Katzei est une association proposant un hébergement libre, éthique et auto-hébergé basée à Paris.
Katzei est une association proposant un hébergement libre, éthique et auto-hébergé basée à Nantes, Rennes et Louviers.
</p>
<h2class="subtitle">
Libre
@ -20,7 +20,7 @@
Éthique
</h2>
<p>
Katzei est membre du collectif <ahref="https://chatons.org">CHATONS</a> et s'engage donc à en respecter <ahref="https://chatons.org/fr/charte-et-manifeste#charte">la charte</a>.
Katzei est membre du collectif <ahref="https://chatons.org">CHATONS</a> et s'engage donc à en respecter <ahref="https://www.chatons.org/charte">la charte</a>.
</p>
<p>
Katzei ne revend pas vos données. Nous utilisons autant que possible des logiciels où les données sont chiffrées dans votre navigateur, ce qui fait que nous ne pouvons ni les lire ni les modifier.
Comme nous l'avons dit, Katzei est une structure auto-hébergée. La principale raison idéologique de ce choix (outre l'indépendance et la maîtrise matérielle) porte sur la symétrie d'Internet : de par son architecture, il n'y a aucune raison technique qui empêche d'utiliser la connexion à Internet d'un particulier pour héberger des services.
</p>
<p>
Pour résoudre le problème de bande passante consommée, le serveur principal de Katzei est hébergé à Paris (le réseau électrique y est très stable) et derrière un accès Free en fibre optique. Free reste encore aujourd'hui l'un des opérateurs les plus pratiques pour faire de l'auto-hébergement à un prix décent (à titre de comparaison, OVH propose un accès intéressant pour l'auto-hébergement mais à 54€/mois quand Free offre un meilleur débit pour 35€/mois, et les autres opérateurs ne facilitant pas l'auto-hébergement).
Pour résoudre le problème de bande passante consommée, le serveur principal de Katzei est hébergé dans des Grandes villes (Nantes et Rennes) ou le réseau électrique est très stable et derrière un accès Free en fibre optique. Free reste encore aujourd'hui l'un des opérateurs les plus pratiques pour faire de l'auto-hébergement à un prix décent (à titre de comparaison, OVH propose un accès intéressant pour l'auto-hébergement mais à 54€/mois quand Free offre un meilleur débit pour 35€/mois, et les autres opérateurs ne facilitant pas l'auto-hébergement).
</p>
<p>
Pour résoudre le problème des adresses IP limitées (nous n'en avons qu'une seule pour l'instant), nous avons recours aux "<ahref="https://fr.wikipedia.org/wiki/H%C3%A9bergement_virtuel">virtual hosts</a>" qui permettent de discriminer les requêtes ciblant un service ou un autre selon le nom de domaine demandé par l'utilisateur.
Si l'architecture matérielle de Katzei est fortement liée à son côté auto-hébergé. Son architecture logicielle est, à l'inverse, beaucoup plus classique. Tous les services publiques étant rendus via le protocole HTTP(S), un serveur proxy reçoit toutes les requêtes destinées aux ports 80 et 443 et les redirige vers les services concernés. Les autres ports redirigent directement sur les machines gérant les services rendus sur ce port.
</p>
<p>
Par mesure de sécurité, afin de réduire les risques liés à de mauvaises manipulations, et pour réduire les temps d’interruption, chaque service est isolé dans une machine (le plus souvent virtuelle) qui lui est dédiée. Les services hébergés par Katzei ne sont pas tous directement utilisables par le public, certains peuvent aussi être internes à l'architecture logicielle pour assurer son bon fonctionnement. Par exemple nous gérons des services de DNS ou de mail qui ne sont pas proposés au public.
Par mesure de sécurité, afin de réduire les risques liés à de mauvaises manipulations, et pour réduire les temps d’interruption, chaque service est isolé dans une <ahref="https://fr.wikipedia.org/wiki/Machine_virtuelle">machine virtuelle</a> qui lui est dédiée. Les services hébergés par Katzei ne sont pas tous directement utilisables par le public, certains peuvent aussi être internes pour assurer le bon fonctionnement des services. Par exemple nous gérons des services de DNS ou de mail qui ne sont pas proposés au public.
