La cuisine de Gandi

Faille OpenSSL : heartbleed postmortem

Une vulnérabilité concernant OpenSSL a été divulguée le 7 Avril 2014 vers 23:00 CEST .

Cette dernière permet à un attaquant d'obtenir des informations sensibles difficiles à évaluer - incluant potentiellement la clef privée du serveur .

Voici la timeline concernant la sécurisation de nos infrastructures suite à cette publication :

7 Avril

  • 23:30 CEST (21:30 UTC) : Les équipes techniques prennent connaissance de la faille de sécurité sur OpenSSL.

8 Avril

  • 00:19 CEST (22:19 UTC) : Patch debian disponible, rebuild des plateformes en cours
  • 03:34 CEST (01:34 UTC) : Les clients utilisant nos web-accelerators sont maintenant protégés de la faille heartbleed .
  • 04:23 CEST (02:23 UTC) : Fin upgrade de la bibliothèque OpenSSL pour www.gandi.net et webmail.gandi.net
  • 12:59 CEST (10:59 UTC) : Problème de provisionning SSL de notre coté pour www.gandi.net et webmail.gandi.net lors du changement des certificats.
  • 13:11 CEST (11:11 UTC) : Les certificats pour www.gandi.net webmail.gandi.net sont à jour.

Fin de l'incident sécurité 



Comment est configurée une machine virtuelle ?

Le processus de configuration actuel d'une machine virtuelle sur l'hébergement Gandi IaaS a changé mais le nouveau processus est toujours considéré comme instable et les appels API sont susceptibles de changer dans le futur. Si vous utilisez ce processus pour développer de nouveaux outils de déploiement de machine virtuelle, indiquez-le nous ! Gardez aussi à l'esprit que cette version de notre outil de provisioning est encore jeune, les interfaces sont aussi susceptibles de changer.


De nouvelles images sur l'hébergement IaaS axées supervision

Nous vous avons préparé quelques images de distribution spécialisées dans la supervision.

Vous étiez nombreux à nous faire des demandes en ce sens, ou plus directement que Gandi propose un service de supervision à travers notre interface d'administration.

Cela sort de notre périmètre, nous préférons donc que nos clients puissent gérer leur supervision eux mêmes, à savoir qu'il existe aussi des services payants de supervision sur Internet, ce qui peut être une alternative.


La plate-forme PAAS du SimpleHosting

Nous sommes heureux de vous faire profiter de notre nouvelle plate-forme PaaS. Cela fait maintenant plus d'un an que nous travaillons dessus en intégrant au fur et à mesure les dernières évolutions logiciels tout en restant homogène avec notre infrastructure et la gestion de notre hébergement IaaS.

Le but de la plateforme est de vous affranchir complètement de la partie système (en profitant de notre expertise) et de vous laisser libre sur la partie applicatif (dans les limites des paramétrages qui se veulent par défaut très ouvert).



Penser architecture web - Aller plus loin avec plusieurs centres de données

Un peu dans l'esprit de l'article Penser architecture web que nous avions publié il y a 2 ans, nous allons aborder dans cet article les problématiques que nous savons récurrentes pour nos clients hébergement ainsi que dans le monde du web en général : que faire quand mon serveur web est surchargé ou mes sites web sont lents ?


Quand Null0 et BGP peuvent causer problème

Si vous lisez des manuels ou des livres de réseau traitant de BGP et de la stabilité des routes, la plupart du temps vous trouverez mention ou même une suggestion de lier votre sommaire de préfixe (aggregated prefix) à null0 pour assurer la présence permanente de ces préfixes dans la table de routage. De ce fait, augmenter la stabilité de vos annonces BGP.

Cette méthode est intéressante jusqu'à un certain point mais il y a des situations ou cette configuration peut provoquer une interruption de service dans le cas d'une panne. Ce bref article a pour sujet le routage sur Internet par BGP et certaines "pratiques répandues".


