Discussion :

[127.0.0.1]

Bonjour à tous,

Dernièrement j'ai fais l'acquisition d'un serveur Hetzner pour me lancer dans la virtualisation.
Je suis en train de réfléchir à l'architecture pour sécuriser mes environnements au mieux et requiert votre aide. Je suis étudiant et je travaille sur un projet d'ordre personnel (On est fin juillet et je m'ennuie un peu, je cherche à monter en compétences ).

L'objectif de mon projet consiste à avoir un serveur dédié avec une multitudes de "nœuds" / "VPS". La contrainte c'est que chaque nœuds doit avoir sa propre adresse IPV4 publique.
Je suis au courant des pénuries qui tournent autour des adresses IPV4 (d'ailleurs qu'est ce qu'on attends pour aller vers l'ipv6 et comment faisons-nous pour qu'il n'y ait pas encore de collisions ?).
En fouillant sur le web j'ai vu que pour mon projet il est possible d'utiliser les IP-Failover. Mais les IP Failover fournis par Hetzner ne possèdent pas d'adresse MAC (contrairement à OVH).

J'ai donc réfléchit à l'architecture :

On aurait donc le serveur hôte Hetzner (machine dédiée) équipée de Proxmox pour l'hyperviseur.

Ce serveur contiens 2 interfaces réseaux :
Une première pour eth0 pour se connecter à internet (WAN).
Une deuxième VMBR0 qui est un bridge, ce bridge ajoute une à une les IP-Failover commandés chez Hetzner.

Un extrait vaut 10 000 mots (extrait de /etc/network/interfaces) du serveur dédié :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
auto vmbr0
iface vmbr0 inet static
     address "adresse_serveur_hôte"
     [...]    
     up ip route add "notre IP Failover n°1" dev vmbr0)
     up ip route add "notre IP Failover n°2" dev vmbr0)
     up ip route add "notre IP Failover n°3.." dev vmbr0)

J'ai ensuite réussit à installer & configurer proxmox. J'en ai profité pour créer une VM que j'ai configuré pour faire mapper son ip failover au serveur dédié
c'est à dire que depuis proxmox j'ai rattaché vmbr0 à la VM. J'ai été dans /etc/network/interface et je lui ai mis son IP failover
ça fonctionne super bien et j'ai internet sur ma vm !

voici l'interface de ma machine invité :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
auto ens18
iface ens18 inet static
    address "ip_failover_n°1"
    netmask 255.255.255.255
    pointopoint "ip_serveur_dedie_hetzner"
    gateway "ip_serveur_dedie_hetzner"

jusqu'ici tout va bien donc !
Maintenant ça se complique un peu.. disons que je cherche à sécuriser mon projet. Les attaques étant facile sur ce type d'architecture. Je souhaiterais rajouter un pare-feu de type PFSENSE pour ajouter une sécurité supplémentaire à mes VM.
J'ai donc pensé à créer une VM supplémentaire sur PROXMOX, ajouté l'image PFSENSE, configuré l'ensemble.
Crée un nouveau bridge qui reprends les IP-Failover et les re-routent vers vmbr1
ex du network/interface de ma vm pfsense :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
auto vmbr1
iface vmbr1 inet static
    address "adresse sous réseaux VM_pfsense"
    netmask 255.255.255.255
     ...
    up ip route add "notre IP Failover n°1.." dev vmbr1)

J'ai pensé qu'on aurait plus qu'à mettre VMBR1 sur les VM et hop le tour est joué !

Sauf que ça ne fonctionne pas.. PFSENSE n'a pas accès à internet
Pire, elle détecte même pas mon serveur dédié via un simple ping ?
Avez-vous des suggestions ? des idées ? ou même sur l'architecture elle-même (je suis la pour apprendre donc tout est bon à prendre ! ).
J'ai pensé à faire un réseaux LAN protégé du WAN avec des adresses sous-réseaux. Mais si je comprends bien on aurait qu'une seule IP-Failover ? les Machines virtuelles n'auraient donc pas une adresse IPV4 publique différentes ?


Merci de vos lumières,
J'ai tenté de faire un schéma dans ce post mais je ne sais pas si l'image à pus être uploadé.

[becket]

Salut,

Je ne suis pas un spécialiste de PROMOX et je n'ai aucune expérience avec l'infra chez Hetzner. Par contre, en regardant ton schéma, la première chose qui saute aux yeux, c'est que ta machine physique est présentée en premier sur internet.

C'est une très bonne idée de vouloir ajouter une couche de sécurité à ton infra mais le fait de laisser ta machine physique en première ligne rend ta démarche inutile.

Pour que ce soit pertinent, c'est le VM pfsense qui doit disposer de l'accès à l'ip publique et tu dois créer un réseau spécifique entre pfsense et proxmox pour permettre un accès sécurisé à l'interface de gestion de ce dernier. C'est à toi de voir ensuite comment tu veux t'y redonner accès mais également comment tu veux segmenter le ou les réseaux de management / de production.

