Infrastructure

Aujourd'hui, un billet de présentation de l'infrastructure du Retzien Libre. Juste pour répondre à votre éventuel curiosité. Suivez le guide...

Quels systèmes utilisons-nous pour vous offrir nos services ?

Ce sont en vérité de modestes machines choisies essentiellement pour leur relative faible consommation électrique.
Elles font tourner des systèmes de virtualisation sous , afin de pouvoir facilement réinstaller les machines virtuelles qui sont dessous.
Cette solution permet aussi une plus grande souplesse, comme par exemple la possibilité de créer rapidement un système sur lequel on pourra faire des essais sans perturber les systèmes en production. Ou dans le cas d'une migration planifiée, de préparer la nouvelle machine et de juste basculer en qq minutes, dans la nuit, sans déranger personne. C'est ce que j'ai fais récemment, pour installer une nouvelle version du "Cloud".

Nous avons 2 machines physiques :
1/ la 1ère est chargée de supporter l'ensemble des sites Internet des 2 structures Zici.fr et Retzien Libre. Ce qui représente environs 150 sites Internet (la plupart sont chez Zici.fr). Elle est bâtie autour d'un barebone Asrock Deskmini.

  • processeur : Intel i3
  • mémoire : 8Go
  • disques : 250Go + 500Go
  • OS : Proxmox Debian
  • connexion : fibre chez Orange (50Mb/s (up))
  • consommation : ~20W

2/ la 2ème est un chouïa plus complexe. Elle est chargée de faire fonctionner d'un côté toute la messagerie et d'un autre tout le "Cloud".
Elle est bâtie autour d'une carte mère Gigabyte et d'un boîtier de disques 3"1/2 extractibles (5,3To). Son alimentation électrique est des plus efficiente : alimentation 80+ Gold pour un meilleur rendement.

  • processeur : AMD FX-4100
  • mémoire : 16Go
  • disques : 2x2To + 1To + 320Go
  • OS : Proxmox Debian + Plesk Debian + Nextcloud
  • connexions : 2 x VDSL chez Free (2x 40Mb/s - 2x 17Mb/s ]
  • consommation : ~140W (dont 40W juste pour les 2 box)


Chaque service : web, messagerie et "Cloud" fonctionne en mode virtualisé dans des "containers" et dispose d'une liaison Internet fibre ou VDSL dédiée.
Une panne sur un matériel ou sur une liaison Internet, n'affectera pas l'ensemble des services.

Les 2 systèmes physiques sont connectés derrière des onduleurs qui leur assurent un fonctionnement d'au moins 20mn après coupure secteur.

Nous avons à notre disposition des pièces de rechange, disques, carte mère, box, etc... pour palier aux pannes, surtout pour le matériel qui pourrait devenir obsolète et introuvable dans le futur.

Des sauvegardes sont faites tous les soirs sur des disques qui sont situés dans un autre bâtiment, histoire de ne pas tout perdre en cas d'incendie, ou de vol.

Et pour finir nous avons mis en place des procédures de reconstruction des systèmes pour assurer une coupure aussi courte que possible. Nous ciblons une remise en route en moins de 2 heures.

Voilà ! Nous espérons ainsi pouvoir vous assurer un fonctionnement avec peu d'interruptions, ce qui est une gageure dans un contexte associatif, qui ne permet pas une veille et des astreintes comme on pourrait le trouver dans un "data center".
Les avantages sont en retour :

  • une plus faible consommation électrique
  • de plus grandes libertés d'action
  • une maîtrise des risques d'ingérence par des tiers sur nos données (*)
  • des capacités à faire évoluer le matériel au fil des besoins

En conclusions :

Nous avons mis toute notre expérience et nos compétences dans la mise en œuvre d'une infrastructure que certains professionnels pourraient nous envier.
"Il est difficile d'être modeste, quand on est (presque !) les meilleurs" ;)

Voici le schéma logique de l'infrastructure où apparaissent le système de sauvegarde et le relais de messagerie dont je n'ai pas parlé ici.

retzien_zici_infra.drawio.txt.png, nov. 2019

Si les systèmes de sauvegardes sont évidents dans leur usage, le relais de messagerie l'est moins.(**)

Allez pour finir, une photo de l'équipe : avec de gauche à droite : David, Pierre, Serge et Alain.

___


(*) seuls les fournisseurs d'accès pourraient éventuellement capter les données qui transitent sur leurs lignes. Mais toutes les communications entre nos serveurs et vos terminaux sont chiffrées (https://), ce qui supposerait des moyens colossaux pour des services de surveillance qui voudraient pénétrer notre infrastructure.

(**)Il s'est avéré nécessaire à cause de la volonté des fournisseurs d'accès Internet, d'empêcher l'auto-hébergement de serveurs de messagerie. Nous avons dû passer par un serveur dédié pour permettre une identification de notre messagerie qui soit en total respect des règles... Déjà qu'il est difficile de se faire accepter des "gros" fournisseurs (v. : Le pot de terre contre le pot de fer).