 Ok, bonjour tout le monde, bienvenue à la Team Meeting de GeneKins Infrastructure Weekly. Nous sommes le 24 janvier 2023, à la table de jour. Nous avons moi-même Dementi Portal, Marc-Waite, Hélène Meur, Stéphane Merle, Bruno Verrartin et Kévin Martins. Le suspect est un annoncement de la nouvelle week-end de 2388. La liste a été déployée dans le docker et dans les packages. J'assume que le reste de la liste est ok. Je n'ai pas checké le reste de la liste parce que avec ci.jankins.io, on ne peut pas merger le changement de documentation. J'assume que Kévin va bien ou n'a déjà été réveillé pour confirmer la liste.jankins.io, parce que c'est ok. Nous devons attendre pour ci.jankins.io pour retourner avant qu'on finisse ce travail. Ok. Je n'ai pas réussi le drap de Marc-Waite, donc c'est déjà un drap, oui, c'est un drap. Bonne job, les gens. Continuez le checklist. Vous avez un autre annoncement ? Je n'ai pas. Ok, donc on va vérifier les calendars pour la prochaine week-end. Comme chaque week-end, ce sera la prochaine week-end. Il sera... Qu'est-ce qu'il sera ? 31. La prochaine LTS sera le 8 février. C'est correct ? Oui, c'est correct. Ce sera le 2375.3. La prochaine édition de sécurité est aujourd'hui. Ce que l'on a annoncé aujourd'hui. Et les listes de mail. C'est Daniel. C'est currently being run. Les binauriers ont été déployés un ou deux ans plus tard. C.jankins.io est maintenant en train d'essayer. J'assume qu'ils ont un checklist, et que le checklist n'est pas terminé. C.jankins.io n'a pas besoin d'aide. Il faut attendre. Il n'y a pas de bloquettes pour aider. La prochaine édition de la prochaine édition, la prochaine édition de la prochaine édition de la prochaine édition. Merci beaucoup d'avoir regardé cette note. La prochaine édition. C'est correct. La prochaine édition dans deux semaines. Si vous voulez en parler des infrastructures, c'est un topic relative, c'est les membres qui seraient ici, moi-même, Hervé, Stéphane et Bruno. D'autres items de calendars ? Hop, on va commencer avec le task. Le task que nous avons terminé. Le grand marque, l'accès à l'accès au nouveau VPN de l'édition.jankins.io. Ça marche. Nous avons créé le nouveau VPN seulement pour la nouvelle networks privées. Maintenant, il n'y a que pour atteindre l'infra.ci.jankins.io. Nous avons ajouté les membres de l'équipe, incluant Stéphane, Hervé et I, la première édition et la deuxième édition, l'équipe, Alex, Marc, Gavine, Daniel et Vadek. Je n'ai pas checké avec Daniel et Vadek parce qu'ils ne vont pas entrer l'infra-ci souvent. Mais ça a fait du sens. Dans l'avenir, l'accès à l'édition de l'édition.jankins.io sera migréable à l'équipe.jankins.io. C'est-à-dire que les gens qui doivent être le leader de l'accès à l'accès à l'accès doivent créer des nouvelles réquises pour accéder à l'accès à l'accès que Marc a créé. Pourquoi ne nous migrerons automatiquement ? C'est un genre de... On parle de l'édition de l'édition de l'édition. On a beaucoup d'usage qui ont accès à l'accès à l'épidémie de l'édition.jankins.io. Ce sera une édition de l'édition de l'édition.jankins.io. Nous essayons de traiter et de l'édition de l'édition de l'édition que nous avons réellement besoin d'accès.jankins.io. C'est un genre de... Si vous n'avez pas besoin d'accès, votre accès sera édité dans l'avenir. Il n'y a pas de problème de demander d'accès à l'accès si c'est justifié. Nous ne sommes pas les gens. Nous n'avons pas de choix finement. Mais on ne garde pas les gens qui ne sont pas utilisés ou qui ne participent pas dans le projet. Marc, vous avez confirmé que ça marche. J'ai fermé l'issue. Où est-ce que vous pouvez utiliser la nouvelle certificat que vous avez créée pour que l'endroit de la vie soit dans un an ? Non, pas encore. Je vais encore utiliser la nouvelle certificat. Mais je suis très motivé de changer de la nouvelle certificat depuis que l'endroit de la vie s'expire dans un an ou deux. Le 2 ou le 3rd de février, comme je l'ai rappelé. Vous avez deux semaines. Je suis motivé de changer de la nouvelle certificat. Qu'est-ce qu'il y a sur ce sujet ? Non ? Ok. Juste un souvenir. Ce nouveau VPN ne vous requiert d'avoir une nouvelle certificat. Vous pouvez réutiliser les mêmes certifications privées que vous avez accès à. Le seul item technique qu'on doit faire est d'adverir une certaine config pour l'utilisateur qui appartient à l'application privée dans l'application virtuelle pour vous, seulement pour vous. Et