A sa création, en 2000, Cassiopea a mis en place une petite infrastructure d’hébergement composée de 2 serveurs. Fin 2013 nous en avons à présent 12. Récapitulatif d’une évolution régulière et progressive.

Ou l’évolution de l’architecture d’hébergement de Cassiopea de 2 à 12 serveurs en 14 ans.

Fin du siècle dernier, en décembre 1999 très exactement, avec quelques amis, nous jetions les bases d’une initiative voulant contribuer à la construction d’un Internet plus ouvert et accessible pour le monde associatif et pour le commun des mortels. Quelques mois plus tard, Cassiopea était née : une asbl de services Internet tournée principalement vers le monde associatif, installée en Belgique.

Cassiopea a la volonté de connecter durablement les réseaux virtuels et associatifs. Pour ce faire nous plaçons à la disposition de nos membres une infrastructure d’hébergement Internet reposant sur plusieurs serveurs. C’est l’histoire de cette infrastructure et les raisons de nos choix que je vous présente ici.

2000 — Création : 2 serveurs

Lors de la mise en route de Cassiopea, nous avons tout de suite décidé d’avoir nos propres serveurs, gérés par nous même et sous notre contrôle. Notre volonté était de pouvoir garantir notre autonomie, notre propre choix de services à offrir à notre communauté et aussi et surtout la pérennité et la confidentialité des données de nos membres, confiées aux disques durs de nos machines.

Nos premiers serveurs étaient 2 machines Apple : l’une tournant Debian Slink (2.1) sur un processeur Motorola 68040 et l’autre tournant MacOS 9 sur un processeur PowerPC. Peu après, nous ajoutions un 3ème serveur tournant Debian Patato (2.2) sur PowerPC. La machine MacOS était le serveur de mail, avec le logiciel SIMS [1]. Et les machines Debian fournissaient l’hébergement web et le moteur PHP ainsi que le service de mailings listes (sympa) et le DNS.

Ces machines étaient installées chez moi, d’abord sous mon bureau, connectées à ma ligne ADSL. Ensuite, dans un autre appartement, connectées à un modem câble et logées en dessous de l’escalier. Quelques batteries pour éviter les courtes coupures de courant et un réseau local câblé en fast ethernet, l’infrastructure était entièrement dans nos mains. Certains d’entre vous se souviennent certainement de cette époque.

2004 — Data center : 3 serveurs

La solution d’hébergement à la maison nous permettait d’être sûr que les données de nos membres n’étaient pas usurpées ou copiées à notre insu [2]. Cependant elle n’offrait pas la meilleure garantie de service, reposant sur une connexion ADSL, ou le réseau de cablo-distribution, dont la fiabilité était loin d’être à toute épreuve, surtout à cette époque.

Serveurs chez ProServeC’est la raison principale qui nous a décidé à placer nos serveurs dans un data-center. Pour cela il nous a fallu investir dans du nouveau matériel, des serveurs en rack (de grosses boîtes à pizza métaliques) et y migrer les services et les données de nos membres. Avec une connectivité Internet de meilleure qualité, une alimentation électrique redondante grâce à des batteries et groupes électrogènes et un air climatisé assurant une température constante, cette solution était plus fiable. Avec un compromis cependant, les serveurs devenaient ainsi aussi accessibles, physiquement, à nos prestataires de service.

Nos serveurs étaient alors hébergés dans le data-center de LCL à Diegem, dans le réseau des sociétés ProServe et ensuite Rackboost. Au début nous en avions 2, en gardant le serveur mail sur la connexion modem câble, le migrant seulement dans un second temps. Ces serveurs tournaient alors sous Debian Woody (3.0) puis Sarge (3.1) sur processeurs Intel i386 et des disques durs configurés en RAID 1 (pour la redondance).

Serveurs chez OpenMindsCette nouvelle connectivité à Internet nous a aidé à améliorer la qualité du service : meilleure fiabilité mais surtout augmentation de la vitesse d’accès à nos services. La solution d’hébergement sur connexion modem câble montrait avant très clairement sa lenteur. Cette nouvelle configuration a malheureusement entrainé une charge de travail parfois importante pour les bénévoles que nous étions (et sommes toujours en très grosse partie). Lors d’une panne technique, par exemple un disque dur qui montre des signes de faiblesse, nous étions obligés de nous déplacer à Diegem en urgence et d’intervenir dans une salle austère et bruyante à la température parfois frigorifique. Avant, lorsque cela arrivait, je pouvais y travailler à la maison, un peu plus confortablement [3].

2008 — Virtualisation : 4 serveurs

À la fin de la première décennie de ce nouveau siècle, l’évolution du matériel informatique permet de faire tourner plusieurs serveurs logiques (plusieurs systèmes d’exploitation) en parallèle sur un même serveur physique. C’est ce qu’on appelle la virtualisation. Cela permet de faire des économies d’échelle et donc de diminuer les coûts, pour un service d’une qualité similaire.

Autre avantage de la souscription à un service de serveur virtuel : c’est votre fournisseur qui a la charge des pannes matérielles, plus besoin de se déplacer au frigo ! En migrant nos serveurs vers une telle infrastructure, nous nous libérions du poids relativement lourd (en terme de temps de travail et de déplacement, principalement) de maintenir un matériel informatique de qualité.

En 2008 nous avons donc commencé à travailler avec la société belge OpenMinds. L’offre de services en matière de serveurs virtuels était alors déjà assez diversifiée, avec des coûts parfois fort différents. A nouveau nous perdions un peu d’indépendance dans notre volonté de garantir l’intégrité des données de nos membres. Afin de tout de même limiter cette perte, nous décidions de ne sous traiter qu’avec un fournisseur de service belge. Même s’il n’était pas nécessairement le meilleur marché, il garantissait cependant à nos membres (majoritairement belges également) le respect de la législation belge en matière de protection des données. De plus, les machines d’OpenMinds sont situées à Diegem ainsi qu’à Gand, position relativement centrale [4] face à la majorité de nos utilisateurs et des visiteurs des sites de nos membres.

