 Bonjour tout le monde, bienvenue à la meeting de l'infrastructure d'infrastructure de la week-end. Aujourd'hui, nous sommes au 25 avril 2023. Et à la table de ronde, nous avons moi-même d'Amen du Portal, Stéphane Merle, Marc Waite et Kevin Mortins. Bonjour Kevin, bienvenue. L'enveloppement ne sera pas disponible aujourd'hui. On commence avec l'enveloppement, donc la week-end, 2,402. Au moins, la ronde a été publiée. Je n'ai pas vérifié la statue d'images et d'images docker. Mais j'assume qu'il sera disponible bientôt. Rélease, ok. Package et d'images docker, incoming. Oui, je n'ai pas d'autre annoncement. Nous avons C.I.Gen Kinsayo qui souffre de la description. Ce n'est pas le contrôleur, mais nous avons eu un problème avec les agents. Nous avons un petit problème avec la week-end. Digital Ocean est en train d'entraîner les bails pour C.I.Gen Kinsayo. Ce sera bien. Le problème était qu'il y avait 15 bails dans la queue. Ce sont les bails qui sont prétendus. L'impact n'est pas haut, mais il y a encore un impact. Le statue d'I.Gen Kinsayo est à date. La prochaine étape sera de détruire et créer le cluster de Kubernetes utilisé pour les agents d'I.Gen Kinsayo. Je renseigne le packaging pour la week-end. C'est la même erreur que l'autre. Aujourd'hui, on a switché à Digital Ocean pour les agents d'I.Gen Kinsayo. La cause de la route est une combinaison de problèmes humains et techniques. Les humains ont été mises. Les humains, en cause, ont voulu configurer ce cluster pour utiliser dans l'administration pour le système d'admission pour apprécier les nouveaux accounts de AWS que CloudBees a offert à nous. Nous avons eu le changement du cluster d'A.C.P pour AWS la semaine dernière, qui a went très bien. Et moi, j'ai voulu avoir accès à mon machine local afin de tester le travail que je fais sur les bails de bombes. Et dans ce processus, j'ai envoyé des requêtes de poule comme d'habitude, qui devraient s'élever ces éléments. C'est un erreur humain. Je ne dois pas le faire. Le erreur technique est parce que ce cluster a été créé avec un système de terraformes. Mais il a été créé. C'est un erreur humain. Et je suis sûr que je suis le seul qui a fait ça. Mais je ne m'en souviens pas. Il a été créé avec un account d'aide technique de AWS sur une machine. Mais en utilisant le système remote, MFRACI, parce que c'était bloqué, nous devions aller vite. Donc l'honneur du cluster a été un utilisateur qui a été élevé depuis. Et nous avons failé, même avec l'aide de CloudBase Admin, pour récréer le même utilisateur. Alors, ce qui s'est passé, c'est que quand nous essayons de reconfigurer ce cluster afin d'utiliser les identités, le mécanisme utilise ce qu'il s'appelle le config map. Ce map aide le cuban test à mapper ses utilisateurs et administrateurs avec l'official AWS. C'est seulement pour l'air-back. Donc ce n'est pas la sécurité de l'authentification. Vous êtes déjà authentiqués. Et ce qui s'est passé, c'est que ce cluster a été créé avec le management automatique de ce config map. Puis il y a été un grand upgrade dans le teraform module qui s'est arrêté absolument de managé ceci. Donc nous devons arrêter de managé. Puis nous devons managé manualement. Et puis AWS a été créé de la façon dont l'API a managé ça. Donc le module a commencé à managé le gain. Mais notre attente pour managé le teraform un second temps a fallu. Et maintenant, je comprends pourquoi. C'est parce que le syntaxe de config map a été managé. Donc nous avons utilisé un genre qui ne peut pas marcher. Et où est-ce que c'est important? Parce que c'est un config map managé qui a toujours été managé. Et ça a été managé depuis six mois jusqu'à quelqu'un qui a essayé d'ajouter le nouveau utilisateur aux listes d'administration. Et le teraform module a été managé pour un nouvel casque où il a dit que je devais 1.0 délire le config map et puis l'éteindre. Parce que les changements ne sont pas impulsées par une simple updates Donc si ça aurait été managé comme ça dans les meisten de ces casques comme il a été fait avec le autre cluster l'année dernière ça aurait été managé dans la liste de renseignements de nouveau utilisateur et le autre utilisateur technique aurait été managé. Mais d'ailleurs, Maintenant, le cluster dit que l'ampliante liste est la liste de administrator qui est capable de faire tout ce qui connecte. La liste est en haut, parce que l'on a été détruit. Donc personne n'est capable de connecter avec le cluster que nous avons évoqué. La seule exception que nous avons été les utilisateurs qui ont créé ce cluster qui a été détruit. Donc, aucun superadmins, aucun plus d'admins, nous sommes évoqués. La seule chose que l'on peut faire, c'est de déleter le cluster. Oui, c'est une aventure. Ça devrait être opérationnel aujourd'hui. En tout cas, nous avons DigitaloCen, qui mérite le bâtiment. Donc, si je ne suis pas capable de finir aujourd'hui, je vais finir sans beaucoup de stress demain. L'impact sera, si nous avons des bombes, jusqu'à la normale, l'impact sera que ce bâtiment ne s'occupera d'un bâtiment et on peut avoir un bâtiment. Donc, soyez compte. Pourquoi n'avons-nous pas utilisé DigitaloCen depuis friday? C'est la chose que je veux dire maintenant. Je pense qu'on peut commencer publiquement. C'est la troisième annoncement. C'est une semaine. Donc, friday, un jour en Europe, DigitaloCen senta un rapport abus. Donc, un système automatique fail-to-ban a mentionné à eux, c'est un IP que DigitaloCen a identifié à une des heures, au moins, à la fois, le fail-to-ban est pointé. Et cet IP a été utilisé pour l'attaque de brute force SSH. C'est le bâtiment. Donc... Brute force SSH, d'un de l'IP adresse, est intéressant. Et... C'est la première chose. C'est la raison pour laquelle on a utilisé DigitaloCen parce que c'est la seule remédiation que nous pouvons avoir. Et nous avons été attendus jusqu'à aujourd'hui. Mais nous n'avons jamais eu de feedback du soutien DigitaloCen de notre