Dans le monde professionnel, on ne dĂ©ploie jamais une infrastructure sans savoir prĂ©cisĂ©ment ce quâon possĂšde. Chaque serveur, chaque Ă©quipement rĂ©seau, chaque service est rĂ©fĂ©rencĂ©, documentĂ©, et reliĂ© aux autres composants du systĂšme dâinformation. Câest ce quâon appelle une CMDB, Configuration Management Database, un concept central du rĂ©fĂ©rentiel ITIL, la bible des bonnes pratiques de gestion des services IT.
Avant de me lancer dans mon projet, jâai jouĂ© un peu avec quelques services et leurs fonctionnalitĂ©s par curiositĂ© dans un esprit âhomelabâ. Maintenant avec PandaCyberLab, je veux introduire plus de rigueur et me rapprocher des pratiques professionnelles. Pour cela, je dois savoir exactement ce que je possĂšde, quel rĂŽle chaque Ă©quipement va jouer, et comment tout cela va sâarticuler.
Cet inventaire va me servir de base sur laquelle je vais pouvoir construire la suite du projet : définir des VLANs pour isoler certains équipements et garder une source de vérité fiable à mesure que mon infrastructure va grandir.
Sommaire
Afficher le sommaire
Quâest-ce quâune CMDB ?
Une CMDB (Configuration Management Database) est une base de donnĂ©es qui centralise les informations sur tous les composants dâun systĂšme informatique, ce quâon appelle des CI, Configuration Items. Un CI correspond Ă tout Ă©lĂ©ment identifiable et gĂ©rable contribuant au fonctionnement dâun environnement informatique, tel que le matĂ©riel, le logiciel, les rĂ©seaux, la documentation ou mĂȘme les personnes et les services eux-mĂȘmes. Dans le rĂ©fĂ©rentiel ITIL, qui dĂ©finit les bonnes pratiques de gestion des services IT, la CMDB est au cĆur du processus de gestion des configurations.
Ce qui distingue une vraie CMDB dâun simple inventaire, câest la notion de relations. Un inventaire rĂ©pond Ă la question âQuâest-ce que je possĂšde ?â. Une CMDB va plus loin et rĂ©pond Ă âComment tout cela sâarticule ensemble ?â Quel service tourne sur quel serveur, quel Ă©quipement dĂ©pend de quel autre, quel VLAN hĂ©berge quels Ă©quipements. Cette diffĂ©rence est ce qui permet, dans le monde professionnel, de comprendre lâimpact dâune panne ou dâun changement avant mĂȘme quâil ne se produise.
Une CMDB rĂ©fĂ©rence gĂ©nĂ©ralement trois types dâinformations pour chaque CI :
- Ses attributs : type dâĂ©quipement, rĂŽle, caractĂ©ristiques techniques, Ă©tat (actif, en test, retirĂ©)
- Ses relations : de quels autres CI il dépend
- Son cycle de vie : de son acquisition jusquâĂ son retrait
Pour mon projet, je nâai pas besoin de la sophistication dâune CMDB dâentreprise. Mais le principe reste le mĂȘme Ă mon Ă©chelle : savoir prĂ©cisĂ©ment ce que je possĂšde, quel est le rĂŽle de chaque Ă©quipement, et comment tout cela sâarticule, pour pouvoir prendre des dĂ©cisions Ă©clairĂ©es au fur et Ă mesure que lâinfrastructure se dĂ©veloppe.
