutons d’actions, les « boites » d’informations à destination des utilisateurs… Nous avons essayé de le rendre plus cohérent. Nous espérons que cela est vraiment le cas.

Notez que vous retrouverez ce design prochainement sur le site internet de Web4all qui a prit un peu de retard 🙁 Un grand remerciement à Jean-Baptiste DEBAUCHe de chez Welovemedias pour ce design.

Web4all Accueil Manager

 

Allez je vous fais faire un petit tour rapide, nous allons nous contenter de la partie hébergement qui est celle qui a le plus changé 🙂

 

Web4all Manager Hébergement L’accueil de l’hébergement a subit quelques modifications. Pas forcément très visible… Les boutons d’actions ont été uniformisés, la synthèse de gestion des délégations se voit légèrement plus aéré et les bargraphs affichant l’utilisation des quotas ne sont plus gérés avec des images mais en CSS (quelques soucis sur Internet Explorer pour ce dernier point).
La partie Fichiers & accès se voit intégralement refaite : une synthèse est affichée afin de vous donner toutes les informations dont vous pouvez avoir besoin. La gestion des utilisateurs SSH est enfin arrivée et le tout est cohérent avec la charte graphique dans le reste du manager. Web4all Manager Hébergement
Web4all Manager Hébergement La gestion des domaines est aussi bien retouchée ! Comme dans d’autres parties du manager, nous avons mis en place des tableaux utilisant du Javascript permettant une présentation plus jolie mais surtout plus pratique (notez que les couleurs des lignes doivent être modifiées). Un champ de recherche vous permet en temps réel d’effectuer une recherche sur n’importe quel élément du tableau. De plus les en-têtes des colonnes sont cliquables afin de pouvoir modifier l’ordre d’affichage des données. Il est désormais possible d’afficher l’intégralité des données sur une seule et même page 🙂 Exit donc le bug au delà de 100 éléments que certains d’entre vous nous avaient remonté !
La visualisation d’un domaine… voilà sûrement la partie qui a le plus changé. En effet elle a été refaite de zéro (et doit encore se voir greffer quelques modifications notamment graphique). Outre l’harmonisation avec la charte graphique, cette partie se voit désormais découpé de manière structurée en plusieurs parties : la publication web Apache, la partie DNS et la partie Mail Zimbra. Concernant la partie web Apache, on y retrouve désormais la gestion de la configuration de Apache, des répertoires utilisés mais aussi et surtout, la nouveauté tant attendu depuis très longtemps, la possibilité de sélectionner la version de PHP parmi les versions 5.2, 5.3 et 5.4 ! Web4all Manager Hébergement
Web4all Manager Hébergement Comme pour la partie Fichiers & accès, la partie Zimbra se voit remise au goût du jour et surtout, se voit apporter des explications sur la page d’accueil. Nous recevions beaucoup de questions relative à Zimbra, nous avons donc essayé de synthétiser cela 🙂
La vue qui permet de visualiser les comptes emails Zimbra créé sur l’hébergement est modifié de la même manière que la gestion des domaines, Bis : nous avons mis en place des tableaux utilisant du Javascript permettant une présentation plus jolie mais surtout plus pratique (notez que les couleurs des lignes doivent être modifiées). Un champ de recherche vous permet en temps réel d’effectuer une recherche sur n’importe quel élément du tableau. De plus les en-têtes des colonnes sont cliquables afin de pouvoir modifier l’ordre d’affichage des données. Web4all Manager Hébergement
Web4all Manager Hébergement Pour finir, de très légères modifications sur la partie Awstats. Nous avons là aussi ajouté des informations afin de vous donner le plus d’infos possible. Nous y avons même indiqué quelques références en la matière comme Google Analytics, Piwik ou encore Open Web Analytics si vous désirez compléter ce que Web4all met à votre disposition.

Sachez également que de nombreux bugs ont été corrigés, la partie MySQL par exemple sur la gestion des utilisateurs et des mots de passe ou encore la mise à jour des quotas Zimbra et MySQL.

