Lazer Posté(e) le 11 janvier Signaler Posté(e) le 11 janvier LazerLab Ici on va parler de mon Homelab Je vais décrire mon projet en cours de construction. Mais d'abord, un rapide rappel de l'existant, qui tourne depuis une bonne dizaines d'années. Réseau : Un mélange de 2 switchs Cisco en cœur de réseau (un switch de 28 ports 1Gb, et 10 ports POE), ainsi que divers petits switchs UniFi répartis dans la maison, et 3 bornes d'accès UniFi d'ancienne génération (Wi-Fi 5) Avant cela, j'avais des petits switchs Netgear, mais que j'ai remplacé au fil du temps par les petits switchs Unifi. Deux raisons à cela : instabilité des switchs Netgear (parfois des plantages : port qui passait offline), une interface Web d'administration d'un autre temps et incompatible avec les navigateurs modernes, rendant complexe la configuration dès lors qu'il fallait propager des VLANs. Les switchs CISCO, eux, sont parfaitement stables, et l'interface d'administration est fonctionnelle (Web et CLI). Le contrôleur UniFi a pendant très longtemps tourné dans une VM Linux Debian, mais depuis fin 2025 j'ai remplacé mon fidèle routeur Ubiquiti Edgerouter 5 POE après plus de 10 ans de bons et loyaux services (dont j'ai eu à remplacer la clé USB interne 1 fois, ce qui me rappelle la box Fibaro HC2) par un routeur UniFi Cloud Gateway Fiber, en même temps que le passage à un abonnement Bouygues B&You Pure Fibre à 8 Gbit/s. J'ai demandé la fourniture d'un ONT Nokia, ce qui me permet de me passer totalement de la BBox. Donc le contrôleur UniFi tourne maintenant dans la Cloud Gateway Fiber pour plus de simplicité. La gestion des mises à jour est également considérablement simplifié, 1 clic sur un bouton et 5 minutes après c'est terminé. Tandis qu'avec le contrôleur en VM, j'avais parfois eu des complications n"cessitant de bidouiller un peu (base MongoDB notamment), et de mémoire j"ai eu 2 fois besoin de restaurer la VM tellement ça c'était mal passé. L'objectif des évolutions à venir sera de basculer le réseau intégralement en UniFi, car l'administration centralisée depuis le contrôleur est vraiment simplifiée, ergonomique, et très complet (monitoring, etc) Remarque sur le routeur : j'ai attendu très longtemps avant de remplacer mon EdgeRouter par un UniFi Cloud Gateway, car d'une part, avant le UCG Fiber, je ne trouvais aucun modèle dont les caractéristiques matérielles me convenait (prêt à faire du 10 Gb, donc durable pendant quelques années), et d'autre part l'absence de Zone Based Firewall était un point bloquant, bien que ça existait déjà 10 ans avant sur la gamme EdgeRouter. Maintenant que la gamme UniFi évolue dans le bon sens, tant matériellement que logiciellement, j'estime que c'est le bon moment pour s'y investir à fond. Age des équipements : Cisco SG300-28 : 10 ans Cisco SG350-10MP : 8 ans UniFi AP 1st gen : 11 ans UniFi UAP-AC-PRO : 9 ans UniFi UAP-nanoHD : 7 ans Informatique : Deux micro-serveurs HP, un premier Gen7 N54L qui me sert de sauvegarde, et un second Gen8 avec un processeur Intel Xeon E3-1265L v2 qui me sert de serveur principal. Les 2 serveurs tournent sous ESXi 5.5, une ancienne version qui était 100% supportée (drivers, etc) avec ces générations de serveurs. Chaque serveur dispose de 16 Go de RAM, ce qui me limite actuellement pour de nouveaux besoins. Le processeur commence également à être limite lors de certaines tâches intensives. En terme de stockage, dans le G8, qui utilise une carte RAID Smart Array P222 j'ai actuellement 4 disques durs : 12 To, 20 To, 20 To, et 24 To. Soit un total de 76 To décimaux, ce que j'appelle des To "commerciaux". Lorsque j'achète un nouveau disque, après un test de surface pendant plusieurs jours, il remplace un disque existant qui va dans le serveur secondaire pour les sauvegarde. Je n'ai aucune grappe RAID, ce ne sont que des disques indépendant (JBOD, même s'ils sont techniquement configurés en RAID-1 de 1 seul disque à cause du principe de fonctionnement de la carte contrôleur RAID), c'est la sauvegarde sur le 2nd serveur qui apporte la sécurité des données. Mais outre la limitation en performance, je suis limité par le nombre de slots disques disponibles, raison pour laquelle je suis toujours obligé d'acheter la plus grosse taille de disque disponible, ce qui coute relativement cher. De plus, le matériel est vieillissant, j'ai eu un crash d'un vieux SSD Samsung qui contenait le datastore, et l'ILO commence à donner des signes de faiblesse (l'Intelligent provisioning et le Smart Array Manager ne sont accessibles au boot, je suis donc obligé de faire la configuration RAID en ligne de commande sous ESXi) Il est donc temps de faire évoluer ce serveur principal, vers une infrastructure plus performante, plus résiliente, et plus durable. Age des équipements : HP G7 N54L : 12 ans HP G8 : 11 ans A noter, le serveur principal est dans la maison, et le serveur de secours est dans le garage, physiquement séparé de la maison, ce qui apporte une bonne protection des données contre la majorité des désastres (vol, incendie, etc) 1
