Discussion :

[slyz0r]

Bonjour à tous,

J'aimerais mettre en place une nouvelle architecture réseau pour les serveurs hébergeant mon application web.

Actuellement, j'ai 4 serveurs directement connectés à internet derrière un routeur qui est sous contrôle du data center. Ces 4 serveurs ont 4 IP's publiques fixes et hébergent 4 applications web (chacun le frontend + 1 db). J'aimerais les utiliser afin de n'héberger qu'une seule application web mais en ajoutant une couche de "High availability" et de sécurité.

Pour ce faire, j'ai pensé à l'architecture ci-attachée.

Chaque serveur serait connecté au réseau internet (lien rouge) et à un réseau privé (lien noir). La carte gérant le lien internet ne serait activée QUE lors de mises à jour système, sauf pour le master Apache évidemment. Les connexions vers la DB et le serveur syslog ne passerait QUE par le réseau local. Evidemment, les pare-feux sont à mettre à jour.

Qu'est-ce que ça m'apporte par rapport à la situation actuelles ?

1. Plus de sécurité: un seul serveur accessible 24/24 via internet (Master Apache).
2. La db et le frontend sont séparés, failover beaucoup plus simple à gérer.
3. Si une des deux cartes réseau tombe ou un des switchs, l'autre peut prendre le relais (après reconfiguration des pare-feux et des interfaces évidemment). Dans ce cas là, je pense créer une sous interface sur l'interface restante pour la connexion au réseau local.

Qu'en pensez-vous ? Cette architecture est-elle correcte ?

Merci d'avance à tous,

[slyz0r]

Personne n'a d'avis sur cette archi ?

[ZZelle]

3. Si une des deux cartes réseau tombe ou un des switchs, l'autre peut prendre le relais (après reconfiguration des pare-feux et des interfaces évidemment).

Reconfiguration ? automatique ou manuelle ?
En général pour la redondance réseau niveau 2, on agrège les liens réseaux sur les serveurs en utilisant LACP ... comme ça au niveau 2 tu a 2 réseaux le rouge et le noir, au niveau 3 tu en as un qui est supporté par les 2 niveaux 2

Si tu actives le lien réseau pendant les mises à jour, tu dois les sécuriser donc pas besoin de les éteindre en dehors des mises à jour.
1er moyen de sécurisation : ne pas sortir en direct sur internet ... passer par un proxy web (squid ...)

Tu nous montres une archi avec 4 machines, est-ce lié au nombre de machines physiques à disposition ? Si tu avais eu disons 10 machines aurais-tu défini la même architecture ?

[slyz0r]

Bonjour ZZelle,

Merci de ta réponse.

Pourrais-tu développer l'idée du proxy pour la sécurisation de la connexion internet stp ?

Le but principal des deux réseaux n'était pas la redondance de niveau 2. Le but du réseau privé était d'avoir une connexion séparée pour plusieurs services:

* Syslog
* Rsync
* Transferts de fichiers divers
* ...

De ce fait, ceux-ci ne n'occuperaient pas la bande passante internet. Niveau configuration IP:

Liens rouges => IP publique pour chaque serveur
Liens noirs => IP privée de type 192.168.1.x

J'ai au total une dizaine de serveurs. Ceux indiqués dans le schéma seront utilisés pour héberger l'application web (httpd & mysqld). D'autres sont utilisés à des fins de backup, service mail ou d'autres applications spécialisées.

[becket]

En général pour la redondance réseau niveau 2, on agrège les liens réseaux sur les serveurs en utilisant LACP ...)

Attention, pour quel cela fonctionne, il faut qu'en face tu disposes d'un stack de switchs et que les câbles de l’agrégation soit répartis sur plus d'un switch.