on va rébuilder une nouvelle image et déployer. Et ensuite, vous avez accès. Mais vous gardez la même authentification et la même certificat pour l'utilisateur. C'est plus facile pour tout le monde. Ok, je dois penser sur les mots que vous avez dit. Vous n'avez pas déclaré toutes les choses compréhentées que l'on devrait probablement avoir pour moi. Donc je dois penser plus sur ça. Je peux écouter le record plus tard et être sûr que je comprends ce que vous avez dit et puis essayer. Ok, je peux vous montrer exactement ce qu'on change dans l'image de l'image de l'application privée et que vous pourriez comprendre en même temps pourquoi ce n'est pas un changement immunitaire. Ok. Merci, Stéphane. Ok, donc la prochaine question. Le travail de l'exécutaire cubanétaire dans l'exécutaire cubanétaire. L'année dernière, nous avons migré à Frasiay sur la nouvelle networks, sur le nouveau cluster, donc c'était assez de migration. Et cette sorte de migration n'est jamais sans rôdes. Parce que dans Frasiay, il se mange. Donc c'est un chien et un chien. Donc on a dû mettre le scrap sur le scratch. Bien sûr, on ne l'oublie toujours pas particulièrement depuis que les dernières clusters se sont faits manualement et que c'était le cas pendant des années et des mois alors que le nouveau cluster est complètement assuré grâce au travail de l'exécutaire. C'est-à-dire que, oui, bien sûr, nous avons eu des changements. L'un des principaux changements c'est que l'amount de l'available IOPS pour les données utilisées par le contrôleur de Jenkins, qui est IO bound, le nombre de IOPS était clairement moins que c'était dans le set-up précédent. Nous avons parlé par l'utilisation du même set-up qui était dans le même résultat, mais il s'agissait qu'on aurait peut-être fait des choses manuelles. Le résultat était quand on essayait de déployer une nouvelle image, comme nous le faisons souvent pour des plugins ou des updates, à moins une fois par week, le temps qui a été requiert pour le système mondial pour déployer la nouvelle image, restaurer le contrôleur et le contrôleur réconnecter à l'agent, ce temps-là était plus grand que l'exécutaire de l'exécutaire. Donc, il était immédiatement retourné et nous avons toujours fait un et deux restarts, qui lead à beaucoup d'issues pipeline. Parce que en essayant de vérifier quel était le state de la pipeline et de restaurer la pipeline et de rétrayer la pipeline ou de continuer les choses, c'était suddenement arrêté de gagner par un signal external. Donc, ça était clairement corruptant le système de file XML et de créer beaucoup d'IOPS. Et plus il était retourné, depuis la fin de l'année, le nombre d'IOPS a diminué. Nous avons permis d'avoir des burstes en IOPS mais juste un certain nombre. C'est une sorte de crédit moins vous utilisez, plus vous utilisez et que vous pouvez utiliser quand vous avez besoin de burstes de IOPS. Donc, nous avions à augmenter le genre de système de file et nous avons augmenté les IOPS par changer de standard à premium SSD. C'est une augmentation minuscule mais c'est une augmentation faite. Donc, maintenant, l'infrastructure est en plus... Elle s'est formée en plus. Nous avons encore à regarder, à la fin de deux semaines, si nous avons des burstes. Parce que peut-être nous devons augmenter le QOS. Vous pouvez augmenter la qualité de l'application et aussi le QOS, qui signifie plus de l'IOPS mais ça coûte un peu plus. Donc, c'est pourquoi nous allons à peu en peu. Et aussi, comme équipe, nous avons spenté le monde d'hier, en ajoutant d'autres mesures de sécurité. Maintenant, le point de vue pour Genkins Infra en itself, parce que c'est un topic plus sensible, est plus grand. Donc, nous avons vécu de 5 à 10 minutes juste pour être sûr que nous pouvons avoir une full rollback sans couvrir le processus. Et nous avons fait un set de petits items. Nous pouvons bénéficier de l'augmentation de l'application pour utiliser le retrait dans le futur. Mais maintenant, nous arrêtons parce que nous avons d'autres questions de pression. Donc, c'est stabilisé. Ce n'a pas été un issue. Et nous allons valider finalement un second temps avec aujourd'hui parce qu'on va générer une image de New Docker. Donc, aujourd'hui ou demain, nous pouvons cacher le contrôleur again ou pas. Je crois que ce ne sera pas parce que Stéphane a testé le test d'hier. Donc, ça devrait être OK. Donc, merci, Alex, pour l'opinion de cette issue. Je vois que Alex est