D’autres modifications doivent être effectuées dans les prochaines semaines 🙂

Revenons en à notre mise en production. Comme nous venons de le voir le manager a subit de lourdes modifications. Les scripts d’installation / mise à jour auront pris quelques minutes à passer les milliers de requêtes SQL modifiant le schéma de la base de données ainsi que  les données…

La partie Système de fichiers

Je ne vais pas m’attarder sur cette partie, nous avons vu plus haut que l’arborescence au sein d’un hébergement avait complètement été modifiée. Il nous aura ainsi fallu procéder de la sorte :

  • création de var/www dans chaque hébergement
  • déplacement de toutes les données de chaque hébergement dans le répertoire var/www
  • modification du propriétaire de tous les fichiers dans var/www pour qu’ils appartiennent à l’utilisateur w4axxxxxx correspondant à l’hébergement
  • modification des CHMOD de tous les fichiers afin de garantir que les fichiers soient correctement lisibles par Apache et PHP comme expliqué plus haut.

Cette partie là, j’y reviendrais dans la partie « L’impact : attendu et inattendu » a causé quelques problèmes 🙁

La partie Publication des données

Nous avions jusqu’alors 7 serveurs Web qui servaient les données Apache et PHP 5.2 et un serveur qui servait du Apache / PHP 5.3.

Mais ça, c’était avant… 🙂

Désormais nous avons mis en place :

  • 11 serveurs web qui publient Apache et PHP 5.x (toutes les versions).
  • 2 serveurs web qui publient le contenu CGI-BIN et Awstats car la sécurité est géré différemment dessus. Ce sont nos répartiteurs de charge qui routent différemment les requêtes sur les serveurs.

Le soucis, c’est que durant la migration dès qu’un hébergement se voyait modifié par notre script qui migrait les données comme expliqué au dessus dans « La partie Système de fichiers », les sites de cet hébergement ne fonctionnait plus du tout. Nous avons donc mis en place plusieurs script afin de permettre une interruption maximale de 1 minute par hébergement. Là aussi pour certains cela aura duré plus longtemps que cela, et là aussi j’y reviendrais après.

Nous avions donc réalisé entre autre un script qui dès que l’hébergement était modifié au niveau du système de fichiers, routait le site vers une plate forme web différente. Ainsi nous avons dû laisser en parallèle les 7 + 13 serveurs Web et cela donnait :

  • Tout le monde par défaut est routé sur l’ancienne architecture
  • Si l’hébergement est modifié, envoie d’une instruction aux répartiteurs de charges : les sites x, y, z… de cet hébergement doivent désormais être routés sur la nouvelle plate forme
  • Une fois tout le monde modifié, inversion du fonctionnement, la nouvelle plate forme devient celle par défaut.
  • Retrait de l’ancienne plate forme.

La partie Statistiques

Nous en avons profité pour mettre à jour Awstats. Il y aura eu une coupure de deux jours mais nous avons rejoué les scripts afin que vous ne perdiez pas les données de ces deux journées. Peu de modifications sur cette partie de votre côté. Amélioration considérable de notre côté sur la gestion des logs Apache et des statistiques.

La partie sauvegarde

Nous progressons vers la nouvelle plate forme de sauvegarde… le chemin à parcourir se réduit et nous vous en donnons un avant goût ! 🙂 Ce n’est pas inclut officiellement dans les offres, et tout le monde ne conservera probablement pas cela dans son offre (différence entre les offres haute sécurité et non HS).

Désormais à la racine de votre hébergement, vous trouverez un répertoire « backups ». Ce dernier vous fournit 4 liens vers des clichés instantanés (Snapshots) de votre hébergement :

Web4all Backups Snapshots

 

  • snap-hourly-1-latest : le dernier snapshot horaire qui a été effectué. Toutes les heures.
  • snap-daily-1-latest : le dernier snapshot journalier qui a été effectué. Tous les jours à 05H00 du matin.
  • snap-weekly-1-latest :  le dernier snapshot hebdomadaire qui a été effectué. Tous les dimanches à 07H00 du matin.
  • snap-monthly-1-latest : le dernier snapshot mensuel qui a été effectué. Tous les premiers du mois à 08H00 du matin.

