Chargement en cours

Le homelab est enfin là !

News , , ,

Le homelab est enfin là !

So long, VMware Workstation 🥀

Y’a encore quelques années, je me rappelle que je poussais mon PC fixe dans ses derniers retranchements en utilisant des tonnes de machines virtuelles sur VMWare Workstation… ça aura duré quand même presque 10 ans.

Du genre cluster complet vSphere: 18Go de RAM rien que pour l’hôte ESXi qui hébergeait le vCenter, 2 autres nœuds ESXi, une dizaine d’onglets Firefox ouverts, un TrueNAS virtualisé lui aussi… et le tout avec 24Go de RAM.

Là je dis, y’a respect.

Obligé de m’arracher les cheveux sur GNS3 pour « tenter » tant bien que mal de pouvoir faire mumuse avec le 802.1Q et des VMs vu que pas de matos physique adapté…

Entre temps, j’ai upgrade ma machine de guerre… 😏

Mais même là, ça devenait un peu short pour certains gros labos, et surtout toujours pas la possibilité de faire du LACP, trunking, et autre…

Et finalement… ça faisait un sacré moment que je parlais du fait que le « Homelab » allait arriver… et bien c’est désormais chose faite ! 🎉

I) Show me the beast, french boy~

Alors SPOILER, c’est encore In progress donc le cable management etc on repassera, mais je vais détailler tout ça en dessous~

Alors, par où commencer ! On va rapidement parler de l’aspect physique, et ensuite de l’architecture réseau, puis le classique Conclusion & Side notes comme d’habitude.

II) Qu’est-ce qu’on a de beau là-dedans ?

Alooooors, pour la faire rapide:

  • Un switch Cisco CBS 220 ;
  • Un router/firewall Sonicwall TZ500, pas encore opérationnel ;
  • Un router/firewall pfSense ;
  • Un Intel NUC, i3-10110U, 16Go de RAM, nœud Proxmox VE ;
  • Deux Beelink Mini PC EQR7, 24Go de RAM, nœuds Proxmox VE ;
  • Un (true)NAS, 4x16To en ZFS RAID-10 ;
  • Un switch Cisco Catalyst 3560 v2, pas encore opérationnel ;

Ce qui est prévu dans pas (trop?) longtemps:

  • Borne(s) Wi-Fi, sous OpenWRT ;
  • UPS 2200VA~ ;
  • Second NAS ;
  • 3x MinisForum pour cluster vSphere ;

Pas mal non ? C’est français 😎

  • Pourquoi le Sonicwall si t’as déjà pfSense ?
    • Car à terme je le placerai en front, avant mon pfSense, avec modem en bridge.
  • Pourquoi un switch Cisco récent, et un super ancien ?
    • J’avais ça de stock.
  • Pourquoi un Intel Nuc ancien, et 2 Beelink flambant neufs ?
    • Beh là aussi, je l’avais de stock. Et certes je sais qu’on peut trouver beaucoup de matos en mode occasion/récup, mais pour le coup souhaitant héberger aussi un peu de prod, je voulais quelque chose qui tienne la route, sans avoir de mauvaises surprises d’ici X mois.
      Mais effectivement je sais bien qu’on peut choper des Lenovo/HP voir Mac Mini pour moins cher et que blabla…~
  • Pourquoi une armoire serveur en BOIS !?
    • C’est joli… et puis j’ai environ 20U d’utilisables, pas besoin d’acheter des shelfs séparés, et même un p’tit tiroir tout sympatoche 🥺

III) Et en pratique, ça donne quoi ?

Alors je vais pas pouvoir tout détailler malheureusement, mais en l’état actuel, on a un truc comme ça, grossièrement:

Bon j’ai fait ça rapidos sur Draw.io (vieilles habitudes…), on juge pas. Mais c’est le schéma actuel:

  • Modem du FAI ;
  • pfSense qui fait office de routeur/firewall ;
  • Switch cisco principal
  • Trunks et access MGMT pour les 3 nœuds PVE, sauf une node qui n’a qu’une seule NIC ;
  • Trunk et access STORAGE pour le NAS, outdated ;
  • PC et autres connectés sur ce même switch ;

Cela étant dit:

  • L’interface « Debug » du pfSense sera remplacée par quelque chose d’autre, c’était le temps de setuper le tout sans se couper l’herbe sous l’pied ;
  • La DMZ sera sûrement sur le Sonicwall (pas affiché ici) ;
  • Le VLAN « Storage » n’a plus vraiment de raison d’être, j’ai changé l’archi entre temps, sinon routage asymétrique et ça aurait cassé SMB, NFS, iSCSI et autre (stateful/stateless), ‘en parlerai p’tet dans un autre article ;

IV) Et niveau services, quoi de beau sous le capot ?

Alors là j’me suis bien fait plaisir, à commencer par le réseau !

Netbox > Phpipam, change my mind.

Suis parti sur un classique 172.16.0.0/12, histoire de pouvoir avoir une jolie nomenclature pour mes VLANs, qui pour le coup sont nombreux. J’ai aussi choisi un /26 pour chaque subnet même si dans les faits pas vraiment besoin, mais ça me permet d’avoir une meilleure vue.

