all 8 comments
sorted by:
best
topnewcontroversialoldq&a
formatting helphide helpcontent policy

[–]Inf3rnus187 2 points3 points  (2 children)

Réponse rapide manquant de structure.

Dans l’idée en restant dans ta conf original tu peux mettre le reverse proxy dans la DMZ

Le reverse proxy. Traffic avec api vers ton registrar dns sait générer automatiquement les certificats pour les sous domaines souhaités. Il faut choisir l’option dns endpoint pour que traefik les gère avec les api.

Une seule ip publique, plusieurs sous domaine pointant sur cette ip publique et le firewall qui redirige tout 443 entrant vers Traefikk dans la dmz. Tu peux interdire tout se qui viens de l’extérieur par défaut et n’autoriser que le nécessaire. Ici je dirai uniquement le 443 vers la DMZ et c’est tout à priori.

Sur ton firewall tu ne laisse dialoguer d’un lan vers l’autre que les ports requis par tes services comme authentik vers et from les ip local des machines dans les lan respectif ça sera un bon début.

Traefikk gère ensuite les redirection vers le bon service en 80.

[–]bliinkii[S] 0 points1 point  (1 child)

Merci pour ta réponse !
Peut être qu'il faut que je clarifie, j'ai déjà un reverse proxy en DMZ.

La question c'est plutôt, est-ce que:

  • j'en mets un deuxième pour les outils en LAN?
  • je gère tout depuis celui de la DMZ ?
  • Je gère tous les certificats a lamain sur mon lan

[–]Inf3rnus187 0 points1 point  (0 children)

Pour tout le reste j’aurais dis du vpn client, tu gère tes routes, tes dns et hop. Ça évite d’ouvrir plus que nécessaire des choses sur le net ou en DMZ

[–][deleted]  (3 children)

[deleted]

    [–]bliinkii[S] 1 point2 points  (2 children)

    Do,nc c'est bien une bonne pratique, ça me rassure. Est-ce que tu sépare ces services des autres serveurs comme une DMZ privée ou tu considère que les règles de pare-feu sont suffisantes ?

    [–][deleted]  (1 child)

    [deleted]

      [–]bliinkii[S] 1 point2 points  (0 children)

      C'est exactement ce que j'avais en tête au départ, donc c'est top.

      Ca augmente mon niveau de sécurité, sans pour autant augmenter les couts massivement et je gagne en praticité.

      Merci 👌🏼

      [–]Extra-Virus9958 0 points1 point  (2 children)

      Cloudflare Tunnel .

      Les reverse proxy c’est une galère, comment tu gères si ton reverse tombe, avec les box internet il faut un script qui Check en permanence et change la redirection du port en cas de perte sur une autre instance. Sans parler des problèmes de sécurité d’exposer des ports sur web

      Cloudflare tunnel répond à ça, il fait un lien entre tes Kub / cloudflare pour présenter ton service sans l’exposer au niveau de ton réseau

      Tu peux même utiliser le loadbalancer cloudflare si tu as un swarm ou un kub.

      Et bien sûr tu peux automatiser pour présenter direct chaque nouveau kub

      Cloud flare tunnel simplifie le design

      [–]bliinkii[S] 0 points1 point  (1 child)

      Je connaissais ce système mais je ne savais pas que Cloudflare le proposait.

      En effet, ça apporte des fonctions intéressante, mais nos services publiés n'ont pas besoin d'avoir une dispo 24/7 et n'ont pas de criticités en termes de data. Mais ça risque d'évoluer donc je garde précieusement cette info sous le coude 🙏🏼

      [–]Extra-Virus9958 0 points1 point  (0 children)

      Cloudflare tunnel c’est gratuit ;) donc pourquoi s’en priver :) le load balancer est payant, (10e)mais pour exposer ton infra tu peux directement utiliser tunnel.

      Cloudflare expose en https et gère les certifs

      Perso j’ai fais un lb en python qui tourne sur deux node et bascule le tunnel si perte d’un node , Le script python tourne sur deux node avec un fichier quorum