PROJET AUTOBLOG


Le blog de Seboss666

Site original : Le blog de Seboss666

⇐ retour index

On change le PC de jeu ! (part 1)

samedi 15 juin 2019 à 10:30

Après m’être ruiné au mois de mai dans un super vrai bon lit (prix neuf 3000€, mais je l’ai eu pour moitié), j’ai décidé d’engager les recherches pour changer de « grosse bertha ». Oui, celle qui a été rafraîchie sous Windows 10 en début d’année. Un peu à l’image de mon smartphone (pour lequel je me mords encore plus les doigts avec les derniers évènements liés à Huawei), j’ai décidé de vous partager la démarche derrière ce changement, les choix effectués,les problématiques associées, et la timeline des premiers pas jusqu’à sa construction.

La situation de départ

Nous sommes donc en Mai, jouer en 4K est compliqué sur beaucoup de jeu (c’est la résolution de mon écran principal), la carte mère est limitée au PCI-Express 2.0 (le 4.0 débarque bientôt), le stockage est limité au SATA-3, et c’est un processeur Intel qui a bien vécu bien qu’il soit encore très vaillant. J’ai donc envie de remettre le tout au gout du jour, repartir de zéro en gros. D’autant plus que le marché redevient intéressant, avec du AMD Ryzen 1000 puis 2000 qui m’a bien saucé, et d’après les rumeurs un Navi qui doit faire de l’ombre à Nvidia.

J’ai donc commencé à faire mon petit inventaire de mes besoins globaux, ainsi qu’une première liste avec les composants du moment pour avoir une idée du budget à engager. A l’époque de la précédente configuration, j’en avais eu pour environ 1200€, étalés sur plusieurs mois, parfois en profitant d’une promotion. L’idée est donc de repartir sur des bases proches en terme de budget.

Les besoins définiront les composants

En effet, l’idée est de s’orienter vers du matériel permettant d’espérer une longévité équivalente à l’actuelle, au moins en partie. Comme je l’ai dit, le CPU a déjà huit ans et il ne démérite pas encore vraiment en termes de performances brutes, même si les puces récentes envoient du lourd; par contre la consommation c’est pas ça du tout. J’ai également besoin de pouvoir jouer sereinement en 4K, ce qui n’est plus le cas avec le passage à Windows 10 (la consommation de la VRAM est plus importante que sous Windows 7). Ce qui veut dire une carte graphique avec 6 ou 8Go de VRAM, et donc du top-milieu/haut de gamme en GPU.

Comme indiqué dans le chapitre précédent, AMD est désormais revenu dans la course du côté des CPU, et grappille trimestre après trimestre des parts de marché à Intel, y compris dans le seul secteur qui ne rétrécit pas avec le temps : le marché des serveurs pour datacenters. J’ai donc très envie de participer à faire revivre cette concurrence qui manque depuis maintenant 10 ans, en m’orientant vers un Ryzen 3000. Ce qui veut dire passage à la DDR4. Avant même d’aborder le premier brouillon je sais déjà que je vais faire une concession : repasser à 16Go de RAM, en effet la DDR4 coûte trop cher en 32G; et faut dire aussi que j’avais pas payé le kit de DDR3, offert par un collègue qui lui aussi était passé en Ryzen et n’en avait plus l’usage.

Pour le stockage, je ne cherche pas la redondance ou une taille monstrueuse, puisque j’ai déjà 1To en SSD que je ne remplis pas, mais à minima une augmentation de performances en passant au NVMe. Il s’agit d’avoir un SSD dont les performances dépassent les 550Mo/s du SATA3 pour atteindre, voire dépasser les 2Go/s.

Restera ensuite un boîtier pratique pour intégrer le tout et une alimentation de qualité qui permettra de ne pas trop surconsommer. Je met une option sur un refroidissement CPU en watercooling, comme j’ai actuellement pour le Core i7 et qui tient encore toutes ses promesses dans ses aspects efficacité et silence. Voilà, c’est pas non plus des besoins de dingues je pense, je ne suis pas un « streamer », ni un « youtuber », qui a besoin de stocker des dizaines de téraoctets de rushes, ni un mélomane nécessitant des outils audio de ouf (à commencer par une carte son dédiée avec du logiciel adapté).

Premier brouillon, en Mai 2019

Sur cette base-là j’ai donc fait mon « marché » sur LDLC pour avoir une base de prix de référence. Non pas que ce sont les plus chers du marché, ni les moins chers, mais ça donne une bonne idée de ce qui m’attend. Et je suis client depuis 2004, donc au moins une partie sera certainement commandée chez eux :

Boîtier Cooler Master MasterBox E500L Argent https://www.ldlc.com/fiche/PB00245875.html 39,95
Alimentation Antec EA650G PRO https://www.ldlc.com/fiche/PB00240885.html 84,95
Carte mère MSI B450 GAMING PLUS https://www.ldlc.com/fiche/PB00254091.html 114,95
CPU Ryzen 7 2700 https://www.ldlc.com/fiche/PB00247994.html 279,95
RAM Gskill TridentZ 2×8 DDR4-3200 CL14 https://www.ldlc.com/fiche/PB00214253.html 174,95
GPU MSI GeForce RTX 2060 GAMING Z 6G https://www.ldlc.com/fiche/PB00263987.html 459,95
SSD Crucial P1 M.2 PCIe NVMe 1 To https://www.ldlc.com/fiche/PB00258881.html 164,95
Watercooling Antec Kühler K120 https://www.ldlc.com/fiche/PB00247143.html 52,25
Total 1371,9

1370 €, en repensant à mon bousin de l’époque, y’a quand même des éléments qui piquent, à commencer par la mémoire, comme je l’indiquais juste avant. Idem pour la carte graphique, l’absence de vraie concurrence a là aussi fait salement grimper les prix. Les SSD NVMe sont aussi un peu plus chers que leurs homologues en SATA3, mais c’est plutôt logique au regard de leur niveau de performances, et j’ai fait le choix d’un modèle au performances et donc au prix contenus (les débits approchent les 2Go/s, quand d’autres modèles dépassent les 3Go/s). Un autre élément qui pique bien fort, l’alimentation, ceci dit pour en avoir vu des modèles à la limite du dangereux, ce n’est peut-être pas un mal que la qualité et donc les prix soient plus élevés.