Le stockage fait sa migration

Depuis quelques mois, vous avez peut-être pu utiliser des serveurs aux États-Unis. Le changement de l’infrastructure de stockage était un des points forts dans l'infrastructure pour l'hébergement.
Avant ça, il a fallu adapter notre infrastructure afin qu'elle puisse comprendre "n" datacenters. La mise en place de la nouvelle plateforme de stockage n'a pas été si compliquée puisqu'elle était indépendante de celle existante en France. Le datacenter était nouveau, c'était donc assez simple à mettre en place : tous les nouveaux serveurs aux États-Unis ont bénéficié de cette nouvelle technologie.


Opération Libellule - Un tout nouveau réseau Gandi

Comme vous avez probablement dû vous en apercevoir, sur les 18 derniers mois, nous avons effectué plusieurs maintenances sur le réseau Gandi. Certaines ont été visibles avec des interruptions de service, d'autres ont été effectuées sans que cela impacte le service. Beaucoup d'entre vous nous ont demandé plus de détails sur ces travaux en cours, j'ai donc décidé de faire ce petit billet pour vous en dire un peu plus concernant l'évolution du réseau sur les prochains mois.



Quota, parts et coeurs en option

La prochaine version (3.0.8) va apporter un changement majeur dans la gestion du quota Hébergement, ainsi que dans l'utilisation de l'API associée. Notez bien que les modifications décrites ci-dessous n'arriveront que lors de la mise en production effective de la 3.0.8, dans les prochains jours.

Le changement a principalement été motivé par l'envie de vous proposer des cœurs en options pour vos serveurs. Mais il s'est avéré que dans l'état actuel des choses, cette option n'était pas possible.

Petite explication...





API Hosting 1.0 en bêta

Comme vous le savez peut être déjà, nous sommes en train de finaliser la gestion de notre plateforme d'hébergement Cloud via une API publique. Afin de vous faciliter le travail, beaucoup de choses ont été remaniées afin de vous permettre une utilisation plus simple, et une vraie maitrise de vos ressources hébergement chez Gandi.

En guise d'introduction, ce billet sera volontairement peu technique, et ne présentera que succinctement des parties qui seront développées en détails lors de la sortie officielle de l'API.


Mandriva 2010, image en accès alpha [maj]

L'hébergement sur des serveurs Gandi permet à ses clients de choisir parmi une sélection d'image d'OS disponible à la création de la machine. Après la préparation en interne de l'image et après une batterie de test, l'image est mise à disposition d'un groupe de client 'alpha' pour l'hébergement Gandi. Ces clients peuvent ainsi créer des serveurs utilisant ces images en 'release candidate'. De notre coté, cela nous permet d'élargir le champs des tests effectués sur les images et de dénicher les bugs et problèmes en touchant un plus petit groupe de client.

Aujourd'hui - 21 Mai - sort donc l'image d'OS basée sur une Mandriva 2010.0. Cette nouvelle version de la distribution Mandriva démarre avec un kernel 2.6.27 par défaut. Cette image est pour le moment disponible pour le groupe de client hosting en 'alpha'. Cette image de système sera bientôt disponible pour tous. N'hésitez pas à nous contacter si vous souhaitez participer à nos phases de test alpha.

16 aout 2010 : L'image est maintenant disponible pour tous


Kernel et cmdline

Nous vous proposons (enfin!) de choisir la version de votre kernel (parmi une liste qui évoluera), et les options de démarrage associées (cmdline). Les 2.6.18 et 2.6.27 sont les versions "de base" fournies par Xen (backport des patches xen pour la 2.6.27). La 2.6.32 actuellement disponible utilise paravirt_ops et l'implémentation "linux" des patches de Xen.

Nous vous annoncerons les nouveaux kernels disponibles ici même.

Ça se trouve dans "Mode avancé", dans l'interface d'administration du serveur : Options avancées

Et vous donne accès à ceci : Options avancées détail

Coté cmdline, vous pouvez maintenant désactiver selinux au boot, booter en single user, changer le disque et la partition de boot (pratique pour travailler avec des "images"), choisir la console la plus appropriée. Bref, de quoi gérer plus agréablement vos mises à jour ou réparer votre serveur de façon plus autonome.

