Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | |||
resume-technique:reseau-worldwidewelsh [23/11/2023 22:26] – suppression index anciennes pages Fabien Duchaussois | resume-technique:reseau-worldwidewelsh [02/12/2023 21:52] (Version actuelle) – Correction quelques fautes de frappe Arnaud J. | ||
---|---|---|---|
Ligne 7: | Ligne 7: | ||
{{ : | {{ : | ||
- | Raoull dépose ses serveurs dans des locaux d'association partenaires, | + | Raoull dépose ses serveurs dans des locaux d’association partenaires, |
- | Le principe, un accord de service : Raoull installe un serveur pour des services locaux pour la structure. En échange, la structure permet à Raoull d'héberger des serveurs pour son infrastrcuture | + | Le principe, un accord de service : Raoull installe un serveur pour des services locaux pour la structure. En échange, la structure permet à Raoull d’héberger des serveurs pour son infrastructure |
Le //Kit Raoullien// se compose alors au minimum de 3 éléments : | Le //Kit Raoullien// se compose alors au minimum de 3 éléments : | ||
- | * 1 routeur - firewall - coeur de réseau principalement à base de MikroTik hEX sous RouterOS - malheureusment | + | * 1 routeur - firewall - cœur de réseau principalement à base de MikroTik hEX sous RouterOS - malheureusement |
- | * 1 serveur - Proxmox PVE en mode " | + | * 1 serveur - Proxmox PVE en mode " |
- | * 1 serveur - Proxmox PVE en mode " | + | * 1 serveur - Proxmox PVE en mode " |
===== 3 - Accès aux machines ===== | ===== 3 - Accès aux machines ===== | ||
Ligne 21: | Ligne 21: | ||
{{ : | {{ : | ||
- | L'équipe Raoull accède au réseau Raoull du site par VPN, grâce au serveur VPN configuré sur le routeur.\\ | + | L’équipe Raoull accède au réseau Raoull du site par VPN, grâce au serveur VPN configuré sur le routeur.\\ |
- | Les accès | + | Les accès |
Le réseau des serveurs est isolé du LAN de la structure.\\ | Le réseau des serveurs est isolé du LAN de la structure.\\ | ||
Seuls les ports nécessaires aux services sont ouverts. | Seuls les ports nécessaires aux services sont ouverts. | ||
- | L'équipe Raoull dispose des accès et mots de passe des serveurs, y compris ceux dédiés à la structure : ceci afin d'assurer le support, les mises à jour ...\\ | + | L’équipe Raoull dispose des accès et mots de passe des serveurs, y compris ceux dédiés à la structure : ceci afin d’assurer le support, les mises à jour …\\ |
- | L'accès s'effectue par ssh, restreint aux clefs des admins Raoull.\\ | + | L’accès s’effectue par SSH, restreint aux clefs des admins Raoull.\\ |
- | Le déchiffrement peut s'effectuer à distance grâce à dropbear.\\ | + | Le déchiffrement peut s’effectuer à distance grâce à [[wpfr> |
===== 4 - Résilience et indépendance ===== | ===== 4 - Résilience et indépendance ===== | ||
Ligne 35: | Ligne 35: | ||
{{ : | {{ : | ||
- | Les membres de la structure locale accèdent à leurs services via Internet (en mobilité) ou localement | + | Les membres de la structure locale accèdent à leurs services via Internet (en mobilité) ou localement. |
Par défaut le réseau de la structure reste branché à sa box - accès internet.\\ | Par défaut le réseau de la structure reste branché à sa box - accès internet.\\ | ||
- | Il reste cependant possible de le connecter - via un port ethernet | + | Il reste cependant possible de le connecter - via un port Ethernet |
- | Celui-ci assure ainsi une résolution des services, même en cas de coupure d'accès internet... pour garder la main sur ses données même isolé ;)\\ | + | Celui-ci assure ainsi une résolution des services, même en cas de coupure d’accès internet… pour garder la main sur ses données même isolé ;) |
Note: | Note: | ||
- | Si la structure souhaite quitter l'infrastructure du World Wide Welsh : elle pourra simplement récupérer le serveur.\\ | + | Si la structure souhaite quitter l’infrastructure du //World Wide Welsh// : elle pourra simplement récupérer le serveur.\\ |
- | Modulo un changement de configuration réseau et l'arrêt des sauvegardes, | + | Modulo un changement de configuration réseau et l’arrêt des sauvegardes, |
