Devclic – Internet Agency : Le blog

Blog

  • En route vers Traefik 3

    Traefik est un load balancer permettant d’appliquer dynamiquement des configurations qui collent aux containers Docker faisant ainsi que la configuration de celui-ci est totalement dynamique grâce aux labels

    Nous l’utilisons depuis la version 1, puis nous sommes passés à la version 2 et dorénavant la version 3

    La version 3 apporte le support de HTTP 3, en effet, nous étions bloqués en version 2

    Pourquoi Traefik ?

    Comme nous le disions plus tôt, quand on a des containers, le plus simple pour les mettre en ligne est de définir la configuration avec des labels, afin que la Traefik se configure et utilise, si plusieurs backends sont présents, les backends déclarés et fasse le load balancing nativement

    Ce qui est surtout intéressant est que chaque container porte sa configuration de load balancing. Ainsi, si on détruit le container, la configuration est effacée avec

    Un autre avantage de Traefik est qu’il gère nativement toute la partie LetsEncrypt et ce, de façon dynamique. Si vous déclarez vouloir un certificat SSL LetsEncrypt, Traefik va se charger de le générer et de gérer le renouvellement. Il faut au passage que tout ceci soit disponible sur internet, sinon cela ne fonctionne pas.

    Comment nous déployons Traefik ?

    Traefik est déployé en entrée de réseau, et écoute les ports HTTP(s) les plus classiques, à savoir les ports 80 et 443.

    Nous lui dédions un sous-réseau nommé gateway ou ingress par exemple, dans lequel on viendra connecter les serveurs Web / load balancer / applications qui sont à présenter sur internet.

    Chaque application est ainsi connectée dans le réseau ingress / gateway avec une adresse IP qui lui est propre où traefik lui adressera le trafic reçu. Chaque application possède également son propre réseau applicatif qui lui est dédié, permettant ainsi une communication sans limite entre les différents composants la formant

    Voici un exemple de configuration :

    Pour la partie traefik

    services:
  reverse-proxy:
    image: traefik:v3
    container_name: traefik
    restart: "always"
    command:
      - "--accesslog=true"
      - "--api.insecure=true"
      - "--providers.docker=true"
      - "--providers.docker.network=gateway"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--entrypoints.web.http.redirections.entrypoint.to=websecure"
      - "--entrypoints.web.http.redirections.entrypoint.scheme=https"
      - "--certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=web"
      - "--certificatesresolvers.myresolver.acme.email=XXX@XXX.fr"
      - "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
    ports:
      # The HTTP port
      - "80:80"
      - "443:443"
    volumes:
      - "./letsencrypt:/letsencrypt"
      # So that Traefik can listen to the Docker events
      - /var/run/docker.sock:/var/run/docker.sock
    networks:
      - default
    logging:
      driver: "json-file"
      options:
        max-size: "10M"
        max-file: "3"

networks:
  default:
      name: gateway

    Pour une application (ici notre blog)

    services:
  blog_devclic_website:
      image: XXXXXXXX
      restart: always
      ulimits:
       memlock:
        soft: -1
        hard: -1
      networks:
        - default
      labels:
        - "traefik.enable=true"
        - "traefik.http.routers.blog_devclic_fr.rule=Host(`blog.devclic.fr`)"

networks:
  default:
      name: gateway

    Notre blog n’a pas de base de données au sens propre, de ce fait, il n’a pas besoin d’un réseau dédié. Mais si vous avez une base de données quelconque, type MongoDB, MySQL ou autre, vous pouvez alors créer un réseau pour votre application et l’utiliser avec votre applicatif, cela vous permet de séparer la couche présentation des autres couches applicatives

    Et pour mettre à jour Traefik, nous utilisons watchtower, nous nous retrouvons ainsi, avec la dernière version de Traefik stable sans que nous ayons besoin de nous en occuper

  • Rundeck ou l’outil qui peut vous aider

    Rundeck ? vous ne connaissez encore pas ? Et bien c’est bien dommage car c’est un outil qui peut vous faciliter le travail pour gérer votre parc de serveurs et votre automatisation

    Un outil complet pour plusieurs usages

    Tout d’abord, il s’agit d’une interface web, développée en Java, s’occupant de lancer des commandes qui se trouvent dans des projets.

