Le Wiki de Lug - Contributions [fr]

MediaWiki

2021-04-18T23:42:19Z

192.168.1.205 : /* Nom du Wiki */

= Import de fonctions =
[https://www.ryadel.com/en/how-to-add-wikipedia-mbox-templates-to-your-own-mediawiki/ Source utile]
==Réglages de base==
=== Activer Import & ImageMagick ===
# vi /var/www/mediawiki/LocalSettings.php

$wgEnableUploads = true;
$wgUseImageMagick = true;
$wgImageMagickConvertCommand = "/usr/bin/convert";

# apt install imagemagick

=== Activer "IstantCommons ===
[https://www.inmotionhosting.com/support/edu/mediawiki/changing-css-media-wiki/ source]
# vi /var/www/mediawiki/LocalSettings.php

$wgUseInstantCommons = true;

=== CSS Wikipedia ===

# Se connecter sur son Wiki (avec droit d'éditiont)
# Se rendre à l'adresse "'''<nowiki>https://mon-mediawiki.com/index.php?title=MediaWiki:Common.css</nowiki>'''"
# cliquer sur "Edit" et remplacer par [https://fr.wikipedia.org/wiki/MediaWiki:Common.css '''ce code-ci!''']
# Il faudra vider le cache de son navigateur / recharger avec Ctrl + F5
=== Installation extension "TemplateStyles" ===
[https://www.mediawiki.org/wiki/Extension:TemplateStyles#Installation '''source''']

# cd /tmp/
# wget https://extdist.wmflabs.org/dist/extensions/TemplateStyles-REL1_35-7a40a6a.tar.gz
# tar -xzf TemplateStyles-REL1_35-7a40a6a.tar.gz -C /var/www/mediawiki/extensions
# chown -R www-data. /var/www/mediawiki/extensions/TemplateStyles
# echo 'wfLoadExtension( 'TemplateStyles' );' >> /var/www/mediawiki/LocalSettings.php

=== Installation extension "Scribunto" ===
[https://www.mediawiki.org/wiki/Extension:Scribunto#Installation '''Source''']

# cd /tmp/
# wget https://extdist.wmflabs.org/dist/extensions/Scribunto-REL1_35-d21b655.tar.gz
# tar -xzf Scribunto-REL1_35-d21b655.tar.gz -C /var/www/mediawiki/extensions/Scribunto/
# chown -R www-data. /var/www/mediawiki/extensions/Scribunto
# echo 'wfLoadExtension( 'Scribunto' );' >> /var/www/mediawiki/LocalSettings.php
# echo '$wgScribuntoDefaultEngine = 'luastandalone';' >> /var/www/mediawiki/LocalSettings.php
# chmod a+x /var/www/mediawiki/extensions/Scribunto/includes/engines/LuaStandalone/binaries/lua5_1_5_linux_64_generic/lua

=== Activer "ParserFunctions" ===

# echo 'wfLoadExtension( 'ParserFunctions' );' >> /var/www/mediawiki/LocalSettings.php
# echo '$wgPFEnableStringFunctions = true;' >> /var/www/mediawiki/LocalSettings.php

== Exemple Serveur Wikipedia et barre de progression ==
{{Barre de progression|100|largeur=400px|hauteur=10|texte=la preuve par l'exemple!}}
=== Export chez Wikipedia ===
[https://fr.wikipedia.org/wiki/Sp%C3%A9cial:Exporter Page d'export] soit <nowiki>"/Spécial:Exporter"</nowiki>

J'ai exporté les modèles suivant :

Modèle:Progression
Modèle:0/4
Modèle:1/4
Modèle:2/4
Modèle:3/4
Modèle:4/4
Modèle:Avancement
Modèle:Barre de progression

[[File:Export barre de progression.PNG|border|Exemple export pour barres de progression]]

=== Import sur son wiki ===
Allez sur la page spécial "'''Importer des pages'''" soit <nowiki>"/Special:Import"</nowiki>

[[File:Import_barre_progression.JPG|border|Exemple export pour barres de progression]]

=== Erreur "The content model 'sanitized-css' is not registered on this wiki." ===

Échec de l’importation : The content model 'sanitized-css' is not registered on this wiki. See https://www.mediawiki.org/wiki/Content_handlers to find out which extensions handle this content model.

[[#Installation_extension_.22TemplateStyles.22|Installer l'extension "TemplateStyles"]]

=== Erreur "The content model 'Scribunto' is not registered on this wiki." ===

Échec de l’importation : The content model 'Scribunto' is not registered on this wiki. See https://www.mediawiki.org/wiki/Content_handlers to find out which extensions handle this content model.

[[#Installation_extension_.22Scribunto.22|Installer l'extension "Scribunto"]]

=== (erreur d'affichage "{{#expr".. etc) ===

[[#Activer_.22ParserFunctions.22|Activer "ParserFunctions"]]

== Bandeau d'information/avertissement ==
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = ça semble fonctionner :)))
}}
J'ai exporté tous les modules "Lua" via [https://fr.wikipedia.org/wiki/Sp%C3%A9cial:Exporter cette page].
Module:Format
Module:Date
Module:MagicDate
Module:Test
Module:ControlArgs
Module:Documentation module
Module:Bandeau

[[File:Export wikipedia.PNG|border|On pense a cocher "Inclure les modèles"]]

Puis ces modèles :
Modèle:Méta bandeau
Modèle:Méta bandeau d'avertissement
Modèle:Méta bandeau de section

[[File:Export wikipedia.PNG|border|On pense a cocher "Inclure les modèles"]]
=Astuces de personnalisation=
[https://www.mediawiki.org/wiki/Manual:LocalSettings.php Source]
== Nom du Wiki ==
# vi /var/www/mediawiki/LocalSettings.php

$wgSitename = "Le nom de mon Wiki";
== Logo ==
Il faut placer son logo dans "'''/var/www/mediawiki/skins/common/images/'''"
# mkdir -p /var/www/mediawiki/skins/common/images
On copie son image (ex: logo.png) dans /var/www/mediawiki/skins/common/images/
# chown -R www-data. /var/www/mediawiki/skins/common
# vi /var/www/mediawiki/LocalSettings.php

...
$wgLogo = "$wgStylePath/common/images/logo.png";
...

Prometheus

2021-04-18T20:11:35Z

192.168.1.205 : /* Grafana */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposez le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement avec cryptage sur Internet..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = important
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

== AlerManager ==
[https://prometheus.io/docs/alerting/latest/configuration/ Source] [https://medium.com/devops-dudes/prometheus-alerting-with-alertmanager-e1bbba8e6a8e Autre Source] [https://itnext.io/prometheus-alertmanager-web-ui-alerts-silence-2d34fbf2d252 Autre Source]
==Grafana ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

NextCloud

2021-04-17T20:54:26Z

192.168.1.205 : /* Préfixe de région par défaut */

= LXC Ubuntu 20.04 =
== Installation Serveur ==
[https://docs.nextcloud.com/server/stable/admin_manual/installation/index.html '''Source'''] [https://www.linuxbabe.com/ubuntu/install-nextcloud-ubuntu-20-04-apache-lamp-stack '''autre source''']

# apt update && apt upgrade
=== Archive NextCloud ===
[https://nextcloud.com/install/# '''Page de téléchargement''']
# apt install unzip
# cd /tmp/
# wget <nowiki>https://download.nextcloud.com/server/releases/</nowiki>nextcloud-21.0.1.zip
# unzip nextcloud-21.0.1.zip -d /var/www/
# rm nextcloud-21.0.1.zip
# chown -R www-data. /var/www/nextcloud

=== Serveur SQL MariarDB ===
Installation :
# apt install mariadb-server
On lance le script pour attribuer un mot de passe root, virer l'utilisateur anonyme etc.
# mysql_secure_installation

Set root password? [Y/n] '''y'''

Remove anonymous users? [Y/n] '''y'''

Disallow root login remotely? [Y/n] '''y'''

Remove test database and access to it? [Y/n] '''y'''

Reload privilege tables now? [Y/n] '''y'''
... Success!

On créé la base de donnée pour NextCloud :
{{Méta bandeau
| niveau = information
| icône = important
| texte = Utiliser un mot de passe différent de root mysql.
}}
# mysql -U

MariaDB [(none)]> create database nextcloud;
MariaDB [(none)]> create user nextcloud@localhost identified by 'motdepasse';
MariaDB [(none)]> grant all privileges on nextcloud.* to nextcloud@localhost IDENTIFIED BY 'motdepasse';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> quit;

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = nom de la base de données / nom de l'utilisateur de la base de données
}}

=== Installation de Apache2 & PHP7.4 ===
# apt install imagemagick php-imagick libapache2-mod-php7.4 php7.4-common php7.4-mysql php7.4-fpm php7.4-gd php7.4-json php7.4-curl php7.4-zip php7.4-xml php7.4-mbstring php7.4-bz2 php7.4-intl php7.4-bcmath php7.4-gmp
On créé le vhost local :
# vi /etc/apache2/sites-available/nextcloud.conf

Alias /nextcloud "/var/www/nextcloud/"

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews

<IfModule mod_dav.c>
Dav off
</IfModule>

</Directory>
On active le site :
# a2ensite nextcloud.conf
On active quelques modules :
# a2enmod rewrite
# a2enmod headers
# a2enmod env
# a2enmod dir
# a2enmod mime
On active SSL :
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = ici un certificat auto-signé pour ensuite être placé derrière un reverse-proxy NGINX.
}}
# a2enmod ssl
# a2ensite default-ssl
# systemctl reload apache2
=== Configuration de NextCloud ===
On se rend sur l'adresse <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ et on rempli les champs indiqués puis ont clique sur "Terminer l'installation".

[[File:Page Installation 2.PNG|Page d'installation NextCloud]]

Si message d'erreur pas de panique, on retourne sur <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ pour vérifier que tout s'est bien déroulé.

[[File:Page 1er acceuil.PNG|Page de première connexion.]]

=== Configuration Reverse-Proxy NGINX ===
==== VHost NextCloud ====

Exemple de vhost pour NextCloud :

server {
listen 80;
listen [::]:80;
server_name nextcloud.exemple.com;
# return 404;
return 301 <nowiki>https</nowiki>://$host$request_uri;
}

server {
server_name nextcloud.exemple.com;
error_page 403 <nowiki>https</nowiki>://nextcloud.exemple.com;

location / {
'''client_max_body_size 0;''' # 0 supprime la limite d'upload
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Protocol $scheme;
proxy_set_header X-Forwarded-Host $http_host;
proxy_pass <nowiki>https</nowiki>://IP_SERVEUR_NEXTCLOUD/nextcloud/;
}

listen [::]:443 ssl; # managed by Certbot
listen 443 ssl; # managed by Certbot

ssl_certificate /etc/letsencrypt/live/nextcloud.exemple.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nextcloud.exemple.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
add_header Strict-Transport-Security "max-age=31536000" always;
ssl_trusted_certificate /etc/letsencrypt/live/nextcloud.exemple.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;

location ^~ /.well-known {
# The following 6 rules are borrowed from `.htaccess`

location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }
# Anything else is dynamically handled by Nextcloud
location ^~ /.well-known { return 301 /index.php$uri; }

try_files $uri $uri/ =404;
}

}

==== Configuration de Nextcloud ====
On modifie le fichier de configuration de NextCloud pour qu'il accepte le nom de domaine et le reverse proxy :
NextCloud ~# vi /var/www/nextcloud/config/config.php

...
'trusted_domains' =>
array (
0 => '12.34.56.789',
1 => 'nextcloud.exemple.com',
),
'trusted_proxies' =>
array (
0 => 'IP_PROXY',
),
'overwritewebroot' => '/',
...

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = NextCloud sera maintenant accessible via nextcloud.exemple.com et non IP_SERVEUR_NEXTCLOUD/nextcloud/
}}

== Post-Installation ==
NextCloud est maintenant fonctionnel, mais si vous vous rendez, depuis la page de l'administrateur, sur Administrateur -> Paramètres -> Vue d'ensemble .

[[File:Vue d'ensemble.PNG|border|Accès du menu "Vue d'ensemble"]]

Il reste quelques réglages à effectués. (3 si vous avez suivie ce tutorial).

[[File:Erreur post install.PNG|border|Message d'erreurs post installation]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = "Vue d'ensemble" est également le menu pour effectuer les mise à jours de NextCloud
}}

=== (optionnel) Jolie URL ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Ceci ne règle pas d'erreur mais permet d'avoir une URL plus esthétique.
}}
# vi /var/www/nextcloud/config/config.php

...
'installed' => true,
'overwrite.cli.url' => '<nowiki>https</nowiki>://nextcloud.exemple.com/nextcloud',
'htaccess.RewriteBase' => '/nextcloud',
);

# cd /var/www/nextcloud/
# sudo -u www-data php /var/www/nextcloud/occ maintenance:update:htaccess
=== Limite de mémoire PHP à 512 Mo ===
# vi /etc/php/7.4/apache2/php.ini

...
memory_limit = 512M
...

# apache2ctl graceful
=== Préfixe de région par défaut ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Exemple avec la France.
}}
# vi /var/www/nextcloud/config/config.php

...
'htaccess.RewriteBase' => '/nextcloud',
'default_phone_region' => 'FR',
);
=== Langue par défaut ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Exemple avec le français.
}}
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'default_language' => 'fr',
...

=== Memcache via Redis & APCu ===
[https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-lts-with-redis-apcu-ssl-apache/#4-1-update-the-server-install-lamp-apcu-redis source]
# apt install redis-server php-redis php-apcu
# vi /etc/redis/redis.conf
Il faut activer les deux ligne suivantes en supprimant le "#" devant + modification des droits :
unixsocket /var/run/redis/redis-server.sock
unixsocketperm 770
On désactive l'écoute TCP :
port 0

# usermod -a -G redis www-data
# systemctl restart redis
# systemctl restart apache2
Enfin, on édite Nextcloud pour utiliser Redis :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'memcache.local' => '\OC\Memcache\APCu',
'memcache.locking' => '\OC\Memcache\Redis',
'memcache.distributed' => '\OC\Memcache\Redis',
'redis' =>
array (
'host' => '/var/run/redis/redis-server.sock',
'port' => 0,
'timeout' => 1.5,
),
);

Il faut activer APCu dans "cli" pour éviter un bug avec certaines commandes :
# vi /etc/php/7.4/cli/conf.d/20-apcu.ini

extension=apcu.so
apc.enable_cli=1
=== Optimisation performances (proxy_fcgi & php-fpm) ===
[https://www.reddit.com/r/PHPhelp/comments/gqszb0/php_fpm_vs_apache_mod_php/ Discussion]

Pour de meilleurs performances on active php-fpm et proxy_fcgi
# a2enmod proxy_fcgi setenvif
# a2enconf php7.4-fpm
# systemctl reload apache2

=== Test final ===
On retoune dans le menu [[#Post-Installation|"Vue d'ensemble"]], normalement tous les tests devraient être validés :

[[File:Test réussie.PNG|border|Satisfaisant non ? :)]]

Comme suggéré on se rend sur [https://scan.nextcloud.com/ '''ce site'''] pour tester le niveau de sécurité de notre serveur NextCloud, si tout va bien vous devriez obtenir ceci :

[[File:Test sécurité.PNG|border|une note comme j'aurais aimé en avoir à l'école.]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = En plus du niveau "A+", tout doit être validé avec l'encoche verte dans "Hardennings" et "Setup" en dessous.
}}
=== Crontab ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/background_jobs_configuration.html Source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Par défaut les tâches de fond sont lancés en naviguant, ce qui n'est pas optimal et incompatible avec certaines applications. il est préférable d'utiliser crontab ou systemd.
}}

# vi /etc/systemd/system/nextcloudcron.service

[Unit]
Description=Nextcloud cron.php job

[Service]
User=www-data
ExecStart=/usr/bin/php -f /var/www/nextcloud/cron.php
KillMode=process

Puis

# vi /etc/systemd/system/nextcloudcron.timer

[Unit]
Description=Run Nextcloud cron.php every 5 minutes

[Timer]
OnBootSec=5min
OnUnitActiveSec=5min
Unit=nextcloudcron.service

[Install]
WantedBy=timers.target

On active les scripts :

# systemctl enable --now nextcloudcron.timer

On peut ensuite se rendre dans "Paramètres" -> "Paramètres de base" pour vérifier que le changement est prise en compte :

[[File:Paramètres de base.PNG|border|C'est par ici]]
[[File:Crontab active.PNG|border| Activation confirmé]]

=== datadirectory ===
Variable nécessaire pour certaines applications comme RainLoop :
# vi /var/www/nextcloud/config/config.php

...
'overwritewebroot' => '/',
'datadirectory' => '/var/www/nextcloud/data',
'dbtype' => 'mysql',
...
=== Désactiver le découpage des 10Mb ===
Par default NextCloud découpe les téléchargement en portion de 10Mb, ce qui peut grandement ralentir les envoies de fichier imposant, pour le désactiver :
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set files max_chunk_size --value 0
=== Désactivé les "espaces de travails riches" ===
[https://github.com/nextcloud/text/pull/748 Source]

Une fonction que je n'ai jamais utilisé, crée des fichier "readme.md" et des messages d'érreurs.. a voir.
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set text workspace_available --value=0
=== Mail Serveur ===
Il est important de configurer un serveur d'envoi courriel pour le serveur, il permettra d'utiliser la fonction récupération de mot de passe etc :

[[File:NextCloud Email.PNG|border|Menu de configuration du courriel du serveur]]

= Astuces de personnalisation =
== Fichiers par défaut ==
Lorsque l'on créé un nouvel utilisateur, Nextcloud peuplera le nouveau dossier personnel avec le contenu de "/var/www/nextcloud/core/skeleton". Par défaut tous les utilisateurs se retrouveront donc avec diverse images et fichiers d'exemple sans intérêt.
{{Méta bandeau
| niveau = information
| icône = important
| texte = Il ne faut pas modifier le répertoire par défaut "/var/www/nextcloud/core/skeleton" sinon tous vos changements seront perdu à la prochaine mise a jour.
}}
=== Désativation du modèle de création ===

# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>''</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
=== Modèle de création personnalisé ===

Création du dossier pour le modèle :

# mkdir /var/www/nextcloud/mon_model

Ensuite on peut créer/copier les dossiers/fichiers que l'on souhaite à l'intérieur. Puis l'on attribue les droits au dossier et son contenu :
# chown -R www-data. /var/www/nextcloud/mon_model
{{Méta bandeau
| niveau = information
| icône = important
| texte = Penser à réattribuer les droits après chaque modification. }}
Enfin, on active le nouveau dossier :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>'/var/www/nextcloud/mon_model'</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
= Application =
Les applications s'installent via la GUI de l'administrateur :

[[File:Menu applications.PNG|border| Par ici les apps!]]

