Outils pour utilisateurs

Outils du site


infra:architecture_globale

Ceci est une ancienne révision du document !


Infrastructure Hybride (VPS / On-Premise)

Documentation rédigée par : GADONNAUD Ewen

Formation : BTS SIO 1ère année - Option SISR

Établissement : Lycée Paul-Louis Courier, Tours

Date : Mars 2026

1. Architecture générale

L'infrastructure repose sur un modèle hybride combinant un point d'entrée public (VPS) et un serveur privé local, interconnectés via un tunnel VPN chiffré.

         Internet
             |
             | HTTPS
             |
    +------------------+
    |   VPS Infomaniak  |
    |   Debian Linux    |
    |   Nginx (RP)      |
    |   Fail2Ban        |
    |   CrowdSec        |
    +------------------+
             |
             | Tunnel WireGuard (chiffré)
             |
    +------------------+
    |   ThinkPad X200   |
    |   Debian Linux    |
    |   Docker          |
    |   Services        |
    +------------------+

Principe clé : Le X200 n'expose aucun port directement sur Internet. Tout le trafic entrant transite par le VPS, qui le relaie via le tunnel WireGuard vers les services internes. Le X200 est ainsi invisible depuis l'extérieur.

Composant Rôle
VPS Infomaniak Point d'entrée public, reverse proxy, pare-feu périmétrique
ThinkPad X200 Hébergement de l'ensemble des services conteneurisés
Tunnel WireGuard Lien chiffré entre le VPS et le X200

Choix du provider VPS : Infomaniak

Le VPS est hébergé chez Infomaniak, hébergeur suisse souverain. Ce choix repose sur trois critères :

  • Souveraineté des données — l'infrastructure est soumise à la législation suisse (LPD), reconnue comme l'une des plus protectrices en matière de données personnelles, indépendante du RGPD européen et hors de portée du Cloud Act américain
  • Cohérence avec la démarche — héberger une infrastructure orientée vie privée (SearXNG, Nextcloud …) chez un acteur dont le modèle économique ne repose pas sur l'exploitation des données est un choix délibéré
  • Accessibilité financière — tarif à 3,60€/mois, adapté à un budget étudiant

2. Services déployés

L'intégralité des services tourne sur le X200 via Docker Compose, offrant isolation et portabilité.

Service Technologie Rôle
Moteur de recherche SearXNG Méta-moteur orienté vie privée
Base de connaissances DokuWiki Documentation technique (ce wiki)
Forge Git Forgejo Hébergement de dépôts Git auto-hébergé
Stockage cloud Nextcloud Synchronisation de fichiers privée
Synchronisation notes CouchDB Backend Obsidian LiveSync (non exposé Internet)
Filtrage DNS Pi-hole Blocage publicités et domaines malveillants
Tableau de bord Homer Accès centralisé aux services
Outils dev IT-Tools Utilitaires exécutés côté client
Blog Nginx Diffusion d'articles statiques

3. Sécurité

La sécurité est organisée en couches successives, du périmètre réseau jusqu'à l'authentification applicative.

Sécurité périmétrique (VPS)

  • Fail2Ban — protection SSH avec prison recidive pour bannissement long terme des attaquants persistants
  • CrowdSec — analyse comportementale du trafic web, bouncers iptables et Nginx, abonnements aux blocklists communautaires (FireHOL, proxies ouverts, botnets, AI crawlers), agis également en tant que “videur” SSH en complément avec Fail2Ban

Sécurité applicative

  • Chiffrement HTTPS sur tous les services exposés (Let's Encrypt / Certbot)
  • Authentification 2FA (TOTP) sur les services critiques (Vaultwarden)
  • CouchDB isolé sur le réseau interne, non exposé sur Internet

4. Monitoring

  • Beszel — surveillance en temps réel du X200 (CPU, RAM, I/O disque)
  • GoAccess — analyse des logs Nginx du VPS (trafic, 404, bots…)
  • Audit manuel — consultation régulière des décisions CrowdSec et Fail2Ban via CLI et WebApp CrowdSec

5. Automatisation

Plusieurs tâches récurrentes sont automatisées via cron :

  • Sauvegardes — scripts de sauvegarde des volumes Docker avec rotation et compression
  • Notifications — bot Telegram pour les alertes en temps réel (statut des backups, alertes système) et récapitulatif hebdomadaire des mises à jour effectuées sur le X200
  • Mises à jour système — automatisation des mises à jour de paquets pour application rapide des correctifs de sécurité

6. Principes de conception

  • Moindre privilège — chaque service tourne avec les droits strictement nécessaires
  • Isolation — conteneurisation Docker, CouchDB non exposé, X200 invisible depuis Internet
  • Résilience — sauvegardes automatisées, monitoring continu, rotation des logs
infra/architecture_globale.1773172473.txt.gz · Dernière modification : de ewen