Y'a quoi sur mon ESXi ?

esxi 25 avr. 2019

Le site que vous consultez n'est pas hébergé dans le cloud "invisible mais omni-présent" des fournisseurs habituels (Amazon, Google, Apple, etc ...) mais sur un serveur dédié par SoYouStart (Succursale d'OVH), hébergé dans un Datacentre en France. Mais ce n'est pas le seul service hébergé sur ce serveur, je l'utilise au quotidien pour un bon paquet de choses.

SPOILER : Les infos ci-dessous ne sont plus à jour !
Et oui, j'ai pas mal changé les choses pour passer le plus possible de micro-services (CV, Le blog que vous lisez, galerie photos, etc ...) sur des containers Docker, pour maintenir les choses le plus facilement possible. Et en plus, ça réduit considérablement le nombre de VMs ! C'est pas beau, ça ?

Et encore en plus en plus, j'ai passé le serveur de mails de Zimbra (Qui est un bon produit, mais beaucoup trop lourd à maintenir pour moi) vers un stack Docker (Mailcow pour les curieux), hébergé sur la solution Public Cloud d'OVH. Comme ça, plus de maintenance hardware / système sur ce service critique.

Pour résumer :

(https://communities.vmware.com/docs/DOC-25426)

Il y a 23 machines virtuelles sur ce serveur. De la prod, du test, des machines d'administration, ... Chacune supporte un ou plusieurs services, en fonction des prérequis matériels et logiciel des éditeurs, de l'utilisation et de la volonté de séparer les différents scopes d'utilisation.

Le tout est organisé en infrastructure afin de séparer les "zones" d'utilisation, les machines qui peuvent être atteintes depuis l'extéreur, celles qui doivent rester "privées", etc ...

Le découpage en zones de mon infra hébergée sur l'ESXi

Machines liées à l'infrastructure

  • PfSense : Routage, Pare-Feu, Serveur DHCP, Relais DNS

    • 512MB RAM
    • 1 vCPU
    • Réseau : TOUS + IPv4 Publiques sur le WAN

  • Administration : Rebond TeamViewer / RDP

    • Windows 7 Pro x64
    • 4GB RAM
    • 2 vCPU
    • Réseau : LAN Interne 10Gbps

  • NAS : Stockage local / Sauvegarde Smartphones / Sauvegardes Photos, rushes

    • XPEnology / Synology DSM
    • 2GB RAM
    • 2 vCPU
    • Réseau : LAN Interne 10Gbps

Machines liées aux services

  • Serveur mail : Zimbra

    • Ubuntu 16.04LTS
    • 8GB RAM
    • 4 vCPU
    • Réseau : DMZ 1Gbps + Interco LAN pour l'archivage 10Gbps

  • Serveur VPN : OpenVPN

    • Ubuntu 16.04LTS
    • 512MB RAM
    • 1 vCPU
    • Réseau : Production 1Gbps

  • Serveur cloud : NextCloud

    • Ubuntu 16.04LTS
    • 1GB RAM
    • 2 vCPU
    • Réseau : Production 1Gbps

  • Serveur bureautique : OnlyOffice (Docker) accessible depuis NextCloud

    • Ubuntu 18.04LTS
    • 2GB RAM
    • 2 vCPU
    • Réseau : Production 1Gbps

  • Différentes machines : Reverse, Serveurs web, conférences, bureautique, etc...

    • Ubuntu 16.04LTS ou Ubuntu 18.04LTS
    • 512MB RAM
    • 1 à 2 vCPU
    • Réseau : Production 1Gbps

  • UniFi : Mon matériel réseau Ubiquiti à la maison est géré par un controlleur "cloud" hébergé sur mon infra. Pratique pour avoir des métriques concernant l'utilisation du réseau, pourvoir configurer à distance les équipements, etc ...

    • Ubuntu 16.04LTS
    • 2GB RAM
    • 1 vCPU
    • Réseau : Production 1Gbps

Concernant Ubuquiti, je conseille le site wireless.fr qui entre plus dans les détails des installations, configurations des équipements de la marque.

  • Docker : Tous les petits services ne nécessitant pas une VM dédiée (de plus en plus)
    • Ubuntu 18.04LTS
    • 2GB RAM
    • 4 vCPU
    • Réseau : Production 1Gbps

Machines liées au laboratoire

  • Docker : Hébergement de l'UniFi et UNMS

    • Ubuntu 18.04LTS
    • 2GB RAM
    • 2 vCPU
    • Réseau : Laboratoire 1Gbps

  • Reverse-Proxy : Frontal pour les UniFi et UNMS de test

    • Ubuntu 18.04LTS
    • 512MB RAM
    • 1 vCPU
    • Réseau : Laboratoire 1Gbps

Je passe sur tous les petits services hébergés sur les mêmes machines.

Sur le pare-feu ça se complique un peu, étant donné qu'il y a pas mal de manières différentes d'accéder aux services

  • Reverse-proxy (La plupart des services web passent par là)
  • NAS (IP Publique dédiée) => PAT
  • Serveur mails (IP Publique dédiée) => DMZ
  • VPN (IP Publique dédiée) => PAT
  • etc ...

Donc pas mal de règles de configurées (59 règles de filtrage en entrée rien que sur l'interface WAN et pas mal d'autres de la prod vers le LAN pour les accès spécifiques), mais depuis la version 2 de PfSense on peut ajouter des séparateurs dans la liste des règle FW pour maintenir un peu d'ordre.

Il y a encore pas mal à dire sur cette infrastructure, masi ça viendra dans les prochains posts.

Mots clés

Dorian Tokarz

Recommandé pour vous