équipe de sécurité. Donc, il y a eu 4 jours. Si j'exclut le week-end, c'est deux jours de marche. Il y a été le jour d'hier, le jour de marche dans l'US, Marc? Non. Il y a deux jours de marche. Je vais demander d'aide pour escaler. Juste d'avoir un feedback. Donc, nous avons fait l'analyse du délicieux délicieux. Et je crois qu'on a went pretty far dans l'analyse. Les IPs, nos IPs fmrouls, parce que nos machines sont fmrouls. Donc, quand l'Abus report a été reçu, la machine n'a pas existé depuis des heures. Nous avons trouvé un IP correspondant à l'une des nodes utilisées par CHN Kincaio en Digital Ocean. C'est un facteur. Nous avons essayé de chercher, dans le time window, ce qui a été reporté. Je ne me souviens pas. La banque de faillite a été reportée en GMT plus 2. Et la machine a été reçue à ce moment. Le problème numéro 1 est que nous n'avons pas pu détecter l'analyse du délicieux. Nous avons trouvé un client en ce moment pour la vie de la machine. Il n'y a pas de logs à tout, d'exception des logs de la banque. Nous avons dû lire chaque ligne par ligne pour ces agents. Il a fait son travail. Il n'y a pas de trafic de SSH et le changement de pull request est une dépendance de la main. Donc, pour sûr, ce n'est pas la banque. Nous n'avons pas vu de l'activité de l'Oscar Digital d'accepter ces 3 containers de l'Oscar CI-Genkin SAIO. Si l'attaqueur est capable de trouver le flow de l'Oscar Genkins, cela veut dire qu'ils sont capables de retirer leurs trafic sur le contrôleur et l'agent, et les metriques de Datadog et les logs de Datadog. Donc, si quelqu'un est capable de trouver un tel flow, je veux dire qu'ils doivent détecter notre plateforme. Et sans joker, il n'y a pas d'armes dans l'Oscar d'Area acceptant d'être Blacklist pour 1 heure. Puis, nous avons vérifié le système technique sur Kubernetes, assurant que le Node n'était pas spawné. Ce n'est pas l'application, mais le reste. Datadog n'a pas réporté une banque de network en utilisant le protocole et pas l'IP qui était réporté par le target de l'attaque de brute force. Donc, ça veut dire que si on était spawné, la personne n'était pas capable de retirer le data de Datadog. Mais la banque de API que nous utilisons n'est pas la banque de data. On n'a pas trouvé de graphiques de network de flow de digitalisme. Je pense qu'ils n'en ont pas. Mais je n'en ai pas trouvé. Ils en ont. C'était un T pour ça. Parce que nous pouvons voir la banque de flow de l'agent sur les portes 50 000 connectées à la contrôle en utilisant le protocole de TCP. Nous pouvons voir la banque de DNS de résolution, mais il n'y a pas d'SSH. Dans la digitalisation, vous avez trouvé ça ? Non, je suis désolé. J'ai pensé sur la digitalisation, parce que c'est d'une autre façon. Pour la digitalisation, ce n'est pas la banque. Nous essayons de remédier des règles plus restrictives des règles de firewalls. Le but c'est que ces machines et ces portes ne devraient que aller à l'Internet, sur la HTTPS ou dans les protocoles de bondage. La chose est que la digitalisation ne vous permet de customiser les règles de firewalls. Il y a un firewall avec le management et le cycle de vie de la cluster de Kubernetes. Et chaque fois que vous changez les règles, après deux ou trois minutes, les règles sont résettes. Et bien sûr, les règles défautes permettent tout le protocole à toutes les IPs. C'est pourquoi j'ai besoin d'aide. Je veux vraiment distraire la banque de trafic de la cluster de Kubernetes mais je pense que vous avez un issue sur votre produit. C'est pas un bon feedback, mais c'est un feedback et un réquest pour les renseignements. C'est pourquoi nous avons décidé, avec le week-end, d'établir la cluster à tous. Nous avons réévalué ça. Nous verrons si c'est un target. Mon bon sens est que la banque de trafic de la cluster de Kubernetes n'est pas ce qu'il dit. Je pense qu'il pourrait avoir un issue de zone de temps. Et depuis que ces IPs sont chargés entre les clients, ça pourrait être un autre customer. Mais c'est un défi et il ne peut pas le prouver. C'est pourquoi nous nous avons demandé d'aide. Nous allons réévaluer un issue avec les règles qu'on a parce que nous n'avons pas reçu une question de l'Océan Digita, donc pour ce que nous le terminerons. Comme je l'ai dit en discussion mail, c'est un incentive aussi pour nous pour penser que nous devons continuer de l'utiliser dans la cluster de Kubernetes en Océan digital. Parce qu'on a beaucoup d'obstacles qui ne peuvent pas durer pour 0. Pour un système de cCEI qui c'est assez un issue qui coûte 800$ par mois, selon le côté de la machine, et c'est pour nous de essayer d'utiliser plus de machines pour s'assurer qu'il y ait plus de pote. Parce que ça, une machine va nous coûter beaucoup, même si ça ne fait rien. Donc, nous ne pouvons pas appliquer les roues et les roues de feuille, pour ne pas se protéger le cluster de Kubernetes. Ça commence à être une annonciation dans notre cas de utilisation. Donc, d'abord, j'ai regardé l'idée qui vient de Gavine Morgan. Depuis qu'il y a un Jenkins plugin pour s'assurer d'une machine virtuelle de l'Océan Digital, nous pouvons changer, en utilisant le cluster de Kubernetes, de retirer le cluster de Kubernetes de DO. Et d'abord, pour construire une machine virtuelle custom, nous pouvons seulement soutenir Linux, mais au moins, nous pouvons avoir toutes les machines ATH, qui sont maintenant seulement en Azure. Nous pouvons utiliser la machine digitale pour cela, à l'instant. C'est un proposer sur le table, maintenant, sans récordation, parce qu'on a d'autres choses à fixer. Merci à moi. Donc, ce sont les éléments principaux. Est-ce qu'il y a d'autres questions ou des choses unclears sur ces 3 annonces? Si nous faisons ça, nous n'aurons pas de spare Kubernetes pour répliquer l'IKU test, si c'est mort. Oui, quand quelqu'un se brise. Je n'ai pas pointé. A.K.A.S. pourrait être utilisé. Nous pouvons créer un cluster dans A.K.A.S. qui aura le bénéfice de soutenir Windows, NotPool et IRM64 NotPool. Donc, le même set de features comme AWS. Mais cela signifie que l'argent qu'on a spent sur la machine virtuelle aujourd'hui en Azure, nous devons les mettre à l'océan de la machine digitale. Donc, nous avons assez de rômes pour répliquer la machine digitale, en Azure, à nouveau. Mais c'est un bon point. Si vous avez terminé de l'entraîner, je pense que ce serait votre prochaine mission. Deuxièmement. L'issue avec des détails pour l'entraînement de cette semaine. Il n'y a pas d'impact, comme on peut le dire. Il peut être un positif de fausse, pour utiliser des VMs, plutôt que de Kubernetes, dans Leo. N'importe quelle question ? Et pour moi. OK, donc, la semaine prochaine, comme d'habitude, nous serons les deux de mai. La prochaine LTS, let's me check, est-ce que la semaine prochaine ? C'est. Dans le... Oui, mai 3. 