Passer wgautomesh en prod #9

Merged

lx merged 11 commits from wgautomesh into main 2023-03-24 11:05:29 +00:00

Conversation 0 Commits 11 Files Changed 9 +185 -32

lx commented 2023-03-17 16:35:39 +00:00

Owner

Copy Link

wgautomesh semble fonctionner correctement sur staging, on pourrait envisager de le déployer en prod.

Problème: Le build du paquet NixOS met un peu de temps car il y a pas mal de Rust à compiler (j'ai essayé de minimiser mais Rust c'est comme ça, on a pas trop le choix). Sur staging les noeuds utilisent nix.web.deuxfleurs.fr comme cache, mais c'est un peu casse-gueule de le mettre comme cache sur la prod :

• si Garage est pas dispo, on peut potentiellement plus rebuild NixOS (mais apparament il y a un flag --fallback qui permet de dire que si le cache est pas dispo, on compile les sources, ce qui serait ok dans notre cas, juste un peu plus lent quand y'a une màj de wgautomesh)
• plus facile de faire une supply chain attack si quelqu'un arrive à infiltrer un mauvais binaire dans le bucket nix

Quelle stratégie adopter ?

• Option 1 : on build sur tous les noeuds, c'est long pour le premier deploy mais c'est ok
• Option 2 : on met nix.web.deuxfleurs.fr en cache sur les machines de prod
• Option 3 : on compile un binaire statique qu'on envoie sur gitea dans les releases, et on download ça dans le paquet NixOS plutôt que de compiler from source
• Option 4 : on met un cache Nix ailleurs sur une machine ultra fiable quelque part
• Option 5 : attendre la stabilisation de https://github.com/NixOS/nix/pull/7188

L'option 3 m'a l'air possiblement la meilleure

`wgautomesh` semble fonctionner correctement sur staging, on pourrait envisager de le déployer en prod. **Problème:** Le build du paquet NixOS met un peu de temps car il y a pas mal de Rust à compiler (j'ai essayé de minimiser mais Rust c'est comme ça, on a pas trop le choix). Sur staging les noeuds utilisent `nix.web.deuxfleurs.fr` comme cache, mais c'est un peu casse-gueule de le mettre comme cache sur la prod : - si Garage est pas dispo, on peut potentiellement plus rebuild NixOS (mais apparament il y a un flag `--fallback` qui permet de dire que si le cache est pas dispo, on compile les sources, ce qui serait ok dans notre cas, juste un peu plus lent quand y'a une màj de wgautomesh) - plus facile de faire une supply chain attack si quelqu'un arrive à infiltrer un mauvais binaire dans le bucket `nix` Quelle stratégie adopter ? - Option 1 : on build sur tous les noeuds, c'est long pour le premier deploy mais c'est ok - Option 2 : on met nix.web.deuxfleurs.fr en cache sur les machines de prod - Option 3 : on compile un binaire statique qu'on envoie sur gitea dans les releases, et on download ça dans le paquet NixOS plutôt que de compiler from source - Option 4 : on met un cache Nix ailleurs sur une machine ultra fiable quelque part - Option 5 : attendre la stabilisation de <https://github.com/NixOS/nix/pull/7188> L'option 3 m'a l'air possiblement la meilleure

lx added 5 commits 2023-03-17 16:35:40 +00:00

baae97b192 sample deployment of wgautomesh on staging (dont deploy prod with this commit)

a3edbb4100 document wgautomesh port

6664affaa0 wgautomesh gossip secret file

bb2660792f wgautomesh persist state to file

f9b94f0b47 update wgautomesh

lx added 1 commit 2023-03-17 17:01:46 +00:00

f629f4c171 wgautomesh from static binary hosted on gitea

lx added 1 commit 2023-03-17 17:18:33 +00:00

39254cca0e keep wg-quick code as reference

lx added 1 commit 2023-03-17 17:22:01 +00:00

90efd9155b wgautomesh variable log level (debug for staging)

lx added 1 commit 2023-03-20 10:17:47 +00:00

6ffaa0ed91 use nix enum type

lx added 1 commit 2023-03-24 10:29:18 +00:00

5cd69a9ba1 Merge branch 'main' into wgautomesh

lx added 1 commit 2023-03-24 11:01:46 +00:00

53b9cfd838 wgautomesh actually on prod

lx changed title from WIP: Passer wgautomesh en prod to Passer wgautomesh en prod 2023-03-24 11:05:06 +00:00

lx merged commit 76c8e8f0b0 into main 2023-03-24 11:05:29 +00:00

lx deleted branch wgautomesh 2023-03-24 11:05:29 +00:00

lx referenced this issue from a commit 2023-03-24 11:05:30 +00:00

Merge pull request 'Passer wgautomesh en prod' (#9) from wgautomesh into main

Sign in to join this conversation.

Reviewers

No reviewers

Labels

Clear labels

No items

No Label

Milestone

Clear milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

No Assignees

1 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: Deuxfleurs/nixcfg#9

No description provided.