Ceci est une ancienne révision du document !
documentation:technique:machines:mplx
n'existe pasTable des matières
mplx
mplx est la machine qui tourne sous Proxmox chez Fab sur une connexion fibre (Free), et qui contient des VMs (qemu), dont Schizophylle, et des conteneurs (LXC), dont un service Git.
Cette machine a vocation à être gérée intégralement via ansible, dont les playbooks sont publiés dans un dépot git.
Site web : mplx.ml
Matériel
- Boitier : Mini-ITX
- Carte mère : ASROCK N3150-ITX
- Processeur : Intel Celeron N3150, 4 coeurs à 1.60Ghz
- RAM : 8 Go
- Disques durs : 240 Go SSD + 500 Go
Réseau
Réseau IPv4 NATé.
Adresse IPv4 publique : 88.190.142.78
Adresse IPv6 publique : 2a01:e35:8be8:e4e0::1
Nom de domaine : mplx.ml
Adresse IPv4 locale : 192.168.1.5
Réseau local : 192.168.1.0/24
Table de routage NAT IPv4
TCP/UDP | Port-Range[→Destination] | Protocole | Machine |
---|---|---|---|
TCP | 22 | ssh | mplx |
TCP | 8006 | https (proxmox) | mplx |
TCP | 80 | http | mplweb |
TCP | 443 | https | mplweb |
TCP | 10022→22 | ssh | mplssh |
TCP | 10722→22 | ssh | mplgit(*) |
TCP | 9418 | git | mplgit |
UDP | 30000 | minetest | mplmine |
TCP | 15022→22 | ssh | myclvpn |
TCP | 21022→22 | ssh | Schizophylle |
UDP | 1194 | openvpn | Schizophylle |
UDP | 500 | isakmp | Schizophylle |
UDP | 4500 | ipsec | Schizophylle |
TCP+UDP | 21023-21100 | divers | Schizophylle |
* : Pourra être supprimée prochainement, l'accès se faisant à travers mplssh (voir plus bas)
Liste des conteneurs/VMs hébergés
Administration
Politique d'accès
Il est possible de demander des accès sur la freebox (collectif, à gérer avec précaution) ainsi que sur l'hôte Proxmox (comptes individuels pouvant être restreints).
Accès SSH
Empreintes SSH :
- 2048 SHA256:kmzs97h2TVRcLc2EYheNfT9gbDr3GprDpVU3yNpOQV4 (RSA)
Accès SSH aux conteneurs mpl*
Afin de ne pas exposer tous les serveurs SSH de chaque conteneur sur Internet, il est prévu de centraliser ces accès via un bastion SSH. Concrètement, cela signifie ajouter un niveau d'indirection dans vos connexions SSH, d'où l'usage de ProxyJump pour traverser mplssh.
Pour le moment, le bastion n'est en place que pour les services mpl*.
Renseignez les hôtes dans votre fichier ~/.ssh/config comme suit :
- mplx-ssh.config
Host mplssh Hostname mplx.ml Port 10022 Host mplgit Hostname 192.168.1.111 ProxyJump mplssh
Configuration
Installation initiale
La machine tourne sous Proxmox, une migration vers Debian goût vanille est souhaitée mais non urgente.
La partition racine n'est pas chiffrée, mais la partition de données (utilisée par certains conteneurs) est chiffrée et doit être déverrouillée au démarrage.
Gestion avec Ansible
Les playbooks et rôles sont publiés dans un dépot git, voir les modalités d'accès.
git clone git://mplx.ml/~mplx/mplx_ansible.git