2.387.3. Donc, comme on l'a écrit, Kristen est le leader de l'Israël. Comme je peux dire, je ne peux pas voir d'autres emails sur l'adversaire de Jean-Kinz, l'adversaire de la sécurité, non. La prochaine événement, Still, Silicon et Vancouver, 8 et 9. C'est correct ? C'est correct. OK. Il y a quelque chose d'autre, la question du calendrier. OK, donc, let's start on... Qu'est-ce que nous pouvons finir durant le passement de milestone ? C'était une semaine très busy. C.I. Jean-Kinz, nous n'avons pas utilisé le Plugin de l'Historie de travail. Il y a beaucoup de files et de notes. Donc, c'est une bonne chose. J'ai pris un shortcut pour celui-ci. D'abord, pour enlever l'automatique full backup et puis, etc. Le backup coste de l'argent. Donc, c'est mieux d'avoir un backup basé sur un snapshot initial, ce qui est le plus petit possible. Et, comme nous avons discuté durant la semaine, on pourrait vouloir créer un nouveau data-disc pour l'incommé du C.I. Jean-Kinz sur la machine virtuale. Et avec l'effort que Stéphane et Marc et les idées sur le data-disc et le data de Jean-Kinz, nous sommes venus de créer le data d'almost 600 GB de full-disc 3 semaines auparavant. Aujourd'hui, nous avons utilisé 250 GB. Donc, plus qu'un demi-décrase. Ce qui peut diminuer encore plus avec le manager de l'U.S. Free Artifact. On verra plus tard. Donc, l'idée est que c'est mieux de... J'ai pris un snapshot de le data-disc. Juste d'être sûr si le métier de travail a brûlé quelque chose de plus en plus. C'était le plus important pour ce travail. La prochaine étape serait de créer un nouveau data-disc qui va être plus cher. Oui, un demi-décrase. Et, c'est-à-dire, ce premier SSD coste quelque chose. Et ensuite, nous pouvons commencer les backups de cette initiale de 250 GB de plus en plus de 600 GB que nous avons avant. C'est le shortcut que j'ai pris. Je l'ai validé avec Team Yakom juste d'être sûr que je n'étais pas malade. La raison pour laquelle j'ai appris ce problème est que j'ai pensé que ça pourrait aider en regardant les pièces de bâtiment qui sont plus claires. Mais... La chose est que j'ai essayé et c'est pas... C'est pas aidé ici. C'est aidé dans l'autre secteur. C'est encore valable mais c'est pas réduit les minutes réportées pour une opération qui va prendre ces secondes. Mais c'était une meilleure pour moi. Et c'est pour moi que j'ai pu prendre ces secondes donc je suis pas malade. Mais la personne qui m'a pris c'est encore plus d'un an. Je suis pas malade. J'ai pris mon bâtiment pour l'autre secteur c'est pas d'un an. C'est pas d'un an. Mais je me suis pris. Mais je me suis pris. Et je me suis pris. Et je me suis pris. J'ai pris. Et je me suis pris. Et je me suis pris. Et je me suis pris. qui choisit AWS S3 à l'aide d'un storage Azure Blob pour l'artifact-manager et CI Jenkins I.O. Le but est de CI Jenkins I.O. Quand il y a un stash, un stash, ou l'archivité d'artifact-opération, c'est installé dans un bucket S3. La plupart des billets EV, les billets BOM, et la partie de les plugins sont déjà en train de travailler sur AWS. Donc l'agent s'installe à un bucket S3 et l'un et l'autre. Si nous faisons ça d'un contenu sur Digital Ocean, ce n'est pas depuis friday, ou d'une machine virtual sur Azure, pour l'ATH, des billets high-memory pour le score Jenkins et des plugins qui utilisent Docker CE, nous aurons encore des outbounds et des banquets pour payer, d'un cloud à AWS. Mais il n'y a pas d'absolute solution si nous utilisons un seul cloud. Parce que, si nous utilisons un cloud pour l'archivité d'artifact-opération, nous aurons des outbounds et des banquets. Donc ici, au moins, nous n'avons pas d'artifact-opération et nous n'avons pas de pression sur CI Jenkins. Et pour la build BOM, cela aide beaucoup. Parce que le stash et l'instash n'ont pas d'absolute solution mais cela nous permet de retourner au bout de l'artifact-opération et de l'artifact-opération et d'un petit peu d'artifact-opération. Et du coup, nous n'avons pas d'absolute solution et de l'artifact-opération et de l'artifact-opération et d'artifact-opération. Et c'est un point de vue qui est très important. Et je pense que nous devons avoir un point de vue de plus en plus. Et on a un point de vue de plus en plus. Et nous devons avoir un point de vue que nous pouvons atteindre, selon la taille qu'on utilise pour avoir des artefacts archaïs. C'est donc un cost acceptable. C'est parce que nous n'avons pas payé pour la banque, parce qu'on est dans la même région. Non, c'est pour la banque. J'ai fait l'analyse de la banque. En plus, il y aura 100$ par mois sur les accounts AWS, qui, dans le target, nous avons 5000$ par mois. Ce sera 2% du budget. Aujourd'hui, il n'y a plus qu'une personne. C'est bon. Nous avons déjà appris la métrique. C'est bon. Nous pouvons procéder. Request pour installer Gitpod.io, l'application GitHub sur Jenkins Infra pour Jenkins.io. C'est fait. Donc, le bénéfice est que l'utilisateur sera capable d'appliquer Gitpod.io. Nous avons maintenant une politique de billet de billet de billet. Donc, si un travail