Kanban

• Talos Kubernetes configuration
• Terraform Cilium plus jamais d'install manuelle !!!
• Paralus ParalusTF
• OpenUnison
• Falco rules
• Dex
• WarpGate
• Kyverno Reporter

Actions récurrentes

• Nuke le Proxmox tout les 2 mois
  • last update : 19-04-2025
  • next update : 19-06-2025
• Vérifier les MR de mise a jour toute les semaines

Stream

• Playlist Twitch
• Playlist YouTube

Stream 15 mars 2025

• Debut : 17h10
• FIN : ~19h00 - [Stream 2H41]
• Vod : Twitch YouTube
• Musique: ChillhopSoon
• Objectif :
  • Présenté le projet
  • Terminer la configuration du cluster multi master self schedulable
  • Déployer Traefik et CertManager sur tous les clusters via ArgoCD
• Bilan
  • Headlamp injection
  • Headlamp Oidc
  • Task board mis a jour

Stream 22 mars 2025

• Debut : 16h30
• FIN : ~ 18h30 - [Stream 2H23]
• Vod : Twitch YouTube
• Musique: NCS Playlist
• Objectif :
  • SOON TM
• Sujet Important
  • Oh Hell No
  • Alloy
  • Promtail deprecated
  • Parler des sujets Special Stream et ceux que je me garde pour les longue nuit d'hiver
  • Incident Ovh 🤣
• Sujet secondaire
  • Passage a Hyprland
• Bilan
  • Beaucoup de lecture
    • Tester OMNI
    • Chaos Engineering
    • Argo Workflows
    • Argo Events
    • OpenBao
    • OpenTofu
  • Et un test de patch talosconfig sur le scheduling de noeud qui a mis en lumière un soucis de NodeRef
    • I0322 20:55:05.609493 1 scale.go:94] "one of machines does not have NodeRef" logger="controllers.TalosControlPlane" machine="mono-node-talos-cp-lvg4j"

Stream 29 mars 2025

• Debut : 16h30
• FIN : ~ 18h50 - [Stream 2H21]
• Vod : Twitch YouTube
• Musique: NCS Playlist
• Objectif :
  • Tester le patch talosconfig en désactivant le scheduling sur les noeud master
  • Parler d'Updatecli et de la mise a jour des outils pendant le patch
  • Le reste est reporté
• Bilan
  • Vive le Talos Cloud Controller Manager
  • Patch du control plane fonctionnelle !!! (les 3 noeud ont été patché et renouvelé sans soucis)
  • Cluster API is back BABY

Stream 5 avril 2025 - Pause (Out Of Town)

Stream 12 avril 2025

• Debut : 16h30
• FIN : ~ 18h00 - [Stream 1h49]
• Vod : Twitch YouTube
• Musique: NCS
  • NCS: Background Music 🎧 For Work, Study & Chill
• Objectif :
  • Tester Falco
  • Parler du DNS automatisé ✅
  • Parler de l'autorité de certification - Passage par OpenBao ou BankVault ?
  • Nuke le proxmox - Reported again
• Sujet décisionnelle
  • Volonté d'utiliser les projets CNCF
  • Choix Auth Provider
    • Model d'habilitation
      • RBAC
      • ReBAC
    • Authority server
    • Should we use OPA ?
  • Architecture
  • Gestion des secrets et des identités
• Bilan
  • Décision
    • Utilisation OpenBao pour faire du RootCA / IntermediateCA ou BankVault ?
    • CertManager pour faire le lien entre le cluster et l'autorité de certification
    • Utilisation de CertManager en DNS01 et HTTP01 possible
  • NUKE DU SERVEUR EN PREUMS LA PROCHAINE FOIS !!!!

Stream 19 avril 2025

• Debut : 16h30
• FIN : ~ 19h27 - [Stream 2h57]
• Vod : Twitch YouTube
• Musique: NCS
  • NCS: Background Music 🎧 For Work, Study & Chill
  • NCS: The Best of 2025 ⚡️
• Objectif :
  • Nuke le proxmox ✅
  • Automatiser la mise en place de l'autorité de certification RootCA / IntermediateCA via Bank Vaults. - Reported
  • Automatiser la création de certificats via le DNS01 et HTTP01 - Reported
  • Trust le RootCA sur mon ordinateur et le propager sur les clusters - Reported
• Sujet
  • Volonté d'utiliser les projets CNCF
  • Besoin de pouvoir accéder aux clusters de manière sécurisé
    • WarpGate
    • ContainerSSH
    • Pomerium
    • Eclipse Che
  • Automated Security Test
• Bilan
  • Nuke du serveur fait avec un belle effet Demo ✅
  • Création du cluster Capi et Main ✅
  • Prévision d'un comparatif entre Flannel + MetalLB et Cilium la prochaine fois
  • Discussion autour du besoin d'accéder a l'environnement de manière sécurisé sans toujours passer par un VPN
  • Mise en place des sync waves ArgoCD (Off Stream)