Lazer Posté(e) le 11 janvier Auteur Signaler Posté(e) le 11 janvier Réseau local Voici le schéma de l'infrastructure réseau que je vise à court terme (année 2026) : J'ai récemment reçu les switchs USW-Aggregation et USW-Prod-HD-24-PoE. Il me manque encore le USW-Pro-Max-24-PoE (dès que je trouve un prix correct), et le modem 5G de secours U5G-Max (quand il sera de retour en stock) Jusqu'à présent, le cœur de réseau, composé des 2 switchs Cisco et du routeur UCG-Fiber, se trouvaient dans mon coffret réseau fait maison dont j'avais partagé les photos sur mon topic de bricolage : Avec mes nouveaux besoins, notamment autour des serveurs dont on parlera plus tard, le cœur de réseau sera dorénavant éclaté en 2 endroits : toujours le coffret réseau et également un nouveau rack dédié situé à la cave. Raison pour laquelle on voit 2 gros switchs de 24 ports. L'objectif de tout ça est d'avoir un cœur de réseau en 10 GbIt/s (et même 20 G si on compte l'agrégation des liens, non représentée sur le schéma), et de pouvoir distribuer du 10 G entre Internet et les serveurs, et éventuellement vers les switchs dans les pièces de la maison, puisque tout le réseau est câblé en Grade 3s). Ou bien des vitesses intermédiaires de 2.5 Gb, largement suffisant pour des postes de travails. Important, on conserve la rétrocompatibilité 100 Mbps pour les périphériques légers (box domotique, caméras IP, etc) Et tous les ports des nouveaux switchs de coeur de réseau proposent du POE. Il y a quelques années je trouvais cela superflu, mais je me rend compte que mes besoins évoluent et que de plus en plus d'appareils sont maintenant nativement alimentés en POE (y compris les petits switchs de table), c'est tellement plus simple en terme de câblage électrique, et en plus on bénéficie de la redondance d'alimentation amené par l'onduleur (on y reviendra sur ce sujet tant il est important dans ma future infra serveur) Dores et déjà, j'utilise tous les ports POE de mon switch Cisco, donc j'ai besoin d'évoluer. C'est moins urgent, mais ultérieurement j'ajouterai des bornes Wi-Fi 7, mais ce n'est pas très urgent, je me satisfait des débits du Wi-Fi 5, car l'essentiel de mon réseau est construit autour du câblage, donc les PC et équipements critiques sont tous câblés. Le Wi-Fi sert pour les appareils mobiles (téléphone, tablette, console, etc), pour lesquels la stabilité est plus utile que le débit. Dans mon bureau, d'où je tape ces lignes sur mon PC, je manque de ports sur le petit switch US-8, il est probable que dans l'année je le remplace par un modèle plus conséquent, me permettant par la même occasion de passer en 2.5 ou 10 G. Parlons du 10 Gbit/s justement. On le voit sur le schéma, l'interconnexion entre les switchs se fait avec des câbles DAC (Direct Attach Copper), qui sont des câbles Twinax en cuivre avec un SFP soudé à chaque extrémité, et directement inséré dans un slot SFP+ disponible sur chaque switch. Avantage des câbles DAC : faible cout, faible consommation électrique (de l'ordre de 0.5W par connexion), faible latence Inconvénient : limité en distance : généralement maximum 3 mètres avec un câble DAC passif, au delà il faut un câble actif. De plus, leur forme avec SFP soudé rend le passage en gaine compliqué voire impossible. Raison pour laquelle, sur de la distance intermédiaire, on passe en câble cuivre à 4 paires torsadées (avec le fameux connecteur RJ45), ou bien en fibre optique (avec connecteurs LC venant se brancher sur un SFP+) qui peut potentiellement aller à des distances très importantes. Entre le coffret réseau situé dans l'entrée et ma cave située juste en dessous, j'ai moins de 3m de distance, donc pas de souci. En outre, j'avais anticipé il y a 1 an quand j'avais percé pour passer les câbles électrique de très grosse section pour l'installation onduleur + batterie solaire, en prévoyant large avec des gaines à grosse section en réserve. Mais le problème du RJ45 en 10G, c'est que ça consomme énormément, ça chauffe. J'ai personnellement mesuré 2 Watts par port avec un SFP+ RJ45 10G de chez Ubiquiti, mais sur les forums j'ai vu des gens qui rapportaient des consommation encore supérieure dans certains cas, notamment sur les anciennes cartes réseaux dans les serveurs. On y reviendra justement sur les serveurs, car justement le 10G sera connecté en câbles DAC pour une meilleure efficacité énergétique, une meilleure latence, et un cout financier plus faible. Je n'ai à ce stade pas l'intention de mettre de fibre optique chez moi. 1