    Ces commandes peuvent être des scripts shell, des scripts Python, des commandes SSH et bien d’autres …

    L’intérêt de cet outil est qu’il va garder bien au chaud, votre liste de commandes préférées, une fois configurées, vous pourrez les lancer unitairement ou bien les orchestrer (comme par exemple les lancer de temps à autre) mais ce n’est pas tout, vous pouvez également les appeler à travers une API, tout en passant des paramètres

    L’avantage de Rundeck est que tout est tracé (on parle pas de fliquer ici …), de ce fait, il est possible de stocker sur du long terme le résultat des executions et si par exemple, on s’en sert pour lancer des playbook Ansible ou bien des formulas avec Salt, on a ainsi, tout ce qui a été exécuté, enregistré

    Avec cet outil, une fois configuré et en place, vous pouvez tout bonnement éviter d’utiliser votre bon vieux outil SSH, Rundeck vous servira de « framework de fonctions », à vous de choisir la fonction et de la lancer (à noter que cela peut être un workflow complet et non une commande unitaire)

    L’outil contient un vault, dans lequel il est possible de stocker des données et aussi des clés privées

    Dans quels cas l’utiliser ?

    • Lancement de playbook ansible
    • Remplacement de crons sur des serveurs (et donc éviter de stocker des choses dans les crontab)
    • Donner accès à des utilisateurs lambda à des fonctionnalités sans leur donner un accès aux serveurs
    • Appels de commandes au moyen d’un appel API (peut être utilisé pour de la CI / CD en vue d’effectuer le déploiement sur les serveurs finaux par exemple)
    • Librairie de commandes qui peuvent être lancées

    L’outil est complet et permet beaucoup de choses, à vous de librement l’implémenter pour vos besoins, en tout cas, il n’est pas utile d’avoir une longue formation, c’est très simple d’utilisation et peut rapidement être mis en œuvre

  • Lets’Encrypt ne permet pas de sécuriser une url contenant une adresse IP

    Un certificat SSL sur une adresse IP ?

    Récemment, nous sommes tombés sur le cas où un besoin était de fournir un certificat SSL valide mais pour une adresse IP

    Le problème provenait d’un outil qui fait des tests de sécurité et indique une score. Cet outil, ne fait pas la distinction entre nom de domaine et adresse IP et attribue le même score, dès qu’un certificat auto-signé est fourni

    A notre sens, cela ne sert à rien et c’est un problème de l’outil. En effet, personne ne va consulter le contenu qui est présent sur une adresse IP directement … et pour ces raisons :

    • Les noms de domaine existent pour justement ne pas retenir une adresse IP mais aussi permettre d’héberger plusieurs contenus derrière la même adresse IP
    • Un certificat auto-signé n’est pas grave en soit, le protocole SSL fonctionne tout de même et les échanges entre le client et le serveur sont chiffrés

    Comment résoudre ce problème ?

    Vu que Lets’Encrypt ne propose pas de sécuriser des adresses IP via des certificats SSL, il faut donc passer par une autre autorité de certification comme GlobalSign par exemple qui elle le propose à travers ses certificats Organization.

    Cela commence à faire cher pour juste mettre en place un certificat SSL sur une adresse IP

  • Docker et cron : comment faire ?

    Récemment, sur un projet, nous utilisons, afin de séparer les environnements, des conteneurs Docker. Ce projet utilise des crons pour diverses opérations, la question que nous nous posions est comment exécuter des crons dans un conteneur Docker ?

    Qu’est ce qu’un cron ?

    Un cron est un « programme » ou un script executé automatiquement par un système informatique et selon un planning bien défini.

    On peut ainsi exécuter des taches précises à des moments précis. Les crons fonctionnent aussi bien sous Linux, Unix que Windows. Dans le cas de notre article, ici, nous traitons de la partie Linux

    On peut par exemple utiliser des crons pour sauvegarder des données, transférer des données, importer des données et bien d’autres possibilités sont offertes par cette fonctionnalité

    Crontab à la rescousse

    Etant donné qu’ici, il s’agit d’un serveur exécutant des conteneurs, nous pouvons utiliser tout bêtement la crontab et déclarer les exécutions voulues de cette façon : 

    0 18 * * 1-5 /usr/bin/docker exec XXXX php lechemindemonfichier.php

    Ici, pour faire simple, on lance tout simplement un cron normalement et on demande à Docker de lancer dans le conteneur nommé XXXX de lancer la commande précisée, ici, une commande PHP

    Attention

    Cela fonctionne plutôt bien, dès lors que nous ne mettons pas l’instruction -it demandant à docker de lancer un pseudo terminal et forçant le cron à ne pas s’exécuter correctement

    Les symptômes sont simples, on voit le cron se lancer mais rien ne s’exécute à cause de ces arguments dans la commande

  • Bonnes fêtes de fin d’année

    Une nouvelle fois de plus, une année civile s’achève, pour nous, l’année des 20 ans d’existence … elle aura été riche en évènements et projets mais 2025 se profile avec d’encore plus beau projets et challenges d’ordre technique

    Au revoir 2024

    Nous n’avons pu finir tout ce que nous voulions pour cette fin d’année mais tout du moins, nous avons commencé à mettre des éléments en place pour bien démarrer l’année 2025.