À mon avis, en fouillant les comparatifs et en jouant la concurrence, et même les promotions, on peut baisser cette première facture d’environ 200€, facile. En concédant plus de choses et en cherchant des alternatives moins chères, on peut même tomber à 770€, mais là, on descend en gamme sur presque tous les points. Alimentation en 80Plus Bronze, CPU Ryzen 5, carte mère micro-ATX, mémoire en CL16, air cooling, SSD de 500Go (ou 1To, mais en SATA au lieu d’MVNe), GTX 1660ti… Ça permettrait de construire une machine évolutive à prix vraiment plus contenu, mais au niveau de la carte graphique, le besoin du 4K risque de ne pas être couvert. Ceci dit…

La concession qui pourrait s’avérer la plus risquée tout en étant très payante, la carte graphique d’occasion : on trouve des GTX1080Ti 8G au prix des GTX1660Ti 6G neuves, et autant dire qu’on en a pour son pognon à ce prix-là. Pierre-Marie a justement opté pour ce choix, pour faire évoluer sa machine. Si je suis dans l’impatience ou que je ne vois pas d’autres bonnes affaires, j’avoue que ça démange.

Des achats raisonnés, une attente nécessaire

Comme pour la précédente machine, je ne cherche pas à tout prendre d’un coup, et surtout, je prend en compte d’autres critères, en premier mes propres finances, et sur certaines boutiques on peut facilement payer en plusieurs fois. Je ne pense pas m’intéresser aux boutiques physiques cette fois, déjà parce qu’autour de chez moi y’en a pas qui font dans le composant, contrairement à l’époque du montage de l’ancien ou j’avais pris la moitié des composants à 5kms de là où j’habitais car c’était aussi intéressant que sur le net et les références collaient à ce que je voulais. En sept ans le marché a bien changé, avec la réduction du nombre de clients cibles (les smartphones, les laptops et l’illectronisme sont passés par là, sans parler de l’appauvrissement financier rampant de la population), concurrence des boutiques en ligne, bref, autant pas se prendre la tête.

Après cette première prise de température, je n’ai de toute façon pas les finances pour attaquer, comme je l’ai dit en introduction, j’ai fait le choix de prendre un très bon lit, ce qui n’est pas donné. Et il y a quelques éléments qui bougent, notamment côté AMD, entre le Computex de Taipei et l’E3, j’ai une assez bonne confiance dans les Ryzen 3000 et donc je me laisserai facilement convaincre. Mais on a besoin de Navi, s’ils arrivent enfin à faire le même coup que sur les CPU, la relance de la concurrence sera très intéressante. Les premiers résultats d’Intel qui veut aussi se relancer sur le GPU dédié ne se montreront qu’en 2020 (après avoir monté une équipe piochant dans des anciens d’AMD et Nvidia justement). Bref, en fonction des qualités et de la disponibilité des nouveaux arrivants, les bonnes affaires risquent de se multiplier, ça ne sera que plus intéressant 🙂

Début juin, les salons, les annonces

Avant même les annonces je rage en voyant passer nombre de promos sur les Ryzen (du 2600 pour à peine mois de 150€ par exemple 😡 ), mais le budget n’est pas extensible à l’infini, je ronge donc mon frein. Il y a aussi quelques annonces sur des RAM, des boîtiers, la tendance sapin de Noël –c’est à dire le RGB — n’a jamais été aussi forte, quand je pense qu’on se moquait du Jacky tuning y’a 15 ans… Malgré tout je commence à voir des références de machines équipées de Ryzen 3000, et même de Navi, notamment sur laptop, mais les premières caractéristiques de celles-ci notamment sur le GPU ne sont pas très encourageantes, avec une puce à priori au niveau d’un Geforce MX150 sorti… il y a deux ans. Pas de disponibilité évidemment mais la confirmation que les fabricants sont de moins en moins frileux pour intégrer de l’AMD, y compris sur des gammes plutôt élevées (bon là, la gamme ultra-portable Swift chez Acer par exemple, on tape dans les 500 boules de base mais ça grimpe vite, reste à voir l’autonomie réelle). Il faut dire qu’entre temps l’actualité Intel n’est pas reluisantes, entre retards cumulés des nouvelles finesses de gravure et de nouvelles failles de sécurité, je l’ai dit, il était grand temps de remettre de la concurrence sur le marché.

Le Computex

Les annonces ont donc bien eu lieu. D’abord le Computex fin Mai, où ce sont surtout les Ryzen 3000 qui ont été dévoilés, et dont les attentes sont presque toutes comblées. Reste à savoir si je reste sur un Ryzen 2000 limité au Pci-express 3.0 via une offre agressive ou si j’envisage le futur à plus long terme. Je suis surtout surpris de la disponibilité début juillet, AMD nous a habitué dans le passé à du paper launch, croisons les doigts, le vrai point d’attention sera le niveau de finition des fabricants de cartes mères, c’est souvent un peu la foire de ce côté. Grosse frustration sur Navi par contre étant donné que c’est ce qui m’intéresse finalement le plus, mais vu l’orientation assumée purement gamer de leur nouvelle architecture, le fait d’attendre l’E3 début Juin, la grand messe de l’industrie du jeu vidéo, n’a rien de vraiment surprenant. En même temps ils ont raison d’occuper le terrain au moins d’un point de vue communication, d’autant plus quand ils sont épargnés par la dernière vague d’attaques side-channel qui font encore mal chez Intel, enfin surtout les correctifs qui coûtent cher en performance (ils conseillent de désactiver l’HyperThreading quand disponible, ce qui veut dire -40%, ça pique). Tout au plus nous connaissons un nom, Radeon RX5700, ce qui montre à quel point AMD était en difficulté de ce côté-là, avec ces dernières années des Vega et autres Radeon « VII » dont les noms complètement lunaires trahissent bien le sur-place qu’ils ont fait avec leur architecture GCN. Ici on revient donc à une nomenclature « RX » qui prend la suite des 570/580/590.

