Aller au contenu

Infra décembre

Publié le

Mikelats

Le serveur principal de baionet a été baptisé Mikelats

Un proxmox est installé sur ce serveur. Plusieurs machines virtuelles sont instanciées :

  • infra qui contient le dolibarr, le wiki et le site originel
  • ns1 qui fait serveur de noms
  • agni qui semble être une passerelle (je n’ai pas pris le temps de regarder)

Pour l’avenir il semble prudent de répartir les fonctions sur plusieurs machines virtuelles.

  • Banka pour le dolibarr
  • baterakoa pour le site de présentation de l’asso (akka la “splash page”)
  • wiki pour le wiki
  • ns1 Toujours pour le serveur de nom

Lothaire

Très bruyant, il a été mis en pause. Il va bénéficier de mémoire en plus et de ventilateurs moins bruyants.

Shawn

Shawn est toujours malade. Rien de grave apparemment, une barette mémoire dont il va falloir se séparer.

Herensuge

Herensuge est en pleine forme et attend son éventuelle tunnel wireguard et ses machines virtuelles.

Mutilak

Afin de permettre plusieurs serveur physique je me facil.. comlique la vie avec un OPNsense qui tourne sur une machine séparée.

Celui-ci n’a que 3 ports en plus du WAN. Ca suffira bien pour nous.

Les VLANs

Tout comme les autres serveurs, Mikelats possède plusieurs cartes réseaux. Avec le switch manageable à 24 ports ca semble dommage de ne pas jouer avec les vlans.

L’idée est de séparer le trafic adminsys de l’infra au trafic plus usuel

Soit 3 ports réseaux par serveur physique, cela ferait en théorie une capacité de 8 serveurs que pourrait gérer le switch 24 ports Chaque serveur prend a son IPMI plusieurs ports réseau. Ce qiu fait une carte réseau

Port VLAN Fonction
1 - 8 11 Administration de l’infra (accès au switch et aux IPMI)
9 - 16 22 Superviseurs
17 - 24 33 Machines virtuelles

La plaisanterie réside dans l’accès aux different VLANs à distance. Le plus simple semble d’assigner un port par VLAN au routeur. Ainsi celui-ci aura une patte dans chaque vlan. Ca enlève une place pour un serveur physique, mais vu qu’on en a pas autant, ce n’est pas bien grave. Il y a aussi un peu de routage à mettre en place pour que le traffic retour puisse se faire …

réseau

Machine virtuelles

L’accès via leur tunnel wireguard dédié ne pose pas de problème.

Baionet n’étant pas un Autonomous System, nous employons des tunnels wireguard pour transiter le traffic vers Stolon.

Superviseurs

  • Soit on envisage un montée en droits via une machine virtuelle
  • Soit on leur dédie un tunnel VPN wireguard à chacune
  • Soit on associe un tunnel VPN au routeur Mutilak qui les voit toutes
  • Soit on pratique le vil bricolage de port forwarding dans le NAT tel que j’ai chez moi. C’est moche et c’est chiant à maintenir.

IPMI et switch

Les IPMI et l’admin du switch n’ont pas à être accessibles via le net. Leur interface est datée, leur sécurisation aussi. Sauf qu’en cas de plantage il faut qu’on puisse y accèder à distance (le plafond est bas là ou ils sont)

  • Soit on fait du port forwarding via NAT :/
  • Soit un tunnel VPN est associé au routeur pourrait être la solution.