Re: Cluster de serveurs Wireguard

Top Page

Reply to this message
Author: Marc TERRIER
Date:  
To: Patrice Karatchentzeff
CC: guilde
Subject: Re: Cluster de serveurs Wireguard
OK, merci Patrice, ça me paraît assez clair pour commencer.

Bonne journée à tou(te)s.

--
Marc

----- Mail original -----
De: "Patrice Karatchentzeff" <patrice.karatchentzeff@???>
À: "Marc TERRIER" <marc.terrier@???>
Cc: "guilde" <guilde@???>
Envoyé: Mardi 15 Mars 2022 05:15:59
Objet: Re: Cluster de serveurs Wireguard

Salut,

Je pense que tu poses mal le problème. Si tu cherches à te prémunir de
la perte d'une connexion internet, ce n'est pas en dupliquant ton
serveur en interne que tu vas résoudre le problème.

Il te faut :

- 2 connexions internet chez 2 FAI différents (2 vrais FAI)
- une répartition de charge pour se connecter sur l'un ou l'autre (ou les deux)

Éventuellement, tu peux dupliquer ton VPN pour t'affranchir du
problème de la perte d'un serveur. Donc un second serveur avec un load
balancer en amont que tu pourras régler comme ta connexion internet
(tout sur le VPN actif, puis bascule sur le second si le premier ne
répond pas).

Une autre solution est d'héberger ton infra ailleurs...

Ce n'est pas très compliqué, mais ça chiffre vite, car quand on
commence à mettre le doigt dans la haute-dispo...

PK


Le lun. 14 mars 2022 à 22:52, Marc TERRIER <marc.terrier@???> a écrit :
>
> Bonjour,
>
> Au boulot, nous avons un serveur VPN, pour l'instant unique, qui exécute Wireguard sur une base de CentOS 8.
>
> Ce serveur, situé au siège de la boîte, est accessible depuis l'extérieur à l'adresse vpn.acme.com (nom évidemment fictif), qui renvoie en interne sur vpn01.prod.acme.com.
>
> J'aimerais en mettre en place un second (vpn02.prod.acme.com, par exemple), physiquement situé sur un autre site qui dispose de son propre accès Internet. Compte tenu de l'évolution récente du projet CentOS, ce nouveau serveur sera très probablement en Red Hat 8, et non en CentOS Stream.
>
> Ce second serveur Wireguard serait là pour reprendre la main automatiquement et quasi-instantanément en cas de défaillance du premier serveur *ou* de la liaison Internet du siège de l'entreprise (exemple vécu récemment, qui a affecté tous les télétravailleurs).
>
> La synchronisation des comptes utilisateurs entre les deux serveurs pourra tout à fait être effectuée manuellement, et occasionnellement, parce qu'une fois passée la phase d'adoption initiale, il y a maintenant peu de création de nouveaux comptes, et peu de modifications.
>
> Ma question, c'est : comment faire pour que le deuxième serveur prenne la main en cas de défaillance du premier, ou de perte de la liaison Internet du siège, et (a priori) uniquement dans ce cas-là ? Je ne cherche pas à faire de la répartition de charge, mais juste de la redondance. Et pareil dans le sens inverse, si c'est le second serveur qui était actif, et qu'il se vautre, ou qu'on perd l'accès Internet du second site, mais que le premier serveur et son accès Internet sont en état de marche.
>
> Vous l'aurez compris, je n'ai aucune expérience pratique, concrète, personnelle, en matière de clusters haute dispo sous Linux, et je ne cherche pas seulement à redonder un serveur à l'aide d'un autre physiquement situé juste à côté, dans le même datacenter, mais bien à nous prémunir aussi contre la perte d'un accès Internet (type coup de pelleteuse dans une fibre optique, au hasard...).
>
> Auriez-vous des conseils à me donner, SVP, des pistes, des retours d'expériences similaires ?
>
> Merci d'avance.
>
> --
> Marc
>



-- 
      |\      _,,,---,,_           Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
     |,4-  ) )-,_. ,\ (  `'-'
    '---''(_/--'  `-'\_)