Context

Actuellement Albert API est composé de 2 environnements :

dev
prod

Ces environnements ne sont pas sur Terraform.

Objectifs

créer un environnement de staging avec Terraform
déployer les services liés à cet environnement de staging

Spécifications techniques

Vision cible

Voici la vision cible pour l'environnement de staging de Albert API. Il ne s'agit pas ici de créer la vision cible ici. tf drawio (1)

Vision attendue

Création d'un state de staging :

Sur l'exemple du state de dev, outscale_eu-west-2_albert-dev présent sur la branche main du repo administration (voir : https://gitlab.com/etalab-datalab/infrastructure/administration/-/terraform).

Création de 2 VM :

Région	Name	Type	Tags	Storage	Storage type	Security group
eu-west-2a	OUT-APP-STA-001	tinav5.c2r8p2	{"Env": "STAGING", "Project": "API"}	120	gp2	albert-app
eu-west-2a	OUT-BDD-STA-002	tinav6.c8r32p1	{"Env": "STAGING", "Project": "API"}	720	gp2	albert-bdd

Ces VM doivent avec cloud init créer au démarrage un utilisateur gitlab à l'aide de ce script : ⚠️ Remplacer le nom de l'hôte à la fin du script


Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

cloud-config

cloud_config_modules:

package-update-upgrade-install package_update: true package_upgrade: true

users:

name: gitlab groups: sudo passwd: "$6$R7jDmNsaledr8giC$xmSBt.maUclhX4rE929Z8T/vAlAxoqIMedhXvx3u45tNiVvu2eXRQt/iuiTj2F6qQ9x/DldX0jxdqGTEGvkR9." shell: /bin/bash lock-passwd: false ssh_pwauth: True chpasswd: { expire: False } sudo: ALL=(ALL) NOPASSWD:ALL ssh_authorized_keys:
- ssh-rsa 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 gitlab

hostname:


Spéfication de l'environnement de staging voir https://grist.numerique.gouv.fr/o/albert/25SBdE5Sqqhg/Infrastructure/p/15

Création de 2 entrées DNS sur OVH (voir avec @leoguillaume pour la procédure) : 
- albert.api.staging.etalab.gouv.fr
- albert.bdd.staging.etalab.gouv.fr

- Création d'un documentation (fr) sur la nomenclature des services Outscale dans le dossier /docs

### Plus optionnel

- utilisation de templating terraform
- création d'un net pour l'environnement et d'un sous réseau par VM (cf schéma) avec considération des accès internets (internet gateway)

Configuration fail2ban dans cloud-init

echo "info: enabling and starting fail2ban" sudo systemctl enable fail2ban sudo systemctl start fail2ban



# Taches liées

- #62
- #63

# Ressources 

- Documentation API outscale : https://docs.outscale.com/api.html
- Documentation Terraform outscale : https://registry.terraform.io/providers/outscale/outscale/latest/docs
- Contact support Outscale : david.anis@outscale.com
- Documentation Outscale cloud init : https://docs.outscale.com/fr/userguide/Introduction-%C3%A0-cloud-init.html

* Nomenclature noms des VM : 

| Datacenter | Type | Env | Number |
| -- | -- | -- | -- | 
| OUT | APP | DEV | 001 |
| | BDD | STA | 002 |
| | SVC | PRO | … |
| | GPU |   | |

cyrillay commented 1 week ago

@leoguillaume pour confirmer :

Les règles des security group du ticket correspondent bien aux règles inbound ?
Pour les règles outbound; à priori l'API devrait pouvoir contacter n'importe où (répondre aux requêtes pouvant venir de n'importe quel client), mais la BDD serait seulement accessible via l'API, donc je pourrais restreindre à ce niveau là ?

Aussi, concernant le templating, je pense que c'est plutôt les (modules)[https://developer.hashicorp.com/terraform/language/modules] qu'il faut utiliser pour ce usecase (instantier plusieurs fois une même stack sur 3 environnements). A ce stade, je ne suis pas sur d'avoir besoin du templating. D'accord avec ça ?