Lazer Posté(e) le 11 janvier Auteur Signaler Posté(e) le 11 janvier Accès Internet Fibre Comme je le disais, j'ai profité en septembre 2025 pour passer en même temps sur un routeur UniFi Cloud Gateway Fiber et un abonnement Bouygues B&You Pure Fibre à 8 Gbit/s (avec Option Debit+ éligible). J'ai demandé au chat, gratuitement, la fourniture d'un ONT Nokia XS-010X-Q, ce qui me permet de me passer totalement de la BBox, rangée dans son carton (dommage, on paye quand même l'abonnement à 3€ par mois) Ainsi, je récupère l'IP publique directement sur l'interface réseau de mon routeur UniFi, plus pratique pour les accès VPN et Reverse Proxy (pas de double NAT), mais aussi pour la mise à jour automatique du DNS Dynamique par l'UCG-Fiber car l'IP n'est pas garantie fixe chez B&You (même si elle ne change jamais en pratique) Par ailleurs, par rapport à mon ancienne Freebox en mode Bridge, ça coute moins cher en abonnement mensuel, ça simplifie le câblage, ça prend moins de place dans le coffret, ça consomme moins et ça chauffe moins. Et aucun souci avec le réseau Bouygues, je n'ai eu aucune coupure, aucune baisse de débit constaté depuis 4 mois. C'est bien simple, c'est plus stable que chez Free (j'avais mis la Freebox V6 Revolution sur un Wall Plug pour forcer le reboot à cause d'un bug connu mais jamais résolu chez Free...) Que du positif Sur l'UCG Fiber, j'ai activé les protections de sécurité : Détection d'intrusion (IDS) et Prévention d'intrusion (IPS), en pratique j'ai autour de 5 Gbit/s réels lors des speedtests, même si je ne suis pas encore en mesure d'en profiter car mon réseau interne est toujours en Gigabit lorsque j'écris ces lignes. Pour encore plus de simplicité de câblage, et de réduction de la consommation électrique (l'ONT Nokia consomme et chauffe beaucoup, mesuré à 9 Watts à lui tout seul, à cause du port RJ45 à 10 Gbps, c'est pas pour rien que j'en ai parlé précédemment), j'hésite à le remplacer complètement par un SFP+ à insérer directement dans le routeur UniFi. Avantage, la fibre de l'opérateur rentre directement dans le routeur, sans aucun équipement intermédiaire. La procédure existe et est documentée, mais pas évidente, de plus il faut acheter le SFP+ qui n'est pas donné. Je donne quelques informations ici pour le référencement, peut être que j’approfondirai ce sujet ultérieurement. Il faut utiliser l'un de ces modules SFP+ XGS-PON : WAS-110 X-ONU-SFPP Quelques liens utiles : Masquerade as the Bouygues S.A Bbox with the WAS-110 or X-ONU-SFPP¶ [Forum lafibre.info] Remplacer sa Bbox Fibre par un équipement personnel Accès Internet 5G de secours Comme je l'ai mentionné précédemment, je souhaite ajouter un accès 5G de secours. C'est quelque chose que j'avais déjà eu par le passé, lorsque j'avais la fibre Orange avec une SIM 4G prêtée. J'avais alors acheté un routeur Huawei et c'est mon ancien routeur Ubiquiti EdgeRouter qui gérait le failover. J'avais arrêté lors du passage chez Free car ils ne proposent pas de SIM gratuitement. Maintenant UniFi propose une solution tout intégrée avec le modem UniFi 5G Max qui a en plus le bon goût d'être dual SIM si jamais on veut ceinture bretelle et parachute. Il est alimenté en POE, et peut donc être connecté directement sur l'un des ports 2.5G POE de l'UCG-Fiber, on peut difficilement faire plus simple ! J'attends qu'il soit de retour en stock pour m'en prendre un. Mais, le problème avec les accès 5G grand public, c'est que l'adresse IP n'est pas publique, rendant l'accès aux services hébergés à la maison inaccessibles depuis Internet lorsque la connexion bascule sur la 5G. Les opérateurs pratiquent le Carrier-grade NAT. La solution aujourd'hui est de se tourner vers des services comme par exemple Cloudflare. Il existe une offre gratuite pour les particuliers parfaitement adaptée à cet usage. Il y a un semble de service, mais j'y vois 2 avantages principaux qui me concernent : Rend les services hébergés à domiciles accessibles quelque soit l'adresse IP publique, en cas de changement d'adresse IP publique liés à l'opérateur Fibre, ou bien bascule sur la 5G en IP privée Apporte de la sécurité : filtrage des requêtes effectué par Cloudflare contre les attaques connues protège contre les attaques par déni de service (DDoS) masque notre adresse IP publique qui devient inaccessible par scan, sans connaitre le nom de domaine idéalement on peut carrément fermer tous les ports de notre routeur et devenir totalement invisible à tout scan. Inconvénient toutefois, on dépend d'un tiers, dont il faut avoir confiance tant pour la disponibilité (les pannes en 2025 ont fait pas mal de bruit), que pour la sécurité. En effet, pour que l'accès devienne possible depuis l'extérieur sans devoir ouvrir de port, il faut installer un service en local, dans un container, qui initie