Introduction :

Depuis plusieurs mois maintenant nous avons mis en production nos « Proxy-frontaux » sur notre infrastructure.
Ils sont le fruit d’un projet de plus d’un an pour notre équipe d’Ingénieurs Systèmes & Réseaux, et nous en sommes très fier.
Il est temps de vous en présenter quelques détails.

La genèse du projet part d’un postulat simple, nous n’avions pas de point d’entrée unique pour chaque client, quelque soit l’architecture de ses projets. Nous avions également besoin d’un point unique pour gérer les DNS et tout les types de certificats.
Avec l’ajout de nos Proxy-frontaux c’est maintenant chose faite et nous ajoutons en plus une couche de sécurité et nous améliorons les temps de réponses.

De ce projet découle deux nouvelles offres d’hébergement que nous allons vous détailler :

  1. L’offre Proxy-front standard
  2. L’offre HTTPS étendu ?

 

1. L’offre Proxy-front standard

Cette offre est gratuite et est incluse par défaut pour tous les nouveaux projets.
Pour les anciens projets, la migration vers nos Proxy-front est gratuite et nécessite un changement DNS et/ou de configuration système en fonction de l’architecture du projet.
Nous gérons ces changements au cas par cas avec vous.

Comme indiqué dans l’introduction, les Proxy-frontaux permettent de gagner plusieurs dizaines voir quelques centaines de millisecondes sur les différentes requêtes HTTP, voici quelques détails :

  • Support du HTTP/2.
  • Support de HTTP/2 Server push et Preloading (plus d’infos: https://www.nginx.com/blog/nginx-1-13-9-http2-server-push/).
  • Cache d’image supplémentaire sur SSD.
  • Compression plus importante: support de la compression brotli sur les assets (images, css, js, …).
  • Meilleur débit sur les clients lents (mobile ou connexion depuis l’étrangé): algorithme de gestion de congestion (BBR).

2. L’offre HTTPS étendu

Nos Proxy-frontaux vous permettent également de profiter d’une offre HTTPS étendu.
Nous pouvons mettre en place pour vous un nouveau certificat Let’s Encrypt ou EV/OV ou même utiliser un certificat extérieur qui nous est fourni.

Avec Let’s Encrypt, vous profiterez du renouvellement automatique tous les trois mois.
Il est également possible d’avoir un certificat Let’s Encrypt wildcard, à condition que le domaine soit hébergé chez nous.

Avantages :

  • Plus de sécurité: gestion des headers HSTS.
  • Certificat Let’s Encrypt renouvelé automatiquement.
  • Gestion du SSL déporté de vos serveurs applicatifs.
  • Gestion du SSL en hardware sur les Proxy-frontaux, donc plus rapide.
  • Réduction de la latence lié à TLS (records TLS dynamic: https://blog.cloudflare.com/optimizing-tls-over-tcp-to-reduce-latency/)/
  • .Connection SSL plus rapide (OCSP Stapling) avec Let’s Encrypt.

 

Comment savoir si votre projet bénéficie déjà des Proxy-frontaux ?

Il suffit de vérifier la configuration DNS de vos projets, si votre sous-domaine à la configuration suivante, alors le projet associé passe par les Proxy-frontaux :

  • Champ « A » appartenant au réseau: 185.151.190.0/24
  • Champ « CNAME » sous la forme: proxy<projet>.odiso.net

 

Quelques détails techniques :

Comme le nom l’indique, nos Proxy-frontaux sont un couple de serveurs physiques placés en amont de notre réseau et directement connectés à nos routeurs de cœur de réseau.
Ils sont les points d’entrées et les load-balancer de tout le trafic internet vers vos projets.

Techniquement, ils embarquent les services Nginx pour la partie frontal et Hapee (HAProxy Enterprise Edition) pour la partie load-balancing et routage.

Quelques détails Hardware :hebergement web

CPU: 2 x 24
RAM: 2 x 128 Go
Disques: 2 x 700 Go

Schéma simplifié