Un local du datacenter à DiegemUne exception cependant à cet hébergement en Belgique, pour une raison de fiabilité nous avions déjà placé notre serveur DNS secondaire chez un fournisseur différent, la société française Sivit [5].

2012 — Elargissement : 12 serveurs

Face à une augmentation du nombre de nos membres, ainsi que de leurs besoins en termes de puissance et de fiabilité de service, nous avons à nouveau dû faire évoluer notre architecture d’hébergement en 2012. Un des avantages de la virtualisation des serveurs est qu’il est plus facile de les multiplier et de les dimensionner de manière optimale. Vous pouvez ainsi construire une architecture redondante offrant une meilleure fiabilité en clonant les serveurs critiques. De cette façon, si un de ceux-ci tombe en panne, ses pairs garantissent la continuité du service.

Nous avons ainsi migré nos 2 principaux serveurs, ceux fournissant l’hébergement web et les mailing listes, vers 10 nouveaux serveurs virtuels :

  • 1 répartiteur de charge (HA-Proxy)
  • 3 serveurs applicatifs (Apache et PHP)
  • 3 serveurs de base de données (avec les moteurs MySQL, PostgreSQL et Openldap)
  • 1 serveur de fichiers
  • 1 serveur DNS
  • 1 serveur de mailing listes (Sympa)

Une telle architecture permet qu’une panne sur un des serveurs n’entraine pas une indisponibilité des autres services et cela surtout pour les services les plus critiques.

Malheureusement, louer ces 10 serveurs virtuels chez OpenMinds est hors de portée des bourses de notre asbl. Nous avons alors décidé de travailler avec Gandi, société française dont certaines valeurs sont proches des nôtres (soutien aux logiciels libres, volonté d’un Internet libre et ouvert) et qui en plus nous donne une réduction de coût substantielle grâce à un programme de soutien au monde associatif.

En plus de ces 10 serveurs, nous gardons un serveur virtuel chez OpenMinds, celui contenant toutes les boîtes email de nos membres, celles-ci restent donc sous la législation belge. Nous gardons également notre serveur DNS secondaire chez un fournisseur différent, dans un réseau IP différent. Ces 12 serveurs tournent actuellement tous sous Debian Wheezy (7) et Squeeze (6.0) encore pour certains.

Futur — Evolution

Le futur de l’infrastructure technique de Cassiopea est et reste en question. Les technologies et les possibilités évoluent sans cesse et si nous voulons continuer à fournir un service de bonne qualité nous sommes obligés de rester à la page. Nous sommes par ailleurs très sensibles à la question de la protection des données de nos membres, surtout en ces temps de pillage et d’exploitation à des fins mercantiles ainsi que face à l’espionnage généralisé.

Nous nous intéressons donc aux solutions d’hébergement alternatives, à un éventuel retour vers des solutions autonomes (si, ou lorsque, elles permettent une bonne qualité de service) ainsi qu’à l’évolution des solutions pratiques de la cryptographie [6]. La redondance de notre infrastructure actuelle pourrait également encore être améliorée, les single points of failure existent toujours et l’idéal serait de les faire disparaitre.

L’architecture d’hébergement de Cassiopea est en constante évolution, depuis 14 ans maintenant. Les lignes directrices restent les mêmes : Debian, logiciels libres, utilisation des standards Internet ouverts, recherche de la meilleure fiabilité dans la mesure des moyens dont nous disposons et puis surtout l’indépendance dans le choix de nos services et la confidentialité des données de nos membres.

Les distributions Debian portent les noms des personnages de la série de dessins animés Toy Story. Vous en apprendrez plus sur l’histoire de Debian ici.

Cassiopea est une asbl à laquelle vous pouvez adhérer afin de profiter des services que nous offrons. Nous nous adressons aux associations mais également aux particuliers. Nous sommes également ouverts aux propositions de collaboration avec d’autres associations similaires voulant défendre les mêmes valeurs que les nôtres. Les propositions de contributions bénévoles, en terme d’aide technique, administrative ou politique sont aussi les bienvenues. N’hésitez pas à nous contacter.

[1SIMS est devenu CommuniGate. MacOS et SIMS sont les deux seuls logiciels propriétaires que nous avons jamais utilisé sur nos serveurs.

[2Je veux ici parler de copie par un accès physique à la machine, pas, bien entendu, par un accès distant qui aurait pu avoir lieu par l’intermédiaire d’une faille de sécurité ou d’une erreur de configuration.

[3Même si ce genre de problème arrive, par définition, au mauvais moment et vous oblige à passer une nuit blanche à essayer de récupérer un disque dur crashé.

[4Je parle ici de la position au sein du réseau Internet, OpenMinds étant connecté aux principaux nœuds d’échange de l’Internet belge mais aussi européen, l’accès à nos serveurs est généralement rapide pour les utilisateurs belges et européens.

[5A présent rachetée par Nerim.

[6Comment rendre facile et utilisable par le plus grand nombre des solutions telles que PGP ? Comment crypter les méta-données d’un échange entre 2 correspondants ? Comment avoir confiance, ou éviter, la centralisation des autorités de certification ?

Publié le : jeudi 26 décembre 2013.
Modifié le : vendredi 27 décembre 2013.

plouf Creative Commons -  Espace privé -  XHTML -  CSS -  v1.1.3