Chez AMD, le patron est une patronne !

Aucun lien avec les annonces d’AMD, mais pendant ce temps, on voit petit à petit la grosse blague qui finalement vient d’Nvidia, qui a voulu faire du Ray Tracing full propriétaire avec les RTX, mais plus on avance plus les travaux des développeurs tendent à rendre la technique exploitable sur n’importe quelle carte sans unités dédiées surfacturées au prix fort (on voit même des demos sur du Vega 56 dont l’architecture a bientôt deux ans). Sans parler qu’Nvidia lui-même se tire une balle dans le pied en rendant DirectX Ray Tracing dispo pour certaines GTX (notamment celles bien chargées en RAM), ou la sortie des GTX 1660 et 1650 qui montrent que les tarifs n’ont pas plu au marché. Avec Navi qui doit permettre de remettre les pendules à l’heure sur un marché sans concurrence, la question se pose sérieusement de revenir chez eux après ma très bonne expérience de la Radeon HD 4850 puis 4870 (même si l’interface pour gérer les pilotes était affreuse à l’époque, elle a bien évolué depuis).

L’E3 (Electronic Entertainment Expo)

LE gros salon du jeu vidéo, même s’il a salement perdu de sa superbe, reste un incontournable pour pas mal d’acteurs, et se déroule chaque année à Los Angeles. Et AMD a plusieurs annonces à faire, aussi bien pour nos machines que pour celles de salon. En effet, pour ceux qui l’ignore, ce sont des puces AMD qui sont déjà au cœur des consoles PS4 et Xbox One, y compris pour leurs cousines musclées PS4 Pro et Xbox One X. Et apparemment, au vu des premières annonces de Sony pour sa PS5, le partenariat a été renouvelé pour équiper le constructeur japonais en technologies maisons remises au gout du jour, avec donc une architecture Zen2 et donc potentiellement Navi pour le GPU. Une situation confirmée avec la très dense conférence Microsoft qui dévoile sa Xbox « Scarlett » (pas encore de nom final) et qui confirme le combo Zen2/Navi pour la nouvelle bestiole qui soit sortir en fin d’année prochaine.

Et… Avec les premières rumeurs, j’ai compris qu’AMD n’allait pas viser le très haut de gamme tout de suite. Ça tombe bien, moi non plus. Mais le retour en force semble bien être une réalité, avec la présentation en ce lundi soir 10 juin d’une RX5700XT au prix d’une RTX 2060 mais avec des performances d’une RTX 2070, qu’on trouve à 100€ plus cher. La consommation, malgré la présence de deux prises 8 pins+6pins, semble maîtrisée avec 225W. Évidemment c’est une annonce conférence, donc à part un joli graphique qui ne détaille pas le reste de la configuration dans le graphique des comparatifs, ni le bruit et les températures de ce modèle de référence, il faudra attendre un peu. La disponibilité est annoncée au 7 juillet aussi, comme les Ryzen 3000. Sachant que c’est le même fondeur qui fait tout le boulot, j’ai un peu peur pour les disponibilités et donc les prix réels, mais sinon, je dis chapeau. J’attendrai quand même les premiers tests indépendants et les cartes partenaires (les annonces devraient pleuvoir dans les prochains jours). Le seul point qui me fait tiquer, c’est que les présentations visent une « excellence » en résolutions 1440p, alors que je vise la 4K. Il va donc falloir rester prudent, mais bon, dans pas mal de jeux, je tiens déjà le 4K, aucune raison d’être limité par la nouvelle venue.

Il y a aussi une petite sœur, la Radeon RX5700, qui déboîte une RTX 2060 pour le prix d’une GTX 1660, si vous ne visez pas le QHD ou le 4K, c’est également une option sérieuse à prendre en compte.

Bref, la hype est bien là, les promesses semblent aussi tenues, on s’oriente donc très possiblement vers une configuration full AMD histoire de bien faire la nique au sempiternel Intel+Nvidia. D’autant plus que j’ai ouï dire (enfin j’ai lu surtout) que les pilotes AMD étaient devenus bien plus agréables que ceux d’Nvidia, ce qui ne sera pas un luxe vu la lourdeur de ce bousin. Non ça serait cool, j’en collerais même du sticker dessus pour en faire la promo (si tant est que je me remette à faire des LAN pour l’afficher ailleurs que sous le bureau 😆 )

Et maintenant, l’attente

J’ai en effet d’autres priorités à la fois professionnelles (déplacement à l’Île Maurice, mon premier voyage en avion, et mon premier voyage hors d’Europe), et personnelles, des finances à surveiller après les multiples plaisirs que je me suis accordé ces derniers mois. Et changer n’est pas une urgence absolue, ma machine actuelle a quelques petits défauts mais globalement elle rend parfaitement ses services, avec une stabilité à toute épreuve. Le prochain épisode sera alors l’occasion de narrer les évolutions potentielles de choix (les Radeon Custom doivent seulement débarquer en Septembre), les différents achats, et de partager le montage. Le logiciel lui, sans surprise malheureusement, sera dévolu à un Windows 10 1809, en LTSC (nouveau nom de la LTSB); pour l’avoir validé à deux reprises sur des machines de différentes générations, il remplira parfaitement son office. Malgré tout je pourrais en profiter pour voir comment une Manjaro KDE s’en sortirait sur une configuration de ce type, en 4K, le résultat pourrait être intéressant à partager 🙂

Stay tuned for the next episode 😉

Bidouilles sur Firefox : on remet ça ?

jeudi 13 juin 2019 à 18:30

Je vous l’avais dit qu’on parlerait plus souvent de Mozilla cette année. Alors c’est reparti pour un tour des possibilités nombreuses de notre navigateur préféré (etparce que je déprime de voir les stats de Chrome et Chrome Mobile augmenter inexorablement dans Matomo).