un tunnel chiffré sortant depuis notre réseau vers le réseau de Cloudflare. Ce tunnel devient alors la seule porte d'entrée vers notre réseau interne. Pour conserver un bon niveau de sécurité, au moins équivalent à mon niveau actuel, voire meilleur, je vais conserver ma DMZ (VLAN isolé), et je mettrait le point d'entrée du tunnel dans cette DMZ. Ainsi, toute connexion arrivant par le tunnel Cloudflare, continuera de passer par les firewalls (celui du routeur, et celui présent que chaque VM de la DMZ), et les 2 reverse proxy (un normal, et un avec filtrage applicatif WAF) A ce sujet, voici un schéma d’architecture, un peu ancien, de mon infra réseau, mais dans les grandes lignes ça n'a pas trop changé : On voit les flux https et OpenVPN qui rentrent dans la DMZ sur les Reverse Proxy, y sont filtrés, et si autorisés, peuvent aller vers les serveurs Web eux-mêmes également en DMZ, ou bien rentrer dans le LAN pour les services perso internes (box domotique, etc). Actuellement la redondance est assurée par une adresse IP virtuelle (protocole VRRP) entre les VM identiques qui tournent sur chaque serveur HP G7 et G8, mais ma nouvelle infrastructure serveur en haute-disponibilité sera l'occasion de faire évoluer cela. On y reviendra. Au final, j'estime qu'entre la connexion Fibre et la connexion 5G de secours, le passage par les services de Cloudflare, et la fermeture des ports sur mon routeur, j'obtiendrai une infrastructure qui sera à la fois plus résiliente, mais aussi plus sécurisée. Accès VPN à domicile J'utilise principalement OpenVPN, bien que ça ne soit pas la solution la plus performante du moment (c'est WireGuard qui est à la mode), elle présente l'immense avantage de pouvoir fonctionner sur le port 443, le même que les serveurs Web HTTPS. Sur mon serveur, j'ai un démon SSLH qui écoute sur ce port 443, et selon s'il détecte une connexion OpenVPN ou bien HTTPS, il redirige les paquets vers les démons OpenVPN ou HAProxy qui écoutent en local sur leurs ports respectifs. La finalité d'utiliser le port 443, c'est de pouvoir passer au travers la majorité des proxy filtrants en entreprise. En effet, certaines entreprises bloquent les ports autres que 443, ce qui empêche toute connexion VPN. Étant mobile dans le cadre de mes activités professionnelles, c'était un problème important pour moi. Passerelle SMS Cette passerelle SMS est utilisée par la domotique pour les notifications critiques. Cela fonctionne toujours avec un vieux smartphone Android, l'application JPI, et un abonnement Free Mobile à 0/2€ par mois. Je ferai des tests quand j'aurai le modem UniFi 5G, mais si je peux envoyer des SMS avec celui-ci, alors je pourrai arrêter la passerelle SMS actuelle. 1
jojo Posté(e) le 12 janvier Signaler Posté(e) le 12 janvier très instructif tout ça ... perso je suis FAN du PoE+ : mes AP, cameras, Doorbird. Maintenant je commence à utiliser les ports PoE++ : J'ai 2 mini switch unifi qui sont alimentés en PoE++ et peuvent du coup à leur tout alimenter des appareils en PoE+.
henri-allauch Posté(e) le 12 janvier Signaler Posté(e) le 12 janvier (modifié) Je lis, je trouve cette présentation très instructive, mais je suis un peu largué ... on est très loin des installations des années 2000 sans parler des réseaux que nous installions et maintenons en 1970 avec les protocoles des communications de l'époque Merci de partager cette présentation de ton LazerLab Modifié le 12 janvier par henri-allauch
Lazer Posté(e) le 12 janvier Auteur Signaler Posté(e) le 12 janvier @jojo J'ai pas précisé, mais les 2 switchs de 24 ports que j'ai sélectionné sont compatibles POE++. Je n'en ai pas l'utilité pour l'instant, mais ça sera surement utile plus tard. Après, j'ai vu qu'il commençait même à exister du POE+++. C'est sans fin, comme l'USB-C, toujours des puissances plus importantes @henri-allauch Oui c'est sûr on n'est pas du réseau classique chez un particulier là J'aime bien l'idée du nom pour le LazerLab
fredokl Posté(e) le 12 janvier Signaler Posté(e) le 12 janvier Wow! C'est du costaud tout ça! Vu le budget que ça doit représenter, c'est sur que ça nous vends du rêve.
jojo Posté(e) le 12 janvier Signaler Posté(e) le 12 janvier il y a 43 minutes, Lazer a dit : qu'il commençait même à exister du POE+++ et c'est quoi le POE+++ ?
jojo Posté(e) le 12 janvier Signaler Posté(e) le 12 janvier il y a 58 minutes, Lazer a dit : J'aime bien l'idée du nom pour le LazerLab donc tu changes le nom du sujet du topic ?
Lazer Posté(e) le 12 janvier Auteur Signaler Posté(e) le 12 janvier Apparemment ce serait un truc propre à Ubiquiti qui n'est pas (encore ?) normalisé : PoE+++ = 802.3bt Type 4 (90 watts max)
jojo Posté(e) le 12 janvier Signaler Posté(e) le 12 janvier on va teindre les limites des section des câbles réseaux ...