Certaines demandent cependant des interventions supplémentaires.

== Antivirus ClamAV ==
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = L'antivirus scannera tous les fichiers envoyés à la fin de leur téléchargement, ce qui bloquera l'envoie à 100% (sans message d'avertissement) un certains temps suivant le fichier et la puissance de votre processeur (un seul cœur par fichier)
}}
=== Installation ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/antivirus_configuration.html Source]

Il faut simplement installer l'antivirus sur le serveur :
# apt-get install clamav clamav-daemon
Puis installer "'''Antivirus for files'''" depuis [[#Application|la GUI de l'administrateur]].
Voila!
=== Configuration ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = La configuration se fait via le menu "'''Sécurité'''" du menu "Paramètres" -> "Administration" de l'utilisateur admin. Par défaut les fichiers vérolés ne sont que signalés dans les log, l'on peut par exemple demander leur effacement.
}}
[[File:Configuration CLAMAV.PNG|border|vade retro satanas!]]

== Support de Stockages Externes ==

Il faut activer "'''External storage support'''" via [[#Application|la GUI de l'administrateur]]. Un nouveau menu "'''Stockages Externes'''" apparaitra dans la console d'administration de l'administrateur.

[[File:Stockages externes.PNG|border| Menu Stockages Externes]]

=== Partages CIFS/Samba ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/external_storage/smb.html source]

Par défaut les partages dit de types Windows ne sont pas disponible, il suffit d'installer les paquets suivants :
# apt install smbclient libsmbclient

== Collabora Online ==
=== Client ===
On installe l'application "'''Collabora Online'''" via [[#Application|la GUI de l'administrateur]].
=== Serveur ===
[https://www.linuxbabe.com/ubuntu/integrate-collabora-onlinenextcloud-without-docker Source] [https://www.collaboraoffice.com/code/linux-packages/ Autre source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Pour des performances optimales nous allons installer le serveur nativement, il sera derrière un reverse-proxy NGINX.
}}
On active le dépôt de Collabora :
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 0C54D189F4BA284D
# echo 'deb https://www.collaboraoffice.com/repos/CollaboraOnline/CODE-ubuntu2004 ./' >> /etc/apt/sources.list
On installe le serveur de base :
# apt update && apt upgrade
# apt install loolwsd code-brand
On installe les modules de langue désirés (ici français, espagnol et anglais)
# apt install collaboraofficebasis6.4-fr collaboraofficebasis6.4-es collaboraofficebasis6.4-en-gb collaboraofficebasis6.4-en-us
On désactive la prise en charge du certificat SSL en local et on l'active pour le proxy :
# loolconfig set ssl.enable false
# loolconfig set ssl.termination true
On autorise notre serveur à se connecter :
# loolconfig set storage.wopi.host nextcloud.example.com
On redémarre le serveur Collabora pour activer les changements :
# systemctl restart loolwsd

=== Reverse-Proxy ===
Exemple de VHost pour le reverse proxy :

server {
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/collabora.exemple.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/collabora.exemple.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

add_header Strict-Transport-Security "max-age=31536000" always; # managed by Certbot

ssl_trusted_certificate /etc/letsencrypt/live/collabora.exemple.com/chain.pem; # managed by Certbot
ssl_stapling on; # managed by Certbot
ssl_stapling_verify on; # managed by Certbot
}

server {
if ($host = collabora.exemple.com) {
return 301 <nowiki>https://</nowiki>$host$request_uri;
} # managed by Certbot

listen 80;
listen [::]:80;
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = 12.34.56.789:9980 est l'adresse IP:port du serveur Collabora (pour le proxy), il peut être installé indépendamment du serveur NextCloud, sur un autre serveur/VM.
}}

=== Liaison Client/Serveur ===
On se rend dans le menu "'''Collabora Online'''" du menu d'administration de l'admin :

[[File:Menu Collabora.PNG|border|Ça se passe par ici]] [[File:Liaison Collabora.PNG|border|Menu de configuration pour l'accès au serveur Collabora.]]

== Webmail RainLoop intégré ==

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Il existe une application "'''Mail'''" native qui ne nécessite pas de configuration particulière, au moment ou j'écris ce guide j'ai des soucies de performances avec mes nombreux mails, Rainloop de son côté est impeccable (et me semble bien plus avancé).
}}
=== Installation et configuration ===

On installe l'application "'''RainLopp'''" via [[#Application|la GUI de l'administrateur]] puis on se rend dans le menu "'''Paramètres'''" -> "'''Administration'''" -> "'''Paramètres supplémentaires'''" et on clique sur "'''Accédez à la page d'administration de RainLoop'''"
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Si vous avez l'erreur "[202] Data folder permissions error [is_dir]" il vous manque la variable "[[#datadirectory| datadirectory]]".
}}

[[File:Menu Parametres Supplementaires.PNG|border|Menu Paramètres supplémentaires.]] [[File:Menu admin RainLoop.PNG|border|Accès menu administration RainLoop.]]

Il faut se connecter avec l'utilisateur "'''admin'''" et le mot de passe par défaut "'''12345'''"

{{Méta bandeau
| niveau = grave
| icône = important
| texte = Remplacer immédiatement le mot de passe de l'administrateur dans le menu "Sécurité" (ou "Security") à gauche.
}}
----
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le message d'erreur suivant en rouge (RainLoop data folder is accessible.) est un faux positif lié à son intégration dans NextCloud, ne pas en tenir compte.
}}

[[File:Faux_positif_RainLoop.PNG|border|Ça fait peut n'est-ce pas ? Aucun problème réel cependant :)]]
----
=== Activation de la fonction "Contacts" ===
==== Création de la base de données ====
{{Méta bandeau
| niveau = information
| icône = important
| texte = Utiliser un mot de passe différent de root mysql.
}}
# mysql -U

MariaDB [(none)]> create database rainloop;
MariaDB [(none)]> create user rainloop@localhost identified by 'motdepasse';
MariaDB [(none)]> grant all privileges on rainloop.* to rainloop@localhost IDENTIFIED BY 'motdepasse';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> quit;

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = nom de la base de données / nom de l'utilisateur de la base de données
}}
==== Activation (GUI) ====
Depuis le menu "'''Contacts'''" de la [[#Installation_et_configuration|page d'administration de Rainloop]] :

[[File:Contacts RainLoop.PNG|border| Page de configuration des contacts]]
=== Ajouter un domaine ===
Par défaut seul les comptes mails du domaine "gmail.com" sont autorisés à être enregistrés par les utilisateurs, il faut passer par le menu "'''domaines'''" de [[#Installation_et_configuration|page d'administration de Rainloop]] pour en ajouter :

[[File:Domaines rainloop.PNG|border|Par ici pour autoriser de nouveaux domaine.]]
=== Quelques Exemples ===
==== Domaine laposte.net ====
[[File:Domaine laposte net.PNG|border| Configuration du domaine "laposte.net"]]
==== Domaine yahoo.fr ====
[[File:Domaine yahoo fr.PNG|border|Configuration du domaine "yahoo.fr"]]
==== Domaine Office365 ====
[[File:Domaine office365.PNG|borde|Configuration d'un domain Office365]]
=== Connexion automatique de l'utilisateur ===
Il est possible de connecter automatiquement une boite mail afin que l'utilisateur n'ai pas à rentrer de nouveau ses identifiants courriel une fois déjà connecté à NextCloud. Il suffit de se rendre, depuis le compte utilisateur idoine, dans le menu "'''Paramètres'''" -> "'''Paramètres supplémentaires'''" -> "'''Webmail Rainloop'''"

[[File:Connexion auto RainLoop.PNG|border|Menu de connexion automatique RainLoop]]

=== Connexion compte Google protégé ===
Il n'y a pas de réel module de connexion OAuth 2 avec RainLoop, pas la peine de configurer l'intégration à Google il vous faudrait de toutes façons activés les connexions "moins sécurisées". Il est donc fortement conseillé de passer par [https://support.google.com/mail/answer/185833?hl=fr '''les mots de passe d'application'''].
== Application "Maps" (Cartes) ==
=== The "unique" column option is not supported ===
Au moment ou ce guide est rédigé, l'application "Maps" refuse de s'activer avec le message '''The "unique" column option is not supported'''.
Il faut donc appliquer [https://github.com/nextcloud/maps/pull/568/commits/b7875f063bf86bb3385f6227bdaaeeebb59413fe '''ce patch''']

(Il faut supprimer les lignes en rouge et ajouter les lignes en verte)

Les fichiers sont, dans l'ordre, les suivants :

/var/www/nextcloud/apps/maps/lib/Migration/Version000009Date20190625000800.php

/var/www/nextcloud/apps/maps/lib/Migration/Version000012Date20190722184716.php

/var/www/nextcloud/apps/maps/lib/Migration/Version000013Date20190723185417.php
== Application "Face Recognition" (Reconnaissance Facial) ==
=== Dépendance ===
[https://github.com/matiasdelellis/facerecognition/wiki/Installation#ubuntu-focal Source]

Pour résourdre l'erreur "'''App "Face Recognition" cannot be installed because the following dependencies are not fulfilled: The library pdlib is not available.'''"

# echo "deb https://repo.delellis.com.ar focal focal" > /etc/apt/sources.list.d/20-pdlib.list
# wget -qO - https://repo.delellis.com.ar/repo.gpg.key | sudo apt-key add -
# apt update
# apt install php7.4-pdlib
On corrige un bug..
# rm /etc/php/7.4/apache2/conf.d/20-pdlib.ini
# ln -s /etc/php/7.4/mods-available/20-pdlib.ini /etc/php/7.4/apache2/conf.d/20-pdlib.ini
# apache2ctl restart
=== Configuration et installation du modèle de reconnaissance (Models) ===
[https://github.com/matiasdelellis/facerecognition/wiki/Models#install-models Source models] [https://github.com/matiasdelellis/facerecognition/wiki/PHP-memory_limit Source mémoire PHP] [https://github.com/matiasdelellis/facerecognition Source commandes]

Nous allons installer et activer le modèle de détection le plus précis, le modèle 4 (nécessite l'installation du modèle 1 & 3).

Il faut tout d'abord augmenter la limite de mémoire PHP (min 1G/max 4g) :
# vi /etc/php/7.4/apache2/php.ini

...
memory_limit = 2048M
...

# apachectl graceful

Puis on installe les modèles (le dernier installé sera activé) :
# cd /var/www/nextcloud/
# sudo -u www-data php occ face:setup --model 1
# sudo -u www-data php occ face:setup --model 3
# sudo -u www-data php occ face:setup --model 4
=== Vérification et configuration de l'application ===
On se rend avec le compte "admin" dans le menu "'''Paramètres'''" -> "'''Administration'''" -> "'''Reconnaissance faciale'''" pour vérifier que la pastille est verte et modifier la configuration si nécessaire..

[[File:Reco face.PNG|border|Prêt à pister vos connaissances!]]
== Application "Intégration Google" ==
Après avoir installer l'application via [[#Application|le menu de l'administrateur]] et créé un [https://cloud.google.com/appengine/docs/standard/nodejs/building-app/creating-project?hl=fr Projet Cloud Google], il faudra inscrire votre site Nextcloud sur le projet puis importer les identifiants via l'utilisateur "admin" dans "'''Paramètres'''" -> "'''Administration'''" -> "'''Comptes connextés'''"
=== Côté Google ===
[[File:Google cloud1.PNG|border|Choix du type d'authentification]]

[[File:Google cloud2.PNG|border|Choix du type d'application]]

[[File:Google cloud3.PNG|border|On inscrit son site NextCloud]]

[[File:Google cloud4.PNG|border|On récupère les identifiants]]
=== Côté NextCloud ===
[[File:Google_Comptes_Co.PNG|border|ça se passe par ici.]][[File:Google Comptes Co2.PNG|border|Page de configuration]]
=== Import Google ===
Depuis l'utilisateur idoine on se rend dans le menu "'''Paramètres'''" -> "'''Migration de données'''" et on clique simplement sur "'''Se connecter à Google'''"

[[File:Google import.PNG|border|Menu d'importation Google]]

NextCloud

2021-04-16T20:21:25Z

192.168.1.205 : /* Serveur SQL MariarDB */

= LXC Ubuntu 20.04 =
== Installation Serveur ==
[https://docs.nextcloud.com/server/stable/admin_manual/installation/index.html '''Source'''] [https://www.linuxbabe.com/ubuntu/install-nextcloud-ubuntu-20-04-apache-lamp-stack '''autre source''']

# apt update && apt upgrade
=== Archive NextCloud ===
[https://nextcloud.com/install/# '''Page de téléchargement''']
# apt install unzip
# cd /tmp/
# wget <nowiki>https://download.nextcloud.com/server/releases/</nowiki>nextcloud-21.0.1.zip
# unzip nextcloud-21.0.1.zip -d /var/www/
# rm nextcloud-21.0.1.zip
# chown -R www-data. /var/www/nextcloud

=== Serveur SQL MariarDB ===
Installation :
# apt install mariadb-server
On lance le script pour attribuer un mot de passe root, virer l'utilisateur anonyme etc.
# mysql_secure_installation

Set root password? [Y/n] '''y'''

Remove anonymous users? [Y/n] '''y'''

Disallow root login remotely? [Y/n] '''y'''

Remove test database and access to it? [Y/n] '''y'''

Reload privilege tables now? [Y/n] '''y'''
... Success!

On créé la base de donnée pour NextCloud :
{{Méta bandeau
| niveau = information
| icône = important
| texte = Utiliser un mot de passe différent de root mysql.
}}
# mysql -U

MariaDB [(none)]> create database nextcloud;
MariaDB [(none)]> create user nextcloud@localhost identified by 'motdepasse';
MariaDB [(none)]> grant all privileges on nextcloud.* to nextcloud@localhost IDENTIFIED BY 'motdepasse';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> quit;

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = nom de la base de données / nom de l'utilisateur de la base de données
}}

=== Installation de Apache2 & PHP7.4 ===
# apt install imagemagick php-imagick libapache2-mod-php7.4 php7.4-common php7.4-mysql php7.4-fpm php7.4-gd php7.4-json php7.4-curl php7.4-zip php7.4-xml php7.4-mbstring php7.4-bz2 php7.4-intl php7.4-bcmath php7.4-gmp
On créé le vhost local :
# vi /etc/apache2/sites-available/nextcloud.conf

Alias /nextcloud "/var/www/nextcloud/"

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews

<IfModule mod_dav.c>
Dav off
</IfModule>

</Directory>
On active le site :
# a2ensite nextcloud.conf
On active quelques modules :
# a2enmod rewrite
# a2enmod headers
# a2enmod env
# a2enmod dir
# a2enmod mime
On active SSL :
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = ici un certificat auto-signé pour ensuite être placé derrière un reverse-proxy NGINX.
}}
# a2enmod ssl
# a2ensite default-ssl
# systemctl reload apache2
=== Configuration de NextCloud ===
On se rend sur l'adresse <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ et on rempli les champs indiqués puis ont clique sur "Terminer l'installation".

[[File:Page Installation 2.PNG|Page d'installation NextCloud]]

Si message d'erreur pas de panique, on retourne sur <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ pour vérifier que tout s'est bien déroulé.

