Logo MGS Informatique à BLOIS
LinkedIn
GLPI
Teamviewer QS
Photo datacentre hébergement infogérance site internet application web

Hébergement : la technologie utilisée

Nos serveurs d’hébergement mutualités pour Site Internet et Application Web se basent sur des machines virtuelles chez OVH. Plus précisément, ces serveurs virtualisés s’appuient sur la technologie OpenStack. Il s’agit d’une technologie OpenSource permettant la scalabilité. Elle permet aussi d’augmenter la sécurité. Elle possède une réelle simplicité pour sa mise en place et sa gestion grâce aux API ouvertes.

Nos serveurs peuvent servir pour l’hébergement de site Internet, ou l’hébergement d’application Web, l’hébergement d’extranet/intranet, ou encore l’hébergement de CRM/ERP.

La base technique : le système d’exploitation du serveur

Que ce soit en mutualisé ou en dédié, nous utilisons le même périmètre technique.

Effectivement, la communauté internationale approuve l’utilisation de Debian pour les serveurs à vocation d’hébergement Web.

Plus précisément, nous nous appuyons sur le système d’exploitation Debian. La communauté active sur le projet et la stabilité et la sécurité n’est plus à démonter.

L’OS est toujours installé en dernière version disponible. En conséquence, les serveurs déjà en place sont régulièrement mis à jour. Cela permet de conserver un niveau de sécurité et fiabilité le plus haut.

Les applications fonctionnelles pour l’hébergement Web

Pour pouvoir héberger correctement un site Internet, il est nécessaire d’installer un groupe d’applications. Elles vont permettre de faire le travail demandé mais aussi de répondre à un besoin de sécurité. Certaines pourront simplement apporter de la facilité de gestion.

Le serveur Apache

Le serveur Apache en dernière version permet de recevoir l’ensemble des requêtes des navigateurs des utilisateurs. Ainsi, il va permettre de faire le lien entre une URL et un fichier sur son propre disque dur.

Il implémente la virtualisation des sites. Mais il peut aussi supporter les fonctionnalités de sécurisation des connexions avec le SSL et la technologie HTTPS.

La technologie SSL et HTTPS est garantis grâce à la mise en place d’un module Let’s Encrypt. Grâce à lui, les sites peuvent obtenir un certificat SSL gratuitement et automatiquement. En conséquence le renouvellement se fait automatiquement par le serveur, et aucune formalité administratif n’est requise.

Le préprocesseur de code PHP et PHP-FPM

Le préprocesseur de code PHP va permettre l’interprétation des fichiers des sites Internet développé en PHP. Nous pouvons citer les sites sous WordPress, sous Drupal, sous Prestashop. Mais aussi les applications développées sous CodeIgniter, sous Symfony.

Nous utilisons toujours la dernière version disponible dans le gestionnaire de paquet Debian.

Au besoin, nous sommes capable d’installer une version plus ancienne (PHP 5.6 par exemple) pour des raisons de rétrocompatibilité. Nous déconseillons cela à terme car nous affaiblissons la gestion des paquets et des sécurités du serveur.

En temps normal, Apache interprète directement PHP, mais cela génère des problèmes de sécurité, de droit d’accès sur les disques, et surtout des problèmes pour gérer la monté en charge.

Pour palier cela, nous allons nous appuyer sur un module intermédiaire qui PHP-FPM.

PHP-FPM va servir d’intermédiaire entre Apache et PHP, il va surtout pouvoir gérer :

  • La monté en charge du serveur tout simplement en créant des « processus enfants » sur le serveur qui vont paralléliser et mutualiser les exécutions et compilations de code
  • Exécuter le code PHP dans un environnement spécifique que l’on appel un « Jail » ou une « prison ». Plus simplement, il s’agit d’une zone protégée où le code d’un site Internet ne pourra pas accéder à autre chose que les fichiers sources du site

Le gestionnaire de base de données MariaDB

La base de données MariaDB est la base de données la plus répandu pour les sites Internet. Elle permet au site Internet de stocker l’ensemble des textes, des contenus, et de la configuration du site. Il est primordial de paramétrer correctement le moteur de base de données? Ainsi il peut supporter la charge de plusieurs sites Internet en même temps.

Pour simplifier. La base de données c’est un peu comme un « lot » de fichier Excel qui contiennent des colonnes et des lignes. A chaque fois que vous visualiser une page d’une site, le code va aller dans la base de données. Il va ouvrir le fichier Excel correspondant et récupérer les données. Ensuite il va les mettre en forme et vous renvoyer le résultat dans votre navigateur.

La modification des sites Internet sur le serveur : Proftpd ou Pureftpd

Pour pouvoir envoyer votre nouveau site Internet, mettre à jour votre application, il faut pouvoir se connecter sur le serveur. Pour cela, on utilise un protocole historique et simple : le FTPS.

C’est la version sécurisé du FTP. Elle est éprouvé et elle permet de garantir l’intégrité des fichiers transférés avec une rapidité exemplaire. En conséquence, nos serveurs implémentent le protocole FTP et FTPS pour garantir des accès distants performants.

En cas de besoin, nous pouvons aussi activer le protocole SFTP. Plus précisément, c’est toujours du FTP mais se fait dans un tunnel