Lazer Posté(e) le 12 janvier Auteur Signaler Posté(e) le 12 janvier Oui effectivement c'est un problème, c'est pour ça qu'à partir du POE++ (norme 802.3bt), le courant circule sur les 4 paires au lieu de seulement 2 pour les POE et POE+. La page Wikipedia en parle : Citation Le standard IEEE P802.3bt, également dénommé 4PPoE (4-Pair Power over Ethernet), ou encore PoE++ par extension de appellation PoE+ du standard IEEE 802.3at, introduit deux niveaux supplémentaires de puissance maximale fournie par le switch, type 3 avec 55 W (avec une intensité maximale par paire de 600 mA) et type 4 avec 90 ou 100 W (avec une intensité maximale par paire de 960 mA) répartie sur les quatre paires du câble Ethernet. Compte-tenu des pertes dans le câble par effet Joule, la puissance réellement disponible sur l'équipement alimenté est de 71,3 W en type 4 pour une puissance fournie en amont du câble de 100 W[6]. Soit des pertes dans le câble de 28,7 W, soit un rendement de 71,3 % dans ces conditions.
Lazer Posté(e) le 12 janvier Auteur Signaler Posté(e) le 12 janvier il y a 23 minutes, jojo a dit : donc tu changes le nom du sujet du topic ? Je ne renomme pas le topic pour l'instant, mais @henri-allauch je te pique l'idée, je l'ai mis en titre Sinon, juste comme ça, si vous n'aviez jamais remarqué, prenez l'anacyclique de mon pseudo, et vous verrez que c'est le singulier du sujet dont il est question sur le topic (indice : un chacal, des chacaux... ah non.... bon enfin vous avez l'idée). Par ailleurs, le laser (avec un s) permet d'éclairer les fibres optiques, colonne vertébrale indispensable des réseaux mondiaux. Et là, vous devriez comprendre mon avatar, même s'il est un peu désuet car dessiné il y a bien longtemps. 2
mprinfo Posté(e) le 12 janvier Signaler Posté(e) le 12 janvier Pas mal comme lazerlab comme toi j'etais partie sur du cisco SG-350 au début puis je suis passé sur du UNIFI car plus simple a utilisé pour quelqu'un qui ne connais pas grand chose en réseau A l'époque l'USG-Fiber n'existait pas j'ai donc choisi un UDM Pro SE Comme toi je voulais absolument me passer d'un box internet j'ai donc opté pour un SFP Modifier je suis en 1g dans les 2 sens. Impossible d'avoir plus car le port SFP de l'udm ne supporte que le 1G ou 10G on voit bien le cable blanc avec la prise bleu qui part du PTO vers mon UDM j'ai récupéré le port WAN RJ45 qui est en 2.5g pour connecter mon pc dessus seul device supportant le 2.5g chez moi Voila ce que cela donne sur mon udm Aprés je ne vois pas trop l'interet du 10G chez un particulier a part relier les switchs entre eux le 1g et pour moi je pense largement suffisant voir le 2.5go suffit largement et je pense que dans 10ans cela sera encore valable plus on prend des switchs puissant plus la consommation explose et c'est du h24 et 7/7
Lazer Posté(e) le 12 janvier Auteur Signaler Posté(e) le 12 janvier Clairement le 1G est déjà plus que largement suffisant pour 99,999% des usages particuliers. Déjà quand tu vois le nombre de gens qui ont des abonnements fibre à 1G (voire 8G) et qui n'ont pas un seul équipement branché en Ethernet, tout en Wi-Fi donc débit complètement bridé.... et ça suffit largement. Pour rappel, le débit de certains Blu-rays 4K peut monter au max à 100 Mbit/s, tandis que du streaming en 4K sur Netflix on est plutôt autour des 15 Mbit/s. Idem sur les autres plateformes. Alors avoir une connexion fibre à 1000 Mbit/s ou 8000 Mbit/s, c'est clair que c'est totalement surdimensionné, avec comme tu dis une consommation électrique en hausse. 8000 / 15 = les gens ont un accès 500 fois trop rapide pour leurs besoins
Lazer Posté(e) il y a 10 heures Auteur Signaler Posté(e) il y a 10 heures Choix de l'architecture Serveur / NAS Le réseau, c'était facile et vite vu On attaque maintenant la partie la plus complexe, et passionnante, de l'évolution de mon infrastructure @home, à savoir l'infrastructure Serveur / NAS. Cela fait des années que je pense à remplacer mes 2 micro-serveurs Gen7 et Gen8, et dès début 2025 je me suis fixé comme objectif de mener ce projet à bien avant la fin d'année (raté, on est début 2026 et c'est pas fini, même si bien entamé ) Il n'empêche, je trouve cette aventure passionnante, j'y ai passé un nombre incalculable d'heures en recherches, lectures de documentations, blogs, forum, visionnages de vidéos, et même d'utilisation d'IA générative (j'en parlerai, parce que .... ouh là là... y a le pire comme le meilleur). Plusieurs fois, j'ai remis en cause des choix que j'avais fait et pensais définitivement actés, et si je n'en parle que maintenant, c'est parce que d'une part il me faut du temps pour synthétiser et coucher par écrit toutes les réflexions, et d'autre part je commence enfin à converger vers la solution finale, il ne me manque plus que quelques détails anecdotiques. Existant On l'a vu lors de la présentation initiale de l'existant, je n'ai jamais eu de NAS clé en main type Synology, mais des serveurs génériques, sur lesquels j'ai un hyperviseur (VMWare ESXi) et diverses VM (Linux), dont la VM la plus importante qui joue le rôle de NAS. C'est celle qui utilise les disques durs installés dans le serveur, afin de proposer le partage de fichiers et divers services