[[File:Page 1er acceuil.PNG|Page de première connexion.]]

=== Configuration Reverse-Proxy NGINX ===
==== VHost NextCloud ====

Exemple de vhost pour NextCloud :

server {
listen 80;
listen [::]:80;
server_name nextcloud.exemple.com;
# return 404;
return 301 <nowiki>https</nowiki>://$host$request_uri;
}

server {
server_name nextcloud.exemple.com;
error_page 403 <nowiki>https</nowiki>://nextcloud.exemple.com;

location / {
'''client_max_body_size 0;''' # 0 supprime la limite d'upload
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Protocol $scheme;
proxy_set_header X-Forwarded-Host $http_host;
proxy_pass <nowiki>https</nowiki>://IP_SERVEUR_NEXTCLOUD/nextcloud/;
}

listen [::]:443 ssl; # managed by Certbot
listen 443 ssl; # managed by Certbot

ssl_certificate /etc/letsencrypt/live/nextcloud.exemple.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nextcloud.exemple.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
add_header Strict-Transport-Security "max-age=31536000" always;
ssl_trusted_certificate /etc/letsencrypt/live/nextcloud.exemple.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;

location ^~ /.well-known {
# The following 6 rules are borrowed from `.htaccess`

location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }
# Anything else is dynamically handled by Nextcloud
location ^~ /.well-known { return 301 /index.php$uri; }

try_files $uri $uri/ =404;
}

}

==== Configuration de Nextcloud ====
On modifie le fichier de configuration de NextCloud pour qu'il accepte le nom de domaine et le reverse proxy :
NextCloud ~# vi /var/www/nextcloud/config/config.php

...
'trusted_domains' =>
array (
0 => '12.34.56.789',
1 => 'nextcloud.exemple.com',
),
'trusted_proxies' =>
array (
0 => 'IP_PROXY',
),
'overwritewebroot' => '/',
...

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = NextCloud sera maintenant accessible via nextcloud.exemple.com et non IP_SERVEUR_NEXTCLOUD/nextcloud/
}}

== Post-Installation ==
NextCloud est maintenant fonctionnel, mais si vous vous rendez, depuis la page de l'administrateur, sur Administrateur -> Paramètres -> Vue d'ensemble .

[[File:Vue d'ensemble.PNG|border|Accès du menu "Vue d'ensemble"]]

Il reste quelques réglages à effectués. (3 si vous avez suivie ce tutorial).

[[File:Erreur post install.PNG|border|Message d'erreurs post installation]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = "Vue d'ensemble" est également le menu pour effectuer les mise à jours de NextCloud
}}

=== (optionnel) Jolie URL ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Ceci ne règle pas d'erreur mais permet d'avoir une URL plus esthétique.
}}
# vi /var/www/nextcloud/config/config.php

...
'installed' => true,
'overwrite.cli.url' => '<nowiki>https</nowiki>://nextcloud.exemple.com/nextcloud',
'htaccess.RewriteBase' => '/nextcloud',
);

# cd /var/www/nextcloud/
# sudo -u www-data php /var/www/nextcloud/occ maintenance:update:htaccess
=== Limite de mémoire PHP à 512 Mo ===
# vi /etc/php/7.4/apache2/php.ini

...
memory_limit = 512M
...

# apache2ctl graceful
=== Préfixe de région par défaut ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Exemple avec la France.
}}
# vi /var/www/nextcloud/config/config.php

...
'htaccess.RewriteBase' => '/nextcloud',
'default_phone_region' => 'FR',
);
=== Memcache via Redis & APCu ===
[https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-lts-with-redis-apcu-ssl-apache/#4-1-update-the-server-install-lamp-apcu-redis source]
# apt install redis-server php-redis php-apcu
# vi /etc/redis/redis.conf
Il faut activer les deux ligne suivantes en supprimant le "#" devant + modification des droits :
unixsocket /var/run/redis/redis-server.sock
unixsocketperm 770
On désactive l'écoute TCP :
port 0

# usermod -a -G redis www-data
# systemctl restart redis
# systemctl restart apache2
Enfin, on édite Nextcloud pour utiliser Redis :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'memcache.local' => '\OC\Memcache\APCu',
'memcache.locking' => '\OC\Memcache\Redis',
'memcache.distributed' => '\OC\Memcache\Redis',
'redis' =>
array (
'host' => '/var/run/redis/redis-server.sock',
'port' => 0,
'timeout' => 1.5,
),
);

Il faut activer APCu dans "cli" pour éviter un bug avec certaines commandes :
# vi /etc/php/7.4/cli/conf.d/20-apcu.ini

extension=apcu.so
apc.enable_cli=1

=== Test final ===
On retoune dans le menu [[#Post-Installation|"Vue d'ensemble"]], normalement tous les tests devraient être validés :

[[File:Test réussie.PNG|border|Satisfaisant non ? :)]]

Comme suggéré on se rend sur [https://scan.nextcloud.com/ '''ce site'''] pour tester le niveau de sécurité de notre serveur NextCloud, si tout va bien vous devriez obtenir ceci :

[[File:Test sécurité.PNG|border|une note comme j'aurais aimé en avoir à l'école.]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = En plus du niveau "A+", tout doit être validé avec l'encoche verte dans "Hardennings" et "Setup" en dessous.
}}
=== Crontab ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/background_jobs_configuration.html Source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Par défaut les tâches de fond sont lancés en naviguant, ce qui n'est pas optimal et incompatible avec certaines applications. il est préférable d'utiliser crontab ou systemd.
}}

# vi /etc/systemd/system/nextcloudcron.service

[Unit]
Description=Nextcloud cron.php job

[Service]
User=www-data
ExecStart=/usr/bin/php -f /var/www/nextcloud/cron.php
KillMode=process

Puis

# vi /etc/systemd/system/nextcloudcron.timer

[Unit]
Description=Run Nextcloud cron.php every 5 minutes

[Timer]
OnBootSec=5min
OnUnitActiveSec=5min
Unit=nextcloudcron.service

[Install]
WantedBy=timers.target

On active les scripts :

# systemctl enable --now nextcloudcron.timer

On peut ensuite se rendre dans "Paramètres" -> "Paramètres de base" pour vérifier que le changement est prise en compte :

[[File:Paramètres de base.PNG|border|C'est par ici]]
[[File:Crontab active.PNG|border| Activation confirmé]]

=== datadirectory ===
Variable nécessaire pour certaines applications comme RainLoop :
# vi /var/www/nextcloud/config/config.php

...
'overwritewebroot' => '/',
'datadirectory' => '/var/www/nextcloud/data',
'dbtype' => 'mysql',
...
=== Désactiver le découpage des 10Mb ===
Par default NextCloud découpe les téléchargement en portion de 10Mb, ce qui peut grandement ralentir les envoies de fichier imposant, pour le désactiver :
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set files max_chunk_size --value 0
=== Désactivé les "espaces de travails riches" ===
[https://github.com/nextcloud/text/pull/748 Source]

Une fonction que je n'ai jamais utilisé, crée des fichier "readme.md" et des messages d'érreurs.. a voir.
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set text workspace_available --value=0

= Astuces de personnalisation =
== Fichiers par défaut ==
Lorsque l'on créé un nouvel utilisateur, Nextcloud peuplera le nouveau dossier personnel avec le contenu de "/var/www/nextcloud/core/skeleton". Par défaut tous les utilisateurs se retrouveront donc avec diverse images et fichiers d'exemple sans intérêt.
{{Méta bandeau
| niveau = information
| icône = important
| texte = Il ne faut pas modifier le répertoire par défaut "/var/www/nextcloud/core/skeleton" sinon tous vos changements seront perdu à la prochaine mise a jour.
}}
=== Désativation du modèle de création ===

# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>''</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
=== Modèle de création personnalisé ===

Création du dossier pour le modèle :

# mkdir /var/www/nextcloud/mon_model

Ensuite on peut créer/copier les dossiers/fichiers que l'on souhaite à l'intérieur. Puis l'on attribue les droits au dossier et son contenu :
# chown -R www-data. /var/www/nextcloud/mon_model
{{Méta bandeau
| niveau = information
| icône = important
| texte = Penser à réattribuer les droits après chaque modification. }}
Enfin, on active le nouveau dossier :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>'/var/www/nextcloud/mon_model'</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
= Application =
Les applications s'installent via la GUI de l'administrateur :

[[File:Menu applications.PNG|border| Par ici les apps!]]

Certaines demandent cependant des interventions supplémentaires.

== Antivirus ClamAV ==
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = L'antivirus scannera tous les fichiers envoyés à la fin de leur téléchargement, ce qui bloquera l'envoie à 100% (sans message d'avertissement) un certains temps suivant le fichier et la puissance de votre processeur (un seul cœur par fichier)
}}
=== Installation ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/antivirus_configuration.html Source]

Il faut simplement installer l'antivirus sur le serveur :
# apt-get install clamav clamav-daemon
Puis installer "'''Antivirus for files'''" depuis [[#Application|la GUI de l'administrateur]].
Voila!
=== Configuration ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = La configuration se fait via le menu "'''Sécurité'''" du menu "Paramètres" -> "Administration" de l'utilisateur admin. Par défaut les fichiers vérolés ne sont que signalés dans les log, l'on peut par exemple demander leur effacement.
}}
[[File:Configuration CLAMAV.PNG|border|vade retro satanas!]]

== Support de Stockages Externes ==

Il faut activer "'''External storage support'''" via [[#Application|la GUI de l'administrateur]]. Un nouveau menu "'''Stockages Externes'''" apparaitra dans la console d'administration de l'administrateur.

[[File:Stockages externes.PNG|border| Menu Stockages Externes]]

=== Partages CIFS/Samba ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/external_storage/smb.html source]

Par défaut les partages dit de types Windows ne sont pas disponible, il suffit d'installer les paquets suivants :
# apt install smbclient libsmbclient

== Collabora Online ==
=== Client ===
On installe l'application "'''Collabora Online'''" via [[#Application|la GUI de l'administrateur]].
=== Serveur ===
[https://www.linuxbabe.com/ubuntu/integrate-collabora-onlinenextcloud-without-docker Source] [https://www.collaboraoffice.com/code/linux-packages/ Autre source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Pour des performances optimales nous allons installer le serveur nativement, il sera derrière un reverse-proxy NGINX.
}}
On active le dépôt de Collabora :
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 0C54D189F4BA284D
# echo 'deb https://www.collaboraoffice.com/repos/CollaboraOnline/CODE-ubuntu2004 ./' >> /etc/apt/sources.list
On installe le serveur de base :
# apt update && apt upgrade
# apt install loolwsd code-brand
On installe les modules de langue désirés (ici français, espagnol et anglais)
# apt install collaboraofficebasis6.4-fr collaboraofficebasis6.4-es collaboraofficebasis6.4-en-gb collaboraofficebasis6.4-en-us
On désactive la prise en charge du certificat SSL en local et on l'active pour le proxy :
# loolconfig set ssl.enable false
# loolconfig set ssl.termination true
On autorise notre serveur à se connecter :
# loolconfig set storage.wopi.host nextcloud.example.com
On redémarre le serveur Collabora pour activer les changements :
# systemctl restart loolwsd

=== Reverse-Proxy ===
Exemple de VHost pour le reverse proxy :

server {
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/collabora.exemple.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/collabora.exemple.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

add_header Strict-Transport-Security "max-age=31536000" always; # managed by Certbot

ssl_trusted_certificate /etc/letsencrypt/live/collabora.exemple.com/chain.pem; # managed by Certbot
ssl_stapling on; # managed by Certbot
ssl_stapling_verify on; # managed by Certbot
}

server {
if ($host = collabora.exemple.com) {
return 301 <nowiki>https://</nowiki>$host$request_uri;
} # managed by Certbot

listen 80;
listen [::]:80;
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = 12.34.56.789:9980 est l'adresse IP:port du serveur Collabora (pour le proxy), il peut être installé indépendamment du serveur NextCloud, sur un autre serveur/VM.
}}

=== Liaison Client/Serveur ===
On se rend dans le menu "'''Collabora Online'''" du menu d'administration de l'admin :

[[File:Menu Collabora.PNG|border|Ça se passe par ici]] [[File:Liaison Collabora.PNG|border|Menu de configuration pour l'accès au serveur Collabora.]]

== Webmail RainLoop intégré ==

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Il existe une application "'''Mail'''" native qui ne nécessite pas de configuration particulière, au moment ou j'écris ce guide j'ai des soucies de performances avec mes nombreux mails, Rainloop de son côté est impeccable (et me semble bien plus avancé).
}}
=== Installation et configuration ===

On installe l'application "'''RainLopp'''" via [[#Application|la GUI de l'administrateur]] puis on se rend dans le menu "'''Paramètres'''" -> "'''Administration'''" -> "'''Paramètres supplémentaires'''" et on clique sur "'''Accédez à la page d'administration de RainLoop'''"
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Si vous avez l'erreur "[202] Data folder permissions error [is_dir]" il vous manque la variable "[[#datadirectory| datadirectory]]".
}}

[[File:Menu Parametres Supplementaires.PNG|border|Menu Paramètres supplémentaires.]] [[File:Menu admin RainLoop.PNG|border|Accès menu administration RainLoop.]]

Il faut se connecter avec l'utilisateur "'''admin'''" et le mot de passe par défaut "'''12345'''"

{{Méta bandeau
| niveau = grave
| icône = important
| texte = Remplacer immédiatement le mot de passe de l'administrateur dans le menu "Sécurité" (ou "Security") à gauche.
}}
----
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le message d'erreur suivant en rouge (RainLoop data folder is accessible.) est un faux positif lié à son intégration dans NextCloud, ne pas en tenir compte.
}}

[[File:Faux_positif_RainLoop.PNG|border|Ça fait peut n'est-ce pas ? Aucun problème réel cependant :)]]
----
Toujours sur la page d'accueil de l'administration de RainLoop (menu "génénral"), on peut voir que les limitations de PHP ne correspondent pas aux valeur par défaut de RainLoop :

NextCloud

2021-04-16T13:20:17Z

192.168.1.205 : /* Reverse-Proxy */

= LXC Ubuntu 20.04 =
== Installation Serveur ==
[https://docs.nextcloud.com/server/stable/admin_manual/installation/index.html '''Source'''] [https://www.linuxbabe.com/ubuntu/install-nextcloud-ubuntu-20-04-apache-lamp-stack '''autre source''']

# apt update && apt upgrade
=== Archive NextCloud ===
[https://nextcloud.com/install/# '''Page de téléchargement''']
# apt install unzip
# cd /tmp/
# wget <nowiki>https://download.nextcloud.com/server/releases/</nowiki>nextcloud-21.0.1.zip
# unzip nextcloud-21.0.1.zip -d /var/www/
# rm nextcloud-21.0.1.zip
# chown -R www-data. /var/www/nextcloud

=== Serveur SQL MariarDB ===
Installation :
# apt install mariadb-server
On lance le script pour attribuer un mot de passe root, virer l'utilisateur anonyme etc.
# mysql_secure_installation

Set root password? [Y/n] '''y'''

Remove anonymous users? [Y/n] '''y'''

Disallow root login remotely? [Y/n] '''y'''

Remove test database and access to it? [Y/n] '''y'''

Reload privilege tables now? [Y/n] '''y'''
... Success!

On créé la base de donnée pour NextCloud :
{{Méta bandeau
| niveau = information
| icône = important
| texte = Utiliser un mot de passe différent de root mysql.
}}
# mysql -U

MariaDB [(none)]> create database nextcloud;
MariaDB [(none)]> create user nextcloud@localhost identified by 'motdepasse';
MariaDB [(none)]> grant all privileges on nextcloud.* to nextcloud@localhost IDENTIFIED BY 'motdepasse';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> quit;
=== Installation de Apache2 & PHP7.4 ===
# apt install imagemagick php-imagick libapache2-mod-php7.4 php7.4-common php7.4-mysql php7.4-fpm php7.4-gd php7.4-json php7.4-curl php7.4-zip php7.4-xml php7.4-mbstring php7.4-bz2 php7.4-intl php7.4-bcmath php7.4-gmp
On créé le vhost local :
# vi /etc/apache2/sites-available/nextcloud.conf

Alias /nextcloud "/var/www/nextcloud/"

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews

<IfModule mod_dav.c>
Dav off
</IfModule>

</Directory>
On active le site :
# a2ensite nextcloud.conf
On active quelques modules :
# a2enmod rewrite
# a2enmod headers
# a2enmod env
# a2enmod dir
# a2enmod mime
On active SSL :
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = ici un certificat auto-signé pour ensuite être placé derrière un reverse-proxy NGINX.
}}
# a2enmod ssl
# a2ensite default-ssl
# systemctl reload apache2
=== Configuration de NextCloud ===
On se rend sur l'adresse <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ et on rempli les champs indiqués puis ont clique sur "Terminer l'installation".

[[File:Page Installation 2.PNG|Page d'installation NextCloud]]

Si message d'erreur pas de panique, on retourne sur <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ pour vérifier que tout s'est bien déroulé.

