Page 2 sur 2

Re: reverse proxy

Publié : mer. 31 juil. 2019 08:44
par Zedoune
thib3113 a écrit : mar. 30 juil. 2019 19:51
Zedoune a écrit : mar. 30 juil. 2019 19:37 Je ne vis pas dans le même monde malheureusement :D
ah ?

te faut un truc plus conséquent ? ou pas de docker ?
J'utilise rarement les trucs développés y a moins de 10 ans, j'aime bien les vieux trucs stables et éprouvés ^^

Re: reverse proxy

Publié : mer. 31 juil. 2019 09:45
par thib3113
Zedoune a écrit : mer. 31 juil. 2019 08:44 J'utilise rarement les trucs développés y a moins de 10 ans, j'aime bien les vieux trucs stables et éprouvés ^^
Haha, je vois :) .

Après pas mal de "vieux" projets ont été dockerisé :D,

Re: reverse proxy

Publié : mer. 31 juil. 2019 09:55
par gizmo78
faut voir la gueule des images docker aussi... y en a beaucoup c'est pas du micro service, t'as tout un os + les packages.... la débilité du truc!

une image docker sur laquelle tu peux ssh déjà c'est mal parti

Re: reverse proxy

Publié : mer. 31 juil. 2019 11:16
par thib3113
gizmo78 a écrit : mer. 31 juil. 2019 09:55 faut voir la gueule des images docker aussi... y en a beaucoup c'est pas du micro service, t'as tout un os + les packages.... la débilité du truc!

une image docker sur laquelle tu peux ssh déjà c'est mal parti
surtout que c'est useless xD . (vu que la cli docker te permet de t'y connecter dessus) .

Après, oui la plupart ne sont pas des plus lights, et pas forcément des microservices non plus . Mais certaines sont basés sur alpine, donc c'est plus light .

Après, docker gère ça par couche, donc si tu as 12 images basées sur ubuntu, ben tu n'as qu'une seule fois les couches ubuntu :D . Et tu n'as pas à réinstaller le truc, elles viennent pré-configurer :D . Donc tu déplois juste ta/tes stacks, et docker s'occupe de télécharger les logiciels, les configurer etc :D (si l'image est bien faite) .

Re: reverse proxy

Publié : mer. 31 juil. 2019 13:21
par gizmo78
mais c'est débile d'avoir ubuntu ou alpine dans un docker! c'est du microservice! il faut avoir l'appli et son eco-système et basta, toute la merde autour ne sert à rien...

du vrai microservice c'est unikernel, un kernel openbsd, ton binaire et la conf en ram basta! un haproxy en unikernel ça tourne dans 40Mo de ram à peine donc la vm prend que ça, tu veux maj? tu redéploie et il get ta conf sur un repo et voila.

Re: reverse proxy

Publié : mer. 31 juil. 2019 13:34
par thib3113
gizmo78 a écrit : mer. 31 juil. 2019 13:21 mais c'est débile d'avoir ubuntu ou alpine dans un docker! c'est du microservice! il faut avoir l'appli et son eco-système et basta, toute la merde autour ne sert à rien...

du vrai microservice c'est unikernel, un kernel openbsd, ton binaire et la conf en ram basta! un haproxy en unikernel ça tourne dans 40Mo de ram à peine donc la vm prend que ça, tu veux maj? tu redéploie et il get ta conf sur un repo et voila.
et pourtant la plupart des containers dockers sont basés sur ubuntu, avec parfois une variante alpine .

Re: reverse proxy

Publié : mer. 31 juil. 2019 16:51
par gizmo78
et? c'est pas parce que 80% font de la merde qu'il faut continuer :D

Re: reverse proxy

Publié : mer. 31 juil. 2019 17:24
par Dodo29
D'après les avis que je lis dans le topic on peut presque dire "docker en fait ça sert à rien". Seulement, moi j'y vois un réel avantage s'il est bien configuré.
Je me fais plus chier à passer 15 minutes pour déployer un service web (Minimum, si ce service requiert un environement dédié faut soit créer une VM soit un container docker) et la plupart des étapes aujourd'hui manuelles (pour moi, j'entends) sont automatisées. Et en plus ça prend pas grand chose en resources, contre certains services que j'ai qui ont la couche OS en plus forcément plus lourde.