sur le réseau. Depuis environ 10 ans, je fonctionne avec Xpenology, la version hackée du DSM officiel de chez Syno. Si la solution était séduisante, avec le recul ce n'est pas idéal... car le suivi des mises à jour est un peu aléatoire et dépendant de la communauté, et l'application des mises à jour fait toujours un peu "transpirer". Un NAS ? S'est alors posée la question de l'achat d'un vrai NAS. clé en main, tout intégré. Le premier choix est Synology, le leader du marché. Mais je me suis vite rendu compte que cette solution n'est pas pour moi. Quelques inconvénients que j'ai noté, pas forcément par ordre d'importance, dans le désordre : Prix du matériel extrêmement cher pour ce que c'est, comparé à la concurrence. En fait, Syno fait payer le prix des développements logiciels dans le prix du matériel. L'environnement tout intégré et customisé par Syno, tout gérable par interface Web. Si c'est facile de prise en main, cela monte rapidement ses limitations. Dès qu'on veut pousser un peu ses usages, on se retrouve vite avec des limitations imposées par l'intégration réalisée par Syno, qui ne laisse pas toujours l'utilisateur en faire ce qu'il en veut. Exemple, sans entrer dans les détails : la base de données SQL avec MariaDB. Hors ce service est absolument fondamental dans mon homelab, en dehors des fichiers hébergés sur les filesystems du NAS, c'est là que sont centralisées toutes les données (domotique, serveurs Web, Kodi, etc). On y reviendra plus bas, mais rien que la base SQL est à l'origine de mes réflexions sur ma nouvelle infra, et de manière plus générale le besoin de maitriser tous les éléments de la chaine, quite à y passer plus de temps. Mais c'est aussi formateur, donc ce n'est jamais du temps perdu. Malgré les promesses marketing de Syno sur leur site Web, leur système de RAID logiciel est loin d'être fiable ! J'ai eu quelques crash de mon serveur HP durant les premières années (résolu depuis), qui ont corrompu les filesystems. Pour le coup, j'étais bien content de ne pas avoir fait de grappe RAID, mais uniquement des disques indépendants, car le crash ne m'a pas fait perdre toute les données. Par 3 fois, j'ai réussi à reconstruire (à la main, en montant les disques sur une VM Linux à coté) les filesystems. Mais une fois, je n'ai rien pu faire, ça s'est soldé par une réinstallation complète de DSM, puis restauration de la configuration, et enfin restauration des données depuis la sauvegarde. Bien pénible, d'autant plus que j'étais à distance, j'ai dû tout faire depuis l'hôtel au lieu de profiter de ma soirée... (enfin... ma nuit devrais-je même dire). Pour le coup, on remercie les technologies VPN, ILO, Console VMware, etc pour tout piloter à distance, c'est là qu'on voit l'intérêt d'utiliser du matos et logiciels pro. Je précise que ce n'est pas tant la gestion du RAID avec Syno qui est problématique (basé sur une combinaison astucieuse de mdadm et lvm, des technologies Linux standard), mais le choix du filesystem ext4, qui est vieux et a fait son temps. Avec brtfs c'est un peux mieux, mais pas idéal non plus. On le verra plus loin, mais le choix du filesystem est un autre élément fondamental dans le choix de ma nouvelle infra. Politique commerciale de Synology. L'annonce en avril de l'arrêt du support des disques durs tiers (marque autre que Synology, alors que Syno eux-mêmes ne fabriquent aucun disque et se contentent de coller leur étiquette dessus.... ou comment prendre ses clients pour des pigeons). Alors certes ils sont revenus sur cette décision en fin d'année 2025, mais le mal est fait. En outre, ils ont aussi bloqué le transcodage vidéo. Quelle sera la prochaine étape ? Sur le long terme, on constate clairement que Synology profite de sa position dominante sur le marché pour refermer son écosystème, rendre les clients captifs, personnellement je n'aime pas ça. Un NAS, ça reçoit souvent des mises à jour de l'OS. Or j'ai aussi besoin de faire tourner des VM. Si je dois rebooter les VM tous les 15 jours à cause d'une mise à jour de l'OS, ce n'est pas acceptable. En ce qui concerne les autres marques de NAS du marché (QNAP, Asustor, etc), c'est grosso modo pareil, avec un logiciel moins bien fini en prime, mais sans la politique commerciale de Syno, et des tarifs toutefois inférieurs. Reste une fonctionnalité unique et avancée de Synology, c'est Surveillance Station pour la gestion de l'enregistrement des caméras. J'en parlerai plus tard, je le met de coté pour l'instant. Il y a une marque qui monte très fort et très vite, c'est Ugreen, déjà réputé pour ses câbles USB, chargeurs, etc. La gamme de matériel est vraiment sympa, du petit NAS léger au gros NAS puissance avec pas mal de slots disques. Leur logiciel est encore jeune, mais Ugreen est complètement ouvert à l'installation d'un OS tiers sur le matériel, et là, ça change tout par rapport aux constructeurs de NAS traditionnels et fermés (Syno, QNAP, etc). On peut alors installer des OS dédiés NAS populaires, tels que TrueNAS, Unraid, HexOS, etc... C'est une solution qui m'a tenté, mais en début 2025 quand j'ai commencé à lancer mon projet de futur serveur, la gamme de NAS chez Ugreen était encore trop limitée pour répondre à mes besoins