IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Architecture Discussion :

Installation d’un serveur dédié : Multiple IP FailOver + Proxmox + Pfsense


Sujet :

Architecture

  1. #1
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2016
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2016
    Messages : 15
    Points : 14
    Points
    14
    Par défaut Installation d’un serveur dédié : Multiple IP FailOver + Proxmox + Pfsense
    Bonjour à tous,

    Dernièrement j'ai fais l'acquisition d'un serveur Hetzner pour me lancer dans la virtualisation.
    Je suis en train de réfléchir à l'architecture pour sécuriser mes environnements au mieux et requiert votre aide. Je suis étudiant et je travaille sur un projet d'ordre personnel (On est fin juillet et je m'ennuie un peu, je cherche à monter en compétences ).

    L'objectif de mon projet consiste à avoir un serveur dédié avec une multitudes de "nœuds" / "VPS". La contrainte c'est que chaque nœuds doit avoir sa propre adresse IPV4 publique.
    Je suis au courant des pénuries qui tournent autour des adresses IPV4 (d'ailleurs qu'est ce qu'on attends pour aller vers l'ipv6 et comment faisons-nous pour qu'il n'y ait pas encore de collisions ?).
    En fouillant sur le web j'ai vu que pour mon projet il est possible d'utiliser les IP-Failover. Mais les IP Failover fournis par Hetzner ne possèdent pas d'adresse MAC (contrairement à OVH).

    J'ai donc réfléchit à l'architecture :

    On aurait donc le serveur hôte Hetzner (machine dédiée) équipée de Proxmox pour l'hyperviseur.

    Ce serveur contiens 2 interfaces réseaux :
    Une première pour eth0 pour se connecter à internet (WAN).
    Une deuxième VMBR0 qui est un bridge, ce bridge ajoute une à une les IP-Failover commandés chez Hetzner.

    Un extrait vaut 10 000 mots (extrait de /etc/network/interfaces) du serveur dédié :
    auto vmbr0
    iface vmbr0 inet static
    address "adresse_serveur_hôte"
    [...]
    up ip route add "notre IP Failover n°1" dev vmbr0)
    up ip route add "notre IP Failover n°2" dev vmbr0)
    up ip route add "notre IP Failover n°3.." dev vmbr0)

    J'ai ensuite réussit à installer & configurer proxmox. J'en ai profité pour créer une VM que j'ai configuré pour faire mapper son ip failover au serveur dédié
    c'est à dire que depuis proxmox j'ai rattaché vmbr0 à la VM. J'ai été dans /etc/network/interface et je lui ai mis son IP failover
    ça fonctionne super bien et j'ai internet sur ma vm !

    voici l'interface de ma machine invité :

    auto ens18
    iface ens18 inet static
    address "ip_failover_n°1"
    netmask 255.255.255.255
    pointopoint "ip_serveur_dedie_hetzner"
    gateway "ip_serveur_dedie_hetzner"

    jusqu'ici tout va bien donc !
    Maintenant ça se complique un peu.. disons que je cherche à sécuriser mon projet. Les attaques étant facile sur ce type d'architecture. Je souhaiterais rajouter un pare-feu de type PFSENSE pour ajouter une sécurité supplémentaire à mes VM.
    J'ai donc pensé à créer une VM supplémentaire sur PROXMOX, ajouté l'image PFSENSE, configuré l'ensemble.
    Crée un nouveau bridge qui reprends les IP-Failover et les re-routent vers vmbr1
    ex du network/interface de ma vm pfsense :
    auto vmbr1
    iface vmbr1 inet static
    address "adresse sous réseaux VM_pfsense"
    netmask 255.255.255.255
    ...
    up ip route add "notre IP Failover n°1.." dev vmbr1)

    J'ai pensé qu'on aurait plus qu'à mettre VMBR1 sur les VM et hop le tour est joué !