Les dernières actualités

Si vous avez vu passer récemment la mise à jour sans savoir ce qu’elle apporte, sachez que la version 67 permet, dans l’immédiat pour ceux sous Windows 10 avec une carte Nvidia, d’activer le nouveau moteur d’accélération graphique de Firefox, WebRender, devant remplacer l’ancien modèle, et surtout être disponible sous Linux pour tous (pour activer le moteur actuel, tout est manuel et à risque en fonction des configurations). C’est une avant première, si vous souhaitez l’activer manuellement, c’est comme toujours dans about:config :

gfx.webrender.enabled;true

Le décodage des vidéos dans le nouveau format AV1 (dont j’ai parlé il y a quelques temps), se voit également amélioré avec la nouvelle version de dav1d. Également, la sécurité autour des extensions est renforcée en mode navigation privée. La version 68 devrait normalement voir l’activation par défaut sur un plus grand nombre de configurations.

Changer de langue directement dans le navigateur

Que votre propre site propose plusieurs langues ou que vous soyez amené à tester la prise en charge de ces même langues au sein d’un autre site, la bascule entre les différentes langues n’est pas toujours évidente, fort heureusement depuis la version 65 la gestion au sein de Firefox a été améliorée. Vous trouverez le détail des possibilités sur le blog très fourni qu’est mozfr, que je vous conseille de suivre évidemment.

Un Firefox plus rapide et plus respectueux de la vie privée

Contrairement aux discours de Mozilla sur son navigateur, Firefox a quelques lacunes concernant l’un et l’autre, soit pour des choix par défaut un peu conservateurs, soit par des choix d’outils douteux pour les aider à développer notre butineur préféré. Denis (avec qui on va créer une boucle quantique si l’on continue de se renvoyer la balle avec nos articles) a compilé pas mal d’astuces sur le sujet, évidemment toujours se poser la question soit de la pertinence soit des impacts sur la stabilité ou le confort d’utilisation (par exemple la première fois, la désactivation de la télémétrie m’avait pété les outils de développement).

Vérifier la sécurité de vos mots de passe avec Firefox Monitor

Pour ceux qui ne le savent pas, un chercheur en sécurité compile depuis quelques années les différentes fuites de données des sociétés qui les collectent, en particuliers les couples identifiants/mots de passe, et les rassemble dans une base de données commune que l’on peut interroger pour vérifier si les identifiants qu’on utilise ont déjà été compromis, commandant alors de les changer au plus vite pour éviter des désagréments.

Mozilla a conclu un partenariat pour proposer Firefox Monitor, qui vous permet de vérifier votre adresse e-mail, sans la transmettre directement au service. Dommage que pour l’instant ça ne soit qu’un site web, l’intégrer dans une extension qui détecte quand on saisit ses identifiants serait beaucoup plus intéressant selon moi.
Encore mieux, maintenant il est disponible en Français http://securite.developpez.com/actu/264553/Firefox-Monitor-le-tableau-de-bord-qui-vous-previent-si-une-fuite-de-donnees-en-ligne-vous-concerne-est-desormais-disponible-en-Francais/

Récupérer son ancien profil sous Firefox 67

Dans certaines conditions, l’installation de Firefox 67 semble vous faire repartir d’une page vierge pour votre profil. Mais ça ne signifie pas que vous perdez tout. En effet, depuis ses débuts ou presque, Firefox intègre justement une gestion multi-profils pour un même utilisateur, et c’est d’ailleurs ce qui m’a permis depuis des années de pouvoir récupérer presque instantanément un Firefox fonctionnel, notamment avec toutes les extensions (les marque-pages et l’historique sont gérés par Firefox Sync).

Donc si vous êtes touchés par ce mal, Hedi vous explique tout ce qu’il y a à savoir sur vos profils. À noter que sous Windows, les profils sont stockés dans C:\Users\<Votre_compte>\AppData\Roaming\. Le reste de manipulations, et notamment le fait de pouvoir créer des raccourcis qui sélectionnent un profil particulier, restent valables (à adapter au raccourcis de lancement Windows évidemment).


Et je pense qu’on va s’arrêter là, un article un peu plus court ça permettra d’en faire plus souvent à l’occasion, histoire de rappeler à quel point Firefox ça rox 😛

L’archive des dépôts Debian, pour les serveurs zombies

lundi 10 juin 2019 à 18:30

Ça fait pourtant des années que j’utilise Debian, mais pour être honnête j’ai toujours travaillé avec des versions supportées. Mais quand on débarque sur des serveurs non maintenus, genre un Debian 7 (Wheezy) ou pire, Debian 6 (Squeeze), s’il manque des outils ont est pas rendus parce que les dépôts ont disparus des écrans habituels. C’est ce qui m’est arrivé récemment, et voici comment je m’en suis sorti.

Au départ je voulais mettre ça dans une astuce diverse, et j’ai eu à faire beaucoup de bidouilles autour de versions non supportées de Debian et j’en ai ressorti suffisamment de choses pour que ça finisse dans un article à part.

Il s’avère que Debian conserve malgré tout une partie des dépôts de la distribution sur le site archive.debian.org. Très pratique, et on constate que ça remonte à super loin, pratiquement aux origines de la distribution, puisqu’on voit des fichiers datant de 1998.

Pour les utiliser, il suffit dès lors de modifier le fichier /etc/apt/sources.list :

#deb http://http.debian.net/debian wheezy main contrib non-free
deb http://archive.debian.org//debian squeeze main contrib non-free
deb http://archive.debian.org/debian-security/ squeeze/updates main non-free contrib

Et on pense à virer tout le reste (pensez à vérifier le dossier sources.list.d). Je conseille plus que fortement de ne pas oublier le debian-security, car plusieurs paquets peuvent échouer en raison de dépendances non résolues (c’est le cas d’Apache par exemple, mais aussi de dépendances comme perl).

