Oui, en effet, mon infra continue d’évoluer et comme je n’utilise plus Yunohost, je n’ai pas voulu polluer mon fil initial.
Pour résumer, désormais j’utilise une VM par service, chacune associée à un sous domaine différent du même domaine.
C’est beaucoup plus propre ainsi.
Concernant la gestion de l’IP dynamique imposée par mon FAI, j’utilise un bastion Pfsense qui gère la mise à jour automatiquement chez mon registrar (Gandi pour ne pas le citer).
L’avantage est aussi de pouvoir mieux contrôler les flux via l’association du reverse proxy (Squid) et de la détection d’intrusion (Suricata).
PS : ce n’est sans doute pas toi, mais amusant ton pseudo et ton logo me rappelle un élève il y a bien longtemps .
OK merci. Bon oui c’est carré ton système, mais j’ai pas le temps de monter en compétences sur pfsense, reverse proxy, etc… pour monter un truc hyper propre.
Acteuellement ma config ressemble à cette de tous les yunohosteurs (avec une IP fixe):
box FAI → serveur yunohost. Avec les redirections de ports qui vont bien dans la BOX
Là où je butte, c’est comment je dis à Proxmox que:
le trafic https (port 443) qui arrive depuis xxxx.nohost.me (via ma box) doit aller vers la VM Yunohost
le trafic https (port 443) aui arrive depuis mon-url-a-moi.com (également via ma box) doit aller sur la VM “truc à moi”.
Ça me semble un cas hyper simple, mais soit je trouve des ressources trop compliquées, soit c’est uniquement pour une utilisation en locale donc le problème ne se pose pas.
Ben, perso, je te conseille de mettre en place un reverse proxy (HAproxy, Squid, etc) pour rediriger en fonction du domaine vers la bonne IP. Ce n’est pas au niveau du Proxmox que tu trouveras une solution.
Actuellement tes 2 noms de domaines xxxx.nohost.me et mon-url-a-moi.com sont sur un seul serveur yunohost, est-ce bien ça?
Ce que tu souhaites faire est d’avoir 2 serveurs séparés dans 2 VM. dans ce cas tu n’as pas le choix de t’intéresser au reverse-proxy. Tu peux utiliser ton serveur yunohost avec l’application redirect pour effectuer un reverse-proxy.
Les grands esprits se rencontrent
Au moins notre réponse est similaire, c’est rassurant.
C’est ton topic qui m’a donné l’envie de me lancer sur proxmox,je ne regrette pas et je t’en remercie. C’est sûr que tous le monde n’a pas ton expérience et je n’ai jamais rien compris à pfsense et compagnie, le réseau et moi ça fait 2. Par contre redirect est simple d’usage. J’utilise une seconde VM de test yunohost, je n’ai pas réussi à faire fonctionner le mail avec (erreur loopback to myself dans les logs), ce qui pose problème avec des applis comme vaultwarden qui de mémoire me demandait une confirmation par mail…et ce mail ne peux pas arriver. Ça fonctionne si on utilise une adresse mail externe au serveur. Pour du simple http/https, pas de soucis. Je pense que mon problème lié au mail vient principalement du fait qu’il s’agit de 2 yunohosts dont la seconde clonée, il faudrait que j’essaye avec une installation propre et non un clone voir si ça pose toujours problème.
J’en parle ici:
@Sango@metyun
Alors pour l’instant j’ai qu’un serveur yunohost, et “mon-url-a-moi.com” ça serait plutôt dans un 2ème temps parce que j’aimerais tester d’autres trucs qui n’ont rien à avoir avec yunohost. Mais le but serait de faire tourner tout ça sur le même serveur mais dans 2 VM distinctes of course.
Mais OK, c’est bien noté pour le reverse proxy. Par contre, est ce que c’est quelque chose que je peux faire tourner dans proxmox sous forme de VM ou c’est obligatoirement une machine à mettre entre ma box et mon serveur?
Je vais creuser dans les internets dans ce sens en tout cas.
Si tu n’as qu’un serveur actuellement, je ne vois pas où tu bloques. Dans ta freebox, tu attribues une ip fixe à ta machine virtuelle et ensuite tu rediriges les ports vers celles-ci. C’est exactement pareil qu’avec un serveur physique.
Oui normalement le reverse proxy devrait pouvoir tourner dans proxmox. Il faudra rediriger les ports vers cette machine et c’est cette machine qui redirigera ensuite le trafic vers la bonne Vm selon la requête. Sur le forum, il y en a qui conseille Nginx proxy manager mais je n’ai pas essayé moi-même.
Que souhaiterais-tu tester? L’application redirect sur ton serveur yunohost permet de faire du reverse-proxy et pourrait s’avérer suffisante.
Dans ta freebox, tu attribues une ip fixe à ta machine virtuelle et ensuite tu rediriges les ports vers celles-ci. C’est exactement pareil qu’avec un serveur physique.
