federez/nix
7
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Forgejo profile & gitlab fix #2

Merged
asyncnomi merged 9 commits from gitlab-upgrade-phase2 into master 2025-07-06 21:22:38 +02:00
Conversation 4 Commits 9 Files changed 36 +1101 -754
asyncnomi commented 2025-06-22 21:29:39 +02:00 (Migrated from gitlab2.federez.net)
Copy link
No description provided.
asyncnomi commented 2025-06-23 00:45:14 +02:00 (Migrated from gitlab2.federez.net)
Copy link

added 1 commit

  • 19b2eb37 - dual ip for forgejo, remove nft

Compare with previous version

added 1 commit <ul><li>19b2eb37 - dual ip for forgejo, remove nft</li></ul> [Compare with previous version](/federez/nix/-/merge_requests/2/diffs?diff_id=867&start_sha=18c721bd999e1b2cf0bb0ea7e4f64c8ad6926fd1)
asyncnomi commented 2025-06-23 22:36:36 +02:00 (Migrated from gitlab2.federez.net)
Copy link

added 1 commit

  • ea4d89ee - increase client body limit to 1GB

Compare with previous version

added 1 commit <ul><li>ea4d89ee - increase client body limit to 1GB</li></ul> [Compare with previous version](/federez/nix/-/merge_requests/2/diffs?diff_id=870&start_sha=19b2eb37e5f5ffcf38e64da71e2b77a6d400998b)
jeltz requested changes 2025-07-01 20:40:44 +02:00
profiles/forgejo.nix Outdated
@ -0,0 +24,4 @@
postgresqlDatabases = [ cfg.database.name ];
};
services.openssh = {
jeltz commented 2025-07-01 20:37:08 +02:00
Owner
Copy link

Le serveur SSH n'écoute plus sur l'interface du réseau INFRA (voir profiles/infra.nix).

Je suppose qu'on pourrait ajouter un :

services.openssh.listenAddresses = [
  { addr = network.infra.nodes.${name}.ipv4; port = 22; }
  { addr = network.infra.nodes.${name}.ipv6; port = 22; }
];

Inséré dans profiles/forgejo.nix, ça couplerait la configuration de Forgejo à celle du réseau INFRA, ce qui n'est je pense pas très judicieux sur le long terme. Ailleurs, il faut bien faire attention à ne pas se couper l'herbe de sous le pied, en s'assurant que le démon SSH continue à écouter sur les adresses publiques dans le cas général (via une option restrictSSH ou équivalent ?).

Dans les deux cas, ça ajoute de la complexité. Ça plaide à mon sens pour un recours au serveur SSH mutualisé Forgejo/système en écoute sur toutes les adresses.

Le serveur SSH n'écoute plus sur l'interface du réseau INFRA (voir `profiles/infra.nix`). Je suppose qu'on pourrait ajouter un : ``` services.openssh.listenAddresses = [ { addr = network.infra.nodes.${name}.ipv4; port = 22; } { addr = network.infra.nodes.${name}.ipv6; port = 22; } ]; ``` Inséré dans `profiles/forgejo.nix`, ça couplerait la configuration de Forgejo à celle du réseau INFRA, ce qui n'est je pense pas très judicieux sur le long terme. Ailleurs, il faut bien faire attention à ne pas se couper l'herbe de sous le pied, en s'assurant que le démon SSH continue à écouter sur les adresses publiques dans le cas général (via une option `restrictSSH` ou équivalent ?). Dans les deux cas, ça ajoute de la complexité. Ça plaide à mon sens pour un recours au serveur SSH mutualisé Forgejo/système en écoute sur toutes les adresses.
profiles/forgejo.nix Outdated
@ -0,0 +98,4 @@
user = "wizard";
in ''
# || true -> avoid systemd to crash on that command if user already exist by forcing a 0 return value
${adminCmd} create --admin --email "root@localhost" --username ${user} --password "$(tr -d '\n' < ${pwd})" || true
jeltz commented 2025-07-01 20:38:30 +02:00
Owner
Copy link

Peut-être mettre une adresse type admin@federez.net, de manière à recevoir d'éventuelles notifications ?

Peut-être mettre une adresse type `admin@federez.net`, de manière à recevoir d'éventuelles notifications ?
asyncnomi commented 2025-07-01 21:02:52 +02:00
Member
Copy link

On peut oui mais normalement ce compte n'est pas sensé être utilisé pour faire des actions qui génère des mails, si ?

On peut oui mais normalement ce compte n'est pas sensé être utilisé pour faire des actions qui génère des mails, si ?
asyncnomi commented 2025-07-01 21:07:11 +02:00
Member
Copy link

J'ai mis admin@federez.net, dans le doute...

J'ai mis admin@federez.net, dans le doute...
jeltz marked this conversation as resolved
profiles/forgejo.nix
@ -0,0 +115,4 @@
"git.federez.net" = {
enableACME = true;
forceSSL = true;
locations."/".proxyPass = "http://localhost:3000";
jeltz commented 2025-07-01 20:39:39 +02:00
Owner
Copy link

Référencer services.forgejo.settings.server.HTTP_PORT ? Overkill ?

Référencer `services.forgejo.settings.server.HTTP_PORT` ? Overkill ?
asyncnomi commented 2025-07-01 21:06:56 +02:00
Member
Copy link

done

done
jeltz marked this conversation as resolved
asyncnomi added 1 commit 2025-07-01 22:28:23 +02:00
jeltz reviewed 2025-07-02 07:48:02 +02:00
profiles/vogon/guest.nix
@ -38,1 +50,4 @@
};
};
services.openssh.listenAddresses = [
{ addr = network.infra.nodes.${config.networking.hostName}.ipv4; port = 22; }
jeltz commented 2025-07-02 07:47:42 +02:00
Owner
Copy link

Utiliser l'argument name fourni par Colmena, si jamais on venait à changer les hostnames, ou simplement par cohérence avec profiles/prometheus-node-exporter.nix ?

Utiliser l'argument `name` fourni par Colmena, si jamais on venait à changer les hostnames, ou simplement par cohérence avec `profiles/prometheus-node-exporter.nix` ?
profiles/vogon/guest.nix Outdated
@ -38,1 +51,4 @@
};
services.openssh.listenAddresses = [
{ addr = network.infra.nodes.${config.networking.hostName}.ipv4; port = 22; }
{ addr = network.infra.nodes.${config.networking.hostName}.ipv6; port = 22; }
jeltz commented 2025-07-02 07:47:51 +02:00
Owner
Copy link

Idem

Idem
asyncnomi added 1 commit 2025-07-05 18:53:47 +02:00
asyncnomi started working 2025-07-05 18:57:22 +02:00
asyncnomi stopped working 2025-07-05 18:57:30 +02:00
8 seconds
asyncnomi deleted spent time 2025-07-06 05:14:56 +02:00
- 8 seconds
jeltz merged commit 0a264a34ec into master 2025-07-06 21:22:38 +02:00
jeltz deleted branch gitlab-upgrade-phase2 2025-07-06 21:23:05 +02:00
Sign in to join this conversation.
Reviewers
No reviewers
jeltz
Labels
Clear labels
No items
No labels
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
3 participants
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: federez/nix#2
No description provided.
Delete branch "gitlab-upgrade-phase2"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?