une personne de plus en plus. Parce qu'il a ouvert l'issue d'aujourd'hui avant que j'y avais encore. Qu'est-ce qu'il y a sur ce sujet? OK. Il y a été un request d'accès à VPN pour Adrien Le Charpentier. Nous n'avons pas fini le travail, encore un autre issue a été ouvert. Le but, pour lui, c'est de pouvoir accéder à l'utilisation d'un database d'utilisation de plugins d'hier. VPN était la première étape. Ce n'est pas un tasse donc nous sommes currently working on it. Mais au moins, il a accès à l'access de VPN access. C'est l'ancien VPN parce que le database est encore sur l'ancien réseau. Il y a été un issue sur l'artificat de Jenkins qui n'est pas accessible. C'était un request et en fait, l'utilisateur a eu l'issue d'aujourd'hui. C'était un pape-gac. Donc, oui, ils ont récoveré l'access et ils confirment que c'est OK. Donc, rien d'autre que celui-ci. C'est le même pour quelqu'un qui a été bloqué par le système anti-spam. Donc, on n'a jamais reçu l'answer de cette personne. Donc, j'ai créé l'account avec l'email qu'ils ont offert. Ce qu'ils auraient reçu l'email n'a pas reçu. Il n'a pas reçu. Donc, oui, je pense qu'ils l'ont utilisé sinon, ce sera un compte empty pour rien. Et nous avons acheté les components GERA. Rien à dire sur celui-ci. N'importe quelle question sur le travail qu'on a fait. OK. Maintenant, donc, juste un souvenir sur la priorité au top, suivant l'account que Marc a eu avec Giffrock l'année dernière. Oui, je suis désolé, j'ai fallu dormir sur la couche. Je suis vraiment désolé donc je n'étais pas capable de rejoindre. C'était trop tard pour moi. C'est ma bête. Mais l'enquête est que, nous, nous avons maintenant une métrique avec la nouvelle plateforme Giffrock. Et ces métriques sont retrievées par Marc et nous devons avoir elles week-là maintenant. Ces métriques impliquent toutes les réquestes. Donc, nous avons une évaluation de l'outre-bon-bon avec et sur les downloads par repository, par IP. La première chose, Giffrock nous a dit que les IPs bloqués ne sont pas très fortes mais les IPs bloqués peuvent être contre-productifs ou, en effet, parce que la plupart de la pattern qu'ils voient, dès qu'ils bloquent un IP, soit globalement ou par rapport, tout ça, les gens peuvent utiliser un autre public IP. Et c'est un jeu de maïs donc c'est quelque chose qu'il y a qui sera efficace pour nous. Ce qui veut dire qu'il faut encore marcher sur l'authentification en nommage des réponses normales. Tous les réponses mirrores ne doivent pas être disponibles pour l'anonymation des utilisateurs à travers le monde. Ce ne peut pas bloquer tout le monde de l'authentification mais au moins on va avoir un compte que nous menons sur l'adaptation que nous pouvons bloquer et contacter. Donc c'est la priorité principale. Giffrock a diminué l'authentification de l'authentification parce que Giffrock nous a besoin de nous pour montrer que nous faisons le progrès. Le deuxième souci est basé sur le data que nous avons reçu. Il ressemble à que l'amount de data que l'on a donné de Genkin-Sanfra est clairement plus grand que ce que l'on expecte. Ce qui signifie le projet ACP Artifact Caching Proxy que nous avons travaillé sur les mois de part est clairement retourné sur le top de la priorité au même niveau parce que c'est quelque chose que nous pouvons immédiatement dire à Giffrock que nous avons diminué parce que nous avons vu beaucoup de nos IPs. Ce qui veut dire avec ces deux en parallèle, nous avons beaucoup de topics qui sont importants ici. Régardant le ACP, Stéphane et l'A.I. Donc, j'ai currently share knowledge avec Stéphane pour faire cela comme autonomie comme surveillance l'A.I. Sur le Maven, setting XML et l'A.I.C.P topic. Notre objectif est de vérifier si l'A.I.C.P d'instance en Océan digital répond correctement est-ce que c'est currently working et nous allons essayer d'utiliser l'A.I.C.P comme l'un des défauts même si cela crée un peu plus d'un micro-cloud basé sur le cost pour nous, cela serait clairement important pour montrer les figures à Giffrock. Deuxièmement, Stéphane et l'A.I. nous allons aussi planter pour fixer l'A.I.C.P l'A.I.C.P d'instance parce que nous ne sommes seulement missing un certificat donc ce sera facile pour fixer et nous allons avoir deux. Donc au moins, nous allons avoir l'A.I.C.P que nous consommons beaucoup dans l'A.I.C.P et l'Océan digital. Basé sur l'un qui fonctionne le meilleur ou l'autre, nous pouvons même décider que c'est un bon conseil que Marc a shared avec moi l'année dernière. Nous pouvons changer l'amant de workload entre l'A.I.C.P et l'Océan digital. Nous pouvons contrôler l'amant de pods. Finalement, l'A.I.C.P continue à travailler sur les nouvelles networks et les clusters car c'est un travail en progrès. Le problème est que c'est pour l'A.I.C.P dans Azure car avec l'application IP sur le réseau public nous avons besoin d'un nouveau set de nouvelles networks. Le public s'est occupé. Nous ne devons pas migrate tout à l'heure pour commencer avec un nouveau A.I.C.P dans Azure. Nous avons besoin de la nouvelle cluster que l'A.I.C.P avec les nouvelles instances de A.I.C.P. Donc c'est pour nous diviser le travail ce sera la première priorité pour nous dans la semaine prochaine. Le reste sera, on dirait, un jour à jour de travail, mais on ne devrait pas essayer de plus de tasks. Dans ce contexte, donc, en tout cas, Lévesque, pouvez-vous nous donner un statut de migration de privés, donc le cluster itself ? Le cluster itself est en train. Afraciai a été élevé sur ce nouveau cluster. Ce qu'il reste, c'est l'immigration d'autres services, et la relance de l'Ontario sur l'Ontario. Mais je pense que ça va attendre la complication publique de l'Ontario. D'autres services, relance de l'Ontario, au moins. Mais c'est bloqué par le public. Ce n'est pas bloqué, mais c'est prioritisé. Bon point, merci. Mais c'est prioritisé. En faveur du public. En faveur de l'ACP en Azure. Donc, relance.ci sera assez le sujet, dans le sens que nous devons créer des nœuds, qui ont été dans le cluster public dans le nouveau. Nous devons déjà prendre des temps pour être sûrs que nous pouvons prendre deux contrôleurs de Jenkins, Infraciai et Relance.ci, dans le même cluster, avec d'autres agents, dans différents espaces, pour être sûrs que vous avez de bonnes conventions, et de bonnes isolations entre tous. Ce qui va require un peu d'infrastructure, et aussi de communication à l'équipe de relance. Donc, Team Yakom va gérer la connaissance ici, parce qu'on va devoir communiquer à eux qu'est-ce qu'ils ont besoin pour la prochaine week-end et la prochaine LTS. Je ne suis pas sûrs qu'on va pouvoir le faire avant l'upcoming LTS, mais si nous pouvons, ça va être une bonne chose, dépendant du résultat de l'ACP que nous allons avoir dans les jours de l'upcoming. Parce que je préfère faire une version LTS.free sur un nouveau set-up, avec une nouvelle LTS. Pour moi, c'est plus clair, parce que ce n'est pas la même quantité de pièces de mouvement. La même statue pour le nouveau public Kate cluster, s'il vous plaît? Le cluster a juste été créé. Je suis en train de travailler un petit issue autour de cette classe comme le set-up, il n'y a pas de travail pour pouvoir connecter à ce nouveau cluster, mais ce n'est pas surprise à moi, je n'ai pas eu le temps de mettre ses critères dans les secrets. Donc, j'ai présenté cette section. C'est un progrès pour progresser, mais progresser à l'horloge. Je suis sûr que chaque travail et l'avracier pour connecter à ce nouveau cluster, je vais déployer un grec sur ça. Et le progrès d'artif et ensuite les autres services. Vous avez besoin d'un certain manager et d'un ACP. Les 3 sont nécessaires. Un certain manager pour automatiquement générer les certifications. Un data dog pour collecter les méteries parce qu'on a besoin de méteries et des logs et d'engraisser, bien sûr, pour procurer l'access. Juste un autre merci pour le travail qui a été fait par la équipe et par l'avraier. Ce cluster devrait soutenir l'IPv6. C'est un progrès fort. Maintenant, tous les clusters de production comme les services, comme le mirrore ou le redirecteur, ne souteniront pas l'IPv6 de l'extérieur. Ce cas-là, on va pouvoir préserver un balancier public extérieur. Donc, nos filles indiennes vont pouvoir l'accesser avant l'IPv4, tout le monde est en Indie. Juste en temps. Est-ce qu'il y a plus de questions ? Oui. Est-ce qu'il y a plus de questions ? Oui. Est-ce qu'il y a plus de questions sur les clusters ? Non. Je suis en train de poser une question. Nous avons un stack que Olivier a déployé et utilisé pendant des mois et des années. Nous avons un stack et un stack de collection log métriques, construite avec Prometheus et Grafana. Tout ce stack est dans les gates publics et il collecte les métriques d'une seule cluster. Nous n'avons pas utilisé ce stack depuis un an, même pour le double-checking, parce que nous avons un