Les problématiques supplémentaires de Docker

C’est surtout cette partie qui m’a poussé à déporter le sujet. En effet, je n’avais pas eu le souci sur Debian Wheezy, mais sur Squeeze, les problèmes sont plus nombreux, sans parler du fait de devoir construire une image Docker en Squeeze. Déjà, il faut modifier le sources.list de l’image de base, je conseille de passer par un fichier préparé pour et une commande COPY. Ça, c’est simple.

Mais on attaque le dur, avec les signatures de paquets qui ont expiré. Rien que pour faire valider l’update des données repo, il faut ajouter une option :

RUN apt-get -o Acquire::Check-Valid-Until=false update

On se retrouve alors face à des alertes de clés GPG elles aussi expirées. Dans un contexte docker en mode non-interactif, il faut ajouter une autre option lors du install pour passer outre l’alerte associée à ces clés (en mode interactif il nous demande confirmation d’installer des paquets non vérifiables) :

RUN apt-get -o Acquire::Check-Valid-Until=false update && \
      DEBIAN_FRONTEND=noninteractive apt-get -o Acquire::Check-Valid-Until=false -y --force-yes --no-install-recommends install \
      apache2 \

Plus spécifique à l’exécution d’Apache, sous Debian Squeeze le script d’init se charge de créer le dosser /var/run/apache2, pour y placer un fichier « mutex ». Or dans un container docker, on démarre le process directement en FOREGROUND, donc pas de dossier, il faudra penser à l’ajouter à un moment, dans mon cas, c’est dans le même run que le apt-get, à la fin :

RUN apt-get -o Acquire::Check-Valid-Until=false update && \
      DEBIAN_FRONTEND=noninteractive apt-get -o Acquire::Check-Valid-Until=false -y --force-yes --no-install-recommends install \
      apache2 \
      apache2-mpm-prefork \
      libapache2-mod-php5 \
      php5 \
(...)
      ca-certificates && \
    apt-get clean && rm -r /var/lib/apt/lists/* && \
    a2enmod ssl \
(...)
            setenvif && \
    ln -sf /dev/stdout /var/log/apache2/access.log && \
    ln -sf /dev/stderr /var/log/apache2/error.log && \
    mkdir -p /var/run/apache2

Et oui, c’est se faire beaucoup de mal pour rien, mais quand vous avez une application à transférer d’un vieux serveur sur un cluster Kubernetes, et que le code ne peut pas être revu, ben vous cherchez des solutions. Et au moins une des parties de cet article reste valable pour toute machine, y compris hors Docker. C’est ce qu’on appelle le monde réel, celui où les mises à jour majeures de serveurs tous les trois ans ne sont pas une norme, mais une exception, parce que les priorités sont ailleurs.

Quelques liens en vrac et en français, 35° édition

samedi 8 juin 2019 à 10:30

J’ai pas vu passer le temps, j’ai par contre vu passer pas mal de lectures, c’est donc reparti pour une nouvelle sélection tirée de ma veille et de mes découvertes au hasard du surf.

L’informatique ? Comment se fait-ce ?

L’auteur fait un constat plutôt juste selon moi de la situation de l’illectronisme global de la société face à l’informatique et ses différents aspects (matériel, communication, impact sociétal), ce qu’on appelle désormais le numérique, alimenté par des sociétés dont le but est justement de garder le public éloigné de son fonctionnement. Et j’ajouterai que nos gouvernants ne risquent pas de relever le tableau quand on voit la situation de l’Éducation Nationale, aussi bien pour les enfants que pour les enseignants.

Aspirer un site avec wget

Alors attention, y’a un gaillard célèbre qui a été salement condamné pour ça (et on connaît la vraie raison), mais ça reste un outil pratique. Wget, avec curl, fait partie de ces outils réseau/web à toujours avoir sur soi, car il permet de faire de la sauvegarde très pratique de contenus.

Monter ses partages à la demande avec autofs

S’il y a bien un truc que je reconnais facilement, c’est la pénibilité de la gestion des dossiers partagés sous Linux. Les solutions pour tenter de minimiser ces problèmes sont nombreuses, parfois une solution pour un problème, ce qui n’aide pas quand on en rencontre plusieurs. Ici, la solution s’appelle autofs, et permet de palier aux problèmes justement des montages réseau qui ont du mal (notamment en WiFi).

Comment (ne pas) déployer une collecte Fluentd pour Docker

Un retour d’expérience intéressant  sur un déploiement particulier de services Docker, avec toute l’investigation, l’explication, bref, du très technique mais du très transparent pour cette petite association qui héberge des services décentralisés (oui, c’est un CHATONS).

Clavier français international pour Windows

S’il y a bien une chose qui me fait rager sous Windows depuis que j’utilise du Linux au quotidien, c’est bien le comportement du clavier, en particulier de la difficulté de saisir des majuscules accentuées, et le comportement de la touche Caps Lock qui est lié. Avez-vous déjà essayé de saisir un É sous Windows ? Sans passer par le correcteur orthographique ou l’outil de caractères spéciaux hein. Ben voilà. Fort heureusement, un Miguel J de Montpellier, apparemment engagé dans la politique locale, a aussi contribué une disposition clavier pour Windows, astucieusement intitulée « fs-oss », permettant de reproduire sous Windows le comportement de l’agencement clavier dont on jouit sous Linux. Abusez-en.

GPU Passthrough: Linux et Windows ensemble, sans redémarrage

Ça reste un fait, certains jeux qui ne sont pas nativement adaptés sous Linux ne risquent pas de pouvoir être mis à disposition, car ils dépendent de composants trop spécifiques, souvent un outil anti-triche. La seule solution serait alors la virtualisation, mais le matériel virtuel n’est conçu que pour un affichage basique. La solution serait alors de pouvoir dédier une carte graphique pour la machine virtuelle, technique appelée GPU Passthrough, et c’est ce que présente Tommy sur son blog. C’est long, c’est contraignant, mais ça semble fonctionner.