Lâoutil retenu
Pour construire ma CMDB, mon choix sâest portĂ© sur NetBox. NĂ© en 2016 au sein de lâĂ©quipe dâingĂ©nierie de DigitalOcean, câest aujourdâhui la rĂ©fĂ©rence open source pour modĂ©liser et documenter une infrastructure rĂ©seau. Il est utilisĂ© aussi bien par des hĂ©bergeurs que par des passionnĂ©s de homelab. Le projet est activement maintenu, avec une communautĂ© large et un rythme de correctifs soutenu, un critĂšre important pour moi : pas question de bĂątir ma documentation sur un outil Ă lâabandon. Jâai aussi Ă©tudiĂ© Ralph, une alternative open source plus orientĂ©e gestion dâactifs et de datacenter, suivi du cycle de vie du matĂ©riel, gestion de licences, intĂ©gration avec un service desk. Un outil sĂ©rieux, mais moins focalisĂ© sur le rĂ©seau, et dont la communautĂ© semble aujourdâhui moins active. Pour mon usage, documenter mon rĂ©seau et prĂ©parer mes VLANs, NetBox correspond davantage Ă mes besoins.
ConcrĂštement, NetBox va devenir la source de vĂ©ritĂ© de mon infrastructure. Câest ici que je vais centraliser :
- Mes équipements et leurs caractéristiques techniques
- Mon plan dâadressage IP (IPAM)
- Mes VLANs, dÚs que je les aurai définis
- Les relations entre équipements, quel service tourne sur quel serveur, quel équipement est connecté à quel autre
Au-delĂ de la documentation, NetBox a un autre intĂ©rĂȘt qui prend tout son sens avec lâapproche DevOps du projet : il expose une API complĂšte. Ă terme, cette API pourra alimenter directement mon IaC, par exemple, gĂ©nĂ©rer automatiquement un inventaire Ansible Ă partir des Ă©quipements dĂ©clarĂ©s dans NetBox, plutĂŽt que de le maintenir Ă la main. NetBox ne sera donc pas quâun outil de documentation passive, mais une vraie brique active de lâinfrastructure.
Pour lâinstant, je nâai pas encore dâinfrastructure stable pour lâhĂ©berger, son installation viendra quand mon socle Proxmox sera plus avancĂ©. En attendant, je vais commencer mon inventaire sous une forme plus simple, que je migrerai vers NetBox dĂšs quâil sera disponible.
MĂ©thodologie de lâinventaire
Avant de remplir un tableau, jâai besoin de dĂ©finir une mĂ©thode pour Ă©viter de me retrouver avec un inventaire incohĂ©rent, difficile Ă maintenir, ou simplement incomplet.
Deux niveaux dâinventaire
Tous les Ă©quipements de mon infrastructure nâont pas le mĂȘme rĂŽle, et je nâai pas besoin de les traiter avec la mĂȘme prĂ©cision. Jâai donc choisi de distinguer deux niveaux :
Niveau 1 : Ăquipements rĂ©seau (avec adresse IP) : serveurs, NAS, Ă©quipements rĂ©seau, appareils IoT connectĂ©s, PCs et mobiles de la famille. Ce sont les Ă©quipements qui constituent le cĆur de ma CMDB, câest sur cette base que je vais construire mon plan dâadressage et mes VLANs.
Niveau 2 : Inventaire Ă©tendu (sans IP propre) : onduleur, cĂąblage physique, capteurs domotiques. Ils nâont pas dâadresse IP mais ont un impact rĂ©el sur lâinfrastructure. Un onduleur protĂšge mes serveurs, un capteur de tempĂ©rature mâalerte avant une surchauffe.
Cette distinction Ă©vite de noyer lâinventaire rĂ©seau sous des Ă©lĂ©ments qui nâont pas leur place dans un plan dâadressage, tout en gardant une trace de tout ce qui compte pour le projet.
Les champs retenus
Pour rester exploitable, chaque équipement du Niveau 1 est documenté avec les champs suivants :
| Champ | Exemple |
|---|---|
| Nom | PC Personnel |
| Type | Laptop, Mini PC ⊠|
| Caractéristiques techniques | CPU, RAM, stockage |
| RÎle prévu | Administration, Stockage, ⊠|
| Environnement | Homelab / Production |
| VLAN cible | à définir dans un prochain article |
| Ătat | Ă installer / Actif / RetirĂ© |
| Date dâacquisition | AnnĂ©e |
Ce sont volontairement des champs simples. Lâobjectif nâest pas de reproduire la complexitĂ© dâune CMDB dâentreprise, mais de poser une base claire et suffisante pour prendre de bonnes dĂ©cisions par la suite.