===== 5 - Accès aux services publics ===== | ===== 5 - Accès aux services publics ===== | ||
Ligne 53: | Ligne 53: | ||
===== 6 - Sauvegarde ===== | ===== 6 - Sauvegarde ===== | ||
- | Les sauvegardes de tous les containeurs | + | Les sauvegardes de tous les containers |
{{ : | {{ : | ||
Ligne 59: | Ligne 59: | ||
===== 7 - Secours ===== | ===== 7 - Secours ===== | ||
- | Lorsque le serveur de Raoull est un Proxmox Virtual Environment, | + | Lorsque le serveur de Raoull est un Proxmox Virtual Environment, |
- | Ce scénario n'est pas possible sur les sites ou le serveur Raoull est un unique Proxmox Backup Serveur physique. La réparation du PVE de la structure ou la bascule complète des services sur un autre site sera à privilégier. | + | Ce scénario n’est pas possible sur les sites ou le serveur Raoull est un unique Proxmox Backup Serveur physique. La réparation du PVE de la structure ou la bascule complète des services sur un autre site sera à privilégier. |
En cas de crash du serveur Proxmox Virtual Environment de Raoull, les services portés par ce serveur sont démarrés sur un nouveau site (voir illustration plus loin). | En cas de crash du serveur Proxmox Virtual Environment de Raoull, les services portés par ce serveur sont démarrés sur un nouveau site (voir illustration plus loin). | ||
- | En cas d'indisponibilité complète du site, tous les services portés peuvent être redémarrés sur un autre site (voir illustration plus loin). | + | En cas d’indisponibilité complète du site, tous les services portés peuvent être redémarrés sur un autre site (voir illustration plus loin). |
{{ : | {{ : | ||
Ligne 74: | Ligne 74: | ||
Les sauvegardes sont chiffrées. Les données ne sortent pas de leur site sans être chiffrées. Raoull possède les clefs/mots de passe de déchiffrement. | Les sauvegardes sont chiffrées. Les données ne sortent pas de leur site sans être chiffrées. Raoull possède les clefs/mots de passe de déchiffrement. | ||
- | Cette réplication s'effectue à travers un VPN wireguard géré par les routeurs Mikrotik. | + | Cette réplication s’effectue à travers un VPN wireguard géré par les routeurs Mikrotik. |
{{ : | {{ : | ||
Ligne 80: | Ligne 80: | ||
===== 9 - Résilience et organisation réseau ====== | ===== 9 - Résilience et organisation réseau ====== | ||
- | En cas de crash d'un site, il doit être possible de redémarrer les services de la structure temporairement depuis un autre site, sur les serveurs de Raoull, tout en gardant une segmentation entre les structures. Pour cela : | + | En cas de crash d’un site, il doit être possible de redémarrer les services de la structure temporairement depuis un autre site, sur les serveurs de Raoull, tout en gardant une segmentation entre les structures. Pour cela : |
* Un VLAN est créé pour les serveurs dédiés à chaque structure. | * Un VLAN est créé pour les serveurs dédiés à chaque structure. | ||
- | * Chaque site dispose de tous les VLANs, y compris les vlans des autres structures, vides mais prêts à l'emploi. | + | * Chaque site dispose de tous les VLANs, y compris les vlans des autres structures, vides mais prêts à l’emploi. |
- | * Des vlans communs sont composés de serveurs quasi identiques sur chaque site (reverse proxy…) faisant l'objet de mécanisme de réplication sur mesure (gestion des certificats…). | + | * Des VLANs communs sont composés de serveurs quasi identiques sur chaque site (reverse proxy…) faisant l’objet de mécanisme de réplication sur mesure (gestion des certificats…). |
* Les Proxmox sont gérés à travers de VLAN de management isolés des VLANs de VM et containers. | * Les Proxmox sont gérés à travers de VLAN de management isolés des VLANs de VM et containers. | ||
Ligne 91: | Ligne 91: | ||
===== 10 - Résilience - perte d'un site ===== | ===== 10 - Résilience - perte d'un site ===== | ||
- | Si un site devient inaccessible (perte de réseau, incident serveur/ | + | Si un site devient inaccessible (perte de réseau, incident serveur/ |
Les services ouverts (web) sont accessibles aux membres de la structure impactés via internet. | Les services ouverts (web) sont accessibles aux membres de la structure impactés via internet. | ||