Migration d'infrastructure

1. Introduction

Cette réalisation a été effectuée durant ma troisième année de bachelor AIS (administrateur d'infrastructure sécurisée) à l'ESIEA dans le cadre de mon alternance à la coopérative agricole SCA Qualisol. J'ai eu pour mission d'effectuer différentes modifications sur l'infrastructure réseau afin d'améliorer sa disponibilité et sa sécurité.

Durant ce projet, j'ai dû gérer la relation avec plusieurs entreprises partenaires externes pour le transfert de compétence, planifier mes différentes interventions pour limiter l'impact sur l'infrastructure de production, et réaliser l'ensemble des configurations pour rendre fonctionnelle cette nouvelle partie de l'infrastructure.

Bien que j'aie travaillé seul à la réalisation, j'étais supervisé par mon maître d'apprentissage qui était aussi le DSI de l'entreprise. C'est lui qui avait rédigé le cahier des charges, et j'ai dû m'organiser pour mettre en place les besoins exprimés.

2. Le contexte et les besoins

Ce projet est venu après un incident sur le réseau fibre suite à un orage violent dans le secteur du siège social. Cet accès internet du siège étant coupé, aucun de nos sites n'avait d'accès à nos serveurs ou même à internet avant la réparation des lignes. Il est devenu clair qu'il était impossible de ne pas avoir de solution de secours, bien que moins performante que celle initiale, tant nous étions dépendants de cet accès.

Le besoin principal était de changer notre accès internet. Nous avions jusqu'ici un accès internet fibre dédiée classique sans aucun secours. En cas de problème sur la fibre, cela coupait l'accès à internet de tous nos sites, car nous avions un VPN inter-sites où chaque site accédait à internet en passant par notre siège social. Les modifications devaient donc se faire sur l'accès internet de ce siège social.

L'objectif était de mettre en place un secours passant par le réseau 4G sur cet accès internet, ce qui impliquait un changement de routeur et une intervention sur site de notre FAI (Orange).

En plus de ce changement d'accès internet, je devais mettre en place un accès permettant aux employés de se connecter à distance pour le télétravail via la technologie RDS. Nous avions en interne un ERP avec beaucoup de relations avec des bases de données, ce qui rendait impossible l'utilisation d'un VPN classique. Pour cela, je devais mettre en place un serveur de passerelle des services bureau à distance qui allait rediriger les utilisateurs sur un serveur broker faisant office de load-balancer, qui lui-même répartissait les utilisateurs sur l'un des trois serveurs RDS. Ce serveur de passerelle se basant sur une adresse de passerelle qui est un nom de domaine, j'ai dû communiquer avec notre gestionnaire de nom de domaine pour gérer cette adresse de passerelle qui serait un sous-domaine de notre nom de domaine principal.

3. Les objectifs

3.1. Objectifs techniques

• L'amélioration de la sécurité de l'infrastructure
• L'amélioration de la disponibilité de l'infrastructure

3.2. Objectifs non techniques

• Avoir la capacité à s'organiser dans les différentes tâches à faire
• Gérer le relationnel avec les différentes entreprises partenaires

4. Les enjeux et les risques

Enjeu principal : mettre en place ce projet sans impacter les gens de l'entreprise. Étant donné que nous avions déjà des règles en place et que l'ancien accès internet était toujours opérationnel, il fallait trouver le moyen de faire des tests sans impacter l'entreprise mais aussi trouver le moment adéquat pour mettre en production les modifications.

Risques majeurs : Si nous ne faisions pas ces changements, nous risquions de subir la même situation si un événement du même type venait à se reproduire. Pour le changement de serveur passerelle bureau à distance, le risque était de laisser une faille non corrigée par Microsoft, ce qui aurait pu laisser une surface d'attaque plus importante aux pirates.

5. Les différentes étapes du projet

5.1. Planification

Bien que je sois seul sur ce projet, j'ai dû organiser les différentes tâches pour être le plus efficace et réduire le risque d'erreur. Cela est d'abord passé par une première prise de contact avec les entreprises partenaires du projet : Orange pour la partie migration d'accès et Incomm pour la partie DNS et gestion de domaine. Une fois l'organisation faite et les tâches définies, je me suis penché sur la réalisation technique.