</p>
<h2class="subtitle">
Système d'exploitation
@ -53,9 +53,6 @@
<p>
Il existe beaucoup de systèmes de supervision comme <ahref="https://www.nagios.org">Nagios</a>, le système historique, ou des systèmes très modernes comme <ahref="https://https://prometheus.io/">Prometheus</a>, permettant de récolter des centaines de paramètres sur les machines et de les agréger dans le temps. Notre infrastructure restant très simple, nous n'avons pas besoin de quelque chose d'aussi puissant que Prometheus et, vu le nombre de paramètres remontés, le configurer correctement pour nos besoins aurait été bien trop long. Nous avons finalement choisi d'utiliser <ahref="https://icinga.com/">Icinga2</a>, un dérivé (complètement réécrit depuis) de Nagios, simple à configurer et avec une jolie interface.
</p>
<p>
<b>Attention:</b> si vous utilisez Icinga2 sous Debian Buster, le paquet présent sur les dépôts de la distribution a un défaut empêchant de l'utiliser comme agent. Pour éviter ce problème, il est préférable d'installer la version présente sur le dépôt de Icinga.
</p>
<h2class="subtitle">
Mail
</h2>
@ -72,7 +69,7 @@
Dans une vision (très) simplifiée, le DNS est l'annuaire qui permet d'associer un nom de domaine (par exemple "katzei.fr") à une adresse IP. Il existe deux type de serveurs DNS :
<ul>
<li>
<b>Les serveurs faisant autorité</b>: Ces serveur sont ceux détenant la vérité et la partageant avec les autres. Ils font référence sur le réseau et tout résolveur donnant une réponse en contradiction avec les serveurs faisant autorité sont considérés comme menteurs.
<b>Les serveurs faisant autorité</b>: Ces serveur sont ceux détenant la vérité et la partageant avec les autres. Ils font référence sur le réseau et tout résolveur donnant une réponse en contradiction avec les serveurs faisant autorité est considéré comme menteur.
</li>
<li>
<b>Les résolveurs DNS</b>: ces serveurs sont ceux que vous contactez pour connaître l'adresse d'un site. Ils contacteront les différents serveurs faisant autorité jusqu’à trouver l'adresse que vous cherchez. En général, vous utiliserez le résolveur DNS de votre fournisseur d’accès à Internet.
Pour assurer les différents rôles au sein de Katzei, nous avons besoin de 3 ordinateurs, un switch et un routeur. Comme vous le verrez par la suite, nous utilisons des machines puissantes pour ces différents rôles, mais autant de puissance n'est pas obligatoire. Certaines de ces machines étaient en fait déjà en possession de nos membres avant la création de Katzei, et leur usage n'est pas toujours strictement dédié à Katzei. Gardez en tête qu'il est tout à fait possible (mais moins amusant) de partir avec un simple <ahref="https://fr.wikipedia.org/wiki/Raspberry_Pi">Raspberry Pi</a> et deux disques durs externes.
Pour assurer les différents rôles au sein de Katzei, nous avons besoin de 3 ordinateurs, un switch et un routeur. Comme vous le verrez par la suite, nous utilisons des machines puissantes pour ces différents rôles, mais autant de puissance n'est pas obligatoire. Certaines de ces machines étaient en fait déjà en possession de nos membres avant la création de Katzei, et leur usage n'est pas toujours strictement dédié à Katzei. Gardez en tête qu'il est tout à fait possible (mais moins amusant) de partir avec un simple <ahref="https://fr.wikipedia.org/wiki/Raspberry_Pi">Raspberry Pi</a> et deux disques durs externes.
</p>
<h2class="subtitle">
Hyperviseur
Hyperviseur principal
</h2>
<p>
L'hyperviseur est le cœur de l'hébergeur. C'est lui qui héberge les différentes machines virtuelles aussi bien pour les services que pour le reste de l'infrastructure. Si vous faites une architecture du même type que Katzei, ce sera de loin la machine la plus cher (même s'il est possible de ne pas la payer trop cher en restant à l'écoute des bons plans).