sur C'est-il que Jenkins.io n'a pas expliqué explicitement une politique de billet de billet, il sera seulement 5 items derniers. Donc, c'est pour un travail que vous devez déclarer une politique de billet de billet de billet. C'est plus grand que ça. Exactement. C'est seulement si il n'y a pas d'appliquer la configuration de travail. Nous devons... Nous devons avoir 0 effets parce que nous utilisons l'organisation de Gitpod. J'ai réalisé que la dernière fois nous avons essayé de tester. Nous avons mis la politique de billet. Nous avons regardé la politique d'item de billet de billet de billet dans l'organisation. Et puis les branches dans les branches multi-branches. Et il y a un trait spécifique qui est nommé la politique de billet de billet que nous avons mis. Donc, nous devons risquer tous les billets et penser à ce set-up. Et c'est le set-up que nous avons mis. Et je comprends que si ce n'est pas un set-up, il y a un défi qui défend l'effet de ce set-up. Je pense que ce set-up est efficace pour un pipeline de branches multi-branches sur le salle de oleh un assemblage qu'on pose sur le salle de l'Ordre de solidarity des jours plus fortes. Quand est-ce qu'il s'implique? Je n'ai pas cru soin. C'était plus que un jour. Il n'y a aucun besoin de parler de ça. Je suis juste concerné si on avait un défi de performance parce que j'assume que le fait d'étoile s'est très fort. Si c'était un défi, on aurait eu l'air d'un sable. c'est quand il y a un job scanning, c'est quoi que ce soit, le job scanning dit, oh, j'ai une, oui, j'applique, sinon j'ai les défauts. D'accord, ok, merci, merci pour ça. Pas de problème. Les machines virtuelles qui choisissent d'aller au Giroir confluence, je n'ai jamais oublié, ont été réclinés, il y avait beaucoup de confluences, parce qu'il y avait beaucoup de data wiki. Donc, le suivant des changements alertés que l'on a fait la semaine dernière par la équipe, celle-ci a commencé à vendre l'issue, c'était en utilisant beaucoup de disques avec des data wiki. Donc, c'était récliné. Merci d'avoir regardé cette partie. C.I. Jean-Kin Sayo, on a switché l'art drive pour une standard SSD. La latinité est toujours la même, mais il y a des partitions et des issues blocs, et on réalise que l'instance est une génération 1 dans Azure, qui est toujours solde, qui a été créée longtemps, qui ne choisit pas une nouvelle FI, mais c'est un whole BIOS avec des compétibilities de base. Donc, ça explique pourquoi la nouvelle SSD n'est pas automatiquement utilisée sur l'old size, parce qu'on a augmenté le size de 50 à 64, parce qu'on a payé le même. Alors, ce n'est pas de tenter de tinker avec ces disques, c'est un proposement que tout le monde a créé indépendantement, et quand on partait, on s'est dit qu'on s'agirait, c'est que, comme partie de la Ubuntu 2204 campaign, nous allons créer une nouvelle machine, avec un nouveau SSD, un nouveau setup, déjà en place, ce qui sera la prochaine C.I. Jean-Kin Sayo, et nous allons faire un snapshot, et puis une synchronisation d'air sync du SSD. Alors, c'est ce que j'ai mentionné, c'est une police backup, tout le code management, donc nous devrions pouvoir tricher cette machine quand le temps va venir. J'espère que nous allons aussi augmenter les performances. Nous avons fait un changement, ce que nous avons réveillé, nous avons eu la loi qui nous a élevé, sur la peugeotoutie, quand l'une des partitions des disques sur les disques était utilisée en moins d'un gigabyte. Nous avons également prévenu à 80% de l'usage, et à 19% de l'alerte. Le premier point, c'est de l'alerte à 80% et à 19%. Il y a peut-être une misunderstanding sur la façon dont nous devrions mettre des doigts, donc plus de travail est requérée sur cette machine. Et ça nous a aidé pour nous raconter que nous avons un lituse qui était full, c'est ce qui nous a aidé et nous a réveillé. Nous avons été able d'aider un utilisateur pour créer un compte. Il y a été un souci avec le Ripple DNS d'Apache.org au-delà de notre système. Et nous avons fixé les images de machines virtuales. C'était un collecteur garbage d'alerte, donc ça ne devrait pas se passer. OK, 30 minutes. Wow. J'en ai parlé trop. La prochaine étape. Je vais aller un peu plus vite. La première étape. Nous avons des soucis. Laissez-moi essayer de regrouper ce qui sera plus facile. Laissez-moi utiliser correctement. La première étape, les soucis d'email. Nous avons des accounts qui ne recevront pas leurs emails depuis quelque temps. Laissez-moi essayer. Accounts, Jenkins, IO et l'email Errors. Nous avons une deuxième étape. Pour cette étape, la solution est que nous allons migrer le système de smtp qui est currently utilisé par l'account Jenkins IO pour l'email. Nous n'avons pas accès à ça. Lorsque l'on espère qu'il y a des feedbacks, il n'y a que l'account sur le plan libre. Comme pointé par Team et Olivier, l'idée sera d'utiliser le système de smtp ou l'account d'email que nous avons accès à ça. Notre goal est d'avoir un système d'email que nous pouvons accéder. Nous pouvons diagnosiser notre objectif. Il y a une deuxième issue. Il y a été la première étape qui a été élevée aujourd'hui pour enlever l'utilisation d'accounts d'email. Donc, la plupart des emails ont été montés par l'account des 3 emails qui ont été bloqués. Il y a un système de emails où il n'y a pas d'inno, C'est un issue de démarquement. Nous devons vérifier le démarquement du KEM et de l'autre. Ok. On a essayé avec mailgun, mais c'est un issue de démarquement avec Gmail. Donc, maintenant, nous sommes révertis à l'old sun grid, donc le service continue à marcher. Question pour vous, Stéphane. Est-ce que vous pensez qu'on va avoir de l'aide de mailgun, afin de démarquer et de fixer l'issue ? Ou est-ce qu'il y a un moyen de tester ? Non, il y a un moyen de tester. Mais le problème est qu'il y a eu des démarquements, des légacies, pour le démarquement, qui était un mail de démarquement. Il y a déjà quelque