7 Points A Vérifier Avant De Changer De Thème WordPress

Perso je conseille de toujours travailler sur une copie avant de procéder à de tels changements, surtout quand on commence à accumuler les articles. Ça fait d’ailleurs partie des conseils que contient cet article pour vous guider afin de ne rien oublier quand vous voudrez changer la tête de votre site préféré.

Comment j’ai quitté Gmail

J’ai adoré cet article de Camille, non pas pour un anti-googlisme primaire, ce n’est pas le cas, mais parce qu’il est réfléchi, sur les problèmes des conditions d’utilisation, sur les besoins, aussi bien en outillage qu’en entourage (car le mail est un outil de communication). Et surtout, on se rend compte au final que pour avoir le même service chez un véritable hébergeur, il faut un nom de domaine (à payer si c’est pas déjà le cas), et payer pour des options supplémentaires, autrement dit on redécouvre le vrai cout du service quand Google se rémunère en ciblage publicitaire (oui oui, en analysant le contenu de vos courriers), ce qui est, faut-il le rappeler, toxique pour les utilisateurs.

Dans le même esprit mais un peu moins « cas pratique », un autre point de vue avec plus de propositions de fournisseurs, et l’inévitable mais ô combien déconseillé auto-hébergement.

Prise en main de VIM configuré pour PHP

Vim est un éditeur de texte en ligne de commande qui est particulièrement apprécié sur serveur pour sa souplesse (et la non-intuitivité de ses raccourcis de commandes :D). Et bien saviez-vous qu’il est tellement adaptable qu’on en faire un véritable éditeur de code avec tous les raffinements que ça implique ? Qu’on peut même le spécialiser pour PHP ?

Mythes et légendes de l’intelligence artificielle

Que ne peut-on pas lire comme bêtises dans la presse généraliste ou les discours marketing à propos de l’intelligence artificielle, nouvelle drogue des investisseurs qui va soit-disant nous mettre à la retraite dans tous les domaines sous prétexte d’être plus performants pour prévenir les évènements. Cet article est donc tout à fait rafraîchissant pour remettre quelques pendules à l’heure sur les fantasmes nourris par ce domaine.

Les Docker files

Cette page regroupe l’essentiel de ce qu’il y a à connaître sur les différents fichiers que l’on doit manipuler quand on exploite des architectures sous Docker. Autre les incontournables Dockerfile et docker-compose, dont les principales directives sont décrites de manière didactiques avec moult exemples, on découvre aussi le dockerignore, que j’ai eu l’occasion moi aussi de découvrir au boulot pour gagner du temps de build.


Voilà, ça y est, c’est fini – LAGAF’

Le badbuzz DigitalOcean : les erreurs du « tout cloud public » (et du fournisseur unique)

mercredi 5 juin 2019 à 18:30

Cela ne vous aura certainement pas échappé sur Twitter (et vu le succès de ma micro-analyse, j’imagine que vous avez certainement vu passer le sujet), un des membres d’une petite entreprise, qui propose une application à destination des entreprises (avec quelques candidats au bullshit bingo dans la description Twitter), alerte que son hébergeur est en train de la tuer parce qu’il a bloqué l’intégralité de son infrastructure. Et soit-disant qu’il n’a aucun moyen de contourner. Et là, on va toucher à un problème trop récurrent sur le web actuel, la dépendance à l’hébergeur.

Digital Ocean est peu connu de ce côté de l’atlantique, mais c’est un hébergeur assez populaire en Amérique du Nord, notamment pour ses tarifs, un peu à l’image d’un OVH en Europe, la qualité en plus (troll gratuit, si on a pu avoir des soucis avec eux chez LBN, en tant que client particulier globalement j’ai pas grand chose à redire). Et donc pour une raison que j’ignore parce que j’ai la flemme de creuser, cette jeune société basée à Paris héberge toute son infrastructure chez eux. Tout va pour le mieux dans le meilleur des mondes.

Et là, patatras, vendredi 31 mai, l’un des membres de la société vient se plaindre sur Twitter que com compte a été bloqué, ainsi que toutes les ressources associées, et que ça va le tuer (enfin sa société). En soi oui, c’est possible, si tu perds toutes les données de ton entreprise, qui sont celles qui te font vivre (enfin celles sur lesquelles tu bâtis ton service, vendu aux entreprises), ben t’as plus rien à vendre, et donc, si les comptes sont en flux tendus, ça devient vite un gros, gros problème. Mais pourquoi donc Digital Ocean (que je vais abrévier DO) a-t-il coupé le compte d’une entreprise qui à priori n’a rien à se reprocher, au moins d’un point de vue technique ?

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Nicolas explique très bien dans son thread, en temps normal son application nécessite cinq droplets, nom donné par DO pour ses instances de machines virtuelles à la demande (comme EC2 sur AWS), qui tiennent différents rôles, et du stockage objet pour les média (et il en a beaucoup, mais comme on paie à la consommation, pas de souci). Seulement pour entretenir la base de données qui est au cœur de l’application, afin d’en garantir les performances, régulièrement une dizaine de droplets supplémentaires sont démarrés pour exécuter du code Python qui s’occupe des opérations de maintenance. Les droplets sont ensuite détruits, puisqu’il n’auront plus d’utilité jusqu’à la prochaine fenêtre de maintenance. Rien de choquant dans une telle architecture, c’est même l’avantage de ces mécaniques chez les fournisseurs de « Cloud » modernes, on crée et utilise des ressources uniquement dans une fenêtre de temps utile, plutôt que de réserver et payer en permanence des ressources qui ne sont pas exploitées (gaspillage toussa). Mais apparemment ce comportement a été détecté comme malveillant, avec pour conséquence de bloquer l’accès à toutes les ressources, ce qui inclut les sauvegardes de données et d’architectures (je ne sais pas comment sont sauvegardés les média sur le stockage objet de DO, ni comment on peut procéder à une restauration).