roi data qui collecte tout le monde et nous avons utilisé le stack. La raison d'avoir un roi data et Grafana en parallèle, par Olivier, quand j'ai commencé, j'ai commencé à travailler avec lui. C'était juste pour que le roi data soit au-delà de nous. Mais maintenant, Prometheus déployement est absolument bloqué. Il ne marche pas. J'ai réalisé que personne n'a pas utilisé le stack. Depuis que le stack est utilisé en storage, d'un cycle de compute et qui aurait été migré sur une de les nouvelles clusters publics privées, j'ai eu un proposal et j'ai juste voulu valider avec tout le monde et j'ai aussi voulu double-checker avec Olivier une fois, mais j'ai voulu proposer une déliction d'enregistrement. C'est toujours sur le cluster current. Je ne vais pas le délire automatiquement, mais on ne va pas créer de nouveaux déployements sur les deux nouveaux clusters. Donc, quand nous allons déloyer les ressources du cluster current, ça va gagner un peu d'argent. Ça rend le sens pour tout le monde ou est-ce que c'est un objectif ou un point d'attention ? Ce n'est pas un objectif pour moi. Je lui ai voulu s'adresser sur les nouveaux clusters et les émettre dans une autre prévention. Ça serait facile pour le reverser si il a besoin. Je vous demande de pas migrer eux personnellement. Je ne dis que c'est pas utile. J'ai juste dit que nous avons already d'un dog, et aujourd'hui, nous reinstallons ce stack de mondiales. on a fait des raisons, puisque c'est de la réplique en mainformer et le leur importer en mainformer sur l'armée. Juste pour que ce soit dans l'armée. Mais il y a été beaucoup de changements de paix pour nicely onuckles, et des pièces de graffes que on n'est même pas les havenards. C'est ce qu'on患ait. Est-ce ça ok ? Alors, elle dit ça bon pour vous pour ne pas migrer à mes porteurs. Nous allons voir les vacances du Olivier et de ceux qui les ont. No problem, it's worth to do. No public gates. Any question? Issue add VPN for public network. I propose to delay that one. The use case for such a VPN will be to allow people such as Atrien to access the que les services publics ne sont pas accueillis à l'accès de l'infrascié et de la nettoie privée. Ce n'est pas un cas émergent, c'est-à-dire que c'est ok pour vous si on remet ce cas-là à l'arrivée. Oui, j'ai appris une question sur ce cas-là, mais il n'y a pas besoin de vérifier. Ce n'est pas un cas-là, c'est un cas-là. Part initial work done on appears. Closed for now. Any question? Another task that I propose to keep working on. On trusted CI, we did some work along with Stefan. We created brand new multi-brand jobs to check for the tags and build and deploy the tags of our Docker agent images, free images. The goal was to avoid that hold tag being rebuilt and deployed as the latest image because each tag is deployed as the tag itself and as the latest because we expect a tag to be built only once. While playing a round, Stefan, do you want to explain the root cause that we found around Git polling? Are you ok or do you want me to explain? No, you're explaining way better than me. Of course. That's cheating. Some of the hold tags came from an age where multi-branch pipeline wasn't used for that one. They had keyword around Git polling. Once you started the Git polling, then regularly in a multi-branch pipeline, the leaf job is only a pipeline job and is polling itself. You can do whatever settings you want at the multi-branch scanning level to say don't rebuild this one. The polling keep existing inside the sub job as soon as the job exists. So that's why we went on creating brand new jobs to see if it was avoiding polling. Pro tip, we almost did that except we still don't understand some of the job were triggered at least one time starting again polling on the new jobs, but just a few. And we did a nice trick, we run a replay of these jobs exhaustively by only removing the polling keyword and doing nothing. The job are marked green and the polling disappeared. We also check that at the file system level by checking directly the XML file and now we don't see any polling anymore. I see that a little like a crown job at the user level instead of the system level. So you don't see them but they are running in your back at the user level and in that case they are working in each pipeline instead of the whole thing. So whatever you do on the multi-branch, it's not hurting the one which is programmatically done by the crown at the