reverse proxy

Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Re: reverse proxy

Message par Zedoune »

thib3113 a écrit : mar. 30 juil. 2019 19:51
Zedoune a écrit : mar. 30 juil. 2019 19:37 Je ne vis pas dans le même monde malheureusement :D
ah ?

te faut un truc plus conséquent ? ou pas de docker ?
J'utilise rarement les trucs développés y a moins de 10 ans, j'aime bien les vieux trucs stables et éprouvés ^^
thib3113
Messages : 57
Inscription : mar. 9 juil. 2019 11:54
Localisation : Toulouse

Re: reverse proxy

Message par thib3113 »

Zedoune a écrit : mer. 31 juil. 2019 08:44 J'utilise rarement les trucs développés y a moins de 10 ans, j'aime bien les vieux trucs stables et éprouvés ^^
Haha, je vois :) .

Après pas mal de "vieux" projets ont été dockerisé :D,
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

Re: reverse proxy

Message par gizmo78 »

faut voir la gueule des images docker aussi... y en a beaucoup c'est pas du micro service, t'as tout un os + les packages.... la débilité du truc!

une image docker sur laquelle tu peux ssh déjà c'est mal parti
thib3113
Messages : 57
Inscription : mar. 9 juil. 2019 11:54
Localisation : Toulouse

Re: reverse proxy

Message par thib3113 »

gizmo78 a écrit : mer. 31 juil. 2019 09:55 faut voir la gueule des images docker aussi... y en a beaucoup c'est pas du micro service, t'as tout un os + les packages.... la débilité du truc!

une image docker sur laquelle tu peux ssh déjà c'est mal parti
surtout que c'est useless xD . (vu que la cli docker te permet de t'y connecter dessus) .

Après, oui la plupart ne sont pas des plus lights, et pas forcément des microservices non plus . Mais certaines sont basés sur alpine, donc c'est plus light .

Après, docker gère ça par couche, donc si tu as 12 images basées sur ubuntu, ben tu n'as qu'une seule fois les couches ubuntu :D . Et tu n'as pas à réinstaller le truc, elles viennent pré-configurer :D . Donc tu déplois juste ta/tes stacks, et docker s'occupe de télécharger les logiciels, les configurer etc :D (si l'image est bien faite) .
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

Re: reverse proxy

Message par gizmo78 »

mais c'est débile d'avoir ubuntu ou alpine dans un docker! c'est du microservice! il faut avoir l'appli et son eco-système et basta, toute la merde autour ne sert à rien...

du vrai microservice c'est unikernel, un kernel openbsd, ton binaire et la conf en ram basta! un haproxy en unikernel ça tourne dans 40Mo de ram à peine donc la vm prend que ça, tu veux maj? tu redéploie et il get ta conf sur un repo et voila.
thib3113
Messages : 57
Inscription : mar. 9 juil. 2019 11:54
Localisation : Toulouse

Re: reverse proxy

Message par thib3113 »

gizmo78 a écrit : mer. 31 juil. 2019 13:21 mais c'est débile d'avoir ubuntu ou alpine dans un docker! c'est du microservice! il faut avoir l'appli et son eco-système et basta, toute la merde autour ne sert à rien...

du vrai microservice c'est unikernel, un kernel openbsd, ton binaire et la conf en ram basta! un haproxy en unikernel ça tourne dans 40Mo de ram à peine donc la vm prend que ça, tu veux maj? tu redéploie et il get ta conf sur un repo et voila.
et pourtant la plupart des containers dockers sont basés sur ubuntu, avec parfois une variante alpine .
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

Re: reverse proxy

Message par gizmo78 »

et? c'est pas parce que 80% font de la merde qu'il faut continuer :D
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: reverse proxy

Message par Dodo29 »

D'après les avis que je lis dans le topic on peut presque dire "docker en fait ça sert à rien". Seulement, moi j'y vois un réel avantage s'il est bien configuré.
Je me fais plus chier à passer 15 minutes pour déployer un service web (Minimum, si ce service requiert un environement dédié faut soit créer une VM soit un container docker) et la plupart des étapes aujourd'hui manuelles (pour moi, j'entends) sont automatisées. Et en plus ça prend pas grand chose en resources, contre certains services que j'ai qui ont la couche OS en plus forcément plus lourde.