chose dans le système, dans le DNS pour démarquer un mail de démarquement. Donc, le fait que l'on est bloqué est normal, parce que l'on s'en demande. Ok. Mais nous devons marcher, parce que ce n'est pas seulement le démarquement, mais qu'on doit faire avec tout le set-up, avant d'éloigner. Et il y a un third-party website, qui nous permet de vérifier quelque part de la configuration, au moins le DNS. Ok. C'est assez clair. Est-ce que la note m'a capturé ce que vous avez dit ? Excepté individuellement. Mais oui. Oui. Ce sont les notes collaboratives. N'hésitez pas à fixer mon temps pour le faire. Bon travail. Appuyez-vous. Oh non, vous pouvez directement l'éloigner en temps réel. Ok, merci. La explication est claire et ça me fait sens. J'assume que l'HRV a dû tourner, donc c'est pourquoi on va se réveiller. As soon as he is able, he is there, we will have to think. I will mark this, that he has to anticipate that part so you should be able to get some availability to help him. Because I want to attend, I will learn a lot, but my knowledge in email is close to zero. I don't even know what the demarc is, so I can be there and watch you. I stopped working on email just when that came out and we were more using the other ones. So I'm brand new to that too. But my knowledge is close to zero, so I fully delegate that to HRV and you and I will learn on the process for sure. With pleasure. Stefan, award on trusted CI, migration from AWS to Azure. What is the status? I deal right now with the one VM, which is Boons operated by Terraform. That's a brand new one with nothing in there. I'm starting with only this one because I first started with every VM and that was way too much. So I had to lower down my target and iterate. So I'm back to one VM and I'm almost ready for a second review. Cool. So first review done, ready for second. Yes. And then next steps will be... First the network. We need to put some firewalls and stuff. And then we will go ahead with another VM and then the last one. Then controller VM and permanent agent VM. Nice. Let me comment that I can do that. Something on the way I'm writing it, I'm not sure about the priority. I think there is, it can be done in parallel. I can do it while you work on the rest but I want to mark it. You discover that currently there is a resource group and the network used for the ephemeral agent of the actual trusted CI which is running on AWS. And the thing is that that's resource group and its resources are on US East region on Azure while most of our networks and setup and the new VM will be on US East too. So we could start updating that part in parallel on what you are doing. So then we wouldn't have the agent far away from the controller. Yes. Change new. Change region to US East too. Yeah and we choose ES East too to be close to private K8S. Absolutely. So I'm writing this down. No need for you to act immediately. That's not priority. So we will think about it before the final migration. Thanks. Work in progress now on my side about splitting the BOM the BOM build with the other. So the status is as commented on the issue we tried with a new node pool that worked very well and were able to experiment that new node pool and the current one was using bigger machines where instead of free pods at the same time it's able to under 23 at the same time. The goal was first having less machines less cost per pod and the ability to treat a single BOM build in less than 30 minutes. That was a failure because there is a contention somewhere we will ask for help from Jean Kinsey we are sure it's not the job config history anymore and it's not the system drive but as if there was a lock or throttling somewhere we played around with the CPU limits but if the CPU is not throttled then all the CPUs use and the machines are dying so right now the proposal is to still deliver values to the end user by creating a new node pool separated so plugin builds will be in parallel of the BOM builds so one node pool identical at the current one to deliver the split Experiments with a bigger node pool is not good enough so not delivering it for now so the value is again ensuring that any builds that require Linux container which is not BOM builds don't have to wait for resources if there is BOM builds currently being run only the BOM builds should compete with each other that should also ensure that the probability of a spot machine being evicted will be lower for plugin developers or BOM developers blocked by the ci.genkins.io cluster lock out so mechanically we will continue next week with that issue tomorrow or later today no question no Ubuntu 2204, thanks Stefan for the help on that one this week we were able to migrate the open VPN image and it worked now it worked I spent one hour debugging and trying it now because open SSL had to fix minor issues that were creating errors because open SSL went from 1.1.1 to 3. something had to fine tune the certificate the certificate authorities because the new open SSL the interaction with the LDAP client is a bit different and it's not checking the ashes of the CI Assert in the same way it was able to use directly the CI Assert from one of the lists so the CI Assert is the Let's Encrypt X1 in that case for LDAP and now as part of the image build we need to specify an environment variable to LDAP environment so it directly goes to the file on the storage instead of searching for the hash on the SSL certificate so after finding a lot of people having the same issues was able to test it with a LDAP search commands that was failing connecting in TLS so that was obviously open SSL and had to run it on debug mode to CDROR and then it worked thanks Stefan for testing all of this on production while I wasn't available that helped a lot because now we have a up to date image for Docker OpenVPN next steps for Ubuntu 22 trusted CI CI.G eventually the AKS not pools so that one is a wrapper