L'hyperviseur principal est le cœur de katzei. C'est lui qui héberge les différentes machines virtuelles aussi bien pour les services que pour le reste de l'infrastructure. Si vous faites une architecture du même type que Katzei, ce sera de loin la machine la plus cher (même s'il est possible de ne pas la payer trop cher en restant à l'écoute des bons plans).
2×2To (Disques durs mécaniques) et 1×128Go (SSD SATA)
</td>
<td>Stockage SSD</td>
<td>128 Go</td>
</tr>
<tr>
<td>Stockage SSD</td>
<td>2 To</td>
</tr>
<tr>
<td>Stockage HDD</td>
<td>2 To</td>
</tr>
</table>
<h2class="subtitle">
Supervision
Hyperviseur secondaire
</h2>
<p>
Cette machine a pour rôle de surveiller les autres et de prévenir les administrateurs si quelque chose se passe mal. Elle n'a pas besoin d'être très puissante, mais c'est une bonne idée de laisser cette tâche à une machine dédiée. Un simple Raspberry Pi avec un SSD externe suffirait si vous souhaiter l'isoler dans une machine physique indépendante.
<br/>
Suite à la fin de vie de la machine physique dédiée, nous avons fait le choix d'instancier la supervision dans une VM gérée par l'hyperviseur.
Cette machine sert a héberger de l'infrastructure sur un autre site. c'est notamment elle qui héberge le site <ahref="https://status.katzei.fr">d'état des services</a>. Pour cette machine on aurait pu tout faire tourner directement dessu sans utiliser de machine virtuelles (on parle alors de bare metal) mais avoir des machines virtuelles ne coute pas beaucoup de performances et simplifie beaucoup la maintenance. Pour son role un simple Raspebrry pi suffirait mais on avait un vieux serveur sous la main ce qui nous permet d'avoir un hébergement plus confortable.
Comme pour la machine de supervision, cette machine est le recyclage du NAS d'un membre. Comme il est encore utilisé par le membre, seul sera référencé sur cette page l'espace de stockage dédié à Katzei. Pour la gestion des sauvegardes, il est possible de prendre un NAS tout fait mais il est souvent plus économique (et bien plus amusant) de construire soi-même la machine et de choisir les logiciels selon ses besoins. Pour ses performances, ne vous fiez pas à ses 4 cœurs, il utilise une architecture très basse consommation et est très peu puissant. La particularité de cette machine est d'utiliser une clef USB pour héberger le système d'exploitation afin de laisser le plus de place possible aux disques durs pour le stockage.
Comme pour l'hyperviseur secondaire, cette machine est le recyclage. Dans ce cas il sagit du NAS d'un membre. Comme il est encore utilisé par le membre, seul sera référencé sur cette page l'espace de stockage dédié à Katzei. Pour la gestion des sauvegardes, il est possible de prendre un NAS commercial mais il est souvent plus économique (et bien plus amusant) de construire soi-même la machine et de choisir les logiciels selon ses besoins. Pour ses performances, ne vous fiez pas à ses 4 cœurs, il utilise une architecture très basse consommation et très peu puissante.
Les routeurs avec un grand nombre de ports Ethernet coûtent cher. Il est donc plus intéressant d'utiliser un switch comme routeur. Considérez-le comme une multi-prise pour pouvoir y brancher plus d'éléments. Le switch que nous utilisons n'est pas administrable et ne gère pas les <ahref="https://fr.wikipedia.org/wiki/R%C3%A9seau_local_virtuel">VLAN</a>. En bref, c'est un switch 8 ports très basique qu'un membre avait déjà à sa disposition.
Les routeurs avec un grand nombre de ports Ethernet coûtent cher. Il est donc plus intéressant d'utiliser un switch pour augmenter le nombre de ports disponibles. Considérez-le comme une multi-prise pour pouvoir y brancher plus d'éléments. Le switch que nous utilisons n'est pas administrable et ne gère pas les <ahref="https://fr.wikipedia.org/wiki/R%C3%A9seau_local_virtuel">VLAN</a>. En bref, c'est un switch 8 ports très basique qu'un membre avait déjà à sa disposition.
Meewan
10 months ago