entrouvert
/
publik-infra
16
0
Fork 0
Code Issues Pull Requests Releases Activity
publik-infra/installation-2.md

2.8 KiB
Raw Blame History

Pré-requis

Résolution de noms

Avant l'installation de Publik il faut vérifier que les enregistrements DNS sont fonctionnels; Publik nécessite autant de domaines que de composants.

Typiquement :

  • portail usager (composant combo) : moncompte.macollectivite.fr,
  • portail agents (composant combo) : agents-moncompte.macollectivite.fr,
  • démarches (composant wcs/wcs-au-quotidien) : demarches-moncompte.macollectivite.fr,
  • fournisseur d'identités (composant authentic) : connexion-moncompte.macollectivite.fr,
  • hub de webservice (composant passerelle) : passerelle-moncompte.macollectivite.fr,
  • porte document (composant fargo) : portedoc-moncompte.macollectivite.fr,

Par exemple voici à quoi pourraient ressembler les entrées d'un serveur Bind:

publik         A     a.b.c.d    ; addresse IP de «publik»
portail        CNAME publik    ; portail usage (brique: combo)
backoffice     CNAME publik    ; portail agent (brique: combo)
connexion      CNAME publik    ; fournisseur d'identités (brique: authentic)
demarches      CNAME publik    ; téléservices (brique: wcs)
passerelle     CNAME publik    ; hub de webservices (brique: passerelle)
hobo           CNAME publik    ; système de déploiement (brique: hobo)

Toutes ces entrées DNS doivent pointer vers le proxy de répartition de charge (dans le cas d'une installation avec répartition de charge).

Par ailleurs, les serveurs applicatifs doivent impérativement avoir un fichier /etc/hosts consistant.

Certificat X509

Publik ne fonctionne qu'en mode HTTPS.

Un ou plusieurs certificats x509 valides et reconnus doivent être disponibles qui couvrent tous les noms des briques qui seront installées. Dans la suite de la documentation, un certificat est disponible :

  • clé publique certifiée : /etc/ssl/certs/cert-example.pem
  • clé privée : /etc/ssl/private/cert-example.key

HAProxy doit disposer du ou des certificats X509 valides pour chacun de ces domaines ; les certificats doivent être reconnus par des autorités publiques. (Lutilisation de certificats Letsencrypt est possible)

Horloges synchronisées

Il est indispensable que les machines soient exactement à la même heure. Les systèmes récent utilisent *systemd-timesyncd *par défaut. Ntp est également possible.

Envois des emails

Les serveurs applicatifs doivent disposer d'un MTA local (par exemple exim4-daemon-light) avec le port SMTP ouvert et capable d'expédier des mails vers tout Internet, en passant éventuellement par un relais. Les mails seront envoyés avec le domaine « @macollectivite.fr ». Nous recommandons vivement de les relayer via un smarthost officiel de votre réseau.

Configuration de la localisation

Sur toutes les machines il est nécessaire de reconfigurer locales pour fr_FR.UTF-8 :

dpkg-reconfigure locales