2026 TERMINÉ

OPTAVIM

SI complet d'une entreprise fictive multi-sites (siège, agences et télétravailleurs reliés à un datacenter central), monté de zéro du pare-feu pfSense aux applications métier : cluster Kubernetes assemblé à la main avec kubeadm, Active Directory, SSO Keycloak et 2FA. La sécurité pensée dès le départ.

KUBERNETESMULTI-SITEADSSOMFASIEMHA

Lire le writeup

STACK

ProxmoxpfSense (CARP HA)Active Directory + AD CSKubernetes (kubeadm)Calicocert-managerKeycloakprivacyIDEAOpenVPNHAProxyTraefikNFS (DRBD)MariaDB OperatorRedisDolibarrNextcloudOrangeHRMPrometheusGrafanaWazuh

POINTS CLÉS

Datacenter segmenté en VLAN (management, AD, NFS, Kubernetes, edge), pare-feu pfSense en HA avec CARP, raisonnement deny par défaut. Accès distant via deux serveurs OpenVPN (site à site + télétravail) et un bastion SSH comme point d'entrée unique.
Cluster Kubernetes monté à la main avec kubeadm : 3 masters en HA, 3 workers, réseau de pods Calico, certificats via cert-manager couplé à l'autorité AD CS, volumes persistants provisionnés dynamiquement sur des serveurs NFS répliqués en DRBD avec VIP de bascule.
Base de données via MariaDB Operator dans le cluster et Redis pour le cache. Trois applications métier branchées sur le SSO : Dolibarr (ERP), Nextcloud (fichiers) et OrangeHRM (RH).
Active Directory comme source unique des comptes (3 contrôleurs, DNS, GPO, AD CS). Keycloak fédère l'annuaire en LDAPS et joue le fournisseur d'identité unique (OIDC/SAML), privacyIDEA ajoute la 2FA sur le VPN télétravail.
Exposition via HAProxy puis Traefik, TLS et huit domaines internes en *.optavim.corp. Supervision Prometheus + Grafana et SIEM Wazuh avec agents déployés sur l'infrastructure.