# Rapport Hermes — 2026-06-10_12-00 > Branche : `hermes/daily-work` · Fichiers analysés : 5 --- ## Résumé - ✅ À jour : 5 - ⚠️ À améliorer : 0 ## ✅ `admin/infra/dnsmasq.md` — 8/10 **Statut** : à_jour **Résumé** : Document complet et opérationnel avec des instructions claires pour la gestion de dnsmasq, des tests DNS et la résolution des problèmes connus. **Problèmes :** - Manque de détails sur la configuration IPv6 - La section des problèmes pourrait inclure une explication plus approfondie sur le comportement de l'interface USB - Les commandes 'dig' et 'nslookup' ne spécifient pas les options de résolution DNS (ex: timeout, classe) **Suggestions :** - Ajouter une section sur la configuration IPv6 avec des exemples de syntaxe - Mettre à jour la section 'Problème connu' avec des explications sur le mécanisme de déclenchement du crash - Compléter les exemples de tests DNS avec des options de résolution (ex: +time, +tries) - Ajouter un avertissement sur la priorité des resolvers dans /etc/resolv.conf **État réel connu de Hermes :** dnsmasq actif depuis 3 jours, résolution DNS correcte pour compute-01.lab.local (192.168.10.11) et openwebui.lab.local (192.168.10.200), aucun incident critique observé dans les pods, exports NFS ou services k8s --- ## ✅ `admin/infra/email.md` — 9/10 **Statut** : à_jour **Résumé** : Documentation complète pour configurer le relais SMTP Postfix vers Gmail avec vérification et dépannage **Problèmes :** - La section 'Vérification' manque une instruction pour tester les headers de l'e-mail envoyé **Suggestions :** - Ajouter un exemple de vérification des headers avec swaks ou telnet - Mettre en évidence les dépendances requises pour les tests (ex: mailutils) **État réel connu de Hermes :** Le relais SMTP est actif sur storage-01 avec les paramètres configurés dans le fichier, les tests de base fonctionnent --- ## ✅ `admin/infra/nfs.md` — 9/10 **Statut** : à_jour **Résumé** : Documentation complète et structurée sur la configuration NFS du cluster, avec procédures claires et vérifications d'état à jour. **Problèmes :** - Manque de mention sur les règles de pare-feu pour les exports NFS - Aucune indication sur la procédure de sauvegarde des données partagées - Les options 'no_root_squash' posent des risques de sécurité non discutés **Suggestions :** - Ajouter une section sur la configuration des règles iptables/firewalld pour sécuriser les exports - Inclure un exemple de script de sauvegarde des données NFS - Mettre en avant les bonnes pratiques pour les permissions avec 'no_root_squash' - Ajouter un avertissement sur les risques liés à l'utilisation de 'no_root_squash' **État réel connu de Hermes :** Le service nfs-server est actif, les exports sont configurés correctement avec les options rw/sync/no_root_squash. Les automounts sur gpu-01 fonctionnent avec timeout de 30s et retry configurés. Les modèles GGUF sont correctement montés via NFS. --- ## ✅ `admin/infra/reseau.md` — 9/10 **Statut** : à_jour **Résumé** : Documentation complète et structurée sur la configuration réseau du cluster Funk, avec des sections claires et des exemples concrets. **Problèmes :** - La mention de HSA_OVERRIDE_GFX_VERSION=10.3.0 pour RX 6704 est inexacte (le matériel est RX 6700XT gfx1031) - Le fichier /etc/hosts ne contient pas les entrées pour compute-01, compute-02, compute-03 - Le template nftables.conf.j2 n'est pas visible dans le dépôt Ansible référencé **Suggestions :** - Ajouter des exemples concrets de règles nftables pour illustrer la configuration - Mettre à jour la version du matériel GPU dans la documentation - Ajouter une note sur la gestion des mises à jour Ansible pour les règles nftables - Inclure les entrées DNS pour les nœuds Kubernetes dans /etc/hosts **État réel connu de Hermes :** Le réseau fonctionne correctement avec des connexions NAT/forwarding validées, mais des vérifications supplémentaires sont nécessaires pour les règles nftables et la configuration DNS --- ## ✅ `admin/infra/ssh.md` — 8/10 **Statut** : à_jour **Résumé** : Le document décrit correctement les configurations SSH actuelles avec des pratiques sécurisées, mais manque de détails sur ProxyJump et pourrait améliorer sa section de débogage. **Problèmes :** - Aucun mention de l'utilisation de ProxyJump pour les connexions sécurisées - La section de débogage pourrait inclure des commandes pour vérifier les configurations SSH plus détaillées **Suggestions :** - Ajouter une section expliquant l'utilisation de ProxyJump pour les connexions sécurisées - Mettre à jour la section de débogage avec des exemples de vérification des configurations SSH - Préciser les implications de sécurité liées à PermitRootLogin **État réel connu de Hermes :** sshd actif sur le port 22 avec configuration conforme (PubkeyAuthentication=yes, PasswordAuthentication=no). Aucun problème critique détecté. ---