[[File:Page 1er acceuil.PNG|Page de première connexion.]]

=== Configuration Reverse-Proxy NGINX ===
==== VHost NextCloud ====

Exemple de vhost pour NextCloud :

server {
listen 80;
listen [::]:80;
server_name nextcloud.exemple.com;
# return 404;
return 301 <nowiki>https</nowiki>://$host$request_uri;
}

server {
server_name nextcloud.exemple.com;
error_page 403 <nowiki>https</nowiki>://nextcloud.exemple.com;

location / {
'''client_max_body_size 0;''' # 0 supprime la limite d'upload
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Protocol $scheme;
proxy_set_header X-Forwarded-Host $http_host;
proxy_pass <nowiki>https</nowiki>://IP_SERVEUR_NEXTCLOUD/nextcloud/;
}

listen [::]:443 ssl; # managed by Certbot
listen 443 ssl; # managed by Certbot

ssl_certificate /etc/letsencrypt/live/nextcloud.exemple.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nextcloud.exemple.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
add_header Strict-Transport-Security "max-age=31536000" always;
ssl_trusted_certificate /etc/letsencrypt/live/nextcloud.exemple.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;

location ^~ /.well-known {
# The following 6 rules are borrowed from `.htaccess`

location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }
# Anything else is dynamically handled by Nextcloud
location ^~ /.well-known { return 301 /index.php$uri; }

try_files $uri $uri/ =404;
}

}

==== Configuration de Nextcloud ====
On modifie le fichier de configuration de NextCloud pour qu'il accepte le nom de domaine et le reverse proxy :
NextCloud ~# vi /var/www/nextcloud/config/config.php

...
'trusted_domains' =>
array (
0 => '12.34.56.789',
1 => 'nextcloud.exemple.com',
),
'trusted_proxies' =>
array (
0 => 'IP_PROXY',
),
'overwritewebroot' => '/',
...

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = NextCloud sera maintenant accessible via nextcloud.exemple.com et non IP_SERVEUR_NEXTCLOUD/nextcloud/
}}

== Post-Installation ==
NextCloud est maintenant fonctionnel, mais si vous vous rendez, depuis la page de l'administrateur, sur Administrateur -> Paramètres -> Vue d'ensemble .

[[File:Vue d'ensemble.PNG|border|Accès du menu "Vue d'ensemble"]]

Il reste quelques réglages à effectués. (3 si vous avez suivie ce tutorial).

[[File:Erreur post install.PNG|border|Message d'erreurs post installation]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = "Vue d'ensemble" est également le menu pour effectuer les mise à jours de NextCloud
}}

=== (optionnel) Jolie URL ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Ceci ne règle pas d'erreur mais permet d'avoir une URL plus esthétique.
}}
# vi /var/www/nextcloud/config/config.php

...
'installed' => true,
'overwrite.cli.url' => '<nowiki>https</nowiki>://nextcloud.exemple.com/nextcloud',
'htaccess.RewriteBase' => '/nextcloud',
);

# cd /var/www/nextcloud/
# sudo -u www-data php /var/www/nextcloud/occ maintenance:update:htaccess
=== Limite de mémoire PHP à 512 Mo ===
# vi /etc/php/7.4/apache2/php.ini

...
memory_limit = 512M
...

# apache2ctl graceful
=== Préfixe de région par défaut ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Exemple avec la France.
}}
# vi /var/www/nextcloud/config/config.php

...
'htaccess.RewriteBase' => '/nextcloud',
'default_phone_region' => 'FR',
);
=== Memcache via Redis & APCu ===
[https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-lts-with-redis-apcu-ssl-apache/#4-1-update-the-server-install-lamp-apcu-redis source]
# apt install redis-server php-redis php-apcu
# vi /etc/redis/redis.conf
Il faut activer les deux ligne suivantes en supprimant le "#" devant + modification des droits :
unixsocket /var/run/redis/redis-server.sock
unixsocketperm 770
On désactive l'écoute TCP :
port 0

# usermod -a -G redis www-data
# systemctl restart redis
# systemctl restart apache2
Enfin, on édite Nextcloud pour utiliser Redis :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'memcache.local' => '\OC\Memcache\APCu',
'memcache.locking' => '\OC\Memcache\Redis',
'memcache.distributed' => '\OC\Memcache\Redis',
'redis' =>
array (
'host' => '/var/run/redis/redis-server.sock',
'port' => 0,
'timeout' => 1.5,
),
);

Il faut activer APCu dans "cli" pour éviter un bug avec certaines commandes :
# vi /etc/php/7.4/cli/conf.d/20-apcu.ini

extension=apcu.so
apc.enable_cli=1

=== Test final ===
On retoune dans le menu [[#Post-Installation|"Vue d'ensemble"]], normalement tous les tests devraient être validés :

[[File:Test réussie.PNG|border|Satisfaisant non ? :)]]

Comme suggéré on se rend sur [https://scan.nextcloud.com/ '''ce site'''] pour tester le niveau de sécurité de notre serveur NextCloud, si tout va bien vous devriez obtenir ceci :

[[File:Test sécurité.PNG|border|une note comme j'aurais aimé en avoir à l'école.]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = En plus du niveau "A+", tout doit être validé avec l'encoche verte dans "Hardennings" et "Setup" en dessous.
}}
=== Crontab ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/background_jobs_configuration.html Source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Par défaut les tâches de fond sont lancés en naviguant, ce qui n'est pas optimal et incompatible avec certaines applications. il est préférable d'utiliser crontab ou systemd.
}}

# vi /etc/systemd/system/nextcloudcron.service

[Unit]
Description=Nextcloud cron.php job

[Service]
User=www-data
ExecStart=/usr/bin/php -f /var/www/nextcloud/cron.php
KillMode=process

Puis

# vi /etc/systemd/system/nextcloudcron.timer

[Unit]
Description=Run Nextcloud cron.php every 5 minutes

[Timer]
OnBootSec=5min
OnUnitActiveSec=5min
Unit=nextcloudcron.service

[Install]
WantedBy=timers.target

On active les scripts :

# systemctl enable --now nextcloudcron.timer

On peut ensuite se rendre dans "Paramètres" -> "Paramètres de base" pour vérifier que le changement est prise en compte :

[[File:Paramètres de base.PNG|border|C'est par ici]]
[[File:Crontab active.PNG|border| Activation confirmé]]

=== datadirectory ===
Variable nécessaire pour certaines applications comme RainLoop :
# vi /var/www/nextcloud/config/config.php

...
'overwritewebroot' => '/',
'datadirectory' => '/var/www/nextcloud/data',
'dbtype' => 'mysql',
...
=== Désactiver le découpage des 10Mb ===
Par default NextCloud découpe les téléchargement en portion de 10Mb, ce qui peut grandement ralentir les envoies de fichier imposant, pour le désactiver :
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set files max_chunk_size --value 0
=== Désactivé les "espaces de travails riches" ===
[https://github.com/nextcloud/text/pull/748 Source]

Une fonction que je n'ai jamais utilisé, crée des fichier "readme.md" et des messages d'érreurs.. a voir.
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set text workspace_available --value=0

= Astuces de personnalisation =
== Fichiers par défaut ==
Lorsque l'on créé un nouvel utilisateur, Nextcloud peuplera le nouveau dossier personnel avec le contenu de "/var/www/nextcloud/core/skeleton". Par défaut tous les utilisateurs se retrouveront donc avec diverse images et fichiers d'exemple sans intérêt.
{{Méta bandeau
| niveau = information
| icône = important
| texte = Il ne faut pas modifier le répertoire par défaut "/var/www/nextcloud/core/skeleton" sinon tous vos changements seront perdu à la prochaine mise a jour.
}}
=== Désativation du modèle de création ===

# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>''</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
=== Modèle de création personnalisé ===

Création du dossier pour le modèle :

# mkdir /var/www/nextcloud/mon_model

Ensuite on peut créer/copier les dossiers/fichiers que l'on souhaite à l'intérieur. Puis l'on attribue les droits au dossier et son contenu :
# chown -R www-data. /var/www/nextcloud/mon_model
{{Méta bandeau
| niveau = information
| icône = important
| texte = Penser à réattribuer les droits après chaque modification. }}
Enfin, on active le nouveau dossier :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>'/var/www/nextcloud/mon_model'</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
= Application =
Les applications s'installent via la GUI de l'administrateur :

[[File:Menu applications.PNG|border| Par ici les apps!]]

Certaines demandent cependant des interventions supplémentaires.

== Antivirus ClamAV ==
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = L'antivirus scannera tous les fichiers envoyés à la fin de leur téléchargement, ce qui bloquera l'envoie à 100% (sans message d'avertissement) un certains temps suivant le fichier et la puissance de votre processeur (un seul cœur par fichier)
}}
=== Installation ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/antivirus_configuration.html Source]

Il faut simplement installer l'antivirus sur le serveur :
# apt-get install clamav clamav-daemon
Puis installer "'''Antivirus for files'''" depuis [[#Application|la GUI de l'administrateur]].
Voila!
=== Configuration ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = La configuration se fait via le menu "'''Sécurité'''" du menu "Paramètres" -> "Administration" de l'utilisateur admin. Par défaut les fichiers vérolés ne sont que signalés dans les log, l'on peut par exemple demander leur effacement.
}}
[[File:Configuration CLAMAV.PNG|border|vade retro satanas!]]

== Support de Stockages Externes ==

Il faut activer "'''External storage support'''" via [[#Application|la GUI de l'administrateur]]. Un nouveau menu "'''Stockages Externes'''" apparaitra dans la console d'administration de l'administrateur.

[[File:Stockages externes.PNG|border| Menu Stockages Externes]]

=== Partages CIFS/Samba ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/external_storage/smb.html source]

Par défaut les partages dit de types Windows ne sont pas disponible, il suffit d'installer les paquets suivants :
# apt install smbclient libsmbclient

== Collabora Online ==
=== Client ===
On installe l'application "'''Collabora Online'''" via [[#Application|la GUI de l'administrateur]].
=== Serveur ===
[https://www.linuxbabe.com/ubuntu/integrate-collabora-onlinenextcloud-without-docker Source] [https://www.collaboraoffice.com/code/linux-packages/ Autre source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Pour des performances optimales nous allons installer le serveur nativement, il sera derrière un reverse-proxy NGINX.
}}
On active le dépôt de Collabora :
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 0C54D189F4BA284D
# echo 'deb https://www.collaboraoffice.com/repos/CollaboraOnline/CODE-ubuntu2004 ./' >> /etc/apt/sources.list
On installe le serveur de base :
# apt update && apt upgrade
# apt install loolwsd code-brand
On installe les modules de langue désirés (ici français, espagnol et anglais)
# apt install collaboraofficebasis6.4-fr collaboraofficebasis6.4-es collaboraofficebasis6.4-en-gb collaboraofficebasis6.4-en-us
On désactive la prise en charge du certificat SSL en local et on l'active pour le proxy :
# loolconfig set ssl.enable false
# loolconfig set ssl.termination true
On autorise notre serveur à se connecter :
# loolconfig set storage.wopi.host nextcloud.example.com
On redémarre le serveur Collabora pour activer les changements :
# systemctl restart loolwsd

=== Reverse-Proxy ===
Exemple de VHost pour le reverse proxy :

server {
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/collabora.exemple.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/collabora.exemple.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

add_header Strict-Transport-Security "max-age=31536000" always; # managed by Certbot

ssl_trusted_certificate /etc/letsencrypt/live/collabora.exemple.com/chain.pem; # managed by Certbot
ssl_stapling on; # managed by Certbot
ssl_stapling_verify on; # managed by Certbot
}

server {
if ($host = collabora.exemple.com) {
return 301 <nowiki>https://</nowiki>$host$request_uri;
} # managed by Certbot

listen 80;
listen [::]:80;
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

}

12.34.56.789:9980 est l'adresse IP:port du serveur Collabora (pour le proxy), il peut être installer indépendamment du serveur NextCloud, sur un autre serveur/VM.

=== Liaison Client/Serveur ===
On se rend dans le menu "'''Collabora Online'''" du menu d'administration de l'admin :

[[File:Menu Collabora.PNG|border|Ça se passe par ici]] [[File:Liaison Collabora.PNG|border|Menu de configuration pour l'accès au serveur Collabora.]]

== Webmail RainLoop intégré ==

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Il existe une application "'''Mail'''" native qui ne nécessite pas de configuration particulière, au moment ou j'écris ce guide j'ai des soucies de performances avec mes nombreux mails, Rainloop de son côté est impeccable (et me semble bien plus avancé).
}}
=== Installation et configuration ===

On installe l'application "'''RainLopp'''" via [[#Application|la GUI de l'administrateur]] puis on se rend dans le menu "'''Paramètres'''" -> "'''Administration'''" -> "'''Paramètres supplémentaires'''" et on clique sur "'''Accédez à la page d'administration de RainLoop'''"
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Si vous avez l'erreur "[202] Data folder permissions error [is_dir]" il vous manque la variable "[[#datadirectory| datadirectory]]".
}}

[[File:Menu Parametres Supplementaires.PNG|border|Menu Paramètres supplémentaires.]] [[File:Menu admin RainLoop.PNG|border|Accès menu administration RainLoop.]]

Il faut se connecter avec l'utilisateur "'''admin'''" et le mot de passe par défaut "'''12345'''"

{{Méta bandeau
| niveau = grave
| icône = important
| texte = Remplacer immédiatement le mot de passe de l'administrateur dans le menu "Sécurité" (ou "Security") à gauche.
}}
----
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le message d'erreur suivant en rouge (RainLoop data folder is accessible.) est un faux positif lié à son intégration dans NextCloud, ne pas en tenir compte.
}}

[[File:Faux_positif_RainLoop.PNG|border|Ça fait peut n'est-ce pas ? Aucun problème réel cependant :)]]
----
Toujours sur la page d'accueil de l'administration de RainLoop (menu "génénral"), on peut voir que les limitations de PHP ne correspondent pas aux valeur par défaut de RainLoop :

NextCloud

2021-04-16T13:16:35Z

192.168.1.205 : /* Serveur */

= LXC Ubuntu 20.04 =
== Installation Serveur ==
[https://docs.nextcloud.com/server/stable/admin_manual/installation/index.html '''Source'''] [https://www.linuxbabe.com/ubuntu/install-nextcloud-ubuntu-20-04-apache-lamp-stack '''autre source''']

# apt update && apt upgrade
=== Archive NextCloud ===
[https://nextcloud.com/install/# '''Page de téléchargement''']
# apt install unzip
# cd /tmp/
# wget <nowiki>https://download.nextcloud.com/server/releases/</nowiki>nextcloud-21.0.1.zip
# unzip nextcloud-21.0.1.zip -d /var/www/
# rm nextcloud-21.0.1.zip
# chown -R www-data. /var/www/nextcloud

=== Serveur SQL MariarDB ===
Installation :
# apt install mariadb-server
On lance le script pour attribuer un mot de passe root, virer l'utilisateur anonyme etc.
# mysql_secure_installation

Set root password? [Y/n] '''y'''

Remove anonymous users? [Y/n] '''y'''

Disallow root login remotely? [Y/n] '''y'''

Remove test database and access to it? [Y/n] '''y'''

Reload privilege tables now? [Y/n] '''y'''
... Success!

On créé la base de donnée pour NextCloud :
{{Méta bandeau
| niveau = information
| icône = important
| texte = Utiliser un mot de passe différent de root mysql.
}}
# mysql -U

MariaDB [(none)]> create database nextcloud;
MariaDB [(none)]> create user nextcloud@localhost identified by 'motdepasse';
MariaDB [(none)]> grant all privileges on nextcloud.* to nextcloud@localhost IDENTIFIED BY 'motdepasse';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> quit;
=== Installation de Apache2 & PHP7.4 ===
# apt install imagemagick php-imagick libapache2-mod-php7.4 php7.4-common php7.4-mysql php7.4-fpm php7.4-gd php7.4-json php7.4-curl php7.4-zip php7.4-xml php7.4-mbstring php7.4-bz2 php7.4-intl php7.4-bcmath php7.4-gmp
On créé le vhost local :
# vi /etc/apache2/sites-available/nextcloud.conf

Alias /nextcloud "/var/www/nextcloud/"

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews

<IfModule mod_dav.c>
Dav off
</IfModule>

</Directory>
On active le site :
# a2ensite nextcloud.conf
On active quelques modules :
# a2enmod rewrite
# a2enmod headers
# a2enmod env
# a2enmod dir
# a2enmod mime
On active SSL :
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = ici un certificat auto-signé pour ensuite être placé derrière un reverse-proxy NGINX.
}}
# a2enmod ssl
# a2ensite default-ssl
# systemctl reload apache2
=== Configuration de NextCloud ===
On se rend sur l'adresse <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ et on rempli les champs indiqués puis ont clique sur "Terminer l'installation".

[[File:Page Installation 2.PNG|Page d'installation NextCloud]]

Si message d'erreur pas de panique, on retourne sur <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ pour vérifier que tout s'est bien déroulé.