Stream 26 avril 2025 - Pause (Out Of Town)

Stream 3 mai 2025

• Debut : 16h30
• FIN : ~ 19H40 - [Stream 3H18]
• Vod : Twitch YouTube : SOON TM
• Musique: NCS
  • NCS: The Best of 2025 ⚡️
• Objectif (Pas dans l'ordre):
  • Passage a Talos V1.10.0 progressif, créer un cluster en v1.9 puis le migrer vers v1.10.0, vérifier que tout fonctionne et ensuite faire la mise a jour de l'image de base/template
    • Talos Upgrade
    • Kubernetes Upgrade
    • Cluster API Upgrade
• Sujet
  • Talos v1.10.0
• Bilan
  • Upgrade de Talos v1.10.0 fait sur le cluster Main et passage en kubernetes v1.33.0
  • Automatisation de l'upgrade de Talos et Kubernetes effectué

Stream 10 mai 2025 : SOON TM

• Debut : 16h30
• FIN : ~ 18H30
• Vod : Twitch YouTube : SOON TM
• Musique: NCS
  • NCS: The Best of 2025 ⚡️
• Objectif (Pas dans l'ordre):
  • Automatiser la mise en place de l'autorité de certification RootCA / IntermediateCA via Bank Vaults. ✅ Passage en conf 100% Terraform ?
  • Automatiser la création de certificats via le DNS01 ❎ et HTTP01 ✅
  • Trust le RootCA sur mon ordinateur et le propager sur les clusters tout en l'injectant dans les pods via Kyverno ✅ Mode OPT-IN
  • Déployer un Auth Provider sur Main Cluster
  • Try ArgoCD Vault
  • Déployer les sous instances ArgoCD sur chaque cluster via l'ArgoCD principal
• Sujet
  • Anubis
  • Argocd V3
• Bilan

Music

• Chillhop<= Plus calme
• NCS <= Plus rythmé et varié (Pas encore testé)

Task

us9 - Mettre en place updatecli

• [x] Créer un fichier de configuration updatecli
• [x] Mise en place CI/CD
• [x] Automatiser la mise a jour des outils dans le script ansible
• [x] Automatiser la mise a jour des outils dans l'image Che-Ops
• [x] Automatiser la mise a jour des Traefik
• [x] Automatiser la mise a jour des CertManager
• [x] Automatiser la mise a jour des Cilium
• [x] Automatiser la mise a jour des Talos
• [ ] Automatiser la mise a jour des ArgoCD

us15 - Faire une gestion DNS avec alias dynamique ✅

Solution possible ?

• CoreDNS - Need ETCD ❌
• RFC2136 - Need Bind9 ✔️

Mise en place d'un serveur DNS avec Bind9 et une automatisation via l'opérateur External DNS. En plus de l'opérateur External DNS, passage par les CRD comme source.

• 1 Zone DNS weebo.
  • *.capi.weebo.poc => CAPI
  • *.main.weebo.poc => Main-Cluster
  • *.dev.weebo.poc => Dev-Cluster
  • *.test.weebo.poc => Test-Cluster
  • *.prod.weebo.poc => Prod-Cluster
• Record A / AAAA / NS / CNAME / TXT
• Forwarding du reste des requêtes en fonction de mon envie a l'instant T
  • https://www.baeldung.com/linux/bind9-dns-server-configuration

us16 - Autorité de certification

Mise en place d'une autorité de Certification RootCA / IntermediateCA via Bank Vaults et de son orchestrations.

Ne pas oublier une migration vers OpenBao quand celui-ci sera supporté par le projet.

• Tuto HashiCorp
• Tuto OpenBao
• A suivre
• Exemple
• Google trust ? - Maybe ?

L'objectif est que chaque Cluster puisse avoir son propre IntermediateCA et que l'autorité RootCA soit présente sur CAPI dans la déclinaison Vault présente.

Via la RFC2136, il sera possible de faire du DNS01 et a défaut du HTTP01 pour la création des certificats et sans oublier via CertManager pour la gestion des certificats.

Chaque cluster aura son propre sous-groupe de KV partageable.