5.2. Création d'une adresse de passerelle temporaire

Pour commencer, j'ai contacté notre gestionnaire de noms de domaine pour créer un nouveau sous-domaine qui allait me servir d'adresse de passerelle temporaire, sans impacter la configuration en place.

5.3. Création du nouveau serveur passerelle bureau à distance

Il avait été décidé dans le cahier des charges que je devais réinstaller complètement le serveur et ne pas simplement le mettre à jour. J'ai donc créé un nouveau serveur virtuel sous Windows Server 2022, puis je l'ai reconfiguré à l'identique de l'ancien.

5.4. Migration des services passerelle bureau à distance

Étant donné que nous avions plusieurs noms de domaine reliés à notre IP publique, j'ai dû mettre en place un serveur reverse proxy gérant les requêtes et les redirigeant vers les bons serveurs en fonction du nom de domaine utilisé. J'ai donc créé sur ce serveur une route redirigeant ma passerelle temporaire vers mon nouveau serveur.

5.5. Tests avec la configuration temporaire

Une fois mes règles configurées, j'ai réalisé des tests pour m'assurer, en fonction des règles de connexion et d'accès aux ressources, que le serveur était bien configuré avec les bons certificats comme l'ancien.

5.6. Mise en production du nouveau serveur

Une fois les tests terminés, j'ai configuré notre reverse-proxy pour rediriger les utilisateurs de l'adresse de passerelle classique vers le nouveau serveur. Cette modification s'est faite un soir en dehors des heures de travail pour être certain de n'impacter personne. Je suis resté en surveillance pour assurer le bon fonctionnement. Une fois la mise en production validée, j'ai pu éteindre l'ancien serveur.

5.7. Suppression de la configuration temporaire

Une fois la production validée, j'ai éteint l'ancien serveur passerelle, supprimé la règle de redirection temporaire de notre reverse-proxy, et supprimé l'adresse de passerelle temporaire chez notre gestionnaire de noms de domaine.

5.8. Migration de l'accès internet

Ensuite, j'ai contacté Orange pour migrer notre accès internet. Nous avons établi un rendez-vous pour effectuer cette migration et réalisé des tests, notamment pour vérifier que, lors du passage sur notre secours 4G, aucune modification ne se faisait au niveau de notre adresse IP publique, ce qui aurait rendu inutilisables nos domaines et sous-domaines.

5.9. Validation et documentation

Tout au long du projet, j'ai documenté ma migration et fait valider les différentes étapes auprès des parties prenantes du projet, notamment mon maître d'apprentissage.

6. Les résultats

6.1. Pour moi

Personnellement, ce projet a grandement amélioré mes compétences techniques et humaines. Sur le plan technique, la configuration complète du serveur m'a permis de voir de nombreux aspects de l'administration des systèmes, notamment Windows Server, comme la gestion des accès et des certificats.

Sur le plan humain, c'était la première fois que je prenais contact avec l'un de nos partenaires externes, ce qui m'a permis d'améliorer ma communication avec nos partenaires.

6.2. Pour l'entreprise

Une fois le projet terminé, cela nous a permis d'obtenir une amélioration de la sécurité et de la disponibilité de notre infrastructure informatique. Si un incident du même type se reproduisait, nous serions désormais en mesure d'y faire face efficacement.

7. Ce que je retiens

Ce projet m'a permis de gérer en autonomie deux chantiers critiques : la migration de l'accès internet avec bascule 4G et le déploiement d'une nouvelle infrastructure RDS. J'ai coordonné des partenaires externes (Orange, gestionnaire DNS) et planifié des interventions hors horaires de travail pour éviter les impacts métier.

Les défis majeurs ont été les tests de bascule 4G et la gestion des certificats, mais le résultat final améliore la disponibilité et la sécurité de l'infrastructure. Cette expérience a renforcé mes compétences en administration système, en gestion de projet et en relations partenaires.