    Sauf que ça ne fonctionne pas.. PFSENSE n'a pas accès à internet
    Pire, elle détecte même pas mon serveur dédié via un simple ping ?
    Avez-vous des suggestions ? des idées ? ou même sur l'architecture elle-même (je suis la pour apprendre donc tout est bon à prendre ! ).
    J'ai pensé à faire un réseaux LAN protégé du WAN avec des adresses sous-réseaux. Mais si je comprends bien on aurait qu'une seule IP-Failover ? les Machines virtuelles n'auraient donc pas une adresse IPV4 publique différentes ?


    Merci de vos lumières,
    J'ai tenté de faire un schéma dans ce post mais je ne sais pas si l'image à pus être uploadé.
    Images attachées Images attachées  

  2. #2
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    février 2005
    Messages
    2 376
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : février 2005
    Messages : 2 376
    Points : 4 815
    Points
    4 815
    Par défaut
    Salut,

    Je ne suis pas un spécialiste de PROMOX et je n'ai aucune expérience avec l'infra chez Hetzner. Par contre, en regardant ton schéma, la première chose qui saute aux yeux, c'est que ta machine physique est présentée en premier sur internet.

    C'est une très bonne idée de vouloir ajouter une couche de sécurité à ton infra mais le fait de laisser ta machine physique en première ligne rend ta démarche inutile.

    Pour que ce soit pertinent, c'est le VM pfsense qui doit disposer de l'accès à l'ip publique et tu dois créer un réseau spécifique entre pfsense et proxmox pour permettre un accès sécurisé à l'interface de gestion de ce dernier. C'est à toi de voir ensuite comment tu veux t'y redonner accès mais également comment tu veux segmenter le ou les réseaux de management / de production.

  3. #3
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2016
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2016
    Messages : 15
    Points : 14
    Points
    14
    Par défaut
    Merci beaucoup pour ce retour Becket

    Je crains ne pas avoir d'autre choix que de laisser ma machine physique en première ligne vu que Proxmox est l'hyperviseur et qu'il est présent sur ma machine physique.
    Pour communiquer avec une machine virtuelle Proxmox, il faut déjà communiquer avec Proxmox, donc il faut communiquer avec ma machine physique.

    Si je comprends bien tu suggères d'installer une autre machine physique avec PFSENSE et tu la mettrais en amont de L'hyperviseur, tu effectuerais ainsi un routage des requêtes vers proxmox ?
    il faudrait que cette machine soit sur le même réseau.

    ou je suis complètement largué ? (très possible)

  4. #4
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    février 2005
    Messages
    2 376
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : février 2005
    Messages : 2 376
    Points : 4 815
    Points
    4 815
    Par défaut
    Citation Envoyé par 127.0.0.1 Voir le message
    Si je comprends bien tu suggères d'installer une autre machine physique avec PFSENSE et tu la mettrais en amont de L'hyperviseur, tu effectuerais ainsi un routage des requêtes vers proxmox ?
    il faudrait que cette machine soit sur le même réseau.
    Pas du tout, je suggère de créer une VM pfsense à l'interieur de proxmox ( en configurant les vswitchs kivonbien ) et de configurer ensuite pfsense devienne la passerelle par defaut de promox. J'ai déjà réalisé ce type de topologies à plusieurs reprises mais dans des virtualiseurs différents

  5. #5
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2016
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2016
    Messages : 15
    Points : 14
    Points
    14
    Par défaut
    Ha oui pas bête ! Merci je vais creuser le sujet 😉
    Je souhaiterais aller plus loin avec ces VM :
    Avoir des vm avec internet et une IP publiques le tout en étant securisé c'est super bien .
    Mais proposer des services c'est encore mieux !
    Comment déployer un noeud avec une machine debian et un serveur symfony par exemple ?
    J'ai pensé Ansible, Docker que preconises-tu entre les deux solutions ? Ou as-tu d'autres idées ?
    Ma question c'est comment ils font par exemple chez digital océan / Vultr / Amazon aws où dans les grandes entreprises pour faire ajouter où supprimer un noeud en automatique avec une image WordPress ?
    C'est du Docker derrière ?
    Est-ce que tu penses qu'une fois l'Infrastructure mise en place je pourrais avoir une interface Où je pourrais dire : Ok créé moi une VM avec cette image et ces services, créé moi en une deuxième avec ceci, et supprime moi celle là.
    Ça pourrait être un excellent projet ! 😍 (Et un sacré plus sur mon CV).
    Je suis en train de documenter le projet en markdown au cas où je souhaiterais partager le guide (après tout pourquoi pas, puis se sera l'occasion d'améliorer par la critique).