Si une option vous manque, n'hésitez pas à nous la suggérer.


Cherokee arrive chez Gandi.

Un ami m'expliquait qu'il venait de terminer l'installation d'un serveur web. Ayant décidé de changer et de ne pas utiliser le géant Apache que tout le monde connait, mon ami semblait avoir trouvé une bonne alternative. Portant le doux nom de Cherokee, il paraissait plus léger et plus performant qu'Apache. Voir les benchmarks provenant du site du projet à la fin de l'article. [1]

Personnellement, je ne le connaissais pas du tout, j'avais certainement déjà entendu son nom une ou deux fois, mais je n'y avais pas prêté attention. Pour voir ce qu'il donnait, j'ai décidé de l'installer en local. Je fus agréablement surpris ! Sur une distribution Debian like, l'installation se fait très simplement avec un apt-get install cherokee (ou aptitude).

L'interface web qu'il fournit est claire et plutôt agréable. L'idée est intéressante. Il sera possible d'activer l'interpréteur PHP avec un simple clic, pareil pour l'activation de différents virtualhost ou autres options. Il y a un assistant qui permet d'installer des technologies comme Django, Rails, ou Wordpress, etc.

Je me suis dit que présenter ce projet à une réunion devs chez Gandi pouvait être intéressant, notamment pour les personnes utilisant GandiAI. Le projet a bien été perçu. Après discussion et un coup d'œil rapide sur le code source, rien ne nous a choqués. Cela ne signifie pas qu'il n'y a pas de bugs, toutefois un code propre c'est plutôt bon signe ! Le cœur est écrit en C et l'interface d'administration en Python.

C'est donc de cette manière que Cherokee a fait son apparition chez Gandi et qu'une image a été réalisée, vous permettant ainsi de le tester rapidement.

Nous avons ajouté une distribution en mode expert avec Cherokee de préinstallé... il vous suffit de choisir cette distribution lors de la création de votre serveur. Je vous rappelle aussi que si vous n'avez pas encore essayé notre service, vous pouvez faire une demande sur notre formulaire de demande de test.

Pour avoir plus d'informations sur Cherokee, vous pourrez vous rendre sur le site du projet . Un article lui a également été consacré dans Gnu/linux magazine France par Carl Chenet dans le numéro 125.

Notes

[1] benchmark.jpg benchmark-0.8


Le courriel s'est fait la malle

Okay, il fallait que je pousse un jeu de mots idiot comme d'habitude, mais c'est la meilleure traduction que j'ai trouvée pour introduire le post de Leland, que je recommande d'ailleurs dans sa version originale pour les anglophones, il est ici.

Comme beaucoup le savent maintenant, la plateforme de Mail Gandi a subi, ces deux dernières années, de récurrentes baisses de performance tous les deux mois en moyenne. Comme nous vous l'avons annoncé sur le Bar, nos équipes ont travaillé afin de vous offrir une nouvelle plateforme Mail bien plus robuste. Celle-ci est le résultat d'un investissement de ressource considérable sur plusieurs mois. Je suis aujourd'hui, heureux de vous dire que la nouvelle plateforme est totalement opérationnelle et que tous les clients Gandi Mail sont migrés dessus (la migration à elle toute seule a pris près de six semaines). Nous avons pris la décision de migrer les clients au fur et à mesure, en plusieurs semaines afin de minimiser l'éventuel impact sur nos clients, et pour la plupart (avec très peu d'exceptions), la migration complète s'est passée parfaitement sans même que personne ne s'en rende compte ;)

Bref, sans plus attendre, jetons rapidement un œil à cette nouvelle plateforme Mail et regardons ce qui a changé dans Gandi Mail V2. Oh, et juste avant de commencer, cet article va être (au grand désespoir du traducteur) quelque peu technique de temps en temps, avec l'utilisation (NDT: abusive) de quelques acronymes et autres expressions geeks. Ne vous inquiétez pas, vous saurez d'ici peu ce que nous autres, barbus technophiles, échangeons comme bavardage quotidien ! ;)


- page 1 de 2