Confidentialité
Un point important dans mes futures publications : certaines informations nâont pas leur place dans un article public. Je ne mentionnerai donc ni les adresses IP, ni les adresses MAC, ni les numĂ©ros de sĂ©rie de mes Ă©quipements. Je partagerai uniquement ce qui est utile Ă la comprĂ©hension du projet, sans donner dâindices exploitables sur mon identitĂ© ou ma localisation.
Lâinventaire actuel
Pour ce premier inventaire, je fais le choix de me concentrer sur les Ă©quipements qui vont concrĂštement intervenir dans mes prochains articles. Je ne vais pas tout lister dĂšs maintenant si ça nâa pas encore dâutilitĂ© pour mon projet.
| Nom | Type | CaractĂ©ristiques techniques | RĂŽle prĂ©vu | Environnement | VLAN cible | Ătat | Date dâacquisition |
|---|---|---|---|---|---|---|---|
| Box opérateur | Box Internet | 4 ports Ethernet RJ45 1 Gbit/s 1 port LAN Multi-Gigabit 2.5Gbit/s | Routeur, puis Modem | Homelab et Production | NA | Actif | 2023 |
| PC perso | Laptop | Dual boot Linux / Windows 11 AMD Ryzen 7 3700U 4 cĆurs / 8 threads 1,4 â 2,3 GHz RAM : 8 Go | Administration et Client | Client | Ă dĂ©finir plus tard | Actif | 2020 |
| Smartphone perso | iOS | Apple A16 Bionic RAM : 6 Go | Client | Client | à définir plus tard | Actif | Nov 2023 |
| ThinkCentre M920q | Tiny PC | Intel Core i7-8700T 6 cĆurs / 12 threads 2,40 GHz RAM : 16 Go | Labo dâapprentissage NĆud Proxmox | Homelab | Ă dĂ©finir plus tard | Ă installer | Mai 2026 |
| Ugreen DXP4800+ | NAS | Intel(R) Pentium(R) Gold 8505 5 cĆurs / 6 threads RAM : 40 Go (8 + 32) SSD : 2 To HDD : 12 To RAID1 | Stockage | Production | Ă dĂ©finir plus tard | Actif | Nov 2025 |
| ESP32 | MicrocontrĂŽleur | ESP32-WROOM-32 (ELEGOO) Dual-core Xtensa LX6, jusquâĂ 240 MHz 520 Ko SRAM | Domotique | Homelab et Production | Ă dĂ©finir plus tard | Ă installer | Avril 2026 |
Les PC et tĂ©lĂ©phones du reste de la famille ne figurent volontairement pas dans cet inventaire, ils ne sont pas encore concernĂ©s par le projet Ă ce stade. MĂȘme chose pour les consoles de jeux, qui nĂ©cessitent aujourdâhui le protocole UPnP pour jouer en ligne : leur intĂ©gration mĂ©rite une rĂ©flexion dĂ©diĂ©e, que jâaborderai plus tard dans un article spĂ©cifique.
Cet inventaire nâa donc rien de dĂ©finitif. Il va sâenrichir au fil des articles, Ă mesure que de nouveaux Ă©quipements rejoindront lâinfrastructure.
Faire vivre la CMDB dans le temps
Un inventaire figĂ© nâa aucun intĂ©rĂȘt. Une CMDB qui nâest plus Ă jour quelques mois aprĂšs sa crĂ©ation devient pire quâinutile car elle devient trompeuse, les dĂ©cisions sont prises sur une base fausse. La vraie question nâest donc pas âcomment crĂ©er une CMDBâ, mais âcomment la garder vivanteâ.