pipeline level. Am I right? That's correct. So we haven't seen since last week any parasite job. So now the next step will be for the upcoming seven days. The old job were disabled, we are having the new ones. So we will have to carefully watch before closing the issue the incoming Docker image agents. So there should be new tags soon because we had operating system updates on the free images. So we should be able to continue deploying images regularly and if it works as expected, then the problem should be gone. So I'm keeping that one on the upcoming milestone. Is there any question or objection on this one? Okay. Renew the signer certificate for Jenkins. I propose to move it to delay it of one week until the first time because since we will physically meet with Olivier. Is it okay, Mark? If we delay the work that you and I had to do, I will ask him and interview him about the world certificate signing and the constraints that will report back on the issues so we can act. The end is March, so that let us February to act on this one. That sounds very, very good. Certainly, I'm sure he has forgotten more than I know about that topic. So yes, that's great. Let's ask Olivier directly. Any question? Okay. So had play write tool in our agent image. So thanks Stefan for the job you did here. Can you remind me what were the next steps? I was trying to find out by myself because before you ask the question, I don't remember. Okay. So gave indeed everything on the docker builder. So it's okay. You open the pull request adding Node.js. And that is testing that NPEX play write is able to be installed without requiring sudo, which was the initial issue. And as far as I can tell, I've released a version of Packer image that has the play write stuff. So we need to deploy that version. It's deployed on Kubernetes, but not on CI Jenkins. So almost done. We'll do it once it will be merged. By the way, expect in the upcoming week an update on the free GDK available. Because GDK 8 17 and 11 has been updated. Pull requests are already opened. We have a minor testing thing to fix. But that will mean a new release of the Packer image 0 56.0 with the updated GDK. Okay. So almost done. Thanks, Stefan. You're welcome. To CI Jenkins.io. And then done. Issue source index HTML. Back to backlog. I didn't have time to focus on this one. Request from gave in about there is one index HTML on Azure bucket file if we could source it so we could update it easily. That require put adding a new workflow processor pipeline that will deploy it to Azure and infra CI. It's not complicated, but require a bit of time that we don't have right now. Terraform module SSI KS. I keep it on current. We need to check for duplicated cluster. We might have resources to remove to not pay too much on AWS. That need to be done in per because if I do it alone, I will mess things up for sure. And better to work as a team more seriously. Valid SSL certificate for trusted CI. So pair for Puppet opened. We were waiting for today's advisory and then we will test deployment on trusted. Be aware that will have an impact on all the virtual machine using let's encrypt. Because we change the let's encrypt profile that we used. It will be able to support DNS in the future and DNS challenge instead of HTTP, which will be nice for the private machine. So trust it that will be the first one. So when we will deploy this pull request, please don't merge it. Because we will have to first disable Puppet agent everywhere and then enable it machine by machine. So first testing on trusted CI, then on other machines to see the impact. The main impact on existing configuration is third bot will be upgraded from 0.23 to 1.27. No breaking challenge if you are using HTTP challenge, which is the case everywhere. Trusted the first one used DNS challenge, the Puppet setup. But we never know I might have messed things up despite the testing. So that's why doing one machine at one machine will avoid propagate mayhem. But be aware, don't merge that pair, please. Realign repo Jenkins CI mission. Last item is the most prior. So as we said, right now, Hervé focus on ACP Azure, requires public gates. And Damian Stefan works on ACP DOAWS re-enabling. Marc, can I ask you for help? Will you be able to help me writing back an initial message to start the conversation with the community with developers about enabling authentication on mirrors? Yes. Yeah. I'll