Labs Gouvernance Architecture Veille À propos
// Blueprints · Topologies · Décisions

Architecture IT

Chaque décision d'architecture est documentée avec son contexte, ses alternatives étudiées et ses raisons. Les blueprints sont reproductibles et exportables.

// Référence

KOMI.LAB — Architecture de référence

HomeLab conçu comme une simulation d'infrastructure d'entreprise. Cluster Proxmox 3 nœuds, stockage partagé TrueNAS SCALE, segmentation réseau multi-zones via PA-VM Firewall.

KOMI.LAB — Full Network Topology
Actif 

                    ┌──────────────────────────────────────────────┐
                    │                INTERNET / WAN                │
                    └──────────────────────┬───────────────────────┘
                                           │ PPPoE / Fibre
                    ┌──────────────────────▼───────────────────────┐
                    │           ROUTEUR EDGE (MikroTik)            │
                    │         NAT · DHCP · BGP (futur)             │
                    └──────────────────────┬───────────────────────┘
                                           │ Trunk 802.1Q
                    ┌──────────────────────▼───────────────────────┐
                    │         PA-VM FIREWALL (Palo Alto VM)        │
                    │   Zone Control · IPS/IDS · App-ID · URL-Fil  │
                    └───┬──────────┬──────────┬──────────┬─────────┘
                        │          │          │          │
              ┌─────────▼┐  ┌──────▼──┐  ┌───▼────┐  ┌─▼───────┐
              │  USERS    │  │ SERVERS │  │  SOC   │  │   DMZ   │
              │ 10.0.1/24 │  │10.0.2/24│  │10.0.3/24│  │10.0.4/24│
              │ Postes    │  │ AD,DNS  │  │ SIEM   │  │WireGuard│
              │ Imprim.   │  │ GLPI    │  │Grafana │  │Reverse P│
              └─────────┬─┘  └──────┬──┘  └───┬────┘  └─────────┘
                        │           │          │
                        └─────┬─────┴──────────┘
                              │ VXLAN Overlay (VNI 100-400)
              ┌───────────────▼──────────────────────────────────┐
              │           PROXMOX CLUSTER (3 nœuds)              │
              │                                                   │
              │  ┌───────────┐  ┌───────────┐  ┌────────────┐   │
              │  │  NODE 01  │  │  NODE 02  │  │  NODE 03   │   │
              │  │ pve01     │  │ pve02     │  │ pve03      │   │
              │  │ 64GB RAM  │  │ 64GB RAM  │  │ 32GB RAM   │   │
              │  │ 12 vCPU   │  │ 12 vCPU   │  │ 8 vCPU     │   │
              │  └─────┬─────┘  └─────┬─────┘  └─────┬──────┘   │
              │        └──────────────┴───────────────┘           │
              │              Corosync · HA · Live Migrate          │
              └───────────────────────┬──────────────────────────┘
                                      │ iSCSI · NFS
              ┌───────────────────────▼──────────────────────────┐
              │             TrueNAS SCALE (Storage)              │
              │   Pool ZFS Mirror · 4TB Usable · Snapshots       │
              │   iSCSI (VMs) · NFS (Backups) · SMB (Shares)    │
              └──────────────────────────────────────────────────┘
// Segmentation

Zones réseau — Segmentation

💻
USERS
10.0.1.0/24
Postes de travail, imprimantes, périphériques utilisateurs
🖥️
SERVERS
10.0.2.0/24
AD, DNS, DHCP, GLPI, services d'infrastructure
🔍
SOC
10.0.3.0/24
SIEM, Grafana, supervision, outils sécurité
🔒
MGT
10.0.5.0/24
Accès administration infrastructure, OOB
🌐
DMZ
10.0.4.0/24
WireGuard VPN, reverse proxy, services exposés

◎ Inter-zone traffic : contrôlé par PA-VM · Policy-based routing · Log de tous les flux

// Décisions documentées

Architecture Decision Records (ADR)

ADR-001
Choix de Proxmox VE comme hyperviseur principal
Adopté
Proxmox VE retenu face à VMware ESXi (coût licence), KVM standalone (complexité gestion) et XCP-ng (maturité clustering). Interface web intégrée, clustering natif Corosync, support LXC + KVM, et communauté active.
Raison principale : Rapport fonctionnalité/coût optimal pour un environnement open source enterprise-grade.
ADR-002
VXLAN pour l'overlay réseau inter-nœuds Proxmox
Adopté
VXLAN retenu vs VLAN traditionnel pour l'isolation des flux VM entre nœuds. Permet l'encapsulation L2 over L3, supporte jusqu'à 16M segments (vs 4096 VLAN), et facilite la migration live sans contrainte topologique.
Raison principale : Évolutivité et isolation réseau sans contrainte de trunk physique entre nœuds.
ADR-003
TrueNAS SCALE pour le stockage partagé
Adopté
TrueNAS SCALE (Linux/ZFS) retenu vs Ceph natif Proxmox (complexité opérationnelle), NAS commercial (coût) et DataCore (environnement production différent). Expose iSCSI pour les datastores VM et NFS pour les sauvegardes PBS.
Raison principale : ZFS offre des snapshots natifs, la déduplication et l'intégrité des données sans surcoût.
ADR-004
WireGuard VPN en DMZ pour accès distant
En cours
WireGuard retenu vs OpenVPN (performance), IPSec (complexité configuration) et solutions commerciales (coût). Protocole moderne, performances supérieures, surface d'attaque réduite et configuration simplifiée.
Raison principale : Performances cryptographiques et simplicité opérationnelle pour un VPN site-to-site et client.
// Blueprints

Blueprints téléchargeables

## Cluster Proxmox 3 nœuds # Requirements nodes: 3 ram_per_node: 64GB storage: TrueNAS SCALE network: VXLAN overlay ha: corosync + pacemaker ## Services HA - Active Directory (Primary) - GLPI (ITSM) - Prometheus + Grafana
Blueprint Cluster Proxmox HA
Architecture complète cluster 3 nœuds avec HA, stockage partagé et services critiques.
ProxmoxHACorosync
Voir le lab →
## PA-VM Firewall Zones # Security Policies zones: - USERS → SERVERS : allow-selective - USERS → INTERNET: allow-url-filter - DMZ → SERVERS : deny - SOC → ALL : monitor-only ## App-ID Profiles ssl-inspection: enabled threat-prevention: active
Blueprint PA-VM Segmentation
Politique de sécurité multi-zones avec Palo Alto VM-Series, App-ID et inspection SSL.
Palo AltoZonesApp-ID
Voir le lab →
## Monitoring Stack # Docker Compose services: prometheus: scrape_interval: 15s targets: [nodes, vms, apps] grafana: dashboards: [infra, network, sec] loki: retention: 30d alertmanager: channels: [email, slack]
Blueprint Monitoring Stack
Stack observabilité complète : Prometheus, Grafana, Loki, Alertmanager en Docker.
PrometheusGrafanaLoki
Voir le lab →