Ces données sont en lecture seule. Pour y accéder votre utilisateur FTP doit avoir accès à l’ensemble de votre hébergement. Il ne doit donc pas avoir de repertoire de restriction définit sur le manager.

 

L’impact : attendu et inattendu

Il y avait certaines choses que nous avions prévues, et nous avions donc fait en sorte de ne pas avoir de soucis, comme expliqué plus haut à l’aide de script qui ont modifiés les données, les ont déplacés, ont agît sur les répartiteurs de charges pour avoir une période d’indisponibilité la plus courte possible pour chaque hébergement.

Et pourtant, comme vous l’avez peut-être constaté sur votre site, nous avons eu de gros soucis sur certains sites internet. En effet l’utilisation un peu surprenante de la part de certains de leur hébergement nous a posé quelques soucis.

Les directives Apaches

Par exemple le fait d’utiliser des fichiers .html ou .css contenant du PHP. Des choses courantes que malheureusement nous n’avions pas prises en compte 🙁 Vous faisiez cela car le serveur était le même pour Apache et PHP. Désormais il faudra indiquer au serveur de gérer cela :

AddHandler application/x-httpd-php .html

De même sur les FollowSymLinks qui nécessitent désormais un + obligatoirement au risque de générer une erreur 50x :

Options +FollowSymLinks

Les permissions sur les fichiers

Comme expliqué en début d’article, les permissions sur les fichiers sont désormais très importantes (voir également ce topic sur la gestion des permissions) . Ainsi nous avions passé un script pour modifier cela. Seulement nous avons rencontrés un petit soucis. PHP générait les fichiers avec un CHMOD en 0600 ce qui fait que lorsque Joomla, WordPress ou autre générait des fichiers de cache, Apache n’avait pas le droit de lire ces fichiers. Et en général vous n’aviez plus de Javascript ou de CSS sur votre site 🙁

Nous avons rapidement avec l’aide de certains d’entre vous isolé le problème et recompilé SuExec avec un usmak 0022 afin de ne plus générer les fichiers PHP en 0600 mais en 0644.

Les .htaccess

Certains d’entre vous ont eu des soucis de redirections liés à un bug de Apache lorsqu’il est utilisé avec Fast-CGI. Nous avons trouvé grâce à l’aide de certains d’entre vous comment résoudre cela. Ainsi il faut ajouter dans certains cas un ? après le index.php Dans cet exemple, si nous retirons le ? après index.php cela ne fonctionnera pas alors que cela fonctionnait très bien auparavant 🙁

RewriteEngine on 
RewriteRule ^fr/(.*) ./index.php?/fr/$1
RewriteRule ^en/(.*) ./index.php?/en/$1

D’autres utilisateurs ont eu des soucis à cause des .htaccess qui contenaient des directives php_value et php_flag. Avant, cela ne servait théoriquement à rien car la plupart des directives n’étaient alors pas prises en compte. Le soucis, c’est que comme expliqué plus haut, PHP n’est désormais plus un module de Apache. Il est totalement indépendant. Ainsi, Apache ne sait pas interpréter ces directives et provoque donc une erreur 50x. Nous avons alors dans l’urgence passé des scripts pour commenter ces directives afin de ne plus générer ces erreurs.

Nous avons réunit ces modifications et informations à connaitre sur nos forums : http://forums.web4all.fr/topic/8468-les-erreurs-possible-sur-les-sites/

Le répertoire de base / point de montage de votre site

Nous avons modifié les paths des hébergements. Au lieu d’avoir du /var/www/virtual et /var/www/sites avec les hébergements dedans, nous sommes passés sur /datas/vol1 et /datas/vol2

Nous avons alors mis en place des liens afin que les anciens chemins restent valides. Ce que nous n’avions pas prévu c’est que certains CMS refusent de fonctionner si le DocumentRoot n’est pas celui définit dans leur configuration. Il aura donc fallu modifier pour certains d’entre vous les configurations de vos CMS.

