Re: Cluster de serveurs Wireguard

Top Page

Reply to this message
Author: Mathieu Lonjaret
Date:  
To: Marc TERRIER
CC: Patrice Karatchentzeff, guilde
Subject: Re: Cluster de serveurs Wireguard
Bonjour,

Ou sinon tu peux déléguer à Tailscale ;)
Ça n'est pas entièrement open-source, mais c'est très plébiscité en ce
moment (à juste titre).

Mathieu



On Tue, 15 Mar 2022 at 08:38, Marc TERRIER <marc.terrier@???> wrote:
>
> OK, merci Patrice, ça me paraît assez clair pour commencer.
>
> Bonne journée à tou(te)s.
>
> --
> Marc
>
> ----- Mail original -----
> De: "Patrice Karatchentzeff" <patrice.karatchentzeff@???>
> À: "Marc TERRIER" <marc.terrier@???>
> Cc: "guilde" <guilde@???>
> Envoyé: Mardi 15 Mars 2022 05:15:59
> Objet: Re: Cluster de serveurs Wireguard
>
> Salut,
>
> Je pense que tu poses mal le problème. Si tu cherches à te prémunir de
> la perte d'une connexion internet, ce n'est pas en dupliquant ton
> serveur en interne que tu vas résoudre le problème.
>
> Il te faut :
>
> - 2 connexions internet chez 2 FAI différents (2 vrais FAI)
> - une répartition de charge pour se connecter sur l'un ou l'autre (ou les deux)
>
> Éventuellement, tu peux dupliquer ton VPN pour t'affranchir du
> problème de la perte d'un serveur. Donc un second serveur avec un load
> balancer en amont que tu pourras régler comme ta connexion internet
> (tout sur le VPN actif, puis bascule sur le second si le premier ne
> répond pas).
>
> Une autre solution est d'héberger ton infra ailleurs...
>
> Ce n'est pas très compliqué, mais ça chiffre vite, car quand on
> commence à mettre le doigt dans la haute-dispo...
>
> PK
>
>
> Le lun. 14 mars 2022 à 22:52, Marc TERRIER <marc.terrier@???> a écrit :
> >
> > Bonjour,
> >
> > Au boulot, nous avons un serveur VPN, pour l'instant unique, qui exécute Wireguard sur une base de CentOS 8.
> >
> > Ce serveur, situé au siège de la boîte, est accessible depuis l'extérieur à l'adresse vpn.acme.com (nom évidemment fictif), qui renvoie en interne sur vpn01.prod.acme.com.
> >
> > J'aimerais en mettre en place un second (vpn02.prod.acme.com, par exemple), physiquement situé sur un autre site qui dispose de son propre accès Internet. Compte tenu de l'évolution récente du projet CentOS, ce nouveau serveur sera très probablement en Red Hat 8, et non en CentOS Stream.
> >
> > Ce second serveur Wireguard serait là pour reprendre la main automatiquement et quasi-instantanément en cas de défaillance du premier serveur *ou* de la liaison Internet du siège de l'entreprise (exemple vécu récemment, qui a affecté tous les télétravailleurs).
> >
> > La synchronisation des comptes utilisateurs entre les deux serveurs pourra tout à fait être effectuée manuellement, et occasionnellement, parce qu'une fois passée la phase d'adoption initiale, il y a maintenant peu de création de nouveaux comptes, et peu de modifications.
> >
> > Ma question, c'est : comment faire pour que le deuxième serveur prenne la main en cas de défaillance du premier, ou de perte de la liaison Internet du siège, et (a priori) uniquement dans ce cas-là ? Je ne cherche pas à faire de la répartition de charge, mais juste de la redondance. Et pareil dans le sens inverse, si c'est le second serveur qui était actif, et qu'il se vautre, ou qu'on perd l'accès Internet du second site, mais que le premier serveur et son accès Internet sont en état de marche.
> >
> > Vous l'aurez compris, je n'ai aucune expérience pratique, concrète, personnelle, en matière de clusters haute dispo sous Linux, et je ne cherche pas seulement à redonder un serveur à l'aide d'un autre physiquement situé juste à côté, dans le même datacenter, mais bien à nous prémunir aussi contre la perte d'un accès Internet (type coup de pelleteuse dans une fibre optique, au hasard...).
> >
> > Auriez-vous des conseils à me donner, SVP, des pistes, des retours d'expériences similaires ?
> >
> > Merci d'avance.
> >
> > --
> > Marc
> >
>
>
> --
>       |\      _,,,---,,_           Patrice KARATCHENTZEFF
> ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
>      |,4-  ) )-,_. ,\ (  `'-'
>     '---''(_/--'  `-'\_)

>
>