jitsi: configuration du service

2025-09-30 23:13:14 +02:00 · 2025-09-30 23:13:14 +02:00 · 2125886b26
commit 2125886b26
parent b96dfbe92c
6 changed files with 99 additions and 3 deletions
--- a/README.md
+++ b/README.md
@ -19,7 +19,7 @@ l'infrastructure d'Aurore et se décompose en plusieurs parties :
 Dans Nix, l'ensemble des fichiers est écrit dans `/nix/store`, ce qui est
 accessible et donc visible par tous les programmes (et tous les utilisateur⋅ices).
 De plus, l'ensemble des fichiers de configurations se trouvent sur un repo git
-publique. Pour ces deux raisons, il est préférable de chiffrer les secrets à
+public. Pour ces deux raisons, il est préférable de chiffrer les secrets à
 l'aide de [agenix](https://github.com/ryantm/agenix). Plus de détails sont
 disponibles dans [secrets](./secrets).

--- a/hosts/vm/jitsi/default.nix
+++ b/hosts/vm/jitsi/default.nix
@ -1,6 +1,10 @@
 { ... }:

 {
+  imports = [
+    ./jitsi.nix
+  ];
+
  networking = {
    hostName = "jitsi";
    domain = "pub.infra.auro.re";
--- a/hosts/vm/jitsi/jitsi.nix
+++ b/hosts/vm/jitsi/jitsi.nix
@ -0,0 +1,37 @@
+{ ... }:
+
+{
+  services = {
+    jitsi-meet = {
+      enable = true;
+      hostName = "jitsi-ng.auro.re";
+
+      config = {
+        liveStreaming.enabled = true;
+      };
+    };
+
+    jitsi-videobridge = {
+      enable = true;
+      openFirewall = true;
+      colibriRestApi = true;
+    };
+
+    # Monitoring
+    prometheus.exporters.jitsi = {
+      enable = true;
+      openFirewall = true;
+    };
+  };
+
+  networking.firewall.allowedTCPPorts = [ 80 443 ];
+
+  security.acme = {
+    acceptTerms = true;
+    defaults.email = "tech.aurore@lists.crans.org";
+  };
+
+  nixpkgs.config.permittedInsecurePackages = [
+    "jitsi-meet-1.0.8043"
+  ];
+}
--- a/profiles/common/default.nix
+++ b/profiles/common/default.nix
@ -7,6 +7,7 @@
    ./nix.nix
    ./ntp.nix
    ./programs.nix
+    ./prometheus-node-exporter.nix
    ./ssh.nix
    ./tmp.nix
  ];
--- a/profiles/common/prometheus-node-exporter.nix
+++ b/profiles/common/prometheus-node-exporter.nix
@ -0,0 +1,54 @@
+{ config, ... }:
+
+let
+  port = config.services.prometheus.exporters.node.port;
+in
+{
+  networking.firewall.allowedTCPPorts = [ port ];
+
+  services.prometheus.exporters.node = {
+    enable = true;
+    enabledCollectors = [
+      "arp"
+      "bonding"
+      "buddyinfo"
+      "cgroups"
+      "conntrack"
+      "cpu"
+      "cpu_vulnerabilities"
+      "cpufreq"
+      "diskstats"
+      "dmi"
+      "edac"
+      "entropy"
+      "filesystem"
+      "hwmon"
+      "interrupts"
+      "loadavg"
+      "meminfo"
+      "netclass"
+      "netdev"
+      "netstat"
+      "nvme"
+      "os"
+      "powersupplyclass"
+      "pressure"
+      "qdisc"
+      "rapl"
+      "schedstat"
+      "sockstat"
+      "softnet"
+      "stat"
+      "systemd"
+      "thermal_zone"
+      "time"
+      "timex"
+      "udp_queues"
+      "uname"
+      "vmstat"
+      "watchdog"
+      "zfs"
+      "zoneinfo"
+    ];
+  };
+} 
--- a/secrets/README.md
+++ b/secrets/README.md
@ -5,8 +5,8 @@ NixOS et notamment de ne pas les copier les secrets dans `/nix/store`, qui est
 visible par tout le monde (dit "_world readable_"), c'est-à-dire par tous les
 processus et tous les utilisateur⋅ices.

-Pour plus d'informations sur agenix, veuillez vous référer à la [documentation
-officielle](https://github.com/ryantm/agenix)
+Pour plus d'informations sur agenix, veuillez vous réferer à la [documentation
+officielle](https://github.com/ryantm/agenix).

 ## Pré-requis