// architecture

$ Infrastructure

Une infrastructure auto-hébergée production-grade : un serveur dédié, un hyperviseur Proxmox, deux environnements isolés, et une administration qui n'expose aucun port sur Internet. Survole — ou touche — un nœud pour voir son rôle et les choix techniques.

Trafic web publicAdministration hors-bandesurvol / clic → détails

Edge — périmètre public

Hyperviseur

ProductionLAN privé

Labréseau segmenté

Administration

Aucun port d'administration n'est exposé sur Internet — l'accès passe uniquement par le tunnel chiffré.

SSL Labs A+Suricata IDS/IPSPrometheus / GrafanaCaddyVLANs 802.1QNAT/LXCLVM-thin

Sécurité — défense en profondeur

Chaque couche part du principe que la précédente peut tomber.

Firewall amontCloudflare WAF puis pare-feu Hetzner filtrent le trafic avant même qu'il n'atteigne le serveur.
Hardening SSHAuthentification par clés ed25519 uniquement, mot de passe et login root désactivés.
fail2banBannissement dynamique des sources qui tentent du brute-force.
Firewall hyperviseurPolitique DROP par défaut sur Proxmox ; seuls les flux nécessaires sont autorisés.
Segmentation VLANVLANs 802.1Q isolant serveurs et clients — pas de mouvement latéral implicite.
IDS / IPS SuricataInspection inline du trafic, détection et blocage des signatures malveillantes.

Supervision

Métriques collectées sur 5 nœuds, alerting temps réel.

Prometheus scrape les métriques système et applicatives des 5 nœuds.
Grafana centralise les tableaux de bord (CPU, RAM, disque, réseau, services).
Alertmanager déclenche les alertes sur seuils.
Notifications poussées en temps réel sur Telegram.

J'ai documenté toute la mise en place de cette infrastructure — choix techniques, configurations anonymisées, pièges rencontrés et résolus. Le tout est public sur GitHub.

tusch-infra