  6. #6
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    février 2005
    Messages
    2 376
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : février 2005
    Messages : 2 376
    Points : 4 815
    Points
    4 815
    Par défaut
    Etant spécialisé réseau, j'opterais effectivement pour Ansible / Puppet . Je sais que Promox permet d'utiliser des containers contrairement aux solutions que j'utilise mais cela s’arrête la.

  7. #7
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    14 445
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 14 445
    Points : 33 298
    Points
    33 298
    Par défaut
    comment ils font par exemple chez digital océan / Vultr / Amazon aws où dans les grandes entreprises pour faire ajouter où supprimer un noeud en automatique avec une image WordPress ?
    Ils utilisent des outils comme openstack totalement scriptable. Chez AWS ils doivent alors avoir leur produit maison. Proxmox possède aussi des outils en ligne de commande. tu as aussi accès aux commandes qm pour KVM, les commandes lxc pour les conteneurs LXC, les commandes Ceph. Pour déployer automatiquement une image wordPress, il suffit de faire une VM template. Et en poussant on pourrait faire un template qui au premier démarrage installe wordpress, ce qui permet de toujours avoir la dernière version (plus ou moins nécessaire pour du déploiement, car tu dois au moins fournir l'IP et le nom DNS de la VM si celle-ci doit être visible sur le net, mais moi je n'exposerais pas directement la machine, je passerais par un reverse proxy).

    C'est du Docker derrière ?
    Dans le cadre d'un VPS fourni par un FAI, ça va plutôt être une VM. les gros acteurs du cloud te proposeront aussi des conteneurs dockers managés depuis leur API/interfaces.

    Tu as aussi la bibliothèque libvirt qui supporte la majorité des hyperviseurs connus, et qui te permet de piloter une infra à base d'hyperviseurs. Son API est accessible en C, Python, Perl, Go, et avec virsh, tu commandes ton infra depuis un shell. webvirtcloud, qui est une interface dans le genre de Proxmox mais en plus simpliste est basé dessus (utilise Django, le framewok Python je crois).

    Proxmox n'utilise pas Docker mais LXC. Docker est à l'origine basé sur LXC. L'avantage de docker étant que c'est devenu une norme et que tu peux facilement déployer une image Docker en te basant sur une autre. Ce que fais docker, tu devrais pouvoir le faire avec LXC, mais en plus compliqué.

    J'ai fait un tutoriel sur Proxmox accessible ici. Jettes-y un œil, ça pourra peut-être t'aider et ton retour d'expérience m'interesse par rapport à son utilisation.

    Je suis en train de documenter le projet en markdown au cas où je souhaiterais partager le guide (après tout pourquoi pas, puis se sera l'occasion d'améliorer par la critique).
    ça pourrait faire un tutoriel sur DVP.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  8. #8
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2016
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2016
    Messages : 15
    Points : 14
    Points
    14
    Par défaut waouu
    ok merci les gars c'est sympa de me donner des pistes et des idées d'outils (surtout pour un étudiant).
    Je vais regarder le guide Proxmox, et les outils cités plus haut.
    ça devrait m'occuper !

Discussions similaires

  1. Installer yum sur un serveur dédié (minimum de package)
    Par whitespirit dans le forum RedHat / CentOS / Fedora
    Réponses: 1
    Dernier message: 18/07/2008, 22h08
  2. Installation sous 1and1, serveur dédié : page blanche
    Par whitespirit dans le forum Zend Framework
    Réponses: 5
    Dernier message: 09/05/2008, 15h31
  3. Installation serveur dédié
    Par Tee shot dans le forum Apache
    Réponses: 6
    Dernier message: 17/10/2007, 19h21
  4. Installation serveur dédié
    Par Tee shot dans le forum Apache
    Réponses: 2
    Dernier message: 13/10/2007, 09h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo