Vue d'ensemble de l'Infrastructure

Une infrastructure de production avec segmentation réseau multi-VLAN, un stack de supervision complet, des services conteneurisés et des sauvegardes automatisées. Chaque composant est géré en tant que code avec Ansible.

Matériel Physique

Pare-feu OPNsense

Ordinateur Asus

  • Intel Core i5-4570S @ 2,90 GHz
  • 16 Go DDR3 RAM
  • SSD 128 Go
  • 2× Intel I350-T4 (WAN + par VLAN)

Cœur du réseau. Gère tout le routage inter-VLAN, les règles de pare-feu, Kea DHCP, Unbound DNS et le VPN WireGuard. Entièrement géré via l'API REST avec Ansible.

Hyperviseur Proxmox VE

HP Z440

  • Intel Xeon E5-2698v3 @ 2,30 GHz
  • 128 Go DDR4 RAM
  • SSD PNY 1 To (stockage VMs)
  • HDD Seagate 6 To + 3 To
  • 1× Intel I350-T4

Serveur principal hébergeant 10+ VMs : stack de supervision, journalisation, services Docker, ZoneMinder, OpenMediaVault, une VM gaming Windows 11 avec passthrough PCI, une VM de dev Linux Mint et des serveurs de test.

Proxmox Backup Server

HP EliteDesk 800 G2

  • Intel Xeon E3-1245v3
  • 16 Go DDR3 RAM
  • NIC intégrée

Hôte de sauvegarde dédié sous Proxmox Backup Server. Sauvegardes chiffrées des VMs importantes exécutées chaque nuit.

NAS Principal

Synology DS418

  • 4× 3 To Seagate Ironwolf
  • 12 To de stockage brut
  • Volumes chiffrés

Cible de sauvegarde principale. Utilise le RAID SHR de Synology et des dossiers chiffrés. Reçoit les sauvegardes Proxmox toutes les deux nuits.

Switch

Zyxel GS1900-24E

  • 24 ports Gigabit managé
  • Compatible VLAN (802.1Q)

Switch managé gérant tout le trafic. Configuré pour gérer le trafic VLAN taggé et non taggé.

Point d'accès WiFi

Zyxel NWA50AX

  • WiFi 6 (802.11ax)
  • Multi-SSID avec tagging VLAN

Point d'accès diffusant des SSID séparés pour les appareils de confiance, le WiFi invité et la vidéosurveillance — chacun tagué vers son VLAN isolé respectif.

Architecture

Internet
Routeur FAI WAN
Pare-feu OPNsense Routage multi-VLAN · Kea DHCP · Unbound DNS · WireGuard VPN
VLAN 10 Management Interfaces web (Centreon, Grafana, Graylog, Proxmox…) · accès SSH
VLAN 12 Serveurs Infrastructure de production
Proxmox VE Hyperviseur · héberge toutes les VMs ci-dessous
Grafana Tableaux de bord métriques (InfluxDB + Telegraf)
Centreon Serveur de supervision système
Graylog + Datanode Centralisation des journaux (2 VMs)
Docker Services conteneurisés derrière Nginx Proxy Manager
2FAuthARABentoPDFDokuWikiGitLabGlanceIT-ToolsJoplinMalojaMariaDBMealieNavidromeNextcloudNginx Proxy ManagerphpIPAMPortainerPostgreSQLVaultwarden
ZoneMinder NVR / gestion des caméras IP
OpenMediaVault Stockage NAS secondaire
Serveurs de test Environnements de test Debian et RedHat
VLAN 14 Ordinateurs Ordinateurs fixes et machines de développement
VLAN 16 WiFi de confiance Appareils sans fil personnels
VLAN 18 WiFi invité WiFi invité isolé · isolation des clients au niveau du point d'accès
VLAN 20 CCTV Réseau caméras isolé → ZoneMinder
VLAN 22 Ethernet invité Ethernet invité isolé · isolation des clients au niveau du switch
WireGuard VPN Accès distant sécurisé

Inventaire de l'infrastructure

Pare-feu

OPNsense

Pare-feu BSD avec gestion via API REST, routage multi-VLAN, Kea DHCP, Unbound DNS et automatisation des règles de pare-feu.

Hyperviseur

Proxmox

Hyperviseur KVM/LXC hébergeant la majorité de l'infrastructure avec des machines virtuelles.

Serveur de Sauvegarde

Proxmox BS

Proxmox Backup Server dédié effectuant des sauvegardes chiffrées des VMs importantes chaque nuit.

Métriques

Grafana + InfluxDB

Visualisation des métriques time-series (Grafana) et stockage (InfluxDB), avec des agents Telegraf sur tous les hôtes et via SNMP pour Synology.

Journalisation

Graylog + OpenSearch

Centralisation des journaux répartie sur deux VMs : un nœud principal Graylog et un nœud de données OpenSearch dédié stockant les logs sur un disque séparé. Tous les hôtes transfèrent leurs logs via rsyslog.

Supervision

Centreon

Plateforme de supervision des services et des performances avec des contrôles SNMP. Envoi d'alertes e-mail via Postfix.

Hôte Docker

Redhat

VM RedHat hébergeant 15+ services conteneurisés derrière Nginx Proxy Manager avec des certificats SSL individuels. Accessible uniquement depuis le réseau interne.

NVR

ZoneMinder

Enregistreur vidéo réseau gérant les caméras de sécurité IP sur un VLAN CCTV isolé.

NAS — Principal

Synology

Cible de sauvegarde principale. Reçoit les sauvegardes automatisées des VMs Proxmox, des données Docker et plus encore.

NAS — Secondaire

OpenMediaVault

Cible de sauvegarde secondaire fonctionnant en tant que VM Proxmox, fournissant un stockage redondant pour toutes les données critiques.

Bonnes Pratiques

Tout en tant que Code

Toute la configuration de l'infrastructure est gérée via des rôles Ansible idempotents et versionnés. Les changements sont prévisualisés avec --check avant d'être appliqués.

Double Stratégie de Sauvegarde

Les services critiques sont sauvegardés à la fois sur un NAS Synology et une VM OpenMediaVault hébergée sur Proxmox. Les sauvegardes sont automatisées et planifiées.

Isolation Réseau

Les VLANs sont isolés les uns des autres, sauf pour le traffic autorisé explicitement. Les règles de pare-feu sont appliquées via OPNsense avec un déploiement automatisé et idempotent.

Observabilité Complète

Tableaux de bord Grafana pour les métriques, Graylog pour les journaux centralisés, Centreon pour les contrôles de services — chaque hôte est supervisé.