Le document décrit la création d'une infrastructure domestique utilisant Ansible pour gérer des utilisateurs, sécuriser les ports avec iptables, et déployer des services de collecte de métriques et de surveillance comme Prometheus et Grafana. Il aborde également l'utilisation de Certbot pour gérer les certificats SSL via Let's Encrypt et la configuration d'un équilibrage de charge avec HAProxy. Enfin, le document inclut des instructions pour collecter des métriques de température et expose les services via xinetd.

1. Raspberry
… créer son infra chez soi

2. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

3. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

4. Ansible : créer users et clefs SSH
Pi1
Pi2
Pi3
Pi4Group et Users :
- admin + clef ssh
- simple + clef ssh

5. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

6. Ansible : password users et vault
Pi1
Pi2
Pi3
Pi4Group et Users (sous forme de rôles) :
- admin + clef ssh + password (vault)
- simple + clef ssh + password (vault)

7. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

8. Ansible : suppression du user Pi
Pi1
Pi2
Pi3
Pi4Group et Users (sous forme de rôles) :
- admin + clef ssh + password (vault)
- simple + clef ssh + password (vault)
Suppression Pi

9. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

10. Iptables : sécuriser vos ports
Pidoor
Iptables :
- ssh entrant 192.168.1.0/24
- ssh sortant all
- ping entrant et sortant (icmp)
- connexions établies assurées
- drop forward et input
ssh entrant 192.168.1.0/24
PiX
ssh all
ping
connexions établies
Sortantes

11. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

12. Ansible : règles iptables (bastion)
Pidoor
Iptables :
- ssh entrant 192.168.1.0/24
- ssh sortant all
- ping entrant et sortant (icmp)
- connexions établies assurées
- drop forward et input
ssh entrant 192.168.1.0/24
PiX
ssh all
ping
connexions établies
Sortantes

13. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

14. Ansible : règles iptables (workers)
Iptables :
- ssh entrant 192.168.1.31
- drop sorties ssh
- ping entrant et sortant (icmp)
- connexions établies assurées
- drop forward et input
ssh entrant 192.168.1.31
PiX
ping
connexions établies
Sortantes
Pidoor
PiX
ssh all

15. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

16. Collecte de métriques : température
Pi1
Pi2
Pi3
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
PiDoor Pi4

17. Collecte de métriques : température
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp

18. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

19. Xinetd: exposition métriques
Pi1
Pi2
Pi3
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
PiDoor Pi4

20. Wrapper HTTP
Xinetd: exposition métriques

21. Configuration XINETD
Xinetd: exposition métriques

22. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

23. Ansible : déploiement collecte
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
.41
.42
.43
.44

24. Collecte de métriques : température
Firewall : accès lo et 192.168.1.41 - port 11111

25. Firewall : accès lo et 192.168.1.41 - port 11111
Ansible : déploiement collecte

26. Scripts et Xinetd
Ansible : déploiement collecte

27. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

28. Prometheus : installation
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
.41
.42
.43
.44

29. Ansible inventory
Prometheus : installation

30. Ansible role prometheus
Prometheus : installation

31. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

32. Grafana : installation
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Script > Xinetd > Prometheus > Grafana
commande : vcgencmd measure_temp
.41
.42
.43
.44

33. Ansible inventory
Grafana : installation

34. Ansible role grafana
Grafana : installation

35. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

36. DNS : /etc/hosts
Pi1
Pi2
PiX
.31
PiDoor
.41
.42
.xx

37. Ansible : évolution inventory
DNS : /etc/hosts

38. Ansible : rôle etc-hosts > tasks + ajout playbook
DNS : /etc/hosts

39. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

40. Node Exporter
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Node Exporter > Prometheus > Grafana
.41
.42
.43
.44

41. Node Exporter > 9100 > ansible/iptables
Node Exporter

42. Ansible : installation user/group
Node Exporter

43. Ansible : installation binaire
Node Exporter

44. Ansible : installation du service systemd
Node Exporter

45. Ansible : template du service systemd
Node Exporter

46. Ansible : configuration prometheus
Node Exporter

47. Grafana : ajout du template node exporter
https://grafana.com/grafana/dashboards/1860
Node Exporter

48. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

49. Haproxy
Pi1
Pi2
Pi3
.31
PiDoor Pi4
Node Exporter > Prometheus > Grafana
.41
.42
.43
.44

50. Haproxy
Pi1
Pi2
Pi3
.31
PiDoor Pi4
NAT/PAT > Haproxy > Grafana
.41
.42
.43
.44
Web

51. Ansible - Ajout de règle pour haproxy/pi1
Ouverture des flux web
Haproxy

52. Ansible - Installation de haproxy
Installation Haproxy
Haproxy

53. Ansible - Installation de haproxy
Configuration Haproxy - part standard
Haproxy

54. Ansible - Installation de haproxy
Configuration Haproxy - part custom
Haproxy

55. Ansible - Modification de grafana
Configuration Grafana
Haproxy

56. Box - PAT/NAT
Redirection du port 80 / xavki.fr
Haproxy

57. Sommaire
1- Ansible : créer users et clefs SSH
2- Ansible : passwords users et vault
3- Ansible : suppression du user Pi
4- Iptables : sécuriser vos ports
5- Ansible : règles iptables (rebond)
6- Ansible : règles iptables (back)
7- Collecte de métrique : température
8- Xinetd : exposition métriques
9- Ansible : déploiement collecte
10- Prometheus : installation
11- Grafana : installation
12- Dns : /etc/hosts
13- Node exporter
14- Consul
15- Ansible : déploiement consul
16- Haproxy
17- Let’s encrypt
18- Fail2ban

58. Let’s Encrypt
Pi1
Pi2
Pi3
.31
PiDoor Pi4
NAT/PAT > Haproxy > Grafana
.41
.42
.43
.44
Web

59. Box - PAT/NAT
Redirection du port 80 et 443 / xavki.fr
Let’s Encrypt

60. Let’s Encrypt
Web
Haproxy
/route/letsencrypt
Application certbot

61. Ansible configuration haproxy
Let’s Encrypt

62. Ansible Let’s Encrypt
Let’s Encrypt

63. Ansible Let’s Encrypt
Let’s Encrypt

64. Ansible Let’s Encrypt : script de renouvellement
Let’s Encrypt

65. Ansible Let’s Encrypt : cron tous les mois
Let’s Encrypt