En fait dans ma tête j’étais parti (me demandez pas pourquoi) sur le fait que je devais rediriger les ports (dans ma box) sur l’adresse IP du serveur proxmox (la machine physique). Et du coup après ça je me faisais des nœuds au cerveau pour comprendre comment faire remonter le trafic vers la VM…
Bref, en effet proxmox en s’en fout et j’ai juste à rerouter dans ma box vers la VM Yunohost.
Et si je veux rajouter une 2ème VM par la suite pour un autre usage, je n’ai en effet “que a” rerouter vers le reverse proxy qui s’intercalera entre la box et les 2 VM.
Bon c’est clair dans ma tête, juste MERCI de m’avoir ouvert les yeux, sur le coupj’étais vraiment dans le brouillard
Salut,
J’utilise proxmox aussi pour le serveur de ma boîte, et je vais y passer sur mon serveur perso. Je me pose quelques questions, s’il y a des utilisateurs expérimentés ici je suis preneur de retours d’expérience :
proxmox backup server : je fais un backup en local et un backup distant, actuellement avec borg. Ça marche, mais c’est galère pour aller restaurer des fichiers ou des apps, c’est tout en ligne de commande, et un peu laborieux. Est-ce qu’on peut installer proxmox backup server sur un proxmox pour gérer des backups locaux ? Est-ce qu’il faut que ça soit une vm à part ? Ou on peut l’installer directement sur le proxmox ?
optimisation de la ram/balooning : j’ai fait des essais d’optimisation de la ram entre mes différentes VM, et ça marche pas vraiment, globalement elles consomment toute la ram dispo même si elles n’en ont pas vraiment besoin. Est-ce que quelqu’un a déjà réussi à faire fonctionner ça correctement ?
Je m’étais posé la même question et les 3 solutions que tu proposes sont possible.
Celle d’installer PBS sur le même système que PVE est de loin la moins recommandée. Si mes souvenir sont bon, pour cause d’interférence possible entre les différentes versions des noyaux linux utilisé et celles des librairies
La meilleur est celle d’entièrement séparer PVE et PBS sur 2 serveurs physiques différents. Cependant, n’ayant pas une envie folle d’avoir un deuxième serveur juste pour cela, j’héberge PBS dans une VM PVE
Ca fonctionne très bien, pas de problème là dessus. Les restaurations de fichier sont très simple à faire (retesté à l’instant) ; concernant la restauration des VM ca fonctionne aussi … par contre ça fait un bout de temps que je n’ai pas retesté.
Pour cela je vais pas trop pouvoir t’aider dans le sens où j’ai volontairement désactivé le balooning pour la VM Yunohost et ou le reste des VM ne sert en réalité que de temps en temps. Autrement dit les reste étant des VM de tests / POC, je me suis jamais trop préoccupé de cela.
@Sango
Ce coups ci j’avais même oublié qu’on avait échangé sur le sujet et mon infra a évoluée de puis le temps.
@ tous:
En bref,
box FAI – vm OPNsense en DMZ – PVE et toutes ses VM
| wifi Boulo |- LAN physique
|- WIFI perso
La carte mère de mon serveur proxmox possède 2 cartes réseaux, j’en ai donc réservé une pour l’administration du serveur PVE et l’autre pour les VM (elles sont séparées avec des VLANs, celle de Yunohost a par exemple son VLAN spécifique).
Je n’ai plus de NAS à part, tout les disques sont dans le serveur PVE, en ZFS ( avec 2 pools : SSD et HDD) et je gère en fonction des besoins avec les volumes. Bonus du ZFS pouvoir partager en NFS des volumes très simplement.
PBS a en accès directe un disque dure externe où sont stoqué les sauvegardes.
Sur OPNsense. j’ai du NAT pour les port HTTP HTTPS IMAP et SMTP directement sur la VM yunohost. VPN Wiergard qui arrive directement sur mon LAN, d’où je peux tout joindre (sécu ? Moyen non?) ; les ports ssh ne sont pas sur le 22. CrowdSec activé et … c’est tout.
Je galère un peu à configurer tout ce qui est IPv6.
DNS : Unbound du OPNsense pour tout le monde.
J’ai une autorité de certification ssl pour le réseaux interne.
Supervision : Monit pour OPNsense et j’utilise l’exporteur incorporé à PVE avec influxDB+Grafana
…
Une liste des « todo » assez longue !
Si vous avez des questions de pas hésiter.
En passant :
si vous avez une astuce, un outils pour faire une carte de mon réseaux et un inventaire des règles parfeu mise en place je suis preneur. J’arrive à m’y perdre dans les régles que je mets et me rendre compte plus tard que telle règle n’aurait jamais du être mise en place, ou du moins pas comme cela.
des suggestion au niveaux sécu ? je suis aussi preneur !
Je sais que j’ai un truc « Intrusion détection » sur mon OPNsense … mais j’ai jamais compris (ou pris le temps de comprendre ) comment ca fonctionne.
.