Vous préconisez quoi, du coup ? Qu'est-ce qui peut satisfaire les critères suivants :
- déploiement rapide de services web (blogs, sites statiques, framadate, dashboards en tout genre, ipam, etc...)
- conf du reverse proxy + https le plus simple (et rapide) possible (si possibilité d'automatisation c'est encore mieux)
edit : - pas trop "barbu" parce que je suis pas un génie en la matière :whistle:

Le débat semble intéressant et je suis curieux de connaitre vos réponses :)
D'ailleurs je pense pas qu'on soit HS par rapport au topic initial, vu le titre ? :D

Re: reverse proxy

Publié : mer. 31 juil. 2019 17:29
par gizmo78
ansible/chef/salt etc?

le soucis des docker avec de l'os dedans c'est pas l'os c'est que c'est déployé avec tu sais pas quoi dedans :/

perso au taff je déploie des vm ubuntu avec différentes stack avec du ansible qui tape sur de l'ipam et du proxmox (en cours de finalisation) bas c'est cool et ça juste marche et je sais ce qu'il y a dedans.
Après si t'écris tes docker compose pk pas mais je reste dubitatif sur l'aspect isolation des conteneurs etc pour du dev oui, pour de la prod mouais.

Re: reverse proxy

Publié : mer. 31 juil. 2019 17:44
par Dodo29
Ansible faut que je m'y mette sérieusement (surtout pour le taf :whistle: ) ça peut m'aider beaucoup.

Je comprends bien qu'il ya beaucoup d'images non fiables avec effectivement beaucoup de conneries superflues dedans.
Là, c'est à la personne qui déploie de faire un peu gaffe, et oui filer un coup de paluche dans le docker-compose, voire l'écrire complètement c'est franchement pas une option.

Après l'isolation des conteneurs ... bon là ça dépasse un peu mes compétences :( (Je suis ingé comm unifiées à la base :lol: même si on va y venir, au déploiement des infra à la volée et au besoin :love: )


En tout cas pour du labo, je trouve ça génial de pouvoir se connecter à une interface web, en deux clics-et-demi t'as une instance sur laquelle tu déploies ton service et hop tu testes. Tu t'affranchis de la partie infra

Re: reverse proxy

Publié : mer. 31 juil. 2019 18:13
par Zedoune
Et quand c'est plus du labo et que ça doit devenir de la prod ? ^^

Re: reverse proxy

Publié : mer. 31 juil. 2019 19:40
par gizmo78
c'est la grosse problématique pour moi, docker/conteneur pour du dev/lab ouais c'est clairement super, pour de la prod j'arrive pas à être persuadé que ça le fait.

pourtant, lbc et ouest france c'est du full docker

Re: reverse proxy

Publié : mer. 31 juil. 2019 21:28
par Dodo29
Zedoune a écrit : mer. 31 juil. 2019 18:13 Et quand c'est plus du labo et que ça doit devenir de la prod ? ^^
Ben une fois que c'est validé on passe pas un POC en prod ? :o :whistle: :lol:
Plus sérieusement, jusqu'à présent j'ai toujours réinstallé ce que je testais, en prod.
Du coup quitte à le faire et à changer de plateforme autant en profiter.

Après c'est sur que de faire les tests sur Docker et après réinstaller le service en question sur une VM par exemple c'ets plus contraignant.
gizmo78 a écrit : mer. 31 juil. 2019 19:40 c'est la grosse problématique pour moi, docker/conteneur pour du dev/lab ouais c'est clairement super, pour de la prod j'arrive pas à être persuadé que ça le fait.

pourtant, lbc et ouest france c'est du full docker
Ouai, mais je pense qu'il developpent eux-même ce qu'il mettent dans les containers, et ils maitrisent les clusters Docker (repo privé, kubernetes, etc ...) donc là ça vaut le coup.
Quand ils ont un service à déployer pour x ou y raison ça va plus vite.

Pour faire de la préprod aussi c'est plus simple.

Re: reverse proxy

Publié : ven. 2 août 2019 10:52
par thib3113
Perso, j'utilise aussi docker en prod ... je fais mon swarm (cluster), entre plusieurs serveurs . En général un (ou plusieurs) d'entre eux est désigné comme serveur de stockage, donc tous les containers qui ont besoin de stocker des trucs (db en général), seront sur ces serveurs, et j'ai d'autres serveurs qui ne font qu'utiliser des perfs .

Pour l'isolation, je crois avoir lu qu'on pouvait sortir des containers, mais j'ai aussi lu que certains arrivaient à sortir des vms donc bon ... le principal, c'est que personne ne puisse accéder à l'intérieur pour moi .

Pour les conneries à l'intérieur d'une image docker, personnelement, je vérifie ... Suffit d'aller sur le docker hub, et tu vois le dockerFile en général ... Donc tu vois sur quoi ces basé ...

Après, quand ce sont des images qui sont conçue par docker, ou directement par le créateur du logiciel, quel serait leur intérêt ? Perdre toute crédibilité ? alors qu'au final ils auraient pu inclure leur malware directement dans leur logiciel ? ( je parle de logiciels style rabbitmq, apache, ngninx and co ) .