Pourtant DO promet lui-même de pouvoir déployer « de un à plusieurs milliers » de droplets sur son site :

Et sur le papier, DO n’est pas ultra regardant sur le comportement des instances, tant qu’ils ne sont pas alertés d’abus, généralement au niveau du réseau, quand le trafic est douteux, tous les grands fournisseurs se protègent aussi bien en entrée qu’en sortie. Ici rien de la sorte, à part que les dix droplets créés « attaquent » le droplet qui s’occupe de la base de données, mais c’est du trafic interne, dans le même subnet à priori (facilite le déploiement et la configuration, surtout pour un travail très temporaire). C’est donc étrange qu’un tel blocage ait eu lieu. Rapidement contacté, l’hébergeur a d’abord débloqué le compte, avant de le rebloquer 4h plus tard en refusant ce coup-ci toute discussion, comme très souvent avec de grosses sociétés, David contre Goliath mais c’est Goliath qui met une patate de forain à la fin.

A cause du bruit que ça a fini par faire, DO a finalement restauré le compte (pour combien de temps ?) et promet d’analyser les raisons qui ont poussé leur système à procéder à un tel blocage, mettant en péril l’existence même de la petite société. Au-delà de la nécessaire opération de communication, il n’y a rien de choquant là-dedans, s’il y a un dysfonctionnement qui peut engager à ce point là responsabilité de l’hébergeur, ils vont tout faire pour le corriger, car on sait à quel point un hébergeur aime n’être responsable de rien, encore plus aux US qu’ailleurs.

Une confiance à limiter, une stratégie de catastrophe à revoir

Tous les hébergeurs vous promettent haute disponibilité des infrastructures, intégrité des données, sécurité, et on entend souvent qu’on ne peut avoir que deux des trois. Concernant la disponibilité et l’intégrité, vous avez la possibilité de déployer sur plusieurs « régions » qui correspondent à des centre de données distincts et relativement éloignés géographiquement, et les données du stockage objet sont répliqués sur ces différentes zones.Tout ça est transparent ou presque, le déploiement d’instances sur plusieurs zones doit être de votre fait, ce n’est pas automatique (il y a des contraintes au niveau réseau difficiles à contourner), pour le stockage par contre aucun souci c’est transparent.

Et surtout, ça suppose que vous n’ayez aucun problème avec le compte, et comme on l’a vu ici, dès que le compte est bloqué, tout est bloqué. Il y a donc ici une forte dépendance à un seul hébergeur, et surtout, aucune stratégie de sortie n’a été envisagée, ce qui veut dire qu’il n’existe aucune copie à minima des données base et media (le code des applications est certainement stocké dans une forge git quelconque, donc facile à redéployer), en clair, ce type de catastrophe n’a jamais été envisagé. En même temps, DO est un acteur reconnu, populaire, aux services fiables, pratiques (API, toussa), performants, relativement abordables, donc aucune raison de douter de leur professionnalisme n’est-ce pas ?

Le problème de la facilité d’utilisation de leurs services, c’est que ça a du attirer pas mal de mauvais utilisateurs, qui se sont amusés à déployer du temporaire pour attaquer d’autres infrastructures, ce qui a du pousser DO à mettre en place des mécaniques pour tenter de détecter et de bloquer ces abus, à l’image de certains types d’attaques réseau (rebond sur UDP, SYN ACK, DDoS…). Je ne peux que soupçonner un tel mécanisme étant donné le profil de l’activité (démarrer une dizaine d’instances qui exécute du code qui tape sur une autre machine dont les consommations de ressources explosent tout d’un coup). Et c’est dommage dès lors de faire la pub sur « des milliers » si une dizaine suffit à se faire bannir du système.

Donc même en étant un client payant, il faut toujours se méfier de son fournisseur, quel qu’il soit, et d’autant plus quand une grosse partie de ses opérations est confiée à des robots. Vous pouvez toujours parler d’intelligence artificielle pour améliorer les choses (et j’aime pas ce mot, remember), il faudra toujours des humains pour traiter les cas à la marge, qui ne pourront jamais être évités.

Une stratégie qui coûte cher

Et c’est bien le souci, l’argent. Le coût du stockage objet des 500k+ media est assez bas, et inclut pourtant la réplication dans plusieurs centres de données. Je n’ai pas la volumétrie exacte, mais conserver une copie de ces media sur un stockage plus classique, ou un stockage objet d’un autre hébergeur, en miroir, coûte à minima le double. Et il reste ensuite la base de données, là aussi, compliqué sans avoir la volumétrie mais le stockage rattaché aux droplets est un poil plus cher, même en trouvant un moyen de compresser les sauvegardes, pas évident de limiter la dépense.

Ce genre de stratégie est donc compliqué à mettre en place, pas d’un point de vue technique, c’est très, très rarement un problème, mais surtout d’un point de vue financier. Reste alors à faire un calcul savant sur les risques qu’il y a à perdre l’intégralité de son activité sur une telle connerie, et prendre la décision d’investir un peu plus dans un plan de secours, qui peut aller jusqu’à (re)déployer l’intégralité de l’infrastructure chez un autre hébergeur. Ici, ça pourrait être facile, tout repose sur des machines virtuelles a priori Linux qui sont simples à reproduire ailleurs, reste le stockage objet qui pourrait demander un peu plus de boulot, pas tant pour la mise en place ou la population, que pour la mise à jour des liens dans l’application.

C’est moins le cas quand on commence à utiliser beaucoup de services intégrés, la mode étant au « serverless », ce qui veut dire qu’on est encore plus dépendant de son hébergeur car chacun a sa propre méthode pour arriver à ses fins, ses propres services spécifiques, et donc il peut être très difficile voire impossible de transférer ça sur un nouvel hébergeur, ou alors doit être pensé pour être adaptable sur une architecture plus classique. Beaucoup plus de boulot, donc plus de temps, donc plus d’argent, quand la technique tape dans le porte-monnaie, on en revient toujours au même. Le piège est donc de ne pas chercher à tout pris le moins cher, mais bien d’intégrer les risques, en pensant toujours au pire même si on vivra toujours le meilleur.

