Modification de la configuration et vulgarisation

reseau/topologie_reseau_virtuel.md

@@ -1,47 +1,48 @@
 # Topologie du réseau virtuel
 
 Rappel:
-- eth0 sur un bridge OVS (WAN) accessible uniquement par OPNSense
-- eth2 formera le bridge OVS Admin
-- eth1 et eth3 formerons le bond OVS bond0 sur le bridge OVS Interne
+- eth0 sur un bridge OVS (vmbr0) accessible uniquement par OPNSense
+- eth2 formera le bridge OVS Admin (vmbr2)
+- eth1 et eth3 formerons le bond OVS bond0 sur le bridge OVS Interne (vmbr1)
 
-Pour chacune des zones (INT ou CTF) il y a deux types de VM/CT,
+Pour chacune des zones (INT ou CTF), il y a deux types de contenants (VM / CT) :
+- Les services frontend qui sont directement accessibles depuis internet, derrière le pare-feu (OPNSense).
+- Les services backend qui sont accessibles uniquement à travers une frontend.
 
-- Ceux qui sont directement accessible depuis internet derrière OPNSense c'est les services frontend.
-- Ceux qui sont accessible uniquement à travers une frontend c'est les services backend.
+## Les switchs virtuels
 
-## Les switchs virtuel
-
-- Un switch WAN pour le lien entre l'extérieur, les pares-feu et les hyperviseurs avec comme lien extérieur eth0.
-- Un switch Administation pour toute les tâches d'administration avec comme lien extérieur eth2.
-- Un switch Interne qui devra gérer, avec des VLANs, l'accès (filtré) à internet des services qui ne sont pas directement derrière le FW (Nextcloud, Git, Serveur Web...) en séparant le tout en plusieurs zones et les services qui sont directement derrière le FW (HAProxy, Proxy des services, Mail et DNS). Avec comme lien extérieur un bond entre eth1 et eth3.
+- Un switch WAN (vmbr0), qui permettra de réaliser le lien entre l'extérieur (via eth0) et les pare-feux et entre les pare-feux et les hyperviseurs.
+- Un switch virtuel (vmbr1), en séparant le tout en plusieurs zones avec des VLANs, gèrera l'accès à Internet des services qui ne sont pas directement derrière le pare-feu (Nextcloud, Git, Serveur Web...) et les services qui sont directement derrière le pare-feu (HAProxy, DNS et Proxy Interne). Avec comme lien extérieur un bond entre eth1 et eth3.
+- Un switch Administation (vmbr2) pour toute les tâches d'administration (Ansible, monitoring). Avec eth2 pour communiquer avec l'autre node.
 
 ## Communication des switchs entre les nodes
 
-Tout les hyperviseurs auront une pâte sur le VLAN 100 sur chaque switch pour le protocole GRE qui permet l'échange entre les switchs virtuel de chaque nodes.
+Tous les hyperviseurs auront une interface pour le protocole GRE qui permet l'échange entre les switchs virtuels de chaque node.
+- Switch Interne -> VLAN 100
+- Switch Administration -> VLAN 30
 
 ## Services Frontend
 
-Concrètement les containers concernés auront des ports d'entrée DNAT vers eux ce qui signifie qu'ils seront accessible depuis internet à travers le firewall. C'est le cas de HAProxy, du serveur DNS et du Proxy des services.
+Concrètement, les conteneurs / VM frontend auront des ports d'entrée DNAT via le pare-feu, les rendant accessibles depuis internet. C'est le cas de HAProxy, du serveur DNS et du Proxy des services.
 
-Tout ces CT auront obligatoirement une pâte sur la VLAN 10 et une VLAN backend du switch Interne.
+Tout ces conteneurs auront obligatoirement une interface sur le VLAN 10 et une VLAN backend du switch Interne.
 
 ## Services Backend
 
-Les containers ou VMs concerné ne seront pas accessible depuis internet cependant certain seront accessible par l'intermédiaire de HAProxy (entre autres).
+Les conteneurs ou VMs concernés ne seront pas accessibles depuis internet. Cependant, certains seront accessibles par l'intermédiaire de HAProxy (entre autres).
 
-Cette parti sera découpé en plusieurs zones,
-- PROXY sur la VLAN 20 qui contiendra les reverses proxy public et le relais mail,
-- INT sur la VLAN 30 qui contiendra tout les services de la partie krhacken,
-- CTF sur la VLAN 40 qui contiendra le reverse proxy CTF et les environnement CTF,
-- DIRTY sur la VLAN 50 qui contiendra les environnement de test.
+Cette partie sera découpée en plusieurs zones :
+- PROXY sur le VLAN 20 qui contiendra les reverses proxy public et le relais mail,
+- INT sur le VLAN 30 qui contiendra tous les services de la partie krhacken,
+- CTF sur le VLAN 40 qui contiendra le reverse proxy CTF et les environnements CTF,
+- DIRTY sur le VLAN 50 qui contiendra les environnements de test.
 
 ## Partie Internet
 
-Tout les containers et les VM Backend auront accès à internet via le proxy interne (en frontend). Pour cela ils auront tous une pâte sur la VLAN 80 du switch interne.
+Tout les conteneurs et les VM Backend auront accès à internet via le proxy interne (en frontend). L'accès se fera depuis toutes les zones sur l'adresse terminant en .252.
 
 ## Partie Administration
 
-- Chaque hyperviseur ainsi que l'entité de Quorum aura une pâte sur la VLAN 10 du switch Administration pour le fonctionnement de Corosync.
-- Toutes les VM, tout les CT, les hyperviseurs et l'entité de Quorum auront une pâte sur la VLAN 20 du switch Administration pour les tâches d'administration via le VPN ou localement en cas d'urgence.
-- Chaque hyperviseur aura une pâte sur la VLAN 30 su switch Administration pour pfSync (HA du Firewall).
+- Chaque hyperviseur ainsi que l'entité de Quorum aura une interface sur le VLAN 10 du switch Administration. Elle servira au fonctionnement de Corosync (nécessaire au cluster Proxmox).
+- Chaque hyperviseur aura une interface sur le VLAN 20 du switch Administration pour pfSync (HA du Firewall).
+- Toutes les VM, tous les CT, les hyperviseurs et l'entité de Quorum auront une interface sur le VLAN 100 du switch Administration pour les tâches d'administration via le VPN ou localement en cas d'urgence.