Après, en général je fais mes propre docker-compose (que j'adapte pour le mettre en swarm) .

Pour la différence vm / container, je pense qu'un container est plus light, car justement il ne va pas émuler le kernel/os contrairement à une vm, et donc plus facilement déployable entre serveur .

et pour docker, de mémoire, amazon web services est basé là dessus, ainsi que le google cloud (qui n'utilise pas swarm, mais kubernetes) ... Donc beaucoup de sites récents utilisent ce genre de techno (car ça permet aussi de ne payer que le nombre de cpus nécessaire, de pouvoir augmenter le nombre d'instances en fonction de la charge and co ... Et pour info, amazon web services, est né du besoin d'amazon à payer moins cher des serveurs qu'ils n'utilisent que de temps en temps, donc en cas de montée en charge, ils poussent les autres clients, en cas normal, ils sous louent l'espace disponible :)

c'est imagé, car depuis aws à beaucoup grossis xD, et héberge bien plus qu'amazon, mais en gros, ça permet une entreprise de payer en fonction de la charge, sans devoir configurer un serveur . De mémoire les sites comme zalando baissent le nombre d'instances la nuit pour économiser, ou augmentent en cas de promotions prévue and co :D ( même si je crois que dans le cas de zalando c'est sur du microsoft azure, et je ne sais pas sur quoi ils tournent ... mais vue que docker est intégré dans windows srv 2016 et qu'ils commencent à faire leur containeurs ... peut être sur docker )

Re: reverse proxy

Publié : mar. 28 avr. 2020 00:20
par augur1
Huston : reverse proxy sous apache derrière pfsense
.... let'sencrupt ne veut rien savoir :/

Code : Tout sélectionner

bbb@BigBlueButton:~$ wget https://riri.fifi.loulou
--2020-04-27 23:34:03--  https://riri.fifi.loulou
Resolving riri.fifi.loulou(riri.fifi.loulou)... 123.456.789.01
Connecting to riri.fifi.loulou(riri.fifi.loulou)|123.456.789.01|:443... connected.
ERROR: cannot verify riri.fifi.loulou's certificate, issued by ‘CN=pfSense-6f97eg01d5a1,O=pfSense webConfigurator Self-Signed Certificate’:
  Unable to locally verify the issuer's authority.
ERROR: no certificate subject alternative name matches
	requested host name ‘riri.fifi.loulou’.
To connect to riri.fifi.loulouinsecurely, use `--no-check-certificate'.

Re: reverse proxy

Publié : mar. 28 avr. 2020 08:23
par dsebire
manifestement c'est ton PF qui répond et non apache !
il manquerait pas du NAT sur le PF ?

Re: reverse proxy

Publié : mar. 28 avr. 2020 08:57
par augur1
On arrive à acceder correctement aux sites en https sans que bronchent les navigateurs.

En revanche, si sur le reverse on fait un wget, on se rend compte que ce n'est pas propre.

Re: reverse proxy

Publié : mar. 28 avr. 2020 09:07
par dsebire
des fois, ça serait pas parce que tu as enregistré dans ton navigateur le certificat de ton PF ?

Re: reverse proxy

Publié : mar. 28 avr. 2020 09:19
par augur1
dsebire a écrit : mar. 28 avr. 2020 09:07 des fois, ça serait pas parce que tu as enregistré dans ton navigateur le certificat de ton PF ?
Non : pf est dans esxi, accessible uniquement à partir d'une vm avec gui et firefox.

Pige pas.

Re: reverse proxy

Publié : mar. 28 avr. 2020 11:38
par dsebire
et si tu force a ne pas vérifier le certificat sous wget, tu récupère le site ou la page du PF ?

Re: reverse proxy

Publié : mar. 28 avr. 2020 11:52
par augur1
dsebire a écrit : mar. 28 avr. 2020 11:38 et si tu force a ne pas vérifier le certificat sous wget, tu récupère le site ou la page du PF ?
Le site.

On pète le reverse, qui est sous apache (volonté de mon associé, préférence pour ma part pour nginx...) pour finalement migrer sur du HA proxy.

Re: reverse proxy

Publié : mer. 29 avr. 2020 07:21
par Dodo29
Le DNS rebind check est désactivé sur pfsense ?
J’avais toutes sortes de problèmes chez moi quand il était pas désactivé , si tu résous ta propre adresse publique depuis l’intérieur de ton infra (ie derrière pfsense) il répond implicitement sa propre adresse (par sécurité). Et tu tombes donc sur l’interface pfsense. Même chose que sur les livebox Orange.

L’option est dans les paramètres généraux. Vous aussi pour changer le port par défaut de l’interface web (mets 8080 par ex) pfsense, ça t’épargnera bien des soucis à l’avenir.