La réponse du Cloud Hybride et de l’Infrastructure as Code ?

L’infrastructure as Code, pour la faire court, permet de décrire tous les éléments constitutifs de l’infrastructure dans un ou plusieurs fichiers, qu’on balance ensuite à un outil, soit générique, comme Terraform, soit spécifique à un fournisseur (CloudFormation pour AWS), qui s’occupe de déployer ces éléments. Ce type de pratique permet de conserver et de versionner cette description, et surtout de l’adapter très simplement à un autre fournisseur si le besoin s’en fait sentir. Ça permet d’améliorer ses chances de pouvoir déménager ou redéployer en urgence une infrastructure de zéro si une catastrophe majeure comme celle vécue ici survient. Je commence moi-même à mettre les mains dedans pour pouvoir assumer mon futur rôle d’intégrateur (et que intégrateur, quand je faisais un peu de tout jusqu’ici), et j’avoue que c’est très intéressant. Couplé à un Ansible pour s’occuper ensuite de la configuration des machines virtuelles (et Chef en plus chez LBN, pour gérer les accès, les outils de bases, la configuration du monitoring…), vraiment il faut s’y intéresser, même si c’est pour déployer une seule machine, ça permet d’en saisir les concepts, et la puissance.

Quant au cloud hybride, c’est un peu le sujet à la mode ces trois dernières années, après les premières déconvenues de gros comptes qui ont voulu tout « mettre dans le cloud » avant de voir à la fois les problèmes de réactivité et les soucis de facturation qui deviennent réels à mesure que l’infrastructure devient monstrueuse. Il s’agit de reposer à la fois sur des éléments hébergés « chez soi » que sur un hébergeur public, en utilisant des deux cotés les mêmes technologies. C’est d’autant plus facile que de plus de sociétés même modestes (et pour rappel, la France compte une majorité de PME, et pas d’entreprises multinationales) peuvent avoir accès à des réseaux fibres de plus en plus performants, et la montée en puissance de services « managés » basés sur Kubernetes, pour ne prendre que cet exemple, permettent d’agréger les deux types de ressources pour les exploiter via une interface unique, permettant du coup, au-delà de segmenter ce qui doit être stocké à l’extérieur de ce qui doit rester à l’intérieur, de s’affranchir si besoin de cet hébergeur qui devient vite un problème quand ses mauvais penchants viennent vous embêter un peu trop.

On a notamment IBM qui s’est offert RedHat qui propose pas mal d’outils reposant sur RedHat Enterprise Linux  et OpenShift (sa surcouche maison de Kubernetes, si vous trouvez déjà Kubernetes pénible OpenShift c’est pire, mais c’est beaucoup plus sécurisé). Si vous êtes un windowsien convaincu et avez besoins de VMs classiques, avec VMWare qui permet d’agréger plusieurs « datacenters » dans une même interface Vsphere, vous pouvez coupler un cluster hébergé chez un prestataire et un cluster sur site (« on premise », parce qu’on adore les anglicismes dans l’informatique). Avec un OVH qui propose du Private Cloud reposant justement sur ce type de solution, et même un AWS qui a annoncé se lancer sur ce type de produits récemment, vous avez au moins deux possibilités.

Le pognon, toujours le pognon

Globalement j’ai pas de problèmes avec l’argent, mais c’est un problème qui a trop souvent été mis sous le tapis sur le web. C’est malheureusement une réalité qui revient souvent trop tard sur la table, à force de chercher à tout prix à économiser des centimes, on se retrouve à payer des milliers, voire ici à devoir mettre la clé sous la porte (ça ne sera peut-être pas le cas vu que c’est restauré, mais dans les contrats clients on a souvent des pénalités en cas de non-respect des engagements — si seulement on avait ça pour le grand public, avec les fournisseurs d’accès et les opérateurs mobiles…). Il est donc nécessaire de mettre la priorité sur la couverture de risques plutôt que les rentrées faciles, un point compliqué quand on démarre une activité avec une levée de fonds et que les requins investisseurs attendent leur sandwich à la fin du trimestre.

Ça m’a rappelé une autre affaire, il y a deux ans, où OVH a perdu une baie complète de disques durs à cause d’un souci avec leur refroidissement liquide (et la paresse consistant à laisser du matériel qui n’est pas conçu pour se faire arroser par une fuite plutôt que de l’installer où il fallait, sur le principe du « ça fonctionne on touche pas »). Ça a touché des milliers de sites utilisant une offre d’hébergement mutualisée, un produit très peu cher (on parle de maximum 90€ TTC par an). Les restaurations ont été faites sur plusieurs jours sur une baie neuve avec des données nécessairement un peu anciennes, il y a donc eu pour certains perte de données. Et on a vu des personnes, qui opéraient une boutique en ligne sur cette offre, se plaindre d’avoir perdu masse d’argent et commencer à demander des dédommagements à OVH pour ces pertes engendrées. Oui, des gens qui ont basé leur activité sur une offre à 7€ par mois dont les engagements sont très faibles se plaignent à leur hébergeur de ne pas avoir fait le nécessaire pour assurer la disponibilité de leur principale source de revenus. Nous avons plusieurs clients « modestes » chez LBN en ce sens que leur boutique en ligne n’est pas énorme, mais ils déboursent un peu plus que 7€ pour garantir leur activité (on est plus près de 700€, et l’infra est petite). Et des interruptions trop fréquentes peuvent amener à des pénalités que l’on doit payer, autant dire que si on avait pas la conscience professionnelle pour nous, on aurait le portefeuille (vous voyez on y revient toujours).

Si vous êtes amenés donc à construire votre activité sur le web avec un besoin fort d’hébergement extérieur, il est nécessaire de s’assurer que tous les éléments, et notamment les situations de crises majeures comme celle qu’a vécu notre jeune pousse de l’analyse stratégique, soient bien pesés et pris en compte, aussi bien pour l’aspect financier que pour technique. À bon entendeur…