Phase 1 : Mise Ă jour manuelle
Tant que mon infrastructure reste de taille modeste, la mise Ă jour manuelle de NetBox reste tout Ă fait raisonnable. Chaque ajout, chaque changement de rĂŽle, chaque mise hors service dâun Ă©quipement sera consignĂ© au fil de lâeau, Ă mesure que le projet avance. Cela va mâobliger Ă rester rigoureux dĂšs le dĂ©part plutĂŽt que de remettre la discipline Ă plus tard.
Phase 2 : Vers une CMDB comme source de vérité active
Ă terme, lâobjectif est que NetBox ne soit plus seulement un registre que je remplis Ă la main, mais quâil devienne la source de vĂ©ritĂ© de mon infrastructure, au sens oĂč câest lui qui dĂ©crit lâĂ©tat dĂ©sirĂ©, et oĂč le reste de lâinfrastructure sâaligne dessus, pas lâinverse.
Cela va se traduire par plusieurs intégrations possibles avec ma future couche Déploiement & Automatisation :
- NetBox et Ansible : pour gĂ©nĂ©rer dynamiquement lâinventaire Ansible Ă partir des Ă©quipements dĂ©clarĂ©s dans NetBox, via le plugin dâinventaire dynamique officiel. Plus besoin de maintenir un fichier dâinventaire Ă la main en parallĂšle.
- NetBox et Terraform/OpenTofu : pour utiliser NetBox comme source de donnĂ©es pour provisionner lâinfrastructure, garantissant que ce qui est dĂ©crit correspond Ă ce qui est rĂ©ellement dĂ©ployĂ©.
- Mise Ă jour automatique : Ă terme, des scripts ou des webhooks pourront mettre Ă jour NetBox automatiquement lors dâun dĂ©ploiement via la CI/CD, rĂ©duisant le risque de dĂ©synchronisation entre la documentation et la rĂ©alitĂ©.
Cette bascule du mode manuel vers le mode automatisĂ© ne se fera pas du jour au lendemain. Elle suivra naturellement la maturitĂ© de mon infrastructure et de mes pipelines CI/CD. Mais câest cette direction qui donne tout son sens Ă la CMDB : il ne sâagit pas dâun document de plus Ă maintenir, mais une brique active qui pilote concrĂštement lâinfrastructure.
De lâinventaire vers les VLANs
Maintenant que mon inventaire prend forme, une question se pose naturellement : comment organiser tous ces Ă©quipements sur le rĂ©seau ? La rĂ©ponse passe par la segmentation en VLANs, un sujet suffisamment dense pour mĂ©riter son propre article, mais que je souhaite introduire dĂšs maintenant, car câest lâinventaire qui va directement nourrir cette rĂ©flexion.
Pourquoi segmenter plutÎt que tout laisser sur un seul réseau ?
Sur un rĂ©seau domestique classique, tous les appareils se voient et peuvent communiquer entre eux sans restriction : la box opĂ©rateur, le NAS, le PC portable, le smartphone, et demain les services exposĂ©s sur Internet, tout cohabite sur le mĂȘme rĂ©seau plat. Câest simple, mais câest aussi le pire scĂ©nario en termes de sĂ©curitĂ© : si un seul Ă©quipement est compromis, rien ne lâempĂȘche dâaccĂ©der Ă tout le reste.
Un VLAN (Virtual Local Area Network) permet de crĂ©er des rĂ©seaux isolĂ©s les uns des autres, mĂȘme sâils partagent la mĂȘme infrastructure physique (mĂȘmes cĂąbles, mĂȘme switch). Câest la brique fondamentale qui va me permettre dâappliquer concrĂštement lâapproche Zero Trust dĂ©finie dans mon article prĂ©cĂ©dent : chaque zone du rĂ©seau nâa accĂšs quâĂ ce dont elle a strictement besoin, et rien de plus.