Les sauvegardes

Comme vous avez pu le constater, l’accès aux sauvegardes a été impossible durant près de 5 jours. En effet la modification des arborescence a posé des soucis sur les accès FTP nous obligeant à réaliser pas mal de modifications sur cette partie. Etant assez débordé par tous les problèmes liés à la migration, nous n’avons pu gérer cela rapidement 🙁

De plus la modification de l’arborescence dans les hébergements fait que les backups ne sont plus accessible pour tous les utilisateurs FTPPour y accéder votre utilisateur FTP doit avoir accès à l’ensemble de votre hébergement. Il ne doit donc pas avoir de repertoire de restriction définit sur le manager.

Les leçons à en tirer pour notre équipe

Malgré plus d’un an et demi de tests nous nous sommes retrouvés confrontés à des problèmes que nous n’avions pas constaté durant nos tests. De plus il y a des choses que nous n’avions pas correctement testés, avec du recul on s’en aperçoit. Les fautes qui suivent sont imputables à l’équipe de Web4all mais avant tout à moi. En tant que président et dirigeant en grande partie ce projet, j’aurais dû être bien plus perfectionniste. Je regrette terriblement la manière dont c’est déroulé cette mise en place et vous assure que nous allons en tirer les leçons pour les travaux à venir. Je vous présente donc toutes mes excuses 🙁

Le seul point positif, notre plus grande crainte était que l’architecture s’écroule en terme de ressources vu que nous avions changé beaucoup de paramétrage, satisfaction : ce n’est pas le cas, nous avons même gagné en performance ! 🙂

Des tests pas assez poussés

Nous avons réalisés de très nombreux tests, passés des centaines d’heures à faire et refaire les mêmes essais. Malheureusement nous n’avions pas les moyens financiers de créer la parfaite réplique de l’architecture de production. Cela implique que nous avons dû cibler nos tests et nous sommes donc passés à côté de nombreux points comme ceux que je viens d’évoquer ci-dessus. Nous aurions dû vous demander de participer à ces essais afin de couvrir bien plus de cas de figures.

Un manque de communication

Nous avons commencé à communiquer en 2009 sur la façon dont il fallait gérer les permissions puis en septembre 2011 sur la migration prévue. Autant dire que cela ne servait à rien. Beaucoup trop de temps s’est écoulé entre les messages sur les forums et sur l’interface de Travaux. Au final plus personne n’y pensait.

Vu que nos tests étaient très confortant et nous laissaient penser que nous n’aurions pas tout ces problèmes, nous n’avons pas jugé utile de vous prévenir. Il s’agit là d’une énorme faute et là encore je vous prie de nous en excuser 🙁

Une fois le tout lancé, nous avons été submergés par les demandes d’aide, plus de 150 tickets et plusieurs messages sur les forums. Nous n’avions alors plus le temps de faire une communication comme celle-ci 🙁

Le tout à la mauvaise période

L’équipe de Web4all a été très absente durant cette migration à l’exception de deux ou trois membres dans les meilleurs moments. Si cela est regrettable il faut surtout voir que j’aurais dû là aussi m’assurer que cette migration serait réalisée à un moment où la disponibilité de chacun aurait été de la partie 🙁

 

Voilà, je pense avoir fais le tour. Une migration qui apporte beaucoup d’améliorations sur la sécurité, les performances, la stabilité et les services inclus dans les hébergements mais qui pour une fois aura mal été gérée. Nous nous en excusons encore une fois et vous promettons que l’année 2013 ne sera que meilleure ! 🙂

Cordialement, 

Aurélien PONCINI

Président de l’association Web4all.