[DDR] webwml://mirror/push_mirroring.wml
Merci d'avance aussi aux relecteurs de cette page.
A+,
Christian.
#use wml::debian::template title="Explication des Miroirs Push"
#use wml::debian::translation-check translation="1.5" maintainer="Christian Couder"
<p>Les miroirs « Push » sont une forme de miroir, utilisant rsync qui
minimise le temps que mettent les changements de l'archive pour
atteindre les miroirs. Les miroirs « Push » utilisent un script
déclencheur ssh pour indiquer au miroir client qu'il doit se mettre à
jour.
<p>Les miroirs « Push » demandent un peu plus d'effort à mettre en
place car les responsables des miroirs client et serveur doivent
s'échanger des informations. L'avantage est que le miroir serveur
lance le processus de mise à jour du client immédiatement après que
son archive a été mise à jour. Cela permet une propagation très rapide
des changements de l'archive.
<h2>Explication de ce fonctionnement</h2>
<p>Tout d'abord quelques informations sur ssh. Ssh permet de se
connecter à des comptes sur différentes machines d'une manière
sûre. Non seulement les mots de passe ne sont jamais transmis en
clair, mais une fois que vous êtes connecté à une machine vous êtes
certain que les connections futures se feront sur la même
machine. Cela prévient beaucoup d'attaques du type un-homme-au-milieu.
<p>Une possibilité que vous offre ssh est la faculté d'accepter la clé
publique d'identification d'un utilisateur d'une autre machine et de
l'ajouter au fichier des clés autorisées sur sa propre machine. Par
défaut, l'utilisateur sur l'autre machine (qui a la clé
d'identification privée associée à la clé d'identité publique qu'il a
donnée) a alors le droit de se connecter sous votre compte. Il est
cependant possible de rajouter des options à une clé autorisée pour
restreindre le type d'accès d'une personne l'utilisant pour se
connecter sur votre machine.
<p>Ainsi pour protéger le miroir client, des options sont ajoutées à
une clé fournie par le miroir serveur pour donner aux personnes qui
accèdent à votre compte un seul droit - celui de lancer sur votre
machine le programme qui met à jour votre miroir. Même si quelqu'un
(un tiers malveillant) était capable de casser les clés, il ne
pourrait alors que lancer le programme de miroir sur votre
machine. Vous n'avez même pas à vous soucier de la possibilité d'avoir
plusieurs copies du programme lancées, car un fichier verrou est
utilisé.
<p>Sur le miroir client, rsync peut être configuré pour restreindre
par nom d'utilisateur et mot de passe la possibilité de faire un
miroir d'une zone donnée. Ceux-ci sont complètement séparés de
<kbd>/etc/passwd</kbd> de façon à ce qu'un serveur push n'ait pas à se
soucier de donner à d'autres l'accès à sa machine. De la façon dont
c'est configuré, le nom d'utilisateur et le mot de passe sont transmis
en clair. Cela ne devrait cependant pas être un problème, car le pire
qu'il puisse se produire est qu'un tiers ait la possibilité de faire
un miroir des pages Debian depuis ce site.
<h2>Mettre en place un miroir « Push » client</h2>
<p>Le mieux est de mettre en place tout cela en utilisant le compte
d'un utilisateur ordinaire, non root.
Le contenu de la clé ssh publique que le miroir serveur vous donne
devrait être placée dans
<kbd>~<user>/.ssh/authorized_keys</kbd>.
<p>Pour devenir un client push de l'archive FTP, vous aurez besoin des
fichiers <a href="ftpsync">ftpsync</a> et <a
href="ftpsync.conf">ftpsync.conf</a>.
Éditez ftpsync.conf et suivez les indications qui se trouvent à
l'intérieur en utilisant les informations qui vous sont données par le
miroir serveur.
<p>Pour faire un miroir push de l'archive non-US, vous aurez besoin
des fichiers <a href="ftpsync-non-US">ftpsync-non-US</a> et <a
href="ftpsync-non-US.conf">ftpsync-non-US.conf</a>.
Ces fichiers ont des noms différents de façon à ce que vous puissiez
utiliser le même compte pour faire un miroir des deux archives.
<p>Pour devenir un client push des pages web, vous aurez besoin des
fichiers <a href="websync">websync</a> et <a href="websync.conf">websync.conf</a>.
Éditez websync.conf et suivez les indications qui se trouvent à
l'intérieur en utilisant les informations qui vous sont données par le
miroir serveur.
<h2>Les sites clients push primaires (« Push-Primary »)</h2>
<p>Les miroirs clients push primaires, aussi appelés miroirs 1er tiers
(« Tier-1 »), sont les miroirs push client qui sont
autorisés à faire un miroir de nos archives principales.
<p>Si votre site est <strong>très</strong> bien connecté (à la fois
une très bonne bande passante et bien connecté aux épines dorsales
majeures du réseau) et que vous acceptez de laisser d'autres sites
faire un miroir à partir de votre site, vous pouvez nous le faire
savoir afin que nous envisagions d'en faire un miroir push. Cependant,
ne vous attendez pas à ce que ça se fasse rapidement car nous avons
déjà un bon nombre de miroirs 1er tiers.
<p>Si vous devenez un push primaire de l'archive FTP, vous avez besoin
de la clé publique ssh de archvsync@ftp-master.debian.org, soit la
version <a href="identity.pub.master.ftp">SSH1</a> soit la version <a
href="id_rsa.pub.ftp-master">SSH2</a> de celle-ci.</p>
<p>Si vous devenez un Push-Primaire de l'archive FTP non-US, vous avez
besoin de la clé publique ssh de archvsync@non-us.debian.org, soit la
version <a href="identity.pub.non-US.ftp">SSH1</a> soit la version <a
href="id_dsa.pub.non-US">SSH2</a> de celle-ci.</p>
<p>Si vous devenez un Push-Primaire des pages web, vous avez besoin de
la clé publique ssh de archvsync@www-master.debian.org, soit la
version <a href="identity.pub.master.web">SSH1</a> soit la version <a
href="id_dsa.pub.www-master">SSH2</a> de celle-ci.</p>
<h2>Mettre en place un miroir « Push » serveur</h2>
<p>Étant donné le grand nombre de miroirs et la taille de l'archive
Debian, il n'est pas possible que tous les miroirs utilisent l'archive
principale comme source de la Debian (c'est-à-dire comme leur miroir
push serveur). Il est beaucoup plus efficace de distribuer la charge
sur un certain nombre de miroirs push répartis à travers le monde.
<p>Les miroirs push serveurs doivent être des miroirs push client de
l'archive principale (ou éventuellement d'un autre miroir push
serveur), et doivent contenir un miroir de l'ensemble de l'archive
Debian.
<p>Voyez les <a href="push_server">détails sur la mise en place d'un
serveur push</a>.
Reply to: