Nouvelle infrastructure d'hébergement
Pour celles et ceux qui ne connaissent pas mon histoire : j’ai commencé à héberger du contenu chez moi dès 2008. Très inspiré par la conférence « Internet libre, ou Minitel 2.0 » de Benjamin Bayart, j’ai fait le choix d’héberger mes données à la maison afin de participer à un vrai Internet, plus libre mais aussi pour apprendre et mieux protéger mes données personnelles, et pour partager cette vision avec les curieux·ses qui veulent bien m’écouter.
Quelques années plus tard, le 25 août 2015, j’installais Debian (un système d’exploitation) sur le serveur principal de mon infrastructure actuelle. C’est lui qui supportait jusqu'à aujourd’hui la majorité des services que j’utilise et que je vous partage : hébergement de sites web, agrégateur de flux RSS, DNS, emails, etc.
Pendant ces 10 années, le serveur en a vu de toutes les couleurs :
- de grosses mises à jour
- un grand nombre de disques mécaniques moins résistants que lui
- des attaques informatiques en veux-tu en voilà
- … et des crawlers d’IA qui consomment pas mal de ressources
Malgré tout ça, il est a toujours été debout et a continué de faire le taf qu’on lui demande.
Mais il est temps pour lui de partir en retraite : il arrive à bout de souffle et ne me permet plus aujourd’hui de supporter correctement la charge. Je dois garantir la sécurité de nos données ainsi que la continuité des services, pour vous comme pour moi.
J'ai donc commandé et installé un NucBox K12 de chez GMKtec avec 32Go de RAM et 2To de stockage hors backup. Pour cette nouvelle machine, je me suis orienté vers la virtualisation avec Proxmox VE. Cela me permet d'isoler les services et gérer les ressources plus finement.
Dès qu'on aura à nouveau des prix décents pour la RAM, je pense que je doublerai la mémoire pour être un peu plus à l'aise car la virtualisation consomme vraiment plus de ressources !
Du coté des services web, j'ai opéré quelques changements importants. En effet, j'ai décidé de remplacer mon reverse proxy Nginx par Caddy. La gestion des certificats est vraiment facilitée et la configuration est globalement plus simple même si certains concepts m'échappent encore !
Derrière Caddy, j'ai toujours le bon vieux Apache pour servire la majorité des sites web non conteuneurisés. En revanche, les services qui reposent sur Docker sont gérés par Traefik qui s'occupe de router le trafic.
Pour le mail, j'utilise la même stack logicielle (Postfix, Dovecot et compagnie) mais via Mailcow. C'est franchement beaucoup plus simple à maintenir et je peux beaucoup mieux gérer les comptes. En effet, ils étaient liés aux comptes unix du serveur alors que maintenant non. Tout est indépendant et je la possibilité d'intégrer des mécanismes d'authentification plus complets, comme l'authentification unifiée et le MFA.
Cette migration m'a conduit à revoir une partie de ma supervision. J'utilisais encore une instance Zabbix qui fonctionnait à moitié, et j'avais également un peu de monitoring avec Monit. J'ai tout dégagé pour ne conserver que Uptime Kuma et une instance Beszel.
La nouvelle infra est en production depuis le 14 mars et je pense avoir migré la totalité des outils. Il n'est pas impossible que des choses aient été oubliées donc n'hésitez pas à me faire des retours !
Je suis convaincu que l’auto-hébergement est essentiel, aujourd’hui plus que jamais. Je vous encourage vivement à vous y intéresser afin de reprendre le contrôle de vos données et de vos outils.
Cet article a été rédigé par Simon Vieille, développeur français animé par la culture du libre et du hacking.
Il intervient à Tinternet & Cie, une association d’éducation numérique populaire. Depuis septembre 2022, il est lead developer à Trinaps, un opérateur télécom local et indépendant.
De Xorg à Wayland, de i3 à sway
Quelques jours après avoir mise en ligne la nouvelle infrastructure structure d'hébergement,…
Streaming Owncast et Twitch
Il y a quelques années de cela, j'avais commencé à streamer des sessions de développement su…
Quelques suggestions pour vous aider à décrocher un entretien
Cet article était déstiné à être publié sur LinkedIn mais parce qu'il est trop long et qu'il…
Je vous suggère de voir du côté d'Incus à la place de Proxmox. Incus a une empreinte mémoire bien plus faible que Proxmox et peut être installé sur n'importe quelle distribution.
Vous ne rencontrez pas de problème de blacklistage pour le mail avec une adresse ip grand public sur une offre fibre Orange ?
J'utilise un relais sur une machine OVH que j'administre. Tous les mails qui partent vers l'extérieur passent par ce relais. La délivrabilité n'est pas parfaite mais ça fait le job dans la majorité des cas !
Pourquoi avoir Caddy & Apache puisque vous avez Traefik ? J'utilise Traefik (80/443) pour les certificats et Nginx pour les sites non dockerisés. Mailcow est sur une VM dédiée ? J'envisage de quitter MiaB (Mail in a Box) pour Mailcow. Quel est l'intérêt d'auto-héberger Mailcow si vous avez besoin d'un relais OVH ? Pourquoi ne pas le mettre directement sur un VPS et avoir une meilleure garantie de disponibilité.
Hello!
Pourquoi avoir Caddy & Apache puisque vous avez Traefik ?
Caddy est exploité pour gérer plus facilement les certificats et l'ensemble des règles de trafic entrant HTTP. Traefik est uniquement dédié à gérer le trafic sur les containers et je veux ne veux pas que le reverse (Caddy) soit dans docker. Apache est utilisé pour les applications non dockerisées, gérer PHP et pouvoir rester compatible avec les apps qui utilisent le rewrite URL d'Apache.
Mailcow est sur une VM dédiée ? Quel est l'intérêt d'auto-héberger Mailcow si vous avez besoin d'un relais OVH ?
Affirmatif ! L'auto-hébergement de mail est quelque chose que je fais depuis très longtemps. Le relais OVH m'a toujours été utile car les listes de blocages flag les IP résidentielles. En migrant chez Orange après mon déménagement, je me suis aperçu que l'accès au port 25 à des machines externes n'était pas possible. C'est donc une nécessité pour emettre du mail.