Ce que jâapprends de mon inventaire
En listant les Ă©quipements de mon inventaire, plusieurs catĂ©gories naturelles se dessinent et câest prĂ©cisĂ©ment sur cette base que je vais construire mes VLANs :
- Des Ă©quipements de gestion et dâadministration de lâinfrastructure (accĂšs Ă Proxmox, Ă NetBox, Ă OPNsenseâŠ). Ces accĂšs doivent ĂȘtre strictement limitĂ©s.
- Des Ă©quipements de homelab, dĂ©diĂ©s Ă lâexpĂ©rimentation, qui nâont aucune raison de communiquer avec la production.
- Des équipements de production, qui hébergent les services réellement utilisés au quotidien.
- Des clients (PC, smartphones) qui doivent pouvoir consommer les services, sans pour autant avoir un accĂšs direct Ă lâinfrastructure sous-jacente.
- Des équipements domotiques et IoT (ESP32, futurs capteurs), historiquement peu sécurisés et donc à isoler par précaution.
- Une zone opĂ©rateur, quâon avait Ă©voquĂ©e prĂ©cĂ©demment, pour les Ă©quipements qui ont besoin de rester proches du rĂ©seau du FAI (consoles avec UPnP, dĂ©codeur TV).
Une premiĂšre Ă©bauche, Ă affiner
Voici une premiĂšre proposition de dĂ©coupage, qui sera dĂ©taillĂ©e et probablement ajustĂ©e dans lâarticle dĂ©diĂ© au plan rĂ©seau :
| VLAN (provisoire) | Usage |
|---|---|
| Management | Administration de lâinfrastructure |
| Homelab | Expérimentation, tests |
| Production | Services hébergés en production |
| Clients | PC, smartphones de la maison |
| IoT / Domotique | ESP32, capteurs, objets connectés |
| Zone OpĂ©rateur | Ăquipements liĂ©s au FAI (consoles, dĂ©codeur) |
Ce dĂ©coupage nâest pas figĂ©, il Ă©voluera trĂšs certainement Ă mesure que jâavancerai sur le plan dâadressage IP, les rĂšgles de pare-feu entre VLANs, et les contraintes concrĂštes de mes Ă©quipements (comme le cas de lâUPnP Ă©voquĂ© prĂ©cĂ©demment). Mais lâessentiel est lĂ : mon inventaire qui a permis de faire Ă©merger cette premiĂšre structure, plutĂŽt que de partir dâun schĂ©ma thĂ©orique dĂ©connectĂ© de ma rĂ©alitĂ©.
Conclusion
Cet inventaire, aussi simple soit-il en apparence, a dĂ©jĂ changĂ© ma façon de voir le projet. Lister mes Ă©quipements un par un, noter leurs caractĂ©ristiques, leur rĂŽle prĂ©vu. Câest un exercice qui mâa forcĂ© Ă clarifier ce qui restait flou dans ma tĂȘte. Et la premiĂšre leçon est lĂ : mon parc actuel, mĂȘme modeste, dessine dĂ©jĂ naturellement les contours de mon futur rĂ©seau, Ă travers les catĂ©gories qui sâen dĂ©gagent : gestion, homelab, production, clients, IoT, zone opĂ©rateur.
NetBox prendra le relais dĂšs que mon infrastructure sera prĂȘte Ă lâaccueillir, et cet inventaire deviendra alors une vraie source de vĂ©ritĂ©, vivante et connectĂ©e au reste de mes outils.
Pour la suite, place Ă la pratique ! Les prochains articles vont prĂ©senter concrĂštement le matĂ©riel qui constitue mon parc : la box, mon NAS, mon ThinkCentre, avant de mâarrĂȘter sur un exercice qui me tient particuliĂšrement Ă cĆur : regarder mon infrastructure actuelle avec les yeux dâun attaquant, et faire lâĂ©tat des lieux de mon exposition sur Internet. Une Ă©tape indispensable avant dâaller plus loin dans la construction de mon rĂ©seau et de ses VLANs. Ă trĂšs vite. đŒ