Différences

Ci-dessous, les différences entre deux révisions de la page.

--- migration_fe_box_2022 [2022/05/11 22:26] – [Copie vhost et certificats] Benjamin Labomedia
+++ migration_fe_box_2022 [2022/05/12 00:19] (Version actuelle) – Labomedia
@@ Ligne 1: / Ligne 1: @@
-======= Migration du serveur futuretic.fr vers une autre box =======
+====== Migration du serveur futuretic.fr vers une autre box ======
-====== Installation de containers LXC sous Debian 11 ======
+===== Installation de containers LXC sous Debian 11 =====
   apt install lxc apparmor
-===== Réseau : configuration mode Independent bridge setup =====
+==== Réseau : configuration mode Independent bridge setup ====
 Installation et configuration du réseau : édition du fichier /etc/default/lxc-net
@@ Ligne 34: / Ligne 34: @@
    sudo service lxc-net restart
-====== Copie des containers LXC sauvegardés ======
+===== Copie des containers LXC sauvegardés =====
 Par exemple
@@ Ligne 48: / Ligne 48: @@
   lxc.rootfs.path = dir:/var/lib/lxc/mm/rootfs
-====== Test du démarrage d'un container ======
+===== Test du démarrage d'un container =====
   lxc-start dokos
   lxc-ls -f
-====== Copie vhost et certificats ======
+===== Copie vhost et certificats =====
 Copie des vhost depuis le backup
   cp /home/adminbox/restore/etc/apache2/sites-available/*.conf /etc/apache2/sites-available/
@@ Ligne 69: / Ligne 69: @@
 </code>
+===== Copie des certificats =====
+On replatre les certificats
+  cp -ard /home/adminbox/restore/etc/letsencrypt/archive/ /etc/letsencrypt/archive/
+  cp -ard /home/adminbox/restore/etc/letsencrypt/csr/ /etc/letsencrypt/csr/
+  cp -ard /home/adminbox/restore/etc/letsencrypt/keys/ /etc/letsencrypt/keys/
+  cp -ard /home/adminbox/restore/etc/letsencrypt/live/ /etc/letsencrypt/live/
+  cp -ard /home/adminbox/restore/etc/letsencrypt/renewal/ /etc/letsencrypt/renewal/
+Relance apache2
+  systemctl restart apache2.service
+Test en changeant son propre /etc/hosts
+===== Ajout de règles au firewall via ufw =====
+Ouvrir les ports nécessaires au fonctionnement de **jitsi** avec ufw :
+<code>
+sudo ufw allow 10000/udp
+sudo ufw allow 3478/udp
+sudo ufw allow 5349/tcp
+</code>
+Si on ajoute les règles pour **minecraft** (ds le ynh) et que jp puisse y accéder depuis le lycée via le port 30 ...
+<code>
+sudo ufw allow 30000/udp
+sudo ufw allow 30/udp
+</code>
+Il faut transférer certains de ces ports au container jitsi (pour 80 et 443, c'est l'apache du host qui fait le proxy vers le container) et d'autres vers le container ynh pour minecraft : ajouter en début de fichier
+  nano /etc/ufw/before.rules
+<code>
+## b01 additions
+*nat
+:PREROUTING ACCEPT [0:0]
+# minetest
+-A PREROUTING -i enp35s0 -p udp --dport 30000 -j DNAT --to 10.0.3.243:30000
+-A PREROUTING -i enp35s0 -p udp --dport 30 -j DNAT --to 10.0.3.243:30000
+# jitsi specific rules
+-A PREROUTING -i enp35s0 -p udp --dport 10000 -j DNAT --to 10.0.3.211:10000
+-A PREROUTING -i enp35s0 -p tcp --dport 3478 -j DNAT --to 10.0.3.211:3478
+-A PREROUTING -i enp35s0 -p tcp --dport 5349 -j DNAT --to 10.0.3.211:5349
+COMMIT
+</code>
+.0.3.211 étant l'ip du container jitsi, 243 le ynh
+Redémarrer ufw avec
+  sudo ufw disable && sudo ufw enable
+ou
+  systemctl restart ufw.service
+Check du firewall status
+  sudo ufw status verbose
+===== Modifier un fichier de config de jitsi avec l'ip du serveur =====
+  lxc-attach meet
+Configurer le videobridge
+  nano /etc/jitsi/videobridge/sip-communicator.properties
+<code>
+org.ice4j.ice.harvest.DISABLE_AWS_HARVESTER=true
+###org.ice4j.ice.harvest.STUN_MAPPING_HARVESTER_ADDRESSES=meet-jit-si-turnrelay.jitsi.net:443
+# from forum
+org.jitsi.impl.neomedia.transform.srtp.SRTPCryptoContext.checkReplay=false
+# add to make it work inside the container
+org.ice4j.ice.harvest.NAT_HARVESTER_LOCAL_ADDRESS=10.0.3.211
+org.ice4j.ice.harvest.NAT_HARVESTER_PUBLIC_ADDRESS=65.21.94.60
+</code>
+Redémarrer videobridge
+   systemctl restart jitsi-videobridge2