d'évolution matérielle (puissance, nombre de disque, etc). Et quand bien même, on retrouve avec un NAS la limitation des mises à jour de l'OS et la dépendance des VM qui tournent dessus que j'ai évoqué précédemment. Entre temps, je suis parti sur d'autres solutions..... plus professionnelles on va dire ! Expression des nouveaux besoins Voici les besoins que je me suis fixé pour ma future infrastructure serveur, par ordre de priorité : Sécurité absolue des données : zéro perte de données Haute disponibilité des données : tolérance aux pannes, 100% de disponibilité des données si un des composants (logiciel comme matériel) lâche Performance : je suis actuellement limité par le CPU, la RAM, et la capacité disque, il me faut largement plus, surtout que j'estime la durée de vie de ce nouveau système à 10 ans minimum, idéalement 15 ans (voire plus ?), ce qui est une durée incroyablement longue en informatique Solution ouverte et évolutive : Open Source ou non ce n'est pas un choix philosophique, même s'il faut reconnaitre que l'Open Source est souvent plus évolutif, et surtout n'enferme pas le client après un changement de politique commerciale (on a parlé de Syno, mais c'est presque anecdotique, car le pire, et de loin, c'est VMware, depuis le rachat par Broadcom) Technologies standards du marché : elles doivent me permettent d'appliquer et de faire évoluer ma configuration comme je le souhaite, sans les limitations inhérentes aux NAS que j'ai évoquées précédemment (OS tout intégré et donc limité) Consommation électrique réduite : optimisations en tout genre, tant matérielles que logicielles sur la nouvelle infra, même si, on le verra dans le choix du matériel, elle sera forcément en hausse par rapport à l'existant, donc autant limiter autant que faire ce peut le cout d’exploitation.... même si le cout de l'électricité n'est plus un gros problème pour moi. En effet, environ 6 mois dans l'année, la consommation électrique se transforme en chauffage pour la maison, et les autres 6 mois, je suis couvert par les panneaux solaires et la batterie, donc en première approximation, le cout de fonctionnement électrique de mon informatique est proche de 0. Bruit modéré : on le verra, la partie du matos bruyante sera déplacée à la cave, et le matos qui reste dans la maison sera ultra silencieux, plus que mon HP Gen8 existant. Prix : en dernier, car le coût sera forcément stratosphérique et hors norme par rapport aux micro-serveurs HP d'où je viens. L'idée sera juste de chercher le meilleur prix sur les boutiques disponibles (France, Allemagne,.... Chine) pour chaque composant, une fois ceux-ci sélectionnés selon leurs caractéristiques. Bref, une architecture sans compromis. Certes totalement surdimensionnée pour des besoins de particulier à la maison, mais c'est avant tout un loisir, une passion, un rêve de gamin que je réalise, et j'y vois aussi un coté formateur, qui me sera certainement utile professionnellement. A cause des 2 premiers points (sécurité et disponibilité), mon architecture actuelle à 2 serveurs (production + sauvegarde) n'est plus adaptée. Un Cluster à plusieurs nœuds A l'origine, je pensais monter un cluster à 2 nœuds qui se répliquent, mais par principe de fonctionnement, un cluster à 2 nœuds ne peut pas être fiable. En effet, en cas de panne d'un serveur, comment l'autre serveur sait qu'il est le seul survivant, pour prendre le contrôle des données ? Et si le serveur mort est en fait toujours fonctionnel (mais juste déconnecté du réseau) et continue de travailler, on se retrouver alors avec 2 copies différentes des données qui ont évoluées chacune de leur coté, résultant irrémédiablement en une corruption généralisée des données au retour nominal du service. C'est un phénomène appelé "split-brain". On peut certes corriger ce problème, avec un témoin (witness, quorum) qui fait le job de déterminer quel serveur reste survivant, pour que l'autre s'arrête totalement. Cela peut se faire pour pas cher avec un Raspberry PI, mais bon... un cluster haute-dispo qui dépend d'une machine elle-même pas stable (le RPI et ses cartes SD...), c'est pas franchement top. Et de toute façon, dans cette architecture à 2 nœuds, c'est de l'actif/passif, donc on se retrouve à payer 2 fois le matériel, même à être limité par les performances d'une seul machine. Un peu dommage. Donc autant pousser le raisonnement jusqu'au bout de de la logique, et alors.... On arrive à la solution du cluster à 3 nœuds Dit autrement, 3 serveurs, indépendants mais qui travaillent de concert, en actif/actif/actif, se répliquant mutuellement les données, et sont prêts à prendre le relai l'un de l'autre en cas de crash de l'un d'entre eux. Pour rappel, mon garage est physiquement séparé de ma maison, ce qui est parfait pour faire de la sauvegarde hors-site permettant de survivre à la grande majorité des désastres pouvant survenir. Pour des raisons techniques (réseau) qu'on étudiera ultérieurement, les 3 serveurs en cluster seront installés dans la maison, non loin les uns des autres, tandis que le HP Gen8 actuel deviendra le serveur de sauvegarde au garage. Le Gen7 prendra surement sa retraite bien méritée... sauf si je lui trouve un 3ème site distinct !