[[File:Page 1er acceuil.PNG|Page de première connexion.]]

=== Configuration Reverse-Proxy NGINX ===
==== VHost NextCloud ====

Exemple de vhost pour NextCloud :

server {
listen 80;
listen [::]:80;
server_name nextcloud.exemple.com;
# return 404;
return 301 <nowiki>https</nowiki>://$host$request_uri;
}

server {
server_name nextcloud.exemple.com;
error_page 403 <nowiki>https</nowiki>://nextcloud.exemple.com;

location / {
'''client_max_body_size 0;''' # 0 supprime la limite d'upload
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Protocol $scheme;
proxy_set_header X-Forwarded-Host $http_host;
proxy_pass <nowiki>https</nowiki>://IP_SERVEUR_NEXTCLOUD/nextcloud/;
}

listen [::]:443 ssl; # managed by Certbot
listen 443 ssl; # managed by Certbot

ssl_certificate /etc/letsencrypt/live/nextcloud.exemple.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nextcloud.exemple.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
add_header Strict-Transport-Security "max-age=31536000" always;
ssl_trusted_certificate /etc/letsencrypt/live/nextcloud.exemple.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;

location ^~ /.well-known {
# The following 6 rules are borrowed from `.htaccess`

location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }
# Anything else is dynamically handled by Nextcloud
location ^~ /.well-known { return 301 /index.php$uri; }

try_files $uri $uri/ =404;
}

}

==== Configuration de Nextcloud ====
On modifie le fichier de configuration de NextCloud pour qu'il accepte le nom de domaine et le reverse proxy :
NextCloud ~# vi /var/www/nextcloud/config/config.php

...
'trusted_domains' =>
array (
0 => '12.34.56.789',
1 => 'nextcloud.exemple.com',
),
'trusted_proxies' =>
array (
0 => 'IP_PROXY',
),
'overwritewebroot' => '/',
...

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = NextCloud sera maintenant accessible via nextcloud.exemple.com et non IP_SERVEUR_NEXTCLOUD/nextcloud/
}}

== Post-Installation ==
NextCloud est maintenant fonctionnel, mais si vous vous rendez, depuis la page de l'administrateur, sur Administrateur -> Paramètres -> Vue d'ensemble .

[[File:Vue d'ensemble.PNG|border|Accès du menu "Vue d'ensemble"]]

Il reste quelques réglages à effectués. (3 si vous avez suivie ce tutorial).

[[File:Erreur post install.PNG|border|Message d'erreurs post installation]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = "Vue d'ensemble" est également le menu pour effectuer les mise à jours de NextCloud
}}

=== (optionnel) Jolie URL ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Ceci ne règle pas d'erreur mais permet d'avoir une URL plus esthétique.
}}
# vi /var/www/nextcloud/config/config.php

...
'installed' => true,
'overwrite.cli.url' => '<nowiki>https</nowiki>://nextcloud.exemple.com/nextcloud',
'htaccess.RewriteBase' => '/nextcloud',
);

# cd /var/www/nextcloud/
# sudo -u www-data php /var/www/nextcloud/occ maintenance:update:htaccess
=== Limite de mémoire PHP à 512 Mo ===
# vi /etc/php/7.4/apache2/php.ini

...
memory_limit = 512M
...

# apache2ctl graceful
=== Préfixe de région par défaut ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Exemple avec la France.
}}
# vi /var/www/nextcloud/config/config.php

...
'htaccess.RewriteBase' => '/nextcloud',
'default_phone_region' => 'FR',
);
=== Memcache via Redis & APCu ===
[https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-lts-with-redis-apcu-ssl-apache/#4-1-update-the-server-install-lamp-apcu-redis source]
# apt install redis-server php-redis php-apcu
# vi /etc/redis/redis.conf
Il faut activer les deux ligne suivantes en supprimant le "#" devant + modification des droits :
unixsocket /var/run/redis/redis-server.sock
unixsocketperm 770
On désactive l'écoute TCP :
port 0

# usermod -a -G redis www-data
# systemctl restart redis
# systemctl restart apache2
Enfin, on édite Nextcloud pour utiliser Redis :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'memcache.local' => '\OC\Memcache\APCu',
'memcache.locking' => '\OC\Memcache\Redis',
'memcache.distributed' => '\OC\Memcache\Redis',
'redis' =>
array (
'host' => '/var/run/redis/redis-server.sock',
'port' => 0,
'timeout' => 1.5,
),
);

Il faut activer APCu dans "cli" pour éviter un bug avec certaines commandes :
# vi /etc/php/7.4/cli/conf.d/20-apcu.ini

extension=apcu.so
apc.enable_cli=1

=== Test final ===
On retoune dans le menu [[#Post-Installation|"Vue d'ensemble"]], normalement tous les tests devraient être validés :

[[File:Test réussie.PNG|border|Satisfaisant non ? :)]]

Comme suggéré on se rend sur [https://scan.nextcloud.com/ '''ce site'''] pour tester le niveau de sécurité de notre serveur NextCloud, si tout va bien vous devriez obtenir ceci :

[[File:Test sécurité.PNG|border|une note comme j'aurais aimé en avoir à l'école.]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = En plus du niveau "A+", tout doit être validé avec l'encoche verte dans "Hardennings" et "Setup" en dessous.
}}
=== Crontab ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/background_jobs_configuration.html Source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Par défaut les tâches de fond sont lancés en naviguant, ce qui n'est pas optimal et incompatible avec certaines applications. il est préférable d'utiliser crontab ou systemd.
}}

# vi /etc/systemd/system/nextcloudcron.service

[Unit]
Description=Nextcloud cron.php job

[Service]
User=www-data
ExecStart=/usr/bin/php -f /var/www/nextcloud/cron.php
KillMode=process

Puis

# vi /etc/systemd/system/nextcloudcron.timer

[Unit]
Description=Run Nextcloud cron.php every 5 minutes

[Timer]
OnBootSec=5min
OnUnitActiveSec=5min
Unit=nextcloudcron.service

[Install]
WantedBy=timers.target

On active les scripts :

# systemctl enable --now nextcloudcron.timer

On peut ensuite se rendre dans "Paramètres" -> "Paramètres de base" pour vérifier que le changement est prise en compte :

[[File:Paramètres de base.PNG|border|C'est par ici]]
[[File:Crontab active.PNG|border| Activation confirmé]]

=== datadirectory ===
Variable nécessaire pour certaines applications comme RainLoop :
# vi /var/www/nextcloud/config/config.php

...
'overwritewebroot' => '/',
'datadirectory' => '/var/www/nextcloud/data',
'dbtype' => 'mysql',
...
=== Désactiver le découpage des 10Mb ===
Par default NextCloud découpe les téléchargement en portion de 10Mb, ce qui peut grandement ralentir les envoies de fichier imposant, pour le désactiver :
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set files max_chunk_size --value 0
=== Désactivé les "espaces de travails riches" ===
[https://github.com/nextcloud/text/pull/748 Source]

Une fonction que je n'ai jamais utilisé, crée des fichier "readme.md" et des messages d'érreurs.. a voir.
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set text workspace_available --value=0

= Astuces de personnalisation =
== Fichiers par défaut ==
Lorsque l'on créé un nouvel utilisateur, Nextcloud peuplera le nouveau dossier personnel avec le contenu de "/var/www/nextcloud/core/skeleton". Par défaut tous les utilisateurs se retrouveront donc avec diverse images et fichiers d'exemple sans intérêt.
{{Méta bandeau
| niveau = information
| icône = important
| texte = Il ne faut pas modifier le répertoire par défaut "/var/www/nextcloud/core/skeleton" sinon tous vos changements seront perdu à la prochaine mise a jour.
}}
=== Désativation du modèle de création ===

# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>''</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
=== Modèle de création personnalisé ===

Création du dossier pour le modèle :

# mkdir /var/www/nextcloud/mon_model

Ensuite on peut créer/copier les dossiers/fichiers que l'on souhaite à l'intérieur. Puis l'on attribue les droits au dossier et son contenu :
# chown -R www-data. /var/www/nextcloud/mon_model
{{Méta bandeau
| niveau = information
| icône = important
| texte = Penser à réattribuer les droits après chaque modification. }}
Enfin, on active le nouveau dossier :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>'/var/www/nextcloud/mon_model'</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
= Application =
Les applications s'installent via la GUI de l'administrateur :

[[File:Menu applications.PNG|border| Par ici les apps!]]

Certaines demandent cependant des interventions supplémentaires.

== Antivirus ClamAV ==
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = L'antivirus scannera tous les fichiers envoyés à la fin de leur téléchargement, ce qui bloquera l'envoie à 100% (sans message d'avertissement) un certains temps suivant le fichier et la puissance de votre processeur (un seul cœur par fichier)
}}
=== Installation ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/antivirus_configuration.html Source]

Il faut simplement installer l'antivirus sur le serveur :
# apt-get install clamav clamav-daemon
Puis installer "'''Antivirus for files'''" depuis [[#Application|la GUI de l'administrateur]].
Voila!
=== Configuration ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = La configuration se fait via le menu "'''Sécurité'''" du menu "Paramètres" -> "Administration" de l'utilisateur admin. Par défaut les fichiers vérolés ne sont que signalés dans les log, l'on peut par exemple demander leur effacement.
}}
[[File:Configuration CLAMAV.PNG|border|vade retro satanas!]]

== Support de Stockages Externes ==

Il faut activer "'''External storage support'''" via [[#Application|la GUI de l'administrateur]]. Un nouveau menu "'''Stockages Externes'''" apparaitra dans la console d'administration de l'administrateur.

[[File:Stockages externes.PNG|border| Menu Stockages Externes]]

=== Partages CIFS/Samba ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/external_storage/smb.html source]

Par défaut les partages dit de types Windows ne sont pas disponible, il suffit d'installer les paquets suivants :
# apt install smbclient libsmbclient

== Collabora Online ==
=== Client ===
On installe l'application "'''Collabora Online'''" via [[#Application|la GUI de l'administrateur]].
=== Serveur ===
[https://www.linuxbabe.com/ubuntu/integrate-collabora-onlinenextcloud-without-docker Source] [https://www.collaboraoffice.com/code/linux-packages/ Autre source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Pour des performances optimales nous allons installer le serveur nativement, il sera derrière un reverse-proxy NGINX.
}}
On active le dépôt de Collabora :
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 0C54D189F4BA284D
# echo 'deb https://www.collaboraoffice.com/repos/CollaboraOnline/CODE-ubuntu2004 ./' >> /etc/apt/sources.list
On installe le serveur de base :
# apt update && apt upgrade
# apt install loolwsd code-brand
On installe les modules de langue désirés (ici français, espagnol et anglais)
# apt install collaboraofficebasis6.4-fr collaboraofficebasis6.4-es collaboraofficebasis6.4-en-gb collaboraofficebasis6.4-en-us
On désactive la prise en charge du certificat SSL en local et on l'active pour le proxy :
# loolconfig set ssl.enable false
# loolconfig set ssl.termination true
On autorise notre serveur à se connecter :
# loolconfig set storage.wopi.host nextcloud.example.com
On redémarre le serveur Collabora pour activer les changements :
# systemctl restart loolwsd

=== Reverse-Proxy ===
Exemple de VHost pour le reverse proxy :

server {
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/collabora.exemple.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/collabora.exemple.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

add_header Strict-Transport-Security "max-age=31536000" always; # managed by Certbot

ssl_trusted_certificate /etc/letsencrypt/live/collabora.exemple.com/chain.pem; # managed by Certbot
ssl_stapling on; # managed by Certbot
ssl_stapling_verify on; # managed by Certbot
}

server {
if ($host = collabora.exemple.com) {
return 301 <nowiki>https://</nowiki>$host$request_uri;
} # managed by Certbot

listen 80;
listen [::]:80;
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

}

=== Liaison Client/Serveur ===
On se rend dans le menu "'''Collabora Online'''" du menu d'administration de l'admin :

[[File:Menu Collabora.PNG|border|Ça se passe par ici]] [[File:Liaison Collabora.PNG|border|Menu de configuration pour l'accès au serveur Collabora.]]

== Webmail RainLoop intégré ==

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Il existe une application "'''Mail'''" native qui ne nécessite pas de configuration particulière, au moment ou j'écris ce guide j'ai des soucies de performances avec mes nombreux mails, Rainloop de son côté est impeccable (et me semble bien plus avancé).
}}
=== Installation et configuration ===

On installe l'application "'''RainLopp'''" via [[#Application|la GUI de l'administrateur]] puis on se rend dans le menu "'''Paramètres'''" -> "'''Administration'''" -> "'''Paramètres supplémentaires'''" et on clique sur "'''Accédez à la page d'administration de RainLoop'''"
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Si vous avez l'erreur "[202] Data folder permissions error [is_dir]" il vous manque la variable "[[#datadirectory| datadirectory]]".
}}

[[File:Menu Parametres Supplementaires.PNG|border|Menu Paramètres supplémentaires.]] [[File:Menu admin RainLoop.PNG|border|Accès menu administration RainLoop.]]

Il faut se connecter avec l'utilisateur "'''admin'''" et le mot de passe par défaut "'''12345'''"

{{Méta bandeau
| niveau = grave
| icône = important
| texte = Remplacer immédiatement le mot de passe de l'administrateur dans le menu "Sécurité" (ou "Security") à gauche.
}}
----
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le message d'erreur suivant en rouge (RainLoop data folder is accessible.) est un faux positif lié à son intégration dans NextCloud, ne pas en tenir compte.
}}

[[File:Faux_positif_RainLoop.PNG|border|Ça fait peut n'est-ce pas ? Aucun problème réel cependant :)]]
----
Toujours sur la page d'accueil de l'administration de RainLoop (menu "génénral"), on peut voir que les limitations de PHP ne correspondent pas aux valeur par défaut de RainLoop :

NextCloud

2021-04-16T10:57:35Z

192.168.1.205 : /* Memcache via Redis & APCu */

= LXC Ubuntu 20.04 =
== Installation Serveur ==
[https://docs.nextcloud.com/server/stable/admin_manual/installation/index.html '''Source'''] [https://www.linuxbabe.com/ubuntu/install-nextcloud-ubuntu-20-04-apache-lamp-stack '''autre source''']

# apt update && apt upgrade
=== Archive NextCloud ===
[https://nextcloud.com/install/# '''Page de téléchargement''']
# apt install unzip
# cd /tmp/
# wget <nowiki>https://download.nextcloud.com/server/releases/</nowiki>nextcloud-21.0.1.zip
# unzip nextcloud-21.0.1.zip -d /var/www/
# rm nextcloud-21.0.1.zip
# chown -R www-data. /var/www/nextcloud

=== Serveur SQL MariarDB ===
Installation :
# apt install mariadb-server
On lance le script pour attribuer un mot de passe root, virer l'utilisateur anonyme etc.
# mysql_secure_installation

Set root password? [Y/n] '''y'''

Remove anonymous users? [Y/n] '''y'''

Disallow root login remotely? [Y/n] '''y'''

Remove test database and access to it? [Y/n] '''y'''

Reload privilege tables now? [Y/n] '''y'''
... Success!

On créé la base de donnée pour NextCloud :
{{Méta bandeau
| niveau = information
| icône = important
| texte = Utiliser un mot de passe différent de root mysql.
}}
# mysql -U

MariaDB [(none)]> create database nextcloud;
MariaDB [(none)]> create user nextcloud@localhost identified by 'motdepasse';
MariaDB [(none)]> grant all privileges on nextcloud.* to nextcloud@localhost IDENTIFIED BY 'motdepasse';
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> quit;
=== Installation de Apache2 & PHP7.4 ===
# apt install imagemagick php-imagick libapache2-mod-php7.4 php7.4-common php7.4-mysql php7.4-fpm php7.4-gd php7.4-json php7.4-curl php7.4-zip php7.4-xml php7.4-mbstring php7.4-bz2 php7.4-intl php7.4-bcmath php7.4-gmp
On créé le vhost local :
# vi /etc/apache2/sites-available/nextcloud.conf

Alias /nextcloud "/var/www/nextcloud/"

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews

<IfModule mod_dav.c>
Dav off
</IfModule>

</Directory>
On active le site :
# a2ensite nextcloud.conf
On active quelques modules :
# a2enmod rewrite
# a2enmod headers
# a2enmod env
# a2enmod dir
# a2enmod mime
On active SSL :
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = ici un certificat auto-signé pour ensuite être placé derrière un reverse-proxy NGINX.
}}
# a2enmod ssl
# a2ensite default-ssl
# systemctl reload apache2
=== Configuration de NextCloud ===
On se rend sur l'adresse <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ et on rempli les champs indiqués puis ont clique sur "Terminer l'installation".

[[File:Page Installation 2.PNG|Page d'installation NextCloud]]

Si message d'erreur pas de panique, on retourne sur <nowiki>https://</nowiki>IP_NEXCLOUD/nextcloud/ pour vérifier que tout s'est bien déroulé.

[[File:Page 1er acceuil.PNG|Page de première connexion.]]

=== Configuration Reverse-Proxy NGINX ===
==== VHost NextCloud ====

Exemple de vhost pour NextCloud :

server {
listen 80;
listen [::]:80;
server_name nextcloud.exemple.com;
# return 404;
return 301 <nowiki>https</nowiki>://$host$request_uri;
}

server {
server_name nextcloud.exemple.com;
error_page 403 <nowiki>https</nowiki>://nextcloud.exemple.com;

location / {
'''client_max_body_size 0;''' # 0 supprime la limite d'upload
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Protocol $scheme;
proxy_set_header X-Forwarded-Host $http_host;
proxy_pass <nowiki>https</nowiki>://IP_SERVEUR_NEXTCLOUD/nextcloud/;
}

listen [::]:443 ssl; # managed by Certbot
listen 443 ssl; # managed by Certbot

ssl_certificate /etc/letsencrypt/live/nextcloud.exemple.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nextcloud.exemple.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
add_header Strict-Transport-Security "max-age=31536000" always;
ssl_trusted_certificate /etc/letsencrypt/live/nextcloud.exemple.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;

location ^~ /.well-known {
# The following 6 rules are borrowed from `.htaccess`

location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }
# Anything else is dynamically handled by Nextcloud
location ^~ /.well-known { return 301 /index.php$uri; }

try_files $uri $uri/ =404;
}

}

==== Configuration de Nextcloud ====
On modifie le fichier de configuration de NextCloud pour qu'il accepte le nom de domaine et le reverse proxy :
NextCloud ~# vi /var/www/nextcloud/config/config.php

...
'trusted_domains' =>
array (
0 => '12.34.56.789',
1 => 'nextcloud.exemple.com',
),
'trusted_proxies' =>
array (
0 => 'IP_PROXY',
),
'overwritewebroot' => '/',
...

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = NextCloud sera maintenant accessible via nextcloud.exemple.com et non IP_SERVEUR_NEXTCLOUD/nextcloud/
}}

== Post-Installation ==
NextCloud est maintenant fonctionnel, mais si vous vous rendez, depuis la page de l'administrateur, sur Administrateur -> Paramètres -> Vue d'ensemble .

[[File:Vue d'ensemble.PNG|border|Accès du menu "Vue d'ensemble"]]

Il reste quelques réglages à effectués. (3 si vous avez suivie ce tutorial).

[[File:Erreur post install.PNG|border|Message d'erreurs post installation]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = "Vue d'ensemble" est également le menu pour effectuer les mise à jours de NextCloud
}}

=== (optionnel) Jolie URL ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Ceci ne règle pas d'erreur mais permet d'avoir une URL plus esthétique.
}}
# vi /var/www/nextcloud/config/config.php

...
'installed' => true,
'overwrite.cli.url' => '<nowiki>https</nowiki>://nextcloud.exemple.com/nextcloud',
'htaccess.RewriteBase' => '/nextcloud',
);

# cd /var/www/nextcloud/
# sudo -u www-data php /var/www/nextcloud/occ maintenance:update:htaccess
=== Limite de mémoire PHP à 512 Mo ===
# vi /etc/php/7.4/apache2/php.ini

...
memory_limit = 512M
...

# apache2ctl graceful
=== Préfixe de région par défaut ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Exemple avec la France.
}}
# vi /var/www/nextcloud/config/config.php

...
'htaccess.RewriteBase' => '/nextcloud',
'default_phone_region' => 'FR',
);
=== Memcache via Redis & APCu ===
[https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-lts-with-redis-apcu-ssl-apache/#4-1-update-the-server-install-lamp-apcu-redis source]
# apt install redis-server php-redis php-apcu
# vi /etc/redis/redis.conf
Il faut activer les deux ligne suivantes en supprimant le "#" devant + modification des droits :
unixsocket /var/run/redis/redis-server.sock
unixsocketperm 770
On désactive l'écoute TCP :
port 0

# usermod -a -G redis www-data
# systemctl restart redis
# systemctl restart apache2
Enfin, on édite Nextcloud pour utiliser Redis :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'memcache.local' => '\OC\Memcache\APCu',
'memcache.locking' => '\OC\Memcache\Redis',
'memcache.distributed' => '\OC\Memcache\Redis',
'redis' =>
array (
'host' => '/var/run/redis/redis-server.sock',
'port' => 0,
'timeout' => 1.5,
),
);

Il faut activer APCu dans "cli" pour éviter un bug avec certaines commandes :
# vi /etc/php/7.4/cli/conf.d/20-apcu.ini

extension=apcu.so
apc.enable_cli=1

=== Test final ===
On retoune dans le menu [[#Post-Installation|"Vue d'ensemble"]], normalement tous les tests devraient être validés :

[[File:Test réussie.PNG|border|Satisfaisant non ? :)]]

Comme suggéré on se rend sur [https://scan.nextcloud.com/ '''ce site'''] pour tester le niveau de sécurité de notre serveur NextCloud, si tout va bien vous devriez obtenir ceci :

[[File:Test sécurité.PNG|border|une note comme j'aurais aimé en avoir à l'école.]]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = En plus du niveau "A+", tout doit être validé avec l'encoche verte dans "Hardennings" et "Setup" en dessous.
}}
=== Crontab ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/background_jobs_configuration.html Source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Par défaut les tâches de fond sont lancés en naviguant, ce qui n'est pas optimal et incompatible avec certaines applications. il est préférable d'utiliser crontab ou systemd.
}}

# vi /etc/systemd/system/nextcloudcron.service

[Unit]
Description=Nextcloud cron.php job

[Service]
User=www-data
ExecStart=/usr/bin/php -f /var/www/nextcloud/cron.php
KillMode=process

Puis

# vi /etc/systemd/system/nextcloudcron.timer

[Unit]
Description=Run Nextcloud cron.php every 5 minutes

[Timer]
OnBootSec=5min
OnUnitActiveSec=5min
Unit=nextcloudcron.service

[Install]
WantedBy=timers.target

On active les scripts :

# systemctl enable --now nextcloudcron.timer

On peut ensuite se rendre dans "Paramètres" -> "Paramètres de base" pour vérifier que le changement est prise en compte :

[[File:Paramètres de base.PNG|border|C'est par ici]]
[[File:Crontab active.PNG|border| Activation confirmé]]

=== datadirectory ===
Variable nécessaire pour certaines applications comme RainLoop :
# vi /var/www/nextcloud/config/config.php

...
'overwritewebroot' => '/',
'datadirectory' => '/var/www/nextcloud/data',
'dbtype' => 'mysql',
...
=== Désactiver le découpage des 10Mb ===
Par default NextCloud découpe les téléchargement en portion de 10Mb, ce qui peut grandement ralentir les envoies de fichier imposant, pour le désactiver :
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set files max_chunk_size --value 0
=== Désactivé les "espaces de travails riches" ===
[https://github.com/nextcloud/text/pull/748 Source]

Une fonction que je n'ai jamais utilisé, crée des fichier "readme.md" et des messages d'érreurs.. a voir.
# cd /var/www/nextcloud/
# sudo -u www-data php occ config:app:set text workspace_available --value=0

= Astuces de personnalisation =
== Fichiers par défaut ==
Lorsque l'on créé un nouvel utilisateur, Nextcloud peuplera le nouveau dossier personnel avec le contenu de "/var/www/nextcloud/core/skeleton". Par défaut tous les utilisateurs se retrouveront donc avec diverse images et fichiers d'exemple sans intérêt.
{{Méta bandeau
| niveau = information
| icône = important
| texte = Il ne faut pas modifier le répertoire par défaut "/var/www/nextcloud/core/skeleton" sinon tous vos changements seront perdu à la prochaine mise a jour.
}}
=== Désativation du modèle de création ===

# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>''</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
=== Modèle de création personnalisé ===

Création du dossier pour le modèle :

# mkdir /var/www/nextcloud/mon_model

Ensuite on peut créer/copier les dossiers/fichiers que l'on souhaite à l'intérieur. Puis l'on attribue les droits au dossier et son contenu :
# chown -R www-data. /var/www/nextcloud/mon_model
{{Méta bandeau
| niveau = information
| icône = important
| texte = Penser à réattribuer les droits après chaque modification. }}
Enfin, on active le nouveau dossier :
# vi /var/www/nextcloud/config/config.php

...
'default_phone_region' => 'FR',
'skeletondirectory' => <nowiki>'/var/www/nextcloud/mon_model'</nowiki>,
'memcache.locking' => '\OC\Memcache\Redis',
...
= Application =
Les applications s'installent via la GUI de l'administrateur :

[[File:Menu applications.PNG|border| Par ici les apps!]]

Certaines demandent cependant des interventions supplémentaires.

== Antivirus ClamAV ==
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = L'antivirus scannera tous les fichiers envoyés à la fin de leur téléchargement, ce qui bloquera l'envoie à 100% (sans message d'avertissement) un certains temps suivant le fichier et la puissance de votre processeur (un seul cœur par fichier)
}}
=== Installation ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/antivirus_configuration.html Source]

Il faut simplement installer l'antivirus sur le serveur :
# apt-get install clamav clamav-daemon
Puis installer "'''Antivirus for files'''" depuis [[#Application|la GUI de l'administrateur]].
Voila!
=== Configuration ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = La configuration se fait via le menu "'''Sécurité'''" du menu "Paramètres" -> "Administration" de l'utilisateur admin. Par défaut les fichiers vérolés ne sont que signalés dans les log, l'on peut par exemple demander leur effacement.
}}
[[File:Configuration CLAMAV.PNG|border|vade retro satanas!]]

== Support de Stockages Externes ==

Il faut activer "'''External storage support'''" via [[#Application|la GUI de l'administrateur]]. Un nouveau menu "'''Stockages Externes'''" apparaitra dans la console d'administration de l'administrateur.

[[File:Stockages externes.PNG|border| Menu Stockages Externes]]

=== Partages CIFS/Samba ===
[https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/external_storage/smb.html source]

Par défaut les partages dit de types Windows ne sont pas disponible, il suffit d'installer les paquets suivants :
# apt install smbclient libsmbclient

== Collabora Online ==
=== Client ===
On installe l'application "'''Collabora Online'''" via [[#Application|la GUI de l'administrateur]].
=== Serveur ===
[https://www.linuxbabe.com/ubuntu/integrate-collabora-onlinenextcloud-without-docker Source] [https://www.collaboraoffice.com/code/linux-packages/ Autre source]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Pour des performances optimales nous allons installer le serveur nativement, il sera derrière reverse-proxy NGINX.
}}
On active le dépôt de Collabora :
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 0C54D189F4BA284D
# echo 'deb https://www.collaboraoffice.com/repos/CollaboraOnline/CODE-ubuntu2004 ./' >> /etc/apt/sources.list
On installe le serveur de base :
# apt update && apt upgrade
# apt install loolwsd code-brand
On installe les modules de langue désirés (ici français, espagnol et anglais)
# apt install collaboraofficebasis6.4-fr collaboraofficebasis6.4-es collaboraofficebasis6.4-en-gb collaboraofficebasis6.4-en-us
On désactive la prise en charge du certificat SSL en local et on l'active pour le proxy :
# loolconfig set ssl.enable false
# loolconfig set ssl.termination true
On autorise notre serveur à se connecter :
# loolconfig set storage.wopi.host nextcloud.example.com
On redémarre le serveur Collabora pour activer les changements :
# systemctl restart loolwsd

=== Reverse-Proxy ===
Exemple de VHost pour le reverse proxy :

server {
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/collabora.exemple.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/collabora.exemple.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

add_header Strict-Transport-Security "max-age=31536000" always; # managed by Certbot

ssl_trusted_certificate /etc/letsencrypt/live/collabora.exemple.com/chain.pem; # managed by Certbot
ssl_stapling on; # managed by Certbot
ssl_stapling_verify on; # managed by Certbot
}

server {
if ($host = collabora.exemple.com) {
return 301 <nowiki>https://</nowiki>$host$request_uri;
} # managed by Certbot

listen 80;
listen [::]:80;
server_name collabora.exemple.com;

error_log /var/log/nginx/collabora.error;

# static files
location ^~ /loleaflet {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# WOPI discovery URL
location ^~ /hosting/discovery {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Capabilities
location ^~ /hosting/capabilities {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# main websocket
location ~ ^/lool/(.*)/ws$ {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

# download, presentation and image upload
location ~ ^/lool {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Host $http_host;
}

# Admin Console websocket
location ^~ /lool/adminws {
proxy_pass <nowiki>http://</nowiki>12.34.56.789:9980;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $http_host;
proxy_read_timeout 36000s;
}

}

=== Liaison Client/Serveur ===
On se rend dans le menu "'''Collabora Online'''" du menu d'administration de l'admin :

[[File:Menu Collabora.PNG|border|Ça se passe par ici]] [[File:Liaison Collabora.PNG|border|Menu de configuration pour l'accès au serveur Collabora.]]

== Webmail RainLoop intégré ==

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Il existe une application "'''Mail'''" native qui ne nécessite pas de configuration particulière, au moment ou j'écris ce guide j'ai des soucies de performances avec mes nombreux mails, Rainloop de son côté est impeccable (et me semble bien plus avancé).
}}
=== Installation et configuration ===

On installe l'application "'''RainLopp'''" via [[#Application|la GUI de l'administrateur]] puis on se rend dans le menu "'''Paramètres'''" -> "'''Administration'''" -> "'''Paramètres supplémentaires'''" et on clique sur "'''Accédez à la page d'administration de RainLoop'''"
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Si vous avez l'erreur "[202] Data folder permissions error [is_dir]" il vous manque la variable "[[#datadirectory| datadirectory]]".
}}

[[File:Menu Parametres Supplementaires.PNG|border|Menu Paramètres supplémentaires.]] [[File:Menu admin RainLoop.PNG|border|Accès menu administration RainLoop.]]

Il faut se connecter avec l'utilisateur "'''admin'''" et le mot de passe par défaut "'''12345'''"

{{Méta bandeau
| niveau = grave
| icône = important
| texte = Remplacer immédiatement le mot de passe de l'administrateur dans le menu "Sécurité" (ou "Security") à gauche.
}}
----
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le message d'erreur suivant en rouge (RainLoop data folder is accessible.) est un faux positif lié à son intégration dans NextCloud, ne pas en tenir compte.
}}

[[File:Faux_positif_RainLoop.PNG|border|Ça fait peut n'est-ce pas ? Aucun problème réel cependant :)]]
----
Toujours sur la page d'accueil de l'administration de RainLoop (menu "génénral"), on peut voir que les limitations de PHP ne correspondent pas aux valeur par défaut de RainLoop :

NextCloud

2021-04-14T13:08:57Z

192.168.1.205 : /* Modèle de création personnalisé */

NextCloud

2021-04-13T18:26:23Z

192.168.1.205 : /* Memcache via Redis & APCu */

NextCloud

2021-04-13T18:19:38Z

192.168.1.205 : /* Memcache via Redis & APCu */

NextCloud

2021-04-13T18:19:26Z

192.168.1.205 : /* Préfixe de région par défaut */

NextCloud

2021-04-13T15:22:00Z

192.168.1.205 : /* Configuration de Nextcloud */

NextCloud

2021-04-13T15:20:55Z

192.168.1.205 : /* Installation Serveur */

NextCloud

2021-04-13T15:18:59Z

192.168.1.205 : /* Configuration Reverse-Proxy NGINX */

NextCloud

2021-04-13T15:14:00Z

192.168.1.205 : /* Configuration de Nextcloud */

NextCloud

2021-04-13T10:51:26Z

192.168.1.205 : /* Configuration de Nextcloud */

NextCloud

2021-04-13T10:46:45Z

192.168.1.205 : /* Configuration Reverse-Proxy NGINX */

Prometheus

2021-04-12T17:13:31Z

192.168.1.205 : /* (Optionnel) Securisation serveur */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposez le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement avec cryptage sur Internet..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = important
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

NextCloud

2021-04-11T21:04:51Z

192.168.1.205 : /* Installation Serveur */

NextCloud

2021-04-11T20:14:57Z

192.168.1.205 : /* Serveur SQL MariarDB */

NextCloud

2021-04-11T20:02:04Z

192.168.1.205 : /* Serveur SQL MariarDB */

NextCloud

2021-04-11T18:12:43Z

192.168.1.205 : Created page with "= LXC Ubuntu 20.04 = == Installation Serveur == [https://docs.nextcloud.com/server/stable/admin_manual/installation/index.html '''Source''']"

= LXC Ubuntu 20.04 =
== Installation Serveur ==
[https://docs.nextcloud.com/server/stable/admin_manual/installation/index.html '''Source''']

Main Page

2021-04-11T18:03:29Z

192.168.1.205 :