let me let me. We've got that doc. I've got that Google doc that you and I had started. Let me start there. Let's put it there. It's a good place for me to think about detailing out all sorts of things because we've got to give an announcement. And we've, we've got our goal that by mid-February, we do our first brown out by mid-March, a second brown out and go live by end of March. So yeah, I'll happy to take that action. Okay. So on my side, I'm enabling again. So searching again. Solution for the HAL DAP. HAL DAP. Share with the team. And then I don't know who will try or implement or I can hand over or we can pair. But right now, if it's okay, I prefer working with Stefan on the ACP for these two. And then I can delegate tasks to Stefan and I will do the initial work for HAL. Unless someone wants to deal with this one. I don't mind. That's only a proposal just that we divide work. I like that. LDAP is is a really dangerous spot to go wandering in. Yep. A chain Kubernetes. That's the, that's the critical area. Okay. Do we have new issues? So let me add your issues to add for upcoming milestone. First one, getting credential for plugin ill scoring database. We need to help Adrienne with the VPN access. He could terrically access the database by IP, except we need to add the correct VPN routing in his configuration. That's the element that Stefan propose to show to Mark about the new VPN. That will be the same technical element, but on the former VPN, we will need to add routing. Routing rules on Adrienne client side or everyone's client side. That could be interesting. Second, we will need to provide to Adrienne, a read only user on the database. Let's, I told him that it will be difficult until end of week, but I propose to add that one on the upcoming milestone, because that should unblock him on plugin ill score, unless we are missing time. Is that okay? So it's not top priority, but just below. No objection. Basile opened an issue. I wasn't able to look at it, but we need to look at it on the upcoming, because it's blocking him as a user of the platform to release a new Jenkins test or mess HTML unit. I'm not sure what this project is or how it's working. First glance, it looks like the automatic credential in the CD process wasn't up to date when it tried. Look at the similar issue. Twice, the two of them, team, serve them by fixing the token or the second one is another fix, but yeah. Okay. Okay. So in, in both case, it was a repository permission updater. That's a job that runs every three hours that that updates because the credential are only valid for four hours. So the RPU runs every three hours. So maybe there has been a discrepancy on the amount of good catch RV. So it's okay. If we had that one on the upcoming milestone, because we should un block of basile, maybe it will be nothing. Once case, we can ask team and Daniel to help us. But the similarity is a good thing because it will help us to know where to look. Especially since Basile is really metallic in naming issues. Which is a really, really good help for the similarity system. We had an issue from one of our user that has been closed and reopened. So that user uses a tool that check the metadata of our RPM repo and that RPM system list a bunch of version of Jenkins. In that case, they are mirroring everything. That's the behavior. And some of the old version are not mirrored anymore. However, we should have at least the archive mirror, reference on the mirror. So I'm not sure what and how it fails. But as Tim mentioned, if we have this metadata that mentioned the URL, the Gage and Kinsayo should redirect us to the fallback, which is not the case. My first guess is that we might have a synchronization script that only copy something that is not older than a certain amount of months. And then you have a sliding window of files copied to the mirror reference. I guess for the RPM, we should have always all the RPM. In that case, because and same for debiants and old packages, they should always be available. So I'm not sure why it's failing, but a check. It's not top priority though, because it's an old version and it's really specific, but I wanted to mention that we had that activity. So is it is it really worth putting the burden on our mirror providers to keep all of the old RPMs and all of the old depth because each of them is range is 90 megabytes. And hundreds of those things. That's that's