Tourmentine

To content | To menu | To search


L'infra pour les nuls

Aujourd’hui je vais vous parler des serveurs qui font tourner - entre autre - ce site: "big" est un kimsufi 4G, "small" un kimsufi 2G (ancienne gamme, la nouvelle ne supportant plus l’IP Failover). big est bien sûr le serveur principal: l’IPv4 virtuelle lui est assignée, et il réponds à environ la moitié des requètes IPv6 par le mécanisme du round-robin DNS.

Sur chacun de ces serveurs un ensemble de jails accueillent les principaux services: web, mail, ftp, dns, db. Les données utilisateur, elles, sont soit gardées en local et répliquées sur l’autre serveur (dns & db), soit partagées via NFS (les autres).

Coté sécurité, les deux machines communiquent au travers d’un tunnel IPSec, et le SSH n’est bien sûr accessible que depuis des IP triées sur le volet, et uniquement via clé publique. Pour les accès nomades, un VPN est accessible.

En cas de défaillance du serveur principal, heartbeat ce charge de contacter l’API OVH afin de basculer l’IP virtuelle sur le second serveur, de démonter ses montages NFS et de remonter le dernier snapshot ZFS du premier serveur. Il ne reste plus qu’à remettre le serveur primaire en état: par sécurité, rien n’est lancé au démarrage, et les partitions contenant les précieuses données sont cryptées: une clé, non présente sur le serveur bien sûr, est nécessaire pour les débloquer et les monter...clé qui peut être envoyé via un script depuis ma machine perso :)

À suivre, peut être, d’autres billets qui entreront dans le détail de chaque service !

Add a comment

Comments can be formatted using a simple wiki syntax.

This post's comments feed