Pré-requis pour hébergeur tiers

Réseau
- IP Evolix
- Autorisations Firewall
Gestion des serveurs
Gestion des demandes et incidents
Hébergeurs validés
- OVH
- Scaleway

Voici une liste de pré-requis pour que nous puissions travailler avec un hébergeur tiers, en particulier lorsqu’il s’agit d’un hébergement interne ou lorsqu’un intermédiaire gère le réseau… Tous ces points sont importants, mais tout est discutable.

Réseau

IP Evolix

Ces adresses IPv4 et IPv6 sont celles que nous utilisons pour l’infogérance :

31.170.8.4 / 2a01:9500::fada
31.170.9.129 / 2a01:9500:37:129::/64
51.210.84.146 / 2001:41d0:8:8b70::146
54.37.106.210 / 2001:41d0:8:8b70::210
82.65.34.85 / 2a01:e0a:571:2a10::1
46.231.240.96 / 2a0c:e303:0:6000::/57

Autorisations Firewall

Les IP Evolix (liste ci-dessus) doivent disposer de ces autorisations réseau :

TCP/22 en entrée (pour accès distants)
TCP/5666 en entrée (pour checks NRPE)
TCP/80 et TCP/443 en entrée (pour accès à Munin, et autres ressources d’administration)
TCP/22 en sortie (pour des connexions sortantes)

Il faut aussi que ces autorisations globales soient en place :

UDP/123 en sortie (pour NTP)
TCP/80 et TCP/443 en entrée et sortie (le détail est géré localement)

L’accès aux serveurs et leur supervision ne peut pas se faire via un VPN.

Pour les serveurs n’ayant pas d’IP publique (NAT), il faut que des ports d’entrée alternatifs (SSH, NRPE…) soient proposés.

Si c’est justifié, il peut n’y avoir qu’un accès SSH à un serveur de type « bastion » permettant de rebondir sur les autres serveurs.

Gestion des serveurs

Lorsqu’un nouveau serveur doit être mis en place, le partitionnement indiqué par Evolix doit être respecté.

La version de Debian (ou OpenBSD selon les cas) à installer doit également pouvoir être spécifiée.

Les serveurs actifs doivent pouvoir être pris en main à distance pour consulter l’état de la console du serveur ou forcer un redémarrage.

Gestion des demandes et incidents

Nous devons disposer d’un ou plusieurs contacts techniques humains à qui nous pouvons soumettre des demandes ou déclarer des incidents.

Un système de gestion de tickets (pour le suivi des échanges) ou un mail est indispensable.

Un contact téléphonique « 24/7 » est conseillé, notamment pour les incidents critiques en Heures Non Ouvrées.

Hébergeurs validés

Nous avons déjà une certaine expérience avec des hébergeurs tiers qui sont validés.

Ceux qui sont absents de cette liste ne sont pas forcément exclus. Ils doivent respecter le maximum de nos pré-requis présentés plus haut et peuvent nécessiter une phase de test avant d’être validés.

OVH

Serveurs OVH

Nous pouvons gérer :

serveurs “bare-metal” OVH ;
cloud dédiés (VMWare, y compris PCI-DSS) ;

Par contre, nous ne gérons pas de serveurs VPS, et nous évitons de gérer des serveurs SoYouStart et KimSufi.

Délégation

Pour que nous gérions un service OVH il faut nous déléguer le contact technique via le NIC-Handle CG9330-OVH. Il est aussi possible de créer un NIC-Handle partagé et spécifique.

Pour faire cela, il faut sur les « Informations générales » du serveur concerné, puis dans la section « Contacts » : Gérer les contacts. Il faut « modifier les contacts » et mettre en « Contact technique » : CG9330-OVH Cela va envoyer 2 emails pour validation : un à vous et à nous. Il faudra bien valider la demande de votre côté, et nous demander de valider en confirmant le nom du serveur.

Scaleway

Serveurs Scaleway

Nous pouvons gérer :

serveurs Dedibox
serveurs Bare Metal
Virtual Instances

Délégation

Pour les serveurs Dedibox, nous sommes référencés comme infogérant tiers, donc il suffit de désigner « evolix » comme infogérant sur la console Dedibox.

Si des services complémentaires (IP flottantes, domaines…) sont liés au service principal il faut également nous déléguer leur gestion.