Je te remercie pour l'accueil et pour la qualité de la formation MySQL Cluster. Nous avons apprécié aussi l'adaptation du programme à nos cas concrets de production.

Christophe Metge, Responsable du Système d'Information chez BD Multimedia

Solution de firewalling d'entrée de site hautement disponible

Afin de sécuriser les accès à la plate-forme Cloud d'un de nos clients, nous avons conçu une solution de pare-feu en entrée de site.
Les contraintes auxquelles il fallait répondre étaient les suivantes :

  • Sécurité
  • Haute disponibilité
  • Facilité d'administration

Pour répondre à ce besoin, nous avons opté pour une solution basée sur deux serveurs physiques sous OpenBSD s'appuyant sur le pare-feu Packet Filter, CARP et PFSync.

Voici un schéma de la solution mise en œuvre :

Architecture de la solution

Les serveurs sont configurés en mode Actif/Passif, c'est à dire que l'ensemble du trafic réseau est géré par un seul serveur à un instant T.
Les états du pare-feu sont synchronisés en temps réel sur les deux serveurs via PFSync.
En cas de défaillance du serveur Actif, les interfaces CARP sont basculées automatiquement sur le serveur Passif, qui prend le relais.

Pour faciliter l'administration de la solution et pour s'assurer que les configurations sont toujours synchrones sur les deux serveurs, nous avons mis en place le gestionnaire de configuration CFEngine.