Projet VPS – Traefik & Docker

Mise en production

Voir sur Linkedin

Traefik (Reverse Proxy & Edge Router)

Dans cette infrastructure, Traefik agit comme la porte d’entrée unique et sécurisée pour tout le trafic venant d’Internet. Contrairement aux déploiements standards, il est installé ici en mode « bare-metal » (directement sur le système Debian et non dans un conteneur), ce qui lui permet de gérer les connexions réseau avec des performances natives. Il intercepte les requêtes HTTP/HTTPS pour les rediriger intelligemment vers les bons services Docker en arrière-plan. De plus, il joue un rôle clé dans l’observabilité du projet en générant des métriques pour Prometheus et des traces pour Jaeger, permettant ainsi de surveiller la santé du trafic en temps réel.

Docker (Conteneurisation & Isolation)

Docker constitue le moteur d’exécution des applications, assurant que chaque service (comme Zabbix, Grafana ou VaultWarden) tourne dans un environnement isolé et stable. Grâce à l’utilisation de conteneurs, les dépendances logicielles sont encapsulées, ce qui évite de polluer le système hôte Debian et garantit la portabilité de la stack. Docker gère également la sécurité réseau interne via la segmentation : par exemple, la stack de supervision communique au sein d’un réseau dédié (monitoring-net), empêchant les accès non autorisés entre les différents services tout en simplifiant leur déploiement et leur maintenance

SUIVI DES SERVICES & ADMINISTRATION

ZABBIX

Le cœur du monitoring repose sur une stack Zabbix complète conteneurisée. Ellepermet de surveiller les métriques systèmes, le réseau et les applications.

PORTAINER

Portainer est utilisé comme interface graphique (GUI) pour piloter l’ensemble de l’infrastructure Docker. Il permet de visualiser les conteneurs, gérer les volumes et les réseaux sans passer par la ligne de commande.

COCKPIT

Contrairement aux autres services, Cockpit est installé directement sur le système (Bare-metal) via le gestionnaire de paquets apt. Il offre une interface web en temps réel pour l’administration du serveur Linux lui-même (logs systèmes, terminaux, comptes utilisateurs, mises à jour).

ANALYSE ET SECURITE

PROMETHEUS & GRAFANA

Le duo Prometheus/Grafana constitue le moteur d’analyse de l’infrastructure. Prometheus collecte les métriques (Time Series) provenant des différents « exporters » (Suricata, Node Exporter, Traefik), tandis que Grafana permet de les visualiser.

SURICATA

La sécurité active est assurée par Suricata, un IDS/IPS (Intrusion Detection System) haute performance.

JAEGER

Pour l’analyse fine des performances et le débogage, Jaeger est déployé en mode « All-in-One ». Il reçoit les traces (via le protocole OTLP) envoyées par Traefik ou d’autres applications instrumentées.

LOKI

Agrégateur de logs pour Traefik & Suricata, et permet de visualiser les alertes de sécurité sur Grafana.

SURICATA

L’accès aux services sensibles (ceux non exposés publiquement via Traefik) estsécurisé par un tunnel VPN WireGuard, géré par l’image wg-easy.

Divers

HOMARR

Homarr agit comme la page d’accueil de l’infrastructure. C’est un tableau de bord moderne qui centralise les liens vers tous les autres services.

FOSSFLOW

FossFlow est un outil de diagramme permettant de visualiser les flux et l’architectureréseau sous forme de graphiques 3D futuristes.

SERVEUR DE FICHIERS (APACHE DOWNLOAD)

Un serveur web Apache standard, configuré spécifiquement pour servir une page de téléchargement personnalisée et héberger des exécutables/logiciels.

RUSTDESK

Alternative open-source à TeamViewer / Anydesk, cette stack permet de prendre le contrôle de machines à distance sans passer par des serveurs tiers.

VAULTWARDEN

Coffre-fort numérique VaultWarden (compatible Bitwarden) pour la gestion sécurisée des identifiants.


SAUVEGARDES & PLAN DE REPRISE D’ACTIVITE (PRA)


SAUVEGARDE EXTERNALISEE (NAS PERSONNEL)

Le premier niveau de sauvegarde repose sur l’outil standard rsync, réputé pour sarobustesse et sa capacité à ne transférer que les différentiels (blocs modifiés),économisant ainsi la bande passante sortante du VPS.

Politique de Rétention : 7 jours glissants. Cette rotation permet de revenir àune version antérieure d’un fichier en cas de corruption logique ou d’effacementaccidentel (erreur humaine) survenu dans la semaine.


SAUVEGARDE INFRASTRUCTURE (OVHCLOUD)

Le second niveau est assuré par le service « Automated Backup » de l’hébergeur OVHCloud

Rétention : J-1 (Dernière copie uniquement). Chaque nouvelle sauvegarde écrase la précédente.

Objectif : Cette sauvegarde sert de « bouton d’urgence » pour un DisasterRecovery complet. En cas de plantage critique du système d’exploitation(Debian 13) suite à une mise à jour ratée ou une attaque destructrice, ellepermet de restaurer l’intégralité du serveur dans son état de la veille en quelquesclics.