    Cette année, nous avons mis en place des éléments permettant de sécuriser notre infrastructure et notamment nos serveurs SMTP

    Nous avons également sécurisé une partie de nos infrastructures grâce à la mise en place de « compute » (ou capacité de calcul) sur notre emplacement de Telehouse Leon Frot. Peu à peu, des nouveaux services entrent dans la danse sur ce site, aidant à sécuriser la production et à rajouter de la redondance.

    Bonjour 2025

    Nous entamons la nouvelle année avec un beau projet, dans les cartons depuis 2021 … (tout vient à point qui sait attendre comme on dit …). Ce projet est la mise en route de notre POP à Schiltigheim (67). Il aura vocation de nous permettre:

    • de fournir des accès fibre en propre (sans intermédiaire)
    • d’y mettre des serveurs et donc de devenir un peu plus indépendant sur cet aspect tout en permettant de proposer des offres à des tarifs attractifs
    • de sécuriser certaines parties de l’infrastructure en rajoutant encore plus de sauvegarde ou bien de redondance
    • d’être utilisé pour fournir des quorum à nos services d’ores et déjà présents sur les deux centres de données de Strasbourg

    Ce POP sera raccordé au NetCenter de Strasbourg mais également à Cogent Strasbourg

    Outre ce projet, nous en avons d’autres dans les cartons, dont certain que nous ne pouvons divulguer pour le moment. En tout cas, une refonte de nos sites internet est en cours, nous n’avons pas de date de mise en ligne mais nous mettons les bouchées doubles pour ce faire.

    En tout cas, nous vous souhaitons de passer de belles fêtes de fin d’année et de bien démarrer cette nouvelle année.

    Notre équipe reste pleinement mobilisé pour le bon fonctionnement de tous les services et nous tenons une fois, de plus, à vous remercier pour votre fidélité et ce depuis de nombreuses années.

    Profitez bien de vos proches, de votre famille, de vos amis, quant au reste, nous veillons.

  • En route avec Astro.build

    Notre blog, ouvert depuis quelques années déjà, était propulsé par WordPress depuis ses débuts. Récemment, pour ne pas dire, il y a quelques jours, nous l’avons migré vers une nouvelle solution de site SSG basée sous Astro.build

    Un changement de moteur (enfin pas tout à fait)

    WordPress n’a pas complètement disparu et est encore utilisé pour écrire les articles et le contenu. C’est la partie présentation qui a été changée et remplacée par Astro.build

    En effet, Astro.build se nourrit de WordPress à travers son API et plus exactement une API GraphQL (on aurait pu utiliser l’API Rest …)

    Pourquoi ce changement de moteur ?

    Nous voulions nous occuper de la rédaction du contenu mais pas forcément du moteur, ou tout du moins, le moins possible.

    Nous pouvons mettre à jour Astro, sans forcément mettre à jour WordPress et vice versa. Les deux sont indépendants. Ainsi, si WordPress connait une avarie, le blog continue de fonctionner sans que personne ne voit de problème sur WordPress.

    Nous gagnons également en sécurité puisque toutes nos pages sont majoritairement des pages HTML, ainsi, nous ne craignons plus les attaques. Aussi, nous sommes certains d’avoir des temps de réponses très faibles et constants, de quoi avoir une base saine pour un blog que nous souhaitons faire vivre et grandir.

    C’est également un pas vers un hébergement plus vertueux. En effet, nous ne consommons que très peu de ressources, les pages étant générées uniquement que quand cela est nécessaire (quand une mise à jour est produite …)

    Pourquoi Astro ?

    Astro est un SSG pour Static Site Generator ou générateur de site statique. L’idée qui est derrière est de générer le plus possible, des pages HTML statiques tout en profitant d’une interface d’administration (ici, celle de WordPress … oui le Markdown existe et c’est bien, mais c’est plus confortable de pouvoir éditer sa page dans une page Web agréable …)

    Nous avons fait notre choix pour Astro, après avoir fait du NextJS ou bien encore du GatsbyJS, pour nous, c’est actuellement le meilleur candidat, permettant ainsi :

    • d’être « aux normes actuelles » en terme de référencement,
    • d’utiliser du TypeScript / JavaScript pour réaliser les développements
    • de garder une souplesse dans le choix des framework Frontend que nous pouvons utiliser puisque celui-ci supporte Svelte, VueJS, React, Solid ou bien encore AlpineJS
    • d’aggréger différentes sources de données

    Un changement de thème

    Nous avons développé un thème home-made basé sur TailwindCSS collant plus, à la nouvelle identité visuelle en préparation pour notre nouveau site internet

    Au final

    Nous avons gagné en performances, souplesse, sécurité et résistance contre les attaques (tout type)

    La peinture est encore fraîche mais comme nous travaillons avec de l’amélioration continue, tout rentrera dans l’ordre au fur et à mesure du temps et des livraisons que nous effectuerons grâce à notre usine logicielle basée sur Gitlab