Vous préconisez quoi, du coup ? Qu'est-ce qui peut satisfaire les critères suivants :
- déploiement rapide de services web (blogs, sites statiques, framadate, dashboards en tout genre, ipam, etc...)
- conf du reverse proxy + https le plus simple (et rapide) possible (si possibilité d'automatisation c'est encore mieux)
edit : - pas trop "barbu" parce que je suis pas un génie en la matière :whistle:

Le débat semble intéressant et je suis curieux de connaitre vos réponses :)
D'ailleurs je pense pas qu'on soit HS par rapport au topic initial, vu le titre ? :D
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

Re: reverse proxy

Message par gizmo78 »

ansible/chef/salt etc?

le soucis des docker avec de l'os dedans c'est pas l'os c'est que c'est déployé avec tu sais pas quoi dedans :/

perso au taff je déploie des vm ubuntu avec différentes stack avec du ansible qui tape sur de l'ipam et du proxmox (en cours de finalisation) bas c'est cool et ça juste marche et je sais ce qu'il y a dedans.
Après si t'écris tes docker compose pk pas mais je reste dubitatif sur l'aspect isolation des conteneurs etc pour du dev oui, pour de la prod mouais.
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: reverse proxy

Message par Dodo29 »

Ansible faut que je m'y mette sérieusement (surtout pour le taf :whistle: ) ça peut m'aider beaucoup.

Je comprends bien qu'il ya beaucoup d'images non fiables avec effectivement beaucoup de conneries superflues dedans.
Là, c'est à la personne qui déploie de faire un peu gaffe, et oui filer un coup de paluche dans le docker-compose, voire l'écrire complètement c'est franchement pas une option.

Après l'isolation des conteneurs ... bon là ça dépasse un peu mes compétences :( (Je suis ingé comm unifiées à la base :lol: même si on va y venir, au déploiement des infra à la volée et au besoin :love: )


En tout cas pour du labo, je trouve ça génial de pouvoir se connecter à une interface web, en deux clics-et-demi t'as une instance sur laquelle tu déploies ton service et hop tu testes. Tu t'affranchis de la partie infra
Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Re: reverse proxy

Message par Zedoune »

Et quand c'est plus du labo et que ça doit devenir de la prod ? ^^
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

Re: reverse proxy

Message par gizmo78 »

c'est la grosse problématique pour moi, docker/conteneur pour du dev/lab ouais c'est clairement super, pour de la prod j'arrive pas à être persuadé que ça le fait.

pourtant, lbc et ouest france c'est du full docker
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: reverse proxy

Message par Dodo29 »

Zedoune a écrit : mer. 31 juil. 2019 18:13 Et quand c'est plus du labo et que ça doit devenir de la prod ? ^^
Ben une fois que c'est validé on passe pas un POC en prod ? :o :whistle: :lol:
Plus sérieusement, jusqu'à présent j'ai toujours réinstallé ce que je testais, en prod.
Du coup quitte à le faire et à changer de plateforme autant en profiter.

Après c'est sur que de faire les tests sur Docker et après réinstaller le service en question sur une VM par exemple c'ets plus contraignant.
gizmo78 a écrit : mer. 31 juil. 2019 19:40 c'est la grosse problématique pour moi, docker/conteneur pour du dev/lab ouais c'est clairement super, pour de la prod j'arrive pas à être persuadé que ça le fait.

pourtant, lbc et ouest france c'est du full docker
Ouai, mais je pense qu'il developpent eux-même ce qu'il mettent dans les containers, et ils maitrisent les clusters Docker (repo privé, kubernetes, etc ...) donc là ça vaut le coup.
Quand ils ont un service à déployer pour x ou y raison ça va plus vite.

Pour faire de la préprod aussi c'est plus simple.
thib3113
Messages : 57
Inscription : mar. 9 juil. 2019 11:54
Localisation : Toulouse

Re: reverse proxy

Message par thib3113 »

Perso, j'utilise aussi docker en prod ... je fais mon swarm (cluster), entre plusieurs serveurs . En général un (ou plusieurs) d'entre eux est désigné comme serveur de stockage, donc tous les containers qui ont besoin de stocker des trucs (db en général), seront sur ces serveurs, et j'ai d'autres serveurs qui ne font qu'utiliser des perfs .

Pour l'isolation, je crois avoir lu qu'on pouvait sortir des containers, mais j'ai aussi lu que certains arrivaient à sortir des vms donc bon ... le principal, c'est que personne ne puisse accéder à l'intérieur pour moi .

Pour les conneries à l'intérieur d'une image docker, personnelement, je vérifie ... Suffit d'aller sur le docker hub, et tu vois le dockerFile en général ... Donc tu vois sur quoi ces basé ...

Après, quand ce sont des images qui sont conçue par docker, ou directement par le créateur du logiciel, quel serait leur intérêt ? Perdre toute crédibilité ? alors qu'au final ils auraient pu inclure leur malware directement dans leur logiciel ? ( je parle de logiciels style rabbitmq, apache, ngninx and co ) .

