Plan réseau

Le réseau est plat — un seul sous-réseau 192.168.1.0/24. Pas de VLANs, pas de switch managé. L'isolation est assurée par le firewall applicatif (UFW) sur chaque VM.

Topologie

                    ┌──────────────┐
                    │   Freebox    │
                    │ 192.168.1.254│
                    │ Gateway/ISP  │
                    └──────┬───────┘
                           │
                    ┌──────┴───────┐
                    │ Switch 1 GbE │
                    │  (non manag.)│
                    └──────┬───────┘
                           │
          ┌────────────────┼────────────────┐
          │                │                │
    ┌─────┴─────┐   ┌─────┴─────┐   ┌─────┴─────┐
    │   pve01   │   │   pve02   │   │   pve03   │
    │ .1.10     │   │ .1.11     │   │ .1.12     │
    │ 16 Go RAM │   │ 32 Go RAM │   │ 32 Go RAM │
    └─────┬─────┘   └─────┬─────┘   └─────┬─────┘
          │                │                │
    101 ┌─┼──┐      201 ┌─┼──┐      301 ┌─┼──┐
        │.20│   │       │.30│   │       │.40│   │
    102 │.21│ 103       │.31│ 203       │.41│ 303
        │.22│           │.32│ 204       │.42│
        └───┘           │.33│           └───┘
                        └───┘

Tous les équipements sont sur le même réseau L2. Aucune segmentation physique.

Plan d'adressage

Nœuds Proxmox

Hôte	Rôle	Adresse IP
`pve01`	Control Plane — 16 Go	`192.168.1.10`
`pve02`	Data / Security / Observability — 32 Go	`192.168.1.11`
`pve03`	Kubernetes Platform — 32 Go	`192.168.1.12`

VMs pve01 (IDs 101-103)

ID	VM	Sous-domaine	Adresse IP
101	`traefik`	`*.mounik.ovh` (reverse proxy)	`192.168.1.20`
102	`gitlab`	`gitlab.mounik.ovh`	`192.168.1.21`
103	`vault`	`vault.mounik.ovh`	`192.168.1.22`

VMs pve02 (IDs 201-204)

ID	VM	Sous-domaine	Adresse IP
201	`harbor`	`harbor.mounik.ovh`	`192.168.1.30`
202	`monitoring`	`grafana.mounik.ovh`	`192.168.1.31`
203	`keycloak`	`keycloak.mounik.ovh`	`192.168.1.32`
204	`defectdojo`	`defectdojo.mounik.ovh`	`192.168.1.33`

VMs pve03 (IDs 301-303)

ID	VM	Sous-domaine	Adresse IP
301	`k3s-master`	`argocd.mounik.ovh` (via Ingress)	`192.168.1.40`
302	`k3s-worker01`	`app-*.mounik.ovh` (via Ingress)	`192.168.1.41`
303	`k3s-worker02`	`app-*.mounik.ovh` (via Ingress)	`192.168.1.42`

Résumé des sous-domaines

Sous-domaine	Cible	Service
`mounik.ovh`	Hébergement OVH (100 Mo)	Documentation MkDocs
`gitlab.mounik.ovh`	`192.168.1.21:443`	GitLab CE
`vault.mounik.ovh`	`192.168.1.22:443`	Vault
`harbor.mounik.ovh`	`192.168.1.30:443`	Harbor
`grafana.mounik.ovh`	`192.168.1.31:443`	Grafana
`keycloak.mounik.ovh`	`192.168.1.32:443`	Keycloak
`defectdojo.mounik.ovh`	`192.168.1.33:443`	DefectDojo
`argocd.mounik.ovh`	`192.168.1.40:443` (via Ingress k3s)	ArgoCD
`app-*.mounik.ovh`	`192.168.1.41/42` (via Ingress k3s)	Applications Python

Le domaine principal (mounik.ovh) et le wildcard (*.mounik.ovh) pointent tous deux vers un enregistrement DNS A sur l'IP fixe de la Freebox, avec redirection de ports 80/443 vers Traefik (192.168.1.20).

DHCP et réservation

Le DHCP Freebox attribue les IPs aux nœuds Proxmox (pve01-03)
Les VMs ont des IPs statiques configurées via cloud-init
Résolution DNS interne : fichier /etc/hosts sur chaque VM

192.168.1.20  traefik
192.168.1.21  gitlab
192.168.1.22  vault
192.168.1.30  harbor
192.168.1.31  monitoring
192.168.1.32  keycloak
192.168.1.33  defectdojo
192.168.1.40  k3s-master
192.168.1.41  k3s-worker01
192.168.1.42  k3s-worker02

Limitations de cette topologie

Limitation	Impact	Mitigation
Pas de VLANs	Toute VM peut joindre toute autre VM au niveau L2	UFW restrictif sur chaque VM
Pas de QoS	Impossible de prioriser le trafic	Accepté — homelab, pas de production
Broadcast domain unique	Storm possible si beaucoup de VMs	10 VMs maximum, risque négligeable
Dépendance Freebox	Pas de configuration avancée (BGP, OSPF)	Pas nécessaire pour ce projet