some storage. I agree with you. It's not. However, archived in Kinsayo should be is our area. That mission that we manage. And it's a mirror. So it should be the default fallback. I see what you're saying. The mirror system, the reference mirror system is not OCSL. It's inside Gage and Kinsayo. In the Kubernetes cluster, there is an Azure bucket with all the files like a one terabyte buckets. It should not be clean from all the RPM or deb packages. Right. So the hash of the file is still on the mirror database, but the only mirror serving that one will be archived in Kinsayo because it has the files. Thank you. So that's why that issue and that's the reason why team reopened it because that's that's an issue, but that's a case issue. Because we don't have a lot of users doing that. So I told the user made February. So we should not forget about this one. But I propose not to work on this one because we have much much pressing topics. Great. Thank you. Thanks for the clarity. No problem. Valid SSL certificates. That one doesn't need triage. We don't have to work on it. As far as I can tell, we need to finish trusted and see if it's okay. I think we will work on certificates on the IWS clusters. If we are quick to do that, then I will delegate to Stefan that task. You are designated volunteer. But that one will be a bit of terraform, a bit of let's encrypt and a bit of pipette. But that should be easy if it work flawlessly with trusted. So it should be. And then I don't see other new issues. Do you have folks other new issues or topic? You will want to add to the upcoming milestone now. No. Okay, any question or topic you want to clarify or discuss about? No. Okay. So we're going to get to call this close. HTML unit by Basil. Is that crow is name? What's the name of Basil? Yes. That is correct. Yes, but it's HTML unit, not HTML unit. Yep. Good. Seems that CI.Chang-Kin-Su-Thai Lewis back. Oh, nice. Thanks. You are the bearer of the news of the good news. So Stefan. So more for you. You will have plugin updates. Oh, that's one thing. Just a note. Donc, nous devons demander à Alex, Brandes, à acheter un biais ou un café parce qu'il a perdu la version de Jenkins. Donc, c'était le biais, en fait ? Oui. Donc, nous avons eu un biais. Je l'ai. Tu l'as? Ok. Oui, je l'ai pointée. Je l'ai pointée. Je l'ai pointée. Je l'ai pointée. Je l'ai pointée. Je l'ai pointée. Oui. Je l'ai pointée. Donc, nous avons eu une campagne de changement d'action de github, de dépréciation, où, si vous ajoutez ce biais printé sur le studio d'une action custom, la même chose qu'un biais, ce qui était déprécuté en faveur de, vous write les valeurs égales dans un file qui est présenté sur le path donné par l'environnement variable github-output. C'est ce que le github nous dit. Mais dans le cas du biais github-output, le commentaire goulon, si il se passe dans le biais github-output, printé ce biais et, comme Stéphane l'a montré, nous avons vu ce biais, c'est valide. Je vais l'ouvrir directement. Donc, vous voyez la version de Jenkins Weekly, vous voyez que le biais est valide et qu'on a eu le bon biais. Oui, mais ce n'est pas un biais, c'est juste un biais, c'est pas exécuté. Donc, le file github pointé par le variable github-output est empty. C'est-à-dire que, comme vous pouvez le voir, vous avez un outre-missage ici. Parce que le file est empty, donc le valeur de référence est empty. Mais c'est le 1, parce que si non, vous ne pouvez pas comprendre que c'est la variable Oh, ce n'est pas, je suis désolé, je pensais. Pas de problème, mais la variable suffix devrait être Jenkins version-chidica11. Et nous n'avons pas. Ceci nous a bloqué sur le code Jenkins sur les images. Alors, Stéphane, qu'est-ce qu'il y a d'autre, d'un test en FRACI, ou deux jours plus tard, ou ce n'est pas un truc, mais il change manualement, il a créé une nouvelle image manualement, pas avec le processus automatique. Et nous devons faire le même, si nous pouvons tester la nouvelle GV. Donc, merci Stéphane pour ce point. Merci Garrett Evans pour aussi confirmer l'issue. Nous devons pouvoir fixer ça. Et par le fait, si nous utilisons l'update CLI, nous n'avons pas cette issue à tout. Je pensais que c'était CLI, mais ce n'est pas OK. Pas de problème, mais nous devons toujours fixer le Jenkins version. OK, c'est tout pour moi. Great. Donc, j'ai arrêté la récordation. Donc, pour les gens qui regardent cette vidéo, see you next week. Right.