  • VLAN « classiques » pour USERS, LABO, MGMT, TOOLS… mais le reste on tape de la micro-segmentation partout où on peut. Alors certes au début c’est « long » à mettre en place niveau ACL/règles de firewalling, mais je trouve ça tout de même top niveau sécu. Et oui effectivement, de nos jours on a des solutions logicielles pour ça, mais bon…
  • Nomenclature de type 3 et 4ème octets = ID VLAN, vous aurez vite remarqué. Surtout avec ma micro-segmentation, qui va générer une paire de VLANs, ça me permet d’être sacrément large et de pouvoir en créer énormément, en plus d’être très facile à troubleshoot.
    • 1600, pour 172.16.0.0 ;
    • 1610, pour 172.16.10.0 ;
    • 1620, pour 172.16.20.0 ;
    • 1750, pour 172.17.50.0 ;
    • … ;
  • IPv6 de prévue ! Et oui madame ! Alors clairement pas pour tout de suite car j’ai encore beaucoup de trucs à fignoler mais je compte m’y atteler sérieusement, après tout, comme pour l’année du desktop Linux, l’année de l’IPv6 arrivera soon 🤡
  • Petit Netbox comme affiché plus haut, qui me permettra via son API de pouvoir automatiser la gestion des IPs plus tard (OpenTofu avec provider, etc), de paire avec TechnitiumDNS ;

Ensuite, j’ai mon p’tit cluster Proxmox VE, avec shares depuis le NAS. Pour les backups, j’ai installé Proxmox Backup Server récemment, le truc fait le job, so far so good.

Là aussi je suis parti sur une petite nomenclature pour l’ID de mes conteneurs LXC et VMs, sinon c’est vite le bordel, un des rares trucs que j’ai à reprocher à PVE, c’est bien l’organisation des assets au niveau Webui… 😔

Et enfin, p’tet le plus sympa, quid au niveau des CHOSES QUI TOURNENT ? Et bah voilà un tout p’tit aperçu:

J’vous ai dit que Netbox > Phpipam…?

On a un peu de tout à vrai dire:

  • VMs Windows & Kali pour CTI/Pentest/Autres joyeusetés, toujours dans la légalité bien-sûr ;
  • Ollama pour IA locales, en cours de test actuellement. L’avantage de mes deux Beelinks et de PVE c’est le (i)GPU passthrough, qui fonctionne très bien d’ailleurs, et qui aide énormément niveau workload pour les LLMs ;
  • PKI via SubCA, histoire là aussi de pouvoir automatiser le lifecycle de mes certificats TLS (ACME etc) ;
  • Forgejo, Woodpecker, OpenTofu, Ansible, Packer… pour tout ce qui est Git/CI-CD, Infra-as-Code ;
  • Vaults hosté on-prem, on a du Hashicorp Vault et Vaultwarden pour l’instant ;
  • Jellyfin, Monochrome, et un tas d’autres babioles pour le côté plus « fun » ;
  • SIEM/SOAR en cours de build, à base d’ELK/Cortex pour le moment ;
  • … ;

Bref, là encore, déjà de quoi sacrément s’occuper ! Sans compter le futur second cluster, où je pourrais faire du VSAN et compagnie~

Ah oui, et important aussi ! Je l’ai pas mentionné avant car ça arrivera dans les semaines qui suivent mais c’est prévu d’installer un p’tit cluster K3S en HA sur PVE, histoire de pouvoir m’amuser avec Kubernetes en même temps ! 🤫

V) Conclusion et side notes

Alors comme dit plus haut, même si ça fait déjà quelques semaines que je bosse dessus, on est clairement encore dans du Work in Progress.

  • Cable Management à faire, UPS à placer… ;
  • Services à terminer d’installer… ;
  • Infra as Code à continuer, déjà plusieurs templates packer et un peu de scripts OpenTofu, mais mes pipelines via Woodpecker sont clairement pas prod-ready par exemple ;
  • K3S à installer, configurer, finetuner… ;
  • … ;

L’avantage, c’est que j’ai de supers idées d’articles qui vont arriver ! Mais bon, entre le boulot, le blog, et le homelab… (j’oublie rien ?), quelque fois difficile de trouver le temps !

Sur ce, j’espère vous avoir montré deux trois trucs sympas ! Pour ma part, j’ai essayé/j’essaye avec ce lab:

  • D’utiliser quasiment que des solutions OpenSource, en tout cas dès que je le juge possible (Proxmox, Netbox, TrueNAS, OpenTofu, OpenWRT, pfSense…) ;
  • D’avoir quelque chose de propre et qui tienne dans le temps ;
  • De me faire plaisir, ça veut dire que:
    • Oui, le range réseau et la micro-segmentation sont overkill pour la plupart des cas ;
    • Oui, on peut faire équivalent voir mieux pour bien moins cher, avec du matos d’occasion etc ;

Mais bon, le but est de me faire kiffer avant tout, et aussi par la même d’essayer de mettre en place toutes les choses que j’ai pu apprendre, et/ou que je souhaite découvrir.

Chaque homelab est différent… ça dépend clairement du temps qu’on veut/peut y consacrer, de son budget, son environnement… 🖖

Et puis toujours marrant de voir « comment on a commencé« … ça fait presque capsule temporelle ! 😄

Sur ce, belle journée/soirée à vous, et à la revoyure ! Ciao !

Vues: 4
Étiquette

Related Posts

Laisser un commentaire