[127.0.0.1]

Merci beaucoup pour ce retour Becket

Je crains ne pas avoir d'autre choix que de laisser ma machine physique en première ligne vu que Proxmox est l'hyperviseur et qu'il est présent sur ma machine physique.
Pour communiquer avec une machine virtuelle Proxmox, il faut déjà communiquer avec Proxmox, donc il faut communiquer avec ma machine physique.

Si je comprends bien tu suggères d'installer une autre machine physique avec PFSENSE et tu la mettrais en amont de L'hyperviseur, tu effectuerais ainsi un routage des requêtes vers proxmox ?
il faudrait que cette machine soit sur le même réseau.

ou je suis complètement largué ? (très possible)

[becket]

Si je comprends bien tu suggères d'installer une autre machine physique avec PFSENSE et tu la mettrais en amont de L'hyperviseur, tu effectuerais ainsi un routage des requêtes vers proxmox ?
il faudrait que cette machine soit sur le même réseau.

Pas du tout, je suggère de créer une VM pfsense à l'interieur de proxmox ( en configurant les vswitchs kivonbien ) et de configurer ensuite pfsense devienne la passerelle par defaut de promox. J'ai déjà réalisé ce type de topologies à plusieurs reprises mais dans des virtualiseurs différents

[127.0.0.1]

Ha oui pas bête ! Merci je vais creuser le sujet 😉
Je souhaiterais aller plus loin avec ces VM :
Avoir des vm avec internet et une IP publiques le tout en étant securisé c'est super bien .
Mais proposer des services c'est encore mieux !
Comment déployer un noeud avec une machine debian et un serveur symfony par exemple ?
J'ai pensé Ansible, Docker que preconises-tu entre les deux solutions ? Ou as-tu d'autres idées ?
Ma question c'est comment ils font par exemple chez digital océan / Vultr / Amazon aws où dans les grandes entreprises pour faire ajouter où supprimer un noeud en automatique avec une image WordPress ?
C'est du Docker derrière ?
Est-ce que tu penses qu'une fois l'Infrastructure mise en place je pourrais avoir une interface Où je pourrais dire : Ok créé moi une VM avec cette image et ces services, créé moi en une deuxième avec ceci, et supprime moi celle là.
Ça pourrait être un excellent projet ! 😍 (Et un sacré plus sur mon CV).
Je suis en train de documenter le projet en markdown au cas où je souhaiterais partager le guide (après tout pourquoi pas, puis se sera l'occasion d'améliorer par la critique).

[becket]

Etant spécialisé réseau, j'opterais effectivement pour Ansible / Puppet . Je sais que Promox permet d'utiliser des containers contrairement aux solutions que j'utilise mais cela s’arrête la.

[chrtophe]

comment ils font par exemple chez digital océan / Vultr / Amazon aws où dans les grandes entreprises pour faire ajouter où supprimer un noeud en automatique avec une image WordPress ?

Ils utilisent des outils comme openstack totalement scriptable. Chez AWS ils doivent alors avoir leur produit maison. Proxmox possède aussi des outils en ligne de commande. tu as aussi accès aux commandes qm pour KVM, les commandes lxc pour les conteneurs LXC, les commandes Ceph. Pour déployer automatiquement une image wordPress, il suffit de faire une VM template. Et en poussant on pourrait faire un template qui au premier démarrage installe wordpress, ce qui permet de toujours avoir la dernière version (plus ou moins nécessaire pour du déploiement, car tu dois au moins fournir l'IP et le nom DNS de la VM si celle-ci doit être visible sur le net, mais moi je n'exposerais pas directement la machine, je passerais par un reverse proxy).

C'est du Docker derrière ?

Dans le cadre d'un VPS fourni par un FAI, ça va plutôt être une VM. les gros acteurs du cloud te proposeront aussi des conteneurs dockers managés depuis leur API/interfaces.

Tu as aussi la bibliothèque libvirt qui supporte la majorité des hyperviseurs connus, et qui te permet de piloter une infra à base d'hyperviseurs. Son API est accessible en C, Python, Perl, Go, et avec virsh, tu commandes ton infra depuis un shell. webvirtcloud, qui est une interface dans le genre de Proxmox mais en plus simpliste est basé dessus (utilise Django, le framewok Python je crois).

Proxmox n'utilise pas Docker mais LXC. Docker est à l'origine basé sur LXC. L'avantage de docker étant que c'est devenu une norme et que tu peux facilement déployer une image Docker en te basant sur une autre. Ce que fais docker, tu devrais pouvoir le faire avec LXC, mais en plus compliqué.

J'ai fait un tutoriel sur Proxmox accessible ici. Jettes-y un œil, ça pourra peut-être t'aider et ton retour d'expérience m'interesse par rapport à son utilisation.

Je suis en train de documenter le projet en markdown au cas où je souhaiterais partager le guide (après tout pourquoi pas, puis se sera l'occasion d'améliorer par la critique).

ça pourrait faire un tutoriel sur DVP.

[127.0.0.1]

ok merci les gars c'est sympa de me donner des pistes et des idées d'outils (surtout pour un étudiant).
Je vais regarder le guide Proxmox, et les outils cités plus haut.
ça devrait m'occuper !