Welcome to MediaWiki. 
Consult the [http://meta.wikimedia.org/wiki/Help:Contents User's Guide]
for information on using the wiki software. 
== Getting started ==
* Log in as '''Admin''' and start your wiki!
* [https://www.turnkeylinux.org/mediawiki TurnKey Linux MediaWiki appliance release notes]
* [http://www.mediawiki.org/wiki/Manual:Configuration_settings MediaWiki Configuration settings list]
* [http://www.mediawiki.org/wiki/Manual:FAQ MediaWiki FAQ]
* [http://lists.wikimedia.org/mailman/listinfo/mediawiki-announce MediaWiki release mailing list]

= ProxMox =

* [[WireGuard_LXC_Alpine_Linux|VPN WireGuard in Alpine LXC]]

= <nowiki>Prometheus</nowiki> =

* [[Prometheus| Suveillance via <nowiki>Prometheus</nowiki>]]

= SyncThing =

* [[SyncThing| Synchronisation de fichier via SyncThing]]

= NextCloud =

* [[NextCloud|Serveur Cloud Libre NextCloud]]

= Turnkey MediaWiki =

* [[Import_Images| Activer import images]]
* [[Import_Modeles| Import Modèles]]

MediaWiki

2021-04-11T18:00:44Z

192.168.1.205 : /* Bandeau d'information/avertissement */

[https://www.ryadel.com/en/how-to-add-wikipedia-mbox-templates-to-your-own-mediawiki/ Source utile]
=Réglages de base=
== Activer "IstantCommons ==
[https://www.inmotionhosting.com/support/edu/mediawiki/changing-css-media-wiki/ source]
# vi /var/www/mediawiki/LocalSettings.php

$wgUseInstantCommons = true;

== CSS Wikipedia ==

# Se connecter sur son Wiki (avec droit d'éditiont)
# Se rendre à l'adresse "'''<nowiki>https://mon-mediawiki.com/index.php?title=MediaWiki:Common.css</nowiki>'''"
# cliquer sur "Edit" et remplacer par [https://fr.wikipedia.org/wiki/MediaWiki:Common.css '''ce code-ci!''']
# Il faudra vider le cache de son navigateur / recharger avec Ctrl + F5
== Installation extension "TemplateStyles" ==
[https://www.mediawiki.org/wiki/Extension:TemplateStyles#Installation '''source''']

# cd /tmp/
# wget https://extdist.wmflabs.org/dist/extensions/TemplateStyles-REL1_35-7a40a6a.tar.gz
# tar -xzf TemplateStyles-REL1_35-7a40a6a.tar.gz -C /var/www/mediawiki/extensions
# chown -R www-data. /var/www/mediawiki/extensions/TemplateStyles
# echo 'wfLoadExtension( 'TemplateStyles' );' >> /var/www/mediawiki/LocalSettings.php

== Installation extension "Scribunto" ==
[https://www.mediawiki.org/wiki/Extension:Scribunto#Installation '''Source''']

# cd /tmp/
# wget https://extdist.wmflabs.org/dist/extensions/Scribunto-REL1_35-d21b655.tar.gz
# tar -xzf Scribunto-REL1_35-d21b655.tar.gz -C /var/www/mediawiki/extensions/Scribunto/
# chown -R www-data. /var/www/mediawiki/extensions/Scribunto
# echo 'wfLoadExtension( 'Scribunto' );' >> /var/www/mediawiki/LocalSettings.php
# echo '$wgScribuntoDefaultEngine = 'luastandalone';' >> /var/www/mediawiki/LocalSettings.php
# chmod a+x /var/www/mediawiki/extensions/Scribunto/includes/engines/LuaStandalone/binaries/lua5_1_5_linux_64_generic/lua

== Activer "ParserFunctions" ==

# echo 'wfLoadExtension( 'ParserFunctions' );' >> /var/www/mediawiki/LocalSettings.php
# echo '$wgPFEnableStringFunctions = true;' >> /var/www/mediawiki/LocalSettings.php

= Exemple Serveur Wikipedia et barre de progression =
{{Barre de progression|100|largeur=400px|hauteur=10|texte=la preuve par l'exemple!}}
== Export chez Wikipedia ==
[https://fr.wikipedia.org/wiki/Sp%C3%A9cial:Exporter Page d'export] soit <nowiki>"/Spécial:Exporter"</nowiki>

J'ai exporté les modèles suivant :

Modèle:Progression
Modèle:0/4
Modèle:1/4
Modèle:2/4
Modèle:3/4
Modèle:4/4
Modèle:Avancement
Modèle:Barre de progression

[[File:Export barre de progression.PNG|border|Exemple export pour barres de progression]]

== Import sur son wiki ==
Allez sur la page spécial "'''Importer des pages'''" soit <nowiki>"/Special:Import"</nowiki>

[[File:Import_barre_progression.JPG|border|Exemple export pour barres de progression]]

== Erreur "The content model 'sanitized-css' is not registered on this wiki." ==

Échec de l’importation : The content model 'sanitized-css' is not registered on this wiki. See https://www.mediawiki.org/wiki/Content_handlers to find out which extensions handle this content model.

[[#Installation_extension_.22TemplateStyles.22|Installer l'extension "TemplateStyles"]]

== Erreur "The content model 'Scribunto' is not registered on this wiki." ==

Échec de l’importation : The content model 'Scribunto' is not registered on this wiki. See https://www.mediawiki.org/wiki/Content_handlers to find out which extensions handle this content model.

[[#Installation_extension_.22Scribunto.22|Installer l'extension "Scribunto"]]

== (erreur d'affichage "{{#expr".. etc) ==

[[#Activer_.22ParserFunctions.22|Activer "ParserFunctions"]]

= Bandeau d'information/avertissement =
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = ça semble fonctionner :)))
}}
J'ai exporté tous les modules "Lua" via [https://fr.wikipedia.org/wiki/Sp%C3%A9cial:Exporter cette page].
Module:Format
Module:Date
Module:MagicDate
Module:Test
Module:ControlArgs
Module:Documentation module
Module:Bandeau

[[File:Export wikipedia.PNG|border|On pense a cocher "Inclure les modèles"]]

Puis ces modèles :
Modèle:Méta bandeau
Modèle:Méta bandeau d'avertissement
Modèle:Méta bandeau de section

[[File:Export wikipedia.PNG|border|On pense a cocher "Inclure les modèles"]]

SyncThing

2021-04-11T17:21:48Z

192.168.1.205 : /* Open Media Vault */

= Open Media Vault =
== <nowiki>item has UTF8 encoding conflict with another item</nowiki> ==
=== Linux ===
# apt install convmv

Convertir tous les fichiers et écraser les doublons :
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Faire une sauvegarde avant par précaution.
}}
# cd /chemin/du/partage/
# convmv -r --replace --notest -f utf-8 -t utf-8 --nfc *

Mettre en pause la synchro puis reprendre. Voila!

SyncThing

2021-04-11T17:21:33Z

192.168.1.205 : /* Open Media Vault */

= Open Media Vault =
== <nowiki>item has UTF8 encoding conflict with another item</nowiki> ==
=== Linux ===
# apt install convmv

Convertir tous les fichiers et écraser les doublons :
{{Méta bandeau
| niveau = urgent
| icône = important
| texte = Faire une sauvegarde avant par précaution.
}}
# cd /chemin/du/partage/
# convmv -r --replace --notest -f utf-8 -t utf-8 --nfc *

Mettre en pause la synchro puis reprendre. Voila!

Main Page

2021-04-11T17:20:50Z

192.168.1.205 :

Welcome to MediaWiki. 
Consult the [http://meta.wikimedia.org/wiki/Help:Contents User's Guide]
for information on using the wiki software. 
== Getting started ==
* Log in as '''Admin''' and start your wiki!
* [https://www.turnkeylinux.org/mediawiki TurnKey Linux MediaWiki appliance release notes]
* [http://www.mediawiki.org/wiki/Manual:Configuration_settings MediaWiki Configuration settings list]
* [http://www.mediawiki.org/wiki/Manual:FAQ MediaWiki FAQ]
* [http://lists.wikimedia.org/mailman/listinfo/mediawiki-announce MediaWiki release mailing list]

= ProxMox =

* [[WireGuard_LXC_Alpine_Linux|VPN WireGuard in Alpine LXC]]

= <nowiki>Prometheus</nowiki> =

* [[Prometheus| Suveillance via <nowiki>Prometheus</nowiki>]]

= SyncThing =

* [[SyncThing| Synchronisation de fichier via SyncThing]]

= Turnkey MediaWiki =

* [[Import_Images| Activer import images]]
* [[Import_Modeles| Import Modèles]]

Main Page

2021-04-11T17:20:39Z

192.168.1.205 :

Welcome to MediaWiki. 
Consult the [http://meta.wikimedia.org/wiki/Help:Contents User's Guide]
for information on using the wiki software. 
== Getting started ==
* Log in as '''Admin''' and start your wiki!
* [https://www.turnkeylinux.org/mediawiki TurnKey Linux MediaWiki appliance release notes]
* [http://www.mediawiki.org/wiki/Manual:Configuration_settings MediaWiki Configuration settings list]
* [http://www.mediawiki.org/wiki/Manual:FAQ MediaWiki FAQ]
* [http://lists.wikimedia.org/mailman/listinfo/mediawiki-announce MediaWiki release mailing list]

= ProxMox =

* [[WireGuard_LXC_Alpine_Linux|VPN WireGuard in Alpine LXC]]

= <nowiki>Prometheus</nowiki> =

* [[Prometheus| Suveillance via <nowiki>Prometheus</nowiki>]]

= SyncThing =

* [[SyncThing| Synchronisation de fichier via SyncThing]]

= Turnkey MediaWiki =

* [[Import_Images| Activer import images]]
* [[Import_Modeles| Import Modèles]]

WireGuard LXC Alpine Linux

2021-04-11T17:19:16Z

192.168.1.205 : /* LXC Alpine 3.12 */

{{Barre de progression|100|largeur=400px|hauteur=10|couleur1 = green|texte=Testé et approuvé}}

= ProxMox =

[https://nixvsevil.com/posts/wireguard-in-proxmox-lxc/ '''source''']

Côté serveur :

# apt update && apt upgrade
# apt install pve-headers
# echo 'deb http://deb.debian.org/debian buster-backports main' >> /etc/apt/sources.list
# apt update
# apt install -t buster-backports wireguard-dkms
# modprobe wireguard
# echo "wireguard" >> /etc/modules-load.d/modules.conf

= LXC Alpine 3.12 =
== WireGuard Server ==
<code> HDD : 0,5G / CPU : 1 / RAM : 256mb ??</code>

Avec un téléphone android connecté !!! :

[[File:Capture_ressource_WG_AlpineLXC.PNG|Incroyablement économe !]]

On autorise el routage :
# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
# sysctl -p

net.ipv4.ip_forward = 1

# rc-update add sysctl default

Puis on install :

# apk update && apk upgrade
# apk add wireguard-tools

On récup la configuration sur [https://www.wireguardconfig.com/ '''wireguardconfig''']

<code># vi /etc/wireguard/wg0.conf</code>
<pre>[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = *****************************************
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.2/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.3/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.4/32
</pre>

<code># vi /etc/wireguard/client1.conf</code>
[Interface]
Address = 10.0.0.2/24
ListenPort = 51820
PrivateKey = *****************************************

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = myserver.dyndns.org:51820

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Allowed IP modifié pour ne pas redirigé tout le traffic local..
}}

== Test ==
<code># wg-quick up wg0</code>
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# wg

interface: wg0
public key: *****************************************
private key: (hidden)
listening port: 51820

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.2/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.3/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.4/32

Fin du test :
# wg-quick down wg0

[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

== wg0 au boot via init.d ==

[https://gist.github.com/r0v/48e18c9584d4b5ecb96f593dec9a938c '''source''']

# vi /etc/init.d/wireguard

#!/sbin/openrc-run

depend() {
need localmount
need net
}

start() {
ebegin "Starting wireguard"
/usr/bin/wg-quick up wg0
eend $?
}

stop() {
ebegin "Stopping wireguard"
/usr/bin/wg-quick down wg0
eend $?
}

# chmod +x /etc/init.d/wireguard

# rc-update add wireguard default

On lance :
# service wireguard start
On peut [[#Test|tester]] avec "wg", rebooter pour vérifier etc...

== (Optionnel) QR Code ==

# apk add libqrencode

Exemple :
# qrencode -t ansiutf8 < /etc/wireguard/client1.conf

voila!

WireGuard LXC Alpine Linux

2021-04-11T17:17:36Z

192.168.1.205 : /* wg0 au boot via init.d */

{{Barre de progression|100|largeur=400px|hauteur=10|couleur1 = green|texte=Testé et approuvé}}

= ProxMox =

[https://nixvsevil.com/posts/wireguard-in-proxmox-lxc/ '''source''']

Côté serveur :

# apt update && apt upgrade
# apt install pve-headers
# echo 'deb http://deb.debian.org/debian buster-backports main' >> /etc/apt/sources.list
# apt update
# apt install -t buster-backports wireguard-dkms
# modprobe wireguard
# echo "wireguard" >> /etc/modules-load.d/modules.conf

= LXC Alpine 3.12 =
== WireGuard Server ==
<code> HDD : 0,5G / CPU : 1 / RAM : 256mb ??</code>

Avec un téléphone android connecté !!! :

[[File:Capture_ressource_WG_AlpineLXC.PNG|Incroyablement économe !]]

On autorise el routage :
# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
# sysctl -p

net.ipv4.ip_forward = 1

# rc-update add sysctl default

Puis on install :

# apk update && apk upgrade
# apk add wireguard-tools

On récup la configuration sur [https://www.wireguardconfig.com/ '''wireguardconfig''']

<code># vi /etc/wireguard/wg0.conf</code>
<pre>[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = *****************************************
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.2/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.3/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.4/32
</pre>

<code># vi /etc/wireguard/client1.conf</code>
[Interface]
Address = 10.0.0.2/24
ListenPort = 51820
PrivateKey = *****************************************

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = myserver.dyndns.org:51820

Allowed IP modifié pour ne pas redirigé tout le traffic local..

== Test ==
<code># wg-quick up wg0</code>
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# wg

interface: wg0
public key: *****************************************
private key: (hidden)
listening port: 51820

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.2/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.3/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.4/32

Fin du test :
# wg-quick down wg0

[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

== wg0 au boot via init.d ==

[https://gist.github.com/r0v/48e18c9584d4b5ecb96f593dec9a938c '''source''']

# vi /etc/init.d/wireguard

#!/sbin/openrc-run

depend() {
need localmount
need net
}

start() {
ebegin "Starting wireguard"
/usr/bin/wg-quick up wg0
eend $?
}

stop() {
ebegin "Stopping wireguard"
/usr/bin/wg-quick down wg0
eend $?
}

# chmod +x /etc/init.d/wireguard

# rc-update add wireguard default

On lance :
# service wireguard start
On peut [[#Test|tester]] avec "wg", rebooter pour vérifier etc...

== (Optionnel) QR Code ==

# apk add libqrencode

Exemple :
# qrencode -t ansiutf8 < /etc/wireguard/client1.conf

voila!

WireGuard LXC Alpine Linux

2021-04-11T17:15:55Z

192.168.1.205 : /* WireGuard Server */

{{Barre de progression|100|largeur=400px|hauteur=10|couleur1 = green|texte=Testé et approuvé}}

= ProxMox =

[https://nixvsevil.com/posts/wireguard-in-proxmox-lxc/ '''source''']

Côté serveur :

# apt update && apt upgrade
# apt install pve-headers
# echo 'deb http://deb.debian.org/debian buster-backports main' >> /etc/apt/sources.list
# apt update
# apt install -t buster-backports wireguard-dkms
# modprobe wireguard
# echo "wireguard" >> /etc/modules-load.d/modules.conf

= LXC Alpine 3.12 =
== WireGuard Server ==
<code> HDD : 0,5G / CPU : 1 / RAM : 256mb ??</code>

Avec un téléphone android connecté !!! :

[[File:Capture_ressource_WG_AlpineLXC.PNG|Incroyablement économe !]]

On autorise el routage :
# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
# sysctl -p

net.ipv4.ip_forward = 1

# rc-update add sysctl default

Puis on install :

# apk update && apk upgrade
# apk add wireguard-tools

On récup la configuration sur [https://www.wireguardconfig.com/ '''wireguardconfig''']

<code># vi /etc/wireguard/wg0.conf</code>
<pre>[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = *****************************************
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.2/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.3/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.4/32
</pre>

<code># vi /etc/wireguard/client1.conf</code>
[Interface]
Address = 10.0.0.2/24
ListenPort = 51820
PrivateKey = *****************************************

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = myserver.dyndns.org:51820

Allowed IP modifié pour ne pas redirigé tout le traffic local..

