Actions
Evolution #906
ouvert
Architecture de Redirection et de Publication des Services Applicatifs
Début:
17 octobre 2025
Echéance:
17 octobre 2025 (En retard de 58 jours)
% réalisé:
100%
Temps estimé:
1:00 h (Total: 4:00 h)
Description
🧭 Architecture de Redirection et de Publication des Services Applicatifs¶
🎯 Objectif¶
Cette section décrit la chaîne complète de redirection utilisée pour la publication et l’accès aux applications internes et externes du système d’information.
Elle met en évidence le rôle du DNS Active Directory, du pare-feu FortiGate et du load balancer Zevenet dans la distribution du trafic vers les serveurs applicatifs.
🧩 1. Composants Impliqués¶
| Composant | Rôle principal | Description |
|---|---|---|
| Active Directory / DNS | Résolution des noms de domaines internes | Chaque application (ex : grafana.ventis.group) est résolue vers une IP virtuelle interne du Zevenet. |
| FortiGate Firewall | Sécurité, filtrage et NAT | Contrôle les flux entrants/sortants et redirige le trafic public (Internet) vers les IP virtuelles du Zevenet. |
| Zevenet Load Balancer | Équilibrage et haute disponibilité | Distribue les requêtes reçues sur ses IP virtuelles (VIP) vers les serveurs backends internes. |
| Serveurs Backends | Hébergement des applications réelles | Fournissent les services applicatifs (Grafana, Signoz, Bo-Simplex, etc.) |
⚙️ 2. Chaîne de Redirection Applicative¶
Une requête d’un utilisateur traverse les trois couches suivantes avant d’atteindre le serveur cible :
[Utilisateur]
│
▼
[FortiGate Firewall] → (DNAT public → privé)
│
▼
[ZEVENET Load Balancer] → (VIP → backend pool)
│
▼
[Serveur Applicatif] → (service réel)
Exemple : Accès à Grafana¶
| Élément | Détail |
|---|---|
| Nom DNS | grafana.ventis.group |
| Résolution DNS (AD) | 172.20.20.73 |
| FortiGate | NAT public:443 → 172.20.20.73:443 |
| Zevenet | Farm Grafana-HTTPS (VIP 172.20.20.73) |
| Backend(s) | 172.23.2.106:3000 (srv-grafana) |
Schéma de flux¶
Internet User
│ https://grafana.ventis.group
▼
╔════════════════════════╗
║ FortiGate Firewall ║
║ NAT 443 → 172.20.20.73 ║
╚════════════════════════╝
│
▼
╔════════════════════════╗
║ Zevenet Load Balancer ║
║ Farm: Grafana-HTTPS ║
║ VIP: 172.20.20.73:443 ║
║ Backend: 172.23.2.106 ║
╚════════════════════════╝
│
▼
╔════════════════════════╗
║ Serveur Applicatif ║
║ srv-grafana (port 3000) ║
╚════════════════════════╝
Exemple : Accès à Signoz¶
| Élément | Détail |
|---|---|
| Nom DNS | signoz.ventis.group |
| Résolution DNS (AD) | 172.20.20.46 |
| FortiGate | NAT public:443 → 172.20.20.46:443 |
| Zevenet | Farm Signoz-HTTPS (VIP 172.20.20.46) |
| Backend(s) | 172.23.2.107:3301 (srv-signoz) |
Schéma de flux¶
Utilisateur → FortiGate (NAT) → Zevenet (VIP 172.20.20.46) → srv-signoz (172.23.2.107)
🧱 3. Rôle de Chaque Couche¶
🔹 3.1 DNS Active Directory¶
- Centralise la résolution de noms internes (
*.ventis.group) - Oriente les utilisateurs vers les IP virtuelles du Zevenet
- Permet la cohérence entre les environnements (prod, préprod)
🔹 3.2 FortiGate Firewall¶
- Point d’entrée réseau principal
- Assure la sécurisation et le routage inter-vlan
- Met en œuvre des règles de DNAT et SNAT
- Peut publier certains services directement (ex: IP publique → Zevenet)
🔹 3.3 Zevenet Load Balancer¶
- Reçoit les requêtes sur des IP virtuelles (VIP) internes
- Distribue le trafic selon des politiques de load balancing
- Termine ou relaie les connexions SSL
- Garantit la haute disponibilité des applications
🧮 4. Exemple de Table de Corrélation DNS ↔ Zevenet ↔ Backend¶
| Nom de domaine | IP Zevenet (VIP) | Port | Farm Zevenet | Backend(s) | Service |
|---|---|---|---|---|---|
| grafana.ventis.group | 172.20.20.73 | 443 | Grafana-HTTPS | 172.23.2.106 | Monitoring |
| signoz.ventis.group | 172.20.20.46 | 443 | Signoz-HTTPS | 172.23.2.107 | Tracing |
| bo-simplex.ventis.group | 172.20.20.42 | 443 | Bo-simplex-HTTPS | 172.23.2.10 | Application Métier |
| watch-network.ventis.group | 172.20.20.44 | 443 | Watch-Network | 172.23.2.x | Supervision Réseau |
| corebanking.ventis.group | 172.20.20.12 | 443 | CoreBanking-HTTPS | 172.23.2.x | Service Bancaire Interne |
🌐 5. Synthèse Schématique Globale¶
+------------------+
| Utilisateur |
+--------+---------+
|
▼
+------------------+
| FortiGate |
| (DNAT/NAT + FW) |
+--------+---------+
|
▼
┌───────────────────────────────────────┐
│ Zevenet Load Balancer │
│--------------------------------------- │
│ VIP 172.20.20.42 → Bo-Simplex │
│ VIP 172.20.20.46 → Signoz │
│ VIP 172.20.20.73 → Grafana │
│ VIP 172.20.20.44 → Watch-Network │
└───────────────────────────────────────┘
|
▼
+--------------------------------+
| Serveurs Backends Internes |
| (172.23.x.x - Docker, API, etc.) |
+--------------------------------+
🧾 6. Conclusion¶
Cette architecture en couches permet :
- Une publication centralisée et sécurisée des applications internes.
- Une résilience accrue grâce à l’équilibrage Zevenet.
- Une simplification de la gestion DNS via l’Active Directory.
- Une isolation claire des zones réseau (production, préproduction, interne).
Ainsi, toute modification ou ajout de service peut être intégrée de manière contrôlée, en respectant la chaîne logique :
DNS → FortiGate → Zevenet → Backend
Sous-tâches 3 (2 ouvertes — 1 fermée)
Actions
#2
Mis à jour par Patrick ENGWANG NGUEMA il y a environ 2 mois
- Tracker changé de Anomalie à Evolution
Actions