Closed
Milestone
Nouveau cluster Minio
Milestone ID: 17
Présent
Cluster k8s Louise Michel:
- bdd sur nvme
- data sur rgw
- backup des bdd sur minio
- pas tout a fait de backup des buckets rgw mais versionning activé
Cluster ceph
- nvme
- vpn (wg)
- backbone 10g
- mauvaise config
- disks rbd
Serveur k
- disks en raid mirroir
- backup sur un autre serveur k (backupk), avec disks en raid mirroir
- minio (pas backupé car il contient les backups)
- backup fait avec borgbackup
Problématiques
- pas de sauvegardes du premier cluster ceph
- pas de haute disponibilité des sauvegardes bdd
- faible redondance des sauvegardes bdd (raid 1)
- pas de plan de reprise d'activité en cas de catastrophe (applications, k8s, ceph)
- fort risques en cas d'infection de Louise Michel
- fort risques en cas d'infection d'un pc sysadmin
- faible protection des données
Objectifs
- Améliorer la sécurité des données (redondance et diponibilité).
- Créér et automatiser des procedures de récupération.
- Réduire la surface d'attaque
- Limiter les coûts
Non objectifs
Potentiels solutions
Systèmes de stockage
ceph | minio | |
---|---|---|
Block Storage | X | |
Filesystem | X | |
Object Storage | X | X |
Simple config | X | |
Fine grained customization | X | |
Active-Active cluster sync | X | X |
Server-Side Encryption with a KMS | X | X |
Low CPU/Memory usage | X | |
Sidecard loadbalancer | X | |
Bucket WORM | X | |
Add one node | X | |
Low replacement cost | X |
Orchestrateurs
- cephadm (custom container orchestrator)
- rook (third party ceph operator) on k8s
- minio operator on k8s
Load balancing
- hetzner lb
- haproxy (single point of failure / bottleneck)
- distributed ha
- sidekick (minio sidecar)
Backups
- sync 2 identical clusters (easy failover)
- sync minio to ceph or ceph to minio (possible ?)
- standard backup with software
Encryption
- KMS (Vault)
Automations
- cloud-init
- terraform
- ansible
- k8s