Pourquoi segmenter ses services avec plusieurs machines ?

Un cloud perso performant ma bonne dame 🙂

Bon avec toutes ces machines virtuelles, il faut bien ajouter du service.

Le grand principe de tous ces montages est bien de compartimenter les services. Imaginez, vous installer tous vos services sur une même machine !

D’abord, il va y avoir des problèmes de partage des ports 80 (http) et 443 (https). C’est déjà le cas avec plusieurs machines dans un LAN qui ont chacune leur port 80 (mais avec un bon reverse proxy genre Squid, ça devient tellement plus simple et plus sécurisé surtout en plugin dans pFsense).
Ensuite, si une machine s’effondre (perte de connectivité, support de masse qui flanche, écran bleu irréversible ou manipulation hasardeuse qui bousille tout), si elle est monolithique, tous les services disparaissent.

En gros, dans mon « labcave », j’ai maintenant deux ESXI physiques (le deuxième est une récup d’une vieille machine qui fonctionne encore en DDR2 – ca va être cher à upgrader enfin bref).

Le premier ESXI contient les deux firewalls en Haute disponibilité (si l’un flanche l’autre prend la  main en toute transparence). Le firewall s’occupe du routage aussi et surtout il contient la pièce essentielle qu’est SQUID (j’en reparle un peu plus tard).

Sous le firewall (ok il n’y a pas de dessus ou de dessous mais je considère le Firewall en haut de la hiérarchie des machines virtuelles puisqu’il donne toute la connectivité), j’ai deux Windows Server 2012 R2 (migré il y a peu) Active Directory Fail Over. On retrouve l’AD, le DNS (et DNSSEC en plus), le DHCP en HA (distribue des IP en haute dispo), partage de fichier. Sur le deuxième AD, il y a des petits services de rien du tout comme Subsonic et Airvidéo.

Sur un autre serveur lui aussi en Windows Server 2012 R2, j’ai un WSUS : Windows Server Update Service. En gros, je download les updates de Windows Update sur ce serveur uniquement et les autres machines téléchargent sur ce serveur sans passer par intertube (ca gagne un peu de bande passante).  J’ai séparé ce serveur parce que sa base de données a une petite tendance à se corrompre facilement. Du coup, il est plus facile de le restaurer lui seul sans en passer par la restauration d’un AD.

Sur un autre serveur, un petite Exchange 2013 SP1 pour la messagerie et les tests. La aussi, il fut un temps où je ne virtualisais pas et Exchange se trouvait sur l’AD. En gros, c’est mal !
Là aussi, en terme de récupération sur incident, il n’y a que le messagerie qui tombe et encore ce n’est pas tout a fait vrai puisque via une petite manipulation du DNS de mon nom de domaine chez OVH … mes mails filent sur un Google App Mail si jamais mon serveur ne pouvait plus répondre (c’est assez pratique et c’est une forme de HA du pauvre lol).

Sur un autre serveur (encore un), se trouve VEEAM Lab licence, qui sauvegarde toutes les autres machines. Ce soft est juste une merveille. Pas de client a installer sur les machines, juste une liaison DNS (merci au Synology qui joue le roule d’esclave DNS des AD lorsque l’ESXI tombe. Comme ca, il y a toujours un DNS qui répond. Et bientôt, avec une redbox physique, un pFsense « physique » fera la même chose. C’est un peu ceinture, bretelle et parachute mais c’est amusant aussi de faire une archi de ce type) et une « attaque » IP des hyperviseurs ESXI. Ca backup et ca restaure avec une facilité inconnue avant d’avoir utilisé VEEEM. Ce produit c’est un bon 19/20 !

Sur un autre serveur, j’ai enfin la passerelle RDP. Ah ah mais qu’est-ce à dire ?
Il s’agit d’un serveur Windows 2012 R2 qui va jouer le role de passerelle Remote Desktop et Remote APP.
D’abord c’est une Gateway. En gros, pFsense va donner à cette machine (et je donnerais plus tard les settings de pFsense pour ça) les demandes RDP via Squid (bien sécurisées soit dit en passant en comptant le firewall, le reverse proxy et la gateway).
Ce serveur va me permettre via un navigateur web d’accéder à mes machines sous Windows (un peu comme un teamviewer) mais surtout de « caster » mes applis. Le scénario est simple. Je suis sur une machine banalisée (par exemple l’ordinateur d’un amis chez lui). Je vais sur une URL secrète. Je me log avec mes identifiant Active Directory de session Windows et j’ai accès un un Firefox paramétré à ma sauce, une suite Office 2013, un vsphere client Win32, enfin bref plein de choses très utiles.
Je l’utilise un peu tous les jours pour accéder à mes fichiers (bientôt j’aurais un work folder et j’ai toujours mon VPN IPSEC propre) et surtout à un navigateur qui tourne dans mon LAN (oui forcement c’est du remote). L’intérêt de ce navigateur me direz-vous ? Accéder aux services qui ne sont pas sur Squid parce que trop sensibles !

Enfin (oui c’est la derniere machine Windows après je vous parlerais des turnkeys), j’ai fait un petit NAS virtuel avec un serveur Windows 2012 R2. J’ai passé directement à la machine de vieux disque pour faire un Pool Storage avec compression (bon ca tout le monde connait) et déduplication (en gros, lorsque le système détecte des bouts de fichier identiques, il ne stocke ces bouts qu’une fois et fait pointer les autres fichiers sur ce bout. On gagne de la place).
Ce NAS virtuel vient en plus du Synology que je conserve parce que c’est une machine isolé d’ESXI et surtout un hardware différent des ESXI.

Leave a Reply