Lazer Posté(e) il y a 10 heures Auteur Signaler Posté(e) il y a 10 heures Environnement logiciel Je l'ai évoqué précédemment, il me faut un hyperviseur installé directement sur chaque serveur pour faire fonctionner des VM de tous types. Et l'une des VM sera dédié à la fonctionnalité NAS (partage de fichiers), avec les disques durs capacitifs. Hyperviseur J'ai retenu Proxmox Virtual Environnement. Cela fait longtemps que je surveille cette solution, il y a quelques années je ne la trouvais pas assez aboutie pour une mise en production, surtout venant d'une solution éprouvée comme VMware, mais je trouve maintenant que ça évolue dans le bon sens. Les fonctionnalités sont là (snaphots, réplication, clustering, etc), les outils pour le management et la supervision se sont industrialisés. En outre, c'est basé sur une distribution Linux Debian, OS sur lequel je suis à l'aise depuis de très nombreuses années puisque c'est ce que j'utilise dans presque toutes mes VM. Pour les sauvegardes, ils proposent Proxmox Backup Server J'installerai PBS sur mon Gen8 au garage (dans une VM en fait, puisqu'il y aura aussi PVE installé nativement dessus pour gérer plusieurs VM), et il permettra d'accueillir les sauvegardes des VM provenant du cluster de la maison. Pour le stockage des VM, le datastore par défaut repose sur un filesystem ZFS, qui est certainement le filesystem le plus robuste disponible actuellement sur le marché. Plus précisément, il s'agit de la version open source OpenZFS qui est un dérivé libre du filesystem ZFS initialement développé par la société Sun Microsystems pour son OS UNIX Solaris, célèbre dans les années 2000, puis rachetée (et tuée) par le grand méchant Oracle. ZFS propose nativement des mécanismes de snapshots et réplication entre plusieurs nœuds d'un cluster, mais c'est de la réplication asynchrone, c'est à dire que les écritures de données sont répliquées avec un certain délai (généralement quelques secondes). Malheureusement, cela ne convient pas à mes 2 besoins prioritaires de sécurité des données et haute disponibilité des données. En effet, en cas de plantage pendant une écriture, celle-ci n'aura pas eu le temps d'être répliquée vers les autres nœuds, et les données sont alors irrémédiablement perdues. En outre, le retard de réplication empêche la haute-disponibilité dans le cluster, c'est à dire la possibilité pour une VM de redémarrer immédiatement et automatiquement sur un autre nœud en cas de crash du premier. Il faut alors se tourner vers une solution permettant la réplication synchrone des données entre les nœuds du cluster, et cela est possible car Proxmox supporte nativement CEPH. On parle alors de solution hyperconvergée (HCI), digne de ce que peuvent proposer des solutions professionnelles et ultra couteuses comme VMware vSAN, ou Nutanix par exemple. Je reviendrai ultérieurement sur les implications matérielles du choix de CEPH, car elles sont nombreuses... et couteuses ! NAS J'ai retenu TrueNAS, et plus particulièrement la partie logiciel libre TrueNAS Scale (également appelé TrueNAS Community Edition, son ancien nom). Les gros avantages de TrueNAS Scale sont à mes yeux : Gratuit Un développement et une communauté active Basé sur la distribution Linux Debian, que encore une fois je maitrise bien Utilise le filesystem robuste OpenZFS (voir les avantages que j'ai décrit un peu plus haut) Contrairement à Synology SHR (RAID maison avec ext4/brtfs), j'ai suffisamment confiance dans ZFS pour monter une grosse grappe RAID avec l'ensemble de mes disques. Par rapport à mon existant (plusieurs disques indépendants), cela m'apportera une plus grande simplicité de gestion (un Pool unique pour l'ensemble des données). Ensuite, ce sont les datasets qui me permettront d'organiser mes données et les différents partages réseaux. En revanche, étant donnée la taille des disques que je prévois d'utiliser (24 To), et le risque significatif de panne d'un second disque pendant la reconstruction (et donc la perte de l'intégralité des données), hors de question d'utiliser un seul disque de parité (de toute façon plus personne de censé ne fait ça depuis longtemps, cf le vieil article "Why RAID 5 stops working in 2009" qui a malheureusement disparu d'Internet. Donc je mettrai 2 disques de parité, on parle alors de RAIDZ2, équivalent au RAID-6 bien connu. Cela aura bien évidemment un cout, égal à 2 disques "inutilisés" d'un point de vue capacité utile, mais c'est le prix à payer pour la sécurité des données. Comme pour la sauvegarde des VM évoqué précédemment, j'installerai également une seconde instance de TrueNAS dans une VM sur mon serveur de secours au garage pour accueillir les sauvegardes des données. ZFS permet de réaliser des snapshots en local, puis de répliquer les sauvegardes sur l'autre TrueNAS, tout cela de façon très performante, ce qui sera une solution nativement intégrée pour la sauvegarde, sans dépendre de logiciel autre. Le découpage du pool ZFS en datasets permettra de sélectionner quelles données seront sauvegardées, et avec quelle politique plus ou moins sécurisée (rétention de N versions, durée, etc)
Messages recommandés