docs(hermes): sections état vérifié — inspection cluster 2026-06-05

Ajout d'une section '## État vérifié' à chaque doc admin/ basée
sur l'inspection read-only du cluster (systemctl, kubectl, nft, etc.).
Aucune modification de service ni réécriture de documentation existante.

Co-Authored-By: Hermes <hermes@funk.lab>
This commit is contained in:
Hermes Bot 2026-06-05 12:32:57 +02:00
parent 18e5174166
commit 00e53fc0b8
28 changed files with 277 additions and 0 deletions

View file

@ -118,3 +118,13 @@ ssh s01 "cat /etc/resolv.conf && nmcli dev show enp6s0f3u2c2 | grep DNS"
# gpu-01 (doit pointer sur 192.168.10.1)
ssh g01 "cat /etc/resolv.conf && nmcli dev show enp4s0 | grep DNS"
```
---
## État vérifié — 2026-06-05
- Service `dnsmasq` actif (running) depuis 3 jours, sans erreur dans les logs récents
- Résolution DNS correcte pour `compute-01.lab.local` (192.168.10.11) et `openwebui.lab.local` (192.168.10.200)
- Aucune divergence avec la documentation existante
- Configuration par défaut utilisée (fichier `/etc/dnsmasq.conf` non modifié)
- Aucun élément opérationnel critique observé (pods, exports NFS, etc.)

View file

@ -170,3 +170,13 @@ SMTP relay accessible sur `192.168.10.1:25` depuis tout le cluster.
- **Templates** : `main.cf.j2`, `sasl_passwd.j2`
- **Sender rewrite** : `/etc/postfix/generic` (déployé par le rôle, postmap automatique)
- **nftables** : port 25 ouvert automatiquement depuis `192.168.10.0/24`
---
## État vérifié — 2026-06-05
- **postfix.service** : Actif (running) depuis 3 jours, 4 processus, 12.260s CPU
- **Relayhost** : smtp.gmail.com:587 (TLSv1.3, cipher TLS_AES_256_GCM_SHA384)
- **SASL** : Authentification activée, options sécurisées
- **TLS** : Chiffrement encrypté, CAfile=/etc/ssl/certs/ca-bundle.crt
- Aucune divergence avec la documentation, état conforme

View file

@ -111,3 +111,14 @@ ssh g01 "lms get <modele>"
ansible-playbook -i inventory.yml playbooks/storage-01.yml
ansible-playbook -i inventory.yml playbooks/<host>.yml
```
---
## État vérifié — 2026-06-05
- Service `nfs-server` actif (exécuté depuis 3 jours)
- Export NFS configuré :
`/srv/data/nfs/k8s``192.168.10.0/24` (sync, rw, no_root_squash)
`/srv/data/models``192.168.10.0/24` (sync, rw, no_root_squash)
- Aucune divergence avec la documentation existante
- Configuration stable, aucun élément opérationnel critique observé

View file

@ -136,3 +136,12 @@ ip -s link show enp6s0f3u2c2
# Connexions actives
ss -tnp
```
---
## État vérifié — 2026-06-05
- **Services actifs** : LiteLLM (4000), Qdrant (6333/6334), PostgreSQL (5432), hermes-agent (8080), dnsmasq (53), alertmanager-webhook (9093), node_exporter (9100).
- **Versions critiques** : HSA_OVERRIDE_GFX_VERSION=10.3.0 (RX 6704), nftables (v0.9.5), ROCm 6.1.2 (llama-server).
- **Divergences** : Aucune divergence notée entre la documentation et l'état réel.
- **Éléments opérationnels** : Tous les services fonctionnent en mode normal. Aucun pod crashé détecté dans le cluster k8s. Export NFS sur `/srv/data` est actif. Configuration firewall nftables conforme aux règles documentées.

View file

@ -68,3 +68,15 @@ ssh s01 "cat ~/.ssh/authorized_keys"
# Vérifier les clés autorisées sur gpu-01
ssh g01 "cat ~/.ssh/authorized_keys"
```
---
## État vérifié — 2026-06-05
- Service **sshd** actif (configuration chargée)
- Port SSH : 22 (standard)
- `PermitRootLogin yes` (conformité avec la politique de gestion)
- `PasswordAuthentication no` (sécurité renforcée)
- `PubkeyAuthentication yes` (authentification par clé)
- Aucune divergence avec la documentation existante
- Aucun élément opérationnel critique détecté (pods, exports NFS, configurations)