tasks I'll see on that because there is no dedicated action required to this one so if it's okay I won't add this issue on the milestone doesn't serve to have a wrap it's a kind of epic doesn't make sense I'm only using it to reference all the tasks that have the direct impact of bumping the Ubuntu 22 is that okay? Decrease AWS costs so the good news is that we are forecasted at 30 less than 14 between 30 and 14 13 and 14 and with the lockout we'll have less even less you did a good job so that was yesterday it was 14 and today it was even lower the impact we were able to clean up the snapshots and to keep them clean the snapshot of the AMI so that's already 80 bucks per day that's already 1.5 to 2k per month also we change the instance kind used for the node pool as you can see that has a direct effect because these node pools are cheaper they have less chances to be evicted as spot instances and the usage is clearly better for the kind of workload we have so we use the same can for the new node pool I mentioned earlier we could even optimize by watching a matrix next month but it already has an impact so next month we'll have to carefully watch this area so I hope by moving the updates unturned trusted we should be able to remove 4 to 5k per month from that build that should allow us to make it sustainable so we made good efforts that are visible but it's not enough so it's positive but we need to keep going no expected action next week so I won't put that on the next milestone that will be on the backlog because there is no immediate action for us right now on that specific topic yeah but but moving trusted will have an impact and moving everything will have an impact exactly make environment and description fields mandatory so I saw before the meeting that there is an action expected from the JIRA administrator the consensus was reached so I need to check if I can do it or if I can ask Marco Daniel because I'm not totally sure on that kind of setup so I might ask them for help but by default I take care of it as a JIRA administrator award under might need help from Markweight to apply this setup go to check and ask in the issue if needed award about renewing the update center certificates thanks Stefan for preparing that part so I was able to meet with Olivier so initially we wanted to ask the board if I can have access to the CA key the board has been delayed so we won't have answer before 8 or 9 of May so I've asked Olivier yesterday if he can at least generate a 6 months valid certificate for the update center instead of the usual one year 6 months why because that will force us to consider the who has access to the key in 6 months I haven't heard from Olivier I should have met him today physically but he had a cancellation so I will try to harass him a bit just so he can un block us still no emergency but I would prefer doing it before it expires to avoid issues so stay tuned I am moving that issue for for new cert from Olivier and next board for the key no thing to do I will remove that from the next milestone and if I have news from Olivier I will add it to the next milestone so I've opened an issue about CI Jenkins I use a new VM instance type so the goal is as we said earlier to create a brand new virtual machine like what Stefan is doing and trust it that's the same pattern but for CI that one might be a bit different no need for bounds or privacy that's a public instance that will be Ubuntu 22.04 a new data disk with Azure backup policies and security groups and then we should be able to configure it and try the puppet part Stefan, is it okay if I start this one as soon as possible to work on the puppet part running on Ubuntu 22.04 so the time you create the infrastructure for the free trusted I will work on this one so you should be able to have a working puppet model because right now puppets might fail on Ubuntu 22.04 for set 2.04 ok you set 22.04 on the latest version when I say puppet I mean the puppet profile that is in charge of creating a Jenkins controller we know for a fact based on Hervé's work the puppet works properly because the private VPN machine is already Ubuntu 22.04 so it's already working on that on that part but we still need to test way more profiles and stuff ok looks good so we can parallelize and when will be the time for you to bootstrap puppet agent on this machine the work should already be done for you is that okay if we split the build like this yep, perfect ok migrate google analytics to v4 I'm also waiting for Olivier Olivier gave me administration permission on the property on google analytics that need updates to v4 however in order to migrate the current property to v4, I need to be administrator of the whole analytics space not on the property yep, I'm waiting for him I will try also to harass him nicely maybe you should offer him a coffee oh more than that drinks will be on me let's start ASAP I need to take note we test match puppet profile Jenkins controller on ubuntu 2004 v4 Stefan Merl as to do it on trusted.ci a new data disk smaller in the new network new instance size and v2 and v2 you mean gen2 yes generation 2 ubuntu 2004 2204 2204, thanks and the backup from scratch backup policy for data disk and not knockup I was about to change it thanks on a un test un test managé on a un test OK Google analytics j'ai un code with the puppet agent on a un code on a un code on a un code on a un code on a un code on a un code c'est trop délicieux. Add launchable to agent. So survey add an interesting exchange with Basil. It appears that there is a need for also installing launchable on windows. So right now it's the case for the windows VM already, not the case for the windows container on ACI. Basil add a high hopes on decreasing time, for some builds and test of some EV workloads, once it will be done. So survey will work after the email on that topic to provide launchable command line installed on ACI agents. Hopping to unblock Basil on that part and that includes a bit of pipeline library setup. Thanks, survey thanks Basil for that work. That's really useful because we could decrease the the machine time on the infrastructure. And so the money. Absolutely. Windows container agents to unblock Basil. Already on all other agent on CI, and windows VMs. A word about the artifact caching proxy being unreliable. There are two errors. I'm keeping that one on a milestone. The first kind of errors are related to digital ocean. So we didn't add any of these errors since weeks because digital ocean is not used or almost not. A splitting the bomb builds to their own node pool on AWS means we won't use digital ocean for bomb builds anymore. So that issue will be gone. Or I must gone with the bomb node pool. About the Azure connection connection errors. That one is a TCP level problem. Mainly due to the fact that the virtual machine agent are running on U assist on a specific network while ACP is on U assist to another network. So part of the new CI machine will be to migrate these agents directly on the new network. But for that, that requires to also migrate CI agent can say. Because right now the Linux virtual machines are using SSH, which means the controller needs to be able to reach the machines. However, thanks team for the new feature published a new Azure VM feature agent plugins feature. Inbound protocol, that mean we should be able at any moment to configure the agents to contact CI agent can say which is public. So we should try this to migrate the agent like we should do for trusted. But in the case of CI that should be easier with the new plugin issue related to networks regions. That should help us migrating agent workload. Closer to ACP. So thanks team. And thanks Basil for reporting and helping on that topic. Stéphane, can you remind me my brain is already full the status of the Azure RM 64 VM templates. This one is not easy. In fact, I managed to have a built from a paper for I am 64 in Azure. The problem that I pumped in was with the gallery, the image gallery within Azure that cannot have the same image with the same version. Overwrite, I started to look for a locable resources to deal with that. The problem is only kind of development and staging gallery, not for the production one. But as we have to do pure and work on our computer, that's kind of annoying. I had to stop to go to Puppet and I know that you guys with airway dealt with the problem. And I think you fixed it with the garbage collector that is clean. The garbage collector is a consequence of Hervé's fix. Hervé's fix is a unique version. Hervé's fix is generated by the pipeline on each run. That's way easier than the lock solution that you started to work on. But at least you learn how the lock work for advanced use case. So you should be able to help user in the future. I'm sure Jean-Marc will be happy to learn about it. Anyway, so now thanks to Hervé's fix, I was able to verify something that did not work months ago. The version for the gallery used to require a strict semantic version without any suffix. But now that constraint has been relaxed, as Hervé found, we can add a suffix. And I think he did even something even smarter. I think he's not trying the suffix at all. There is a convention for the, so for the, the version for the dev, so pull request is O dot build number dot random generated thing, which is always different. And for the staging, there is O1 dot bid number dot something. For staging, we only have one bill at a time, so that should be easy. And for the dev, yeah, we never had more than 12 pull requests at the same time. And just to be sure, we added a garbage collector that removed all the images from the past. So that should be, that should help a lot on cleaning up because we, we didn't add any more issues as on the line by Hashi Corp. The person at Hashi Corp working on that topic. The fix that you did, Stefan, so now we don't export to virtual machine and then add that virtual machine template as a version in the gallery now. Exact. That is forbidden for RM 64. So now we directly export to shared library. Less resources, less time for the export builds. It's already miserable. It's two, two to five minutes gain on each template. So that's, that's nice. And also now we have the GC cleanup. So yeah, so that should be able to work again. We should be able to retry. On suppose, we don't put that right now on the milestone, just to not stamp to you. But if you are bored, don't stay to try again. So I'm good for you. Oh, yes. And now we had an issue. Thanks for the work on that. You did great because we should be able to use RM 64. Also be able to open a blog post. Once we will have succeeded on the first usage of Azure. Microsoft will be really happy to hear about that. I'm sure. Don't worry Bruno or Kevin will be happy to actually read my mind. Awesome. We had an issue open by your user. Thanks for that. That's reports. Slow pages on get Jenkins. Mainly the least of the previous releases. We did the first, first set. First set of updates. That fixed the issue. Of configuration changes. That fixed. The problem for. Slash war. Stable, which is the LTS. However. It's not. For the slash war. URI, which is weekly history. So the gut feeling is that. For weekly, we have too much element on the directory. That's creating a slowness. No more. Only slow. For weekly listing. So. Oh, It's not. So. Aure is gonna walk on this. To add, needs to. Observable. Data dog integration will be. d'engager Jean-Kincaio, pour qu'ils puissent exposer sur un point privé les données nécessaires pour le Datadog. Donc, le Datadog sera capable de scraper ce point privé et de réporter les métriques pour Apache. Nous devrions être capables d'entraîner les recueils lentement, basé sur ces métriques. Le sentiment principal de l'engager, nous espérons que le