== Test ==
<code># wg-quick up wg0</code>
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# wg

interface: wg0
public key: *****************************************
private key: (hidden)
listening port: 51820

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.2/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.3/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.4/32

Fin du test :
# wg-quick down wg0

[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

== wg0 au boot via init.d ==

[https://gist.github.com/r0v/48e18c9584d4b5ecb96f593dec9a938c '''source''']

# vi /etc/init.d/wireguard

#!/sbin/openrc-run

depend() {
need localmount
need net
}

start() {
ebegin "Starting wireguard"
/usr/bin/wg-quick up wg0
eend $?
}

stop() {
ebegin "Stopping wireguard"
/usr/bin/wg-quick down wg0
eend $?
}

# chmod +x /etc/init.d/wireguard

# rc-update add wireguard default

On lance :
# service wireguard start
On peut tester avec "wg", rebooter pour vérifier etc...

== (Optionnel) QR Code ==

# apk add libqrencode

Exemple :
# qrencode -t ansiutf8 < /etc/wireguard/client1.conf

voila!

SyncThing

2021-04-11T17:14:17Z

192.168.1.205 : /* Open Media Vault */

= Open Media Vault =
== <nowiki>item has UTF8 encoding conflict with another item</nowiki> ==
# apt install convmv

Convertir tous les fichiers et écraser les doublons :
{{Méta bandeau
| niveau = urgent
| icône = important
| texte = Faire une sauvegarde avant par précaution.
}}
# cd /chemin/du/partage/
# convmv -r --replace --notest -f utf-8 -t utf-8 --nfc *

Mettre en pause la synchro puis reprendre. Voila!

SyncThing

2021-04-11T17:14:07Z

192.168.1.205 : /* item has UTF8 encoding conflict with another item */

= Open Media Vault =
== <nowiki>item has UTF8 encoding conflict with another item</nowiki> ==
# apt install convmv

Convertir tous les fichiers et écraser les doublons :
{{Méta bandeau
| niveau = élevé
| icône = important
| texte = Faire une sauvegarde avant par précaution.
}}
# cd /chemin/du/partage/
# convmv -r --replace --notest -f utf-8 -t utf-8 --nfc *

Mettre en pause la synchro puis reprendre. Voila!

SyncThing

2021-04-11T17:13:54Z

192.168.1.205 : /* item has UTF8 encoding conflict with another item */

= Open Media Vault =
== <nowiki>item has UTF8 encoding conflict with another item</nowiki> ==
# apt install convmv

Convertir tous les fichiers et écraser les doublons :
{{Méta bandeau
| niveau = important
| icône = important
| texte = Faire une sauvegarde avant par précaution.
}}
# cd /chemin/du/partage/
# convmv -r --replace --notest -f utf-8 -t utf-8 --nfc *

Mettre en pause la synchro puis reprendre. Voila!

Prometheus

2021-04-11T17:10:39Z

192.168.1.205 : /* (Optionnel) Securisation serveur */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement avec cryptage sur Internet..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = important
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T17:09:25Z

192.168.1.205 : /* Prometheus PVE Exporter */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement avec cryptage sur Internet..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T17:08:21Z

192.168.1.205 : /* Import Serveur Prometheus */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement avec cryptage sur Internet..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

{{Méta bandeau
| niveau = information
| icône = important
| texte = attention à bien respecter l'alignement.
}}

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T17:06:45Z

192.168.1.205 : /* (Optionnel) Securisation serveur */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement avec cryptage sur Internet..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T09:28:50Z

192.168.1.205 : /* Grafana LCX Alpine 3.12 */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T00:12:19Z

192.168.1.205 : /* (Optionnel) Securisation serveur */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx restart

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana LCX Alpine 3.12 ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T00:05:26Z

192.168.1.205 : /* Prometheus */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx status

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana LCX Alpine 3.12 ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

- job_name: 'pve'
static_configs:
- targets:
- 12.34.56.789:9221 # Proxmox VE node with PVE exporter.
- 12.34.45.790:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T00:04:13Z

192.168.1.205 : /* Import Serveur Prometheus */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx status

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana LCX Alpine 3.12 ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

- job_name: 'pve'
static_configs:
- targets:
- 192.168.1.1:9221 # Proxmox VE node with PVE exporter.
- 192.168.1.2:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-11T00:03:45Z

192.168.1.205 : /* Import Serveur Prometheus */

= Serveur =

{{Barre_de_progression|36|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus firstco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage (self signed) :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx status

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

==Grafana LCX Alpine 3.12 ==
=== Importation Serveur Prometheus Distant (self signed) ===
[[File:Grafana Prometheus SelfSigned.PNG|border|Pag d'importation]]

= Export =
== ProxMox ==
=== Prometheus Node Exporter ===
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés matériel
}}

==== ProxMox ====
ProxMox:~# apt install prometheus-node-exporter
On crée un fichier de configuration avec l'adresse et port d'écoute :
ProxMox:~# echo 'ARGS=--web.listen-address=12.34.56.789:9100' > /etc/prometheus.conf
On active le fichier de configuration en modifiant le script :
ProxMox:~# vi /lib/systemd/system/prometheus-node-exporter.service

EnvironmentFile=/etc/prometheus.conf

ProxMox:~# systemctl daemon-reload
ProxMox:~# service prometheus-node-exporter restart
=== Import Serveur Prometheus ===
Prometheus:~# vi /etc/prometheus/prometheus.yml

...
- job_name: node
static_configs:
- targets: [12.34.56.789:9100]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Prometheus PVE Exporter==
[https://blog.zwindler.fr/2020/01/06/proxmox-ve-prometheus/ source en français de qualitay]
{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Export des métriques orientés virtualisation
}}

=== ProxMox ===

On crée un groupe et un utilisateur avec les droits d'accès au monitoring :

ProxMox:~# pveum groupadd monitoring -comment 'Monitoring group'
ProxMox:~# pveum aclmod / -group monitoring -role PVEAuditor
ProxMox:~# pveum useradd pve_exporter@pve
ProxMox:~# pveum usermod pve_exporter@pve -group monitoring
ProxMox:~# pveum passwd pve_exporter@pve
On installe l'exporter :
ProxMox:~# apt-get install python3-pip
ProxMox:~# pip3 install prometheus-pve-exporter
On va ensuite créer un fichier de configuration :
ProxMox:~# mkdir -p /usr/share/pve_exporter/

ProxMox:~# vi /usr/share/pve_exporter/pve_exporter.yml

default:
user: pve_exporter@pve
password: MOTDEPASSE
verify_ssl: false

On créé le fichier pour systemd :
ProxMox:~# vi /etc/systemd/system/pve_exporter.service

[Unit]
Description=Proxmox VE Prometheus Exporter
After=network.target
Wants=network.target

[Service]
Restart=on-failure
WorkingDirectory=/usr/share/pve_exporter
ExecStart=/usr/local/bin/pve_exporter /usr/share/pve_exporter/pve_exporter.yml 9221 12.34.56.789

[Install]
WantedBy=multi-user.target

ProxMox:~# systemctl daemon-reload
ProxMox:~# systemctl enable pve_exporter
ProxMox:~# systemctl start pve_exporter

=== Prometheus ===

Prometheus:~# vi /etc/prometheus/prometheus.yml

- job_name: 'pve'
static_configs:
- targets:
- 192.168.1.1:9221 # Proxmox VE node with PVE exporter.
- 192.168.1.2:9221 # Proxmox VE node with PVE exporter.
metrics_path: /pve
params:
module: [default]

Prometheus:~# service prometheus restart

On vérifie que l'exporter est "up" en se rendant sur son serveur Prometheus dans "Status" -> "Targets"

[[File:Prometheus menu targets.PNG|border| Menu "targets"]]

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-10T18:46:40Z

192.168.1.205 : /* (Optionnel) Securisation serveur */

= Serveur =

{{Barre_de_progression|33|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus fistco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx status

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}
==Grafana LCX Alpine 3.12 ==

= Export =

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-10T18:45:49Z

192.168.1.205 : /* (Optionnel) Securisation serveur */

= Serveur =

{{Barre_de_progression|33|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus fistco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx status

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

= Export =

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Prometheus

2021-04-10T17:47:00Z

192.168.1.205 : /* (Optionnel) Securisation serveur */

= Serveur =

{{Barre_de_progression|33|largeur=400px|hauteur=10|couleur1 = orange|texte = partie serveur Prometheus terminé}}
== LXC Alpine 3.12 <nowiki>Prometheus</nowiki> ==
=== Installation serveur de base ===
# apk update && apk upgrade
# apk add prometheus
# rc-update add prometheus default
# service prometheus start
On test en se rendant sur l'adresse '''<nowiki>http://IP_PROMETHEUS:9090</nowiki>''' :

[[File:Prometheus fistco.PNG|border|Le serveur fonctionne!]]

Facile!

=== (Optionnel) Securisation serveur ===
[https://prometheus.io/docs/guides/basic-auth/ '''source'''] [https://prometheus.io/docs/guides/tls-encryption/ '''autre source''']
==== Certificat self-signed ====
{{Méta bandeau
| niveau = grave
| icône = important
| texte = Fortement conseillé si vous exposé le serveur sur Internet.
}}

{{Méta bandeau
| niveau = modéré
| icône = important
| texte = Par default tout circule en clair.
}}

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = '''Ici on va uniquement sécuriser l'accès au serveur''' (je récupère les données sur un réseau virtuel non exposé, donc pas d'exporteurs joignables, plus simple), mais il est également possible de passer par [https://0x63.me/tls-between-prometheus-and-its-exporters/ '''stunnel'''] pour avoir les exporteurs directement sur Internet sans risque..
}}

On installe un proxy local pour sécuriser le flux :
# apk add nginx
# rc-update add nginx default
# service nginx start
On crée un .htpasswd pour l'utilsateur "admin" et son mot de passe :
# apk add apache2-utils
# htpasswd -c /etc/nginx/.htpasswd admin

New password:

On prépare le cryptage :

# apk add openssl
# mkdir -p /root/certs/prometheus/ && cd /root/certs/prometheus

# openssl req \
-x509 \
-newkey rsa:4096 \
-nodes \
-keyout prometheus.key \
-out prometheus.crt

On configure le vhost :
# vi /etc/nginx/conf.d/prometheus.conf

server {
listen '''9191''' ssl;
ssl_certificate /root/certs/prometheus/prometheus.crt;
ssl_certificate_key /root/certs/prometheus/prometheus.key;

location / {
auth_basic "Prometheus";
auth_basic_user_file /etc/nginx/.htpasswd;

proxy_pass <nowiki>http://localhost:9090/</nowiki>;

}
}

# service nginx status

On configure prometheus en rajoutant ces trois lignes :
{{Méta bandeau
| niveau = modéré
| icône = important
| texte = bien respecter l'emplacement, j'ai un peu galéré pour trouver mon erreur..
}}

# vi /etc/init.d/prometheus

...
command_args="--config.file=$prometheus_config_file \
--web.listen-address="127.0.0.1:9090" \
--web.external-url=<nowiki>https://127.0.0.1:</nowiki>'''9191''' \
--web.route-prefix="/" \
--storage.tsdb.path=$prometheus_storage_path \
...

# service prometheus restart

* Caching service dependencies ... [ ok ]
* Starting prometheus ... [ ok ]

{{Méta bandeau
| niveau = information
| icône = loupe
| texte = Le serveur ne doit plus être accessible via '''<nowiki>http://ip_prometheus:9090</nowiki>''' mais le sera via '''<nowiki>https://ip_prometheus:9191</nowiki>''' avec l'utilisateur "admin".
}}

= Export =

== Export Nvidia ==

docker run --name NVexport -p IP_EXPOSE:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

WireGuard LXC Alpine Linux

2021-04-09T10:44:35Z

192.168.1.205 :

= ProxMox =

[https://nixvsevil.com/posts/wireguard-in-proxmox-lxc/ '''source''']

= LXC Alpine 3.12 =
== WireGuard Server ==
<code> HDD : 0,5G / CPU : 1 / RAM : 256mb ??</code>

Avec un téléphone android connecté !!! :

[[File:Capture_ressource_WG_AlpineLXC.PNG|Incroyablement économe !]]

On autorise el routage :
# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
# sysctl -p

net.ipv4.ip_forward = 1

# rc-update add sysctl default

Puis on install :

# apk update && apk upgrade
# apk add wireguard-tools

On récup la configuration sur [https://www.wireguardconfig.com/ '''wireguardconfig''']

<code># vi /etc/wireguard/wg0.conf</code>
<pre>[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = *****************************************
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.2/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.3/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.4/32
</pre>

<code># vi /etc/wireguard/client1.conf</code>
[Interface]
Address = 10.0.0.2/24
ListenPort = 51820
PrivateKey = *****************************************

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = myserver.dyndns.org:51820

Allowed IP modifié pour ne pas redirigé tout le traffic local..

== Test ==
<code># wg-quick up wg0</code>
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# wg

interface: wg0
public key: *****************************************
private key: (hidden)
listening port: 51820

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.2/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.3/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.4/32

Fin du test :
# wg-quick down wg0

[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

== wg0 au boot via init.d ==

[https://gist.github.com/r0v/48e18c9584d4b5ecb96f593dec9a938c '''source''']

# vi /etc/init.d/wireguard

#!/sbin/openrc-run

depend() {
need localmount
need net
}

start() {
ebegin "Starting wireguard"
/usr/bin/wg-quick up wg0
eend $?
}

stop() {
ebegin "Stopping wireguard"
/usr/bin/wg-quick down wg0
eend $?
}

# chmod +x /etc/init.d/wireguard

# rc-update add wireguard default

On lance :
# service wireguard start
On peut tester avec "wg", rebooter pour vérifier etc...

== (Optionnel) QR Code ==

# apk add libqrencode

Exemple :
# qrencode -t ansiutf8 < /etc/wireguard/client1.conf

voila!

Prometheus

2021-04-08T21:51:27Z

192.168.1.205 : Created page with "= Serveur = = Export = == Export Nvidia == docker run --name NVexport -p 192.168.2.202:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-..."

= Serveur =

= Export =

== Export Nvidia ==

docker run --name NVexport -p 192.168.2.202:9445:9445 -d --restart=always -e LD_LIBRARY_PATH=/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --volume /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1:/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 --privileged mindprince/nvidia_gpu_prometheus_exporter:0.1

Main Page

2021-04-08T21:50:00Z

192.168.1.205 :

Welcome to MediaWiki. 
Consult the [http://meta.wikimedia.org/wiki/Help:Contents User's Guide]
for information on using the wiki software. 
== Getting started ==
* Log in as '''Admin''' and start your wiki!
* [https://www.turnkeylinux.org/mediawiki TurnKey Linux MediaWiki appliance release notes]
* [http://www.mediawiki.org/wiki/Manual:Configuration_settings MediaWiki Configuration settings list]
* [http://www.mediawiki.org/wiki/Manual:FAQ MediaWiki FAQ]
* [http://lists.wikimedia.org/mailman/listinfo/mediawiki-announce MediaWiki release mailing list]

= ProxMox =

* [[WireGuard_LXC_Alpine_Linux|VPN WireGuard in Alpine LXC]]

= Turnkey MediaWiki =

* [[Import_Images| Activer import images]]

= Prometheus =

* [[Prometheus| Suveillance via Prometheus]]

WireGuard LXC Alpine Linux

2021-04-08T19:03:43Z

192.168.1.205 :

= ProxMox =

= LXC Alpine 3.12 =
== WireGuard Server ==
<code> HDD : 0,5G / CPU : 1 / RAM : 256mb</code>

# apk update && apk upgrade
# apk add wireguard-tools

On récup la configuration sur [https://www.wireguardconfig.com/ '''wireguardconfig''']

<code># vi /etc/wireguard/wg0.conf</code>
<pre>[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = *****************************************
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.2/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.3/32

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 10.0.0.4/32
</pre>

<code># vi /etc/wireguard/client1.conf</code>
[Interface]
Address = 10.0.0.2/24
ListenPort = 51820
PrivateKey = *****************************************

[Peer]
PublicKey = *****************************************
PresharedKey = *****************************************
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = myserver.dyndns.org:51820

Allowed IP modifié pour ne pas redirigé tout le traffic local..

== Test ==
<code># wg-quick up wg0</code>
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# wg

interface: wg0
public key: *****************************************
private key: (hidden)
listening port: 51820

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.2/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.3/32

peer: *****************************************
preshared key: (hidden)
allowed ips: 10.0.0.4/32

Fin du test :
# wg-quick down wg0

[#] ip link delete dev wg0
[#] iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

== wg0 au boot via init.d ==

[https://gist.github.com/r0v/48e18c9584d4b5ecb96f593dec9a938c '''source''']

# vi /etc/init.d/wireguard

#!/sbin/openrc-run

depend() {
need localmount
need net
}

start() {
ebegin "Starting wireguard"
/usr/bin/wg-quick up wg0
eend $?
}

stop() {
ebegin "Stopping wireguard"
/usr/bin/wg-quick down wg0
eend $?
}

# chmod +x /etc/init.d/wireguard

# rc-update add wireguard default

On lance :
# service wireguard start
On peut tester avec "wg", rebooter pour vérifier etc...

== (Optionnel) QR Code ==

# apk add libqrencode

Exemple :
# qrencode -t ansiutf8 < /etc/wireguard/client1.conf

voila!