Outils pour utilisateurs

Outils du site


Panneau latéral

Mycélium

Documentation

Travaux

Membres

Wiki

documentation:technique:machines:mplx

mplx

mplx est la machine qui tourne sous Proxmox chez Fab sur une connexion fibre (Free), et qui contient des VMs (qemu), dont Schizophylle, et des conteneurs (LXC), dont un service Git.

Cette machine a vocation à être gérée intégralement via ansible, dont les playbooks sont publiés dans un dépot git.

Site web : mplx.ml

Matériel

  • Boitier : Mini-ITX
  • Carte mère : ASROCK N3150-ITX
  • Processeur : Intel Celeron N3150, 4 coeurs à 1.60Ghz
  • RAM : 8 Go
  • Disques durs : 240 Go SSD + 500 Go

Réseau

Réseau IPv4 NATé.

Adresse IPv4 publique : 88.190.142.78
Adresse IPv6 publique : 2a01:e35:8be8:e4e0::1
Nom de domaine : mplx.ml

Adresse IPv4 locale : 192.168.1.5
Réseau local : 192.168.1.0/24

Table de routage NAT IPv4

TCP/UDP Port-Range[→Destination]  Protocole Machine
TCP 22 ssh mplx
TCP 8006 https (proxmox) mplx
TCP 80 http mplweb
TCP 443 https mplweb
TCP 10022→22 ssh mplssh
TCP 10722→22 ssh mplgit(*)
TCP 9418 git mplgit
UDP 30000 minetest mplmine
TCP 15022→22 ssh myclvpn
TCP 21022→22 ssh Schizophylle
UDP 1194 openvpn Schizophylle
UDP 500 isakmp Schizophylle
UDP 4500 ipsec Schizophylle
TCP+UDP 21023-21100 divers Schizophylle

* : Pourra être supprimée prochainement, l'accès se faisant à travers mplssh (voir plus bas)

Liste des conteneurs/VMs hébergés

Administration

Politique d'accès

Local : Clé de chez Fab, Antoine possède un double.

Routeur : Pas d'accès à la freebox, mais envisageable avec précautions.

Hôte : Pas d'accès. Proxmox permet cependant de créer des comptes de limités à la gestion de certains conteneurs/VMs.

Services mplx : Gérés par Fab.

  • mplgit : plusieurs comptes dédiés à Mycélium

Services mycl : Gérés par Mycélium.

  • myclmon : monitoring avec icinga2

Accès SSH

HÔTE EMPREINTE
mplx 2048 SHA256:kmzs97h2TVRcLc2EYheNfT9gbDr3GprDpVU3yNpOQV4 (RSA)
mplssh 2048 SHA256:IOZPaAgKHlcUMH2c18P+lu4DUD2mB0rMoqmBkEmsbsk (RSA)
mplgit 2048 SHA256:Gstg9Jiv3NN7dL65fQUdrCe5Vhv+F8GuaOalSxz9RYE (RSA)

Accès SSH aux conteneurs mpl*

Afin de ne pas exposer tous les serveurs SSH de chaque conteneur sur Internet, il est prévu de centraliser ces accès via un bastion SSH. Concrètement, cela signifie ajouter un niveau d'indirection dans vos connexions SSH, d'où l'usage de ProxyJump pour traverser mplssh.

Installez d'abord la carte des hôtes de la machine mplx. Ici on la copie dans ~/.ssh/ssh.config.mply.

wget 'https://mplx.ml/files/ssh.config.mply' -O "${HOME}/.ssh/ssh.config.mply"

Ensuite, éditez votre fichier ~/.ssh/config pour y ajouter :

Include ssh.config.mplx

Configuration

Installation initiale

La machine tourne sous Proxmox, une migration vers Debian goût vanille est souhaitée mais non urgente.

La partition racine n'est pas chiffrée, mais la partition de données (utilisée par certains conteneurs) est chiffrée et doit être déverrouillée au démarrage.

Gestion avec Ansible

Les playbooks et rôles sont publiés dans un dépot git, voir les modalités d'accès.

git clone git://mplx.ml/~mplx/mplx_ansible.git
documentation/technique/machines/mplx.txt · Dernière modification: 2019/09/03 17:49 par cacatoes