CIFS, le protocole utilisé pour l'assassin d'un file Azure, Apache T-Docs, crée cette lentité quand la liste est directée. Donc, il y a une option d'utiliser le CIFS sur le volume persistant, mais c'est ma coste. Éventuellement, on utilise le CIFS pour des postes complotés. Parce que cet issue est aussi un issue de packaging sur le cluster privé, où il y a des... Quand on essaye d'écrire un file, il y a des permissions qui ne sont pas les cas. Nous devons rétrayer. Ce issue a déjà existé depuis des années. Il s'apprenait de temps en temps. Olivier a été élevé de l'assassin d'un micro-support. Et le CIFS pourrait être la solution ici. Mais cela requiert une histoire de premium. Donc, nous devons être careful sur celui-là, parce que cela peut coûter beaucoup. Il y a aussi une remédiation qui pourrait être faite en utilisant l'ingress caching d'ingress. Je veux dire, ces pages sont updates une fois par semaine. C'est tout. Même une fois par jour, c'est OK. Donc, nous pouvons utiliser l'ingress rule, puisque nous avons l'ingress en front de ce service, ce qui va cacher ces pages spécifiquement, comme nous faisons avec l'ACP, pour ces pages. Donc, c'était aussi l'opportunité de nettoyer le service, plus de replicas, plus de limites réalistiques pour les memores de l'ACP. Donc, nous consommons un peu moins. Donc, c'est encore encore. Cela nous permet d'aller de 5 à 4 nodes constants pour que l'economie soit en crédit. C'est tout pour le progrès de travail, notre travail pour mettre le backlog. Donc, maintenant, nous avons besoin d'un look sur les nouveaux problèmes, et puis le backlog. Les nouveaux problèmes. Migrate application du système pool et du Linux pool en private gates. Merci, Stéphane, pour cette issue. C'est ce que nous avons besoin de travailler sur. Parce que, ce qui a été surfaced par le backlog... Oui, le backlog erreur. Le backlog erreur sur le full disk. Le système pool disk doit être augmenté. Donc, c'est l'autre issue. Ceci est la priorité. La chose, c'est qu'on découvre que certaines applications sont en cours sur le système pool, ce qui n'est pas acceptable. Donc, nous avons besoin d'ajouter l'enjeu de l'application. Donc, ils ne devraient pas utiliser le système pool, d'une anti-affinité, ou nous pouvons ajouter le taint sur le système pool et configurer l'autre système sur le taint. La seule partie de la question est d'obtenir le sdock. Ils peuvent avoir des recommandations, mais nous n'avons qu'une note avec l'enjeu de l'enjeu de l'application. C'est à dire qu'on doit manualement faire l'opération de l'enjeu. Donc, c'est mieux de le faire demain, si c'est bien pour vous. Parce qu'on aura l'impact de détruire le whole cluster en temps pour l'opération. C'est pour ça que le ménagement est requiert au-delà de l'opération. C'est correct. OK. Nous avons une issue qui est... OK, c'est une permette d'enjeu. Ce n'est pas notre problème. OK. Et maintenant, le backlog. Qu'est-ce qu'on a dans le backlog ? Enablez l'enjeu de l'enjeu de l'application pour l'enjeu de l'enjeu de l'application, pour que l'enjeu de l'enjeu de l'application soit automatique. L'enjeu de l'enjeu et de l'enjeu de l'application être apporté pour s'améliorer l'enjeu de l'institut de l'institut, est-ce que c'est OK si je ferme ce point pour l'enjeu de l'application de l'enjeu de l'enjeu de l'enjeu de l'application ? Seulement, ce n'est pas l'enjeu de l'enjeu de l'institut, oui. Qu'à nous ? Nous nous avons utilisé un websocket pour l'agent. de la performance de CIGN-KIMSAIO. Le but est d'utiliser des agents de base, spécialement les Kubernetes, plutôt que de contacter le contrôleur par le TCP port 5000, 50 000, plutôt qu'il faut utiliser l'HTTPS avec une connexion de protocole de WebSocket. Cela doit être mieux utilisé, il faut utiliser moins de mémoire et il faut aussi diminuer l'amount de la connexion et il faut être plus facile de monitorer. Je voudrais essayer ça pour la connexion de WebSocket. Oui et non, c'est difficile de le dire parce que c'est difficile de monitorer le protocole de TCP. Pourquoi WebSocket ne peut ou ne peut pas l'aider. Mais oui, on ne peut pas, mais le problème est que maintenant nous devons créer une nouvelle instance et ensuite nous devrions augmenter le protocole de Poupet dans le server Apache parce que nous devons évaluer WebSocket au level Apache. Ok. Comme vous l'avez dit, la connexion de WebSocket s'occupe d'une connexion de protocole de WebSocket. Donc nous l'avons diminué. Nous ne devons que consommer l'alphabet de ce que nous avons consommé l'année dernière. Avec le manager de l'artifact et l'intégrisation de l'Apache sur le data-dog pour CIG et Kinsaiu, nous devons monitorer ceci dans les prochains mois et voir le résultat. Nous devons seulement avoir une semaine d'effect de le manager de l'artifact. Donc nous devrions attendre les mois pour voir les résultats. La dernière, c'est le cluster public. Donc, j'ai discuté avec AirVay. C'est ce qu'on va faire. Donc, nous devons commencer à marcher sur celui-là. Je pense particulièrement en commençant à migrer la service par service pour le nouveau cluster parce que nous devons tenir compte de celui-là. L'une des premières pour être migrée pour moi sera l'Eldap. C'est un critère critique. Donc, nous devons commencer avec celui-là. Oui, parce qu'il faut être plus proche de l'A&HA pour l'autre issue. Exactement. Donc, nous avons besoin d'un net de qualité de l'Eldap pour celui-là. La prochaine, c'est la Genkin SAIO. Donc, nous pouvons tester la configuration de l'IPv6 dès que possible. Nous sommes là. Je pense que c'est beaucoup. J'ai besoin d'une réplique travaillée pour la week-end. Merci. Vous avez d'autres sujets pour les traiter, pour demander. Je vais arrêter la screen sharing. Ok. Le 1er mai, c'est off, mais ce n'est pas le week-end. Le week-end est off, mais le week-end, nous serons là. Pas de problème. Donc, laissez-moi arrêter la récordation. See you next week. Bye-bye.