Après, en général je fais mes propre docker-compose (que j'adapte pour le mettre en swarm) .

Pour la différence vm / container, je pense qu'un container est plus light, car justement il ne va pas émuler le kernel/os contrairement à une vm, et donc plus facilement déployable entre serveur .

et pour docker, de mémoire, amazon web services est basé là dessus, ainsi que le google cloud (qui n'utilise pas swarm, mais kubernetes) ... Donc beaucoup de sites récents utilisent ce genre de techno (car ça permet aussi de ne payer que le nombre de cpus nécessaire, de pouvoir augmenter le nombre d'instances en fonction de la charge and co ... Et pour info, amazon web services, est né du besoin d'amazon à payer moins cher des serveurs qu'ils n'utilisent que de temps en temps, donc en cas de montée en charge, ils poussent les autres clients, en cas normal, ils sous louent l'espace disponible :)

c'est imagé, car depuis aws à beaucoup grossis xD, et héberge bien plus qu'amazon, mais en gros, ça permet une entreprise de payer en fonction de la charge, sans devoir configurer un serveur . De mémoire les sites comme zalando baissent le nombre d'instances la nuit pour économiser, ou augmentent en cas de promotions prévue and co :D ( même si je crois que dans le cas de zalando c'est sur du microsoft azure, et je ne sais pas sur quoi ils tournent ... mais vue que docker est intégré dans windows srv 2016 et qu'ils commencent à faire leur containeurs ... peut être sur docker )
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Re: reverse proxy

Message par augur1 »

Huston : reverse proxy sous apache derrière pfsense
.... let'sencrupt ne veut rien savoir :/

Code : Tout sélectionner

bbb@BigBlueButton:~$ wget https://riri.fifi.loulou
--2020-04-27 23:34:03--  https://riri.fifi.loulou
Resolving riri.fifi.loulou(riri.fifi.loulou)... 123.456.789.01
Connecting to riri.fifi.loulou(riri.fifi.loulou)|123.456.789.01|:443... connected.
ERROR: cannot verify riri.fifi.loulou's certificate, issued by ‘CN=pfSense-6f97eg01d5a1,O=pfSense webConfigurator Self-Signed Certificate’:
  Unable to locally verify the issuer's authority.
ERROR: no certificate subject alternative name matches
	requested host name ‘riri.fifi.loulou’.
To connect to riri.fifi.loulouinsecurely, use `--no-check-certificate'.
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Re: reverse proxy

Message par dsebire »

manifestement c'est ton PF qui répond et non apache !
il manquerait pas du NAT sur le PF ?
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Re: reverse proxy

Message par augur1 »

On arrive à acceder correctement aux sites en https sans que bronchent les navigateurs.

En revanche, si sur le reverse on fait un wget, on se rend compte que ce n'est pas propre.
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Re: reverse proxy

Message par dsebire »

des fois, ça serait pas parce que tu as enregistré dans ton navigateur le certificat de ton PF ?
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Re: reverse proxy

Message par augur1 »

dsebire a écrit : mar. 28 avr. 2020 09:07 des fois, ça serait pas parce que tu as enregistré dans ton navigateur le certificat de ton PF ?
Non : pf est dans esxi, accessible uniquement à partir d'une vm avec gui et firefox.

Pige pas.
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Re: reverse proxy

Message par dsebire »

et si tu force a ne pas vérifier le certificat sous wget, tu récupère le site ou la page du PF ?
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Re: reverse proxy

Message par augur1 »

dsebire a écrit : mar. 28 avr. 2020 11:38 et si tu force a ne pas vérifier le certificat sous wget, tu récupère le site ou la page du PF ?
Le site.

On pète le reverse, qui est sous apache (volonté de mon associé, préférence pour ma part pour nginx...) pour finalement migrer sur du HA proxy.
Avatar de l’utilisateur
Dodo29
Messages : 898
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: reverse proxy

Message par Dodo29 »

Le DNS rebind check est désactivé sur pfsense ?
J’avais toutes sortes de problèmes chez moi quand il était pas désactivé , si tu résous ta propre adresse publique depuis l’intérieur de ton infra (ie derrière pfsense) il répond implicitement sa propre adresse (par sécurité). Et tu tombes donc sur l’interface pfsense. Même chose que sur les livebox Orange.

L’option est dans les paramètres généraux. Vous aussi pour changer le port par défaut de l’interface web (mets 8080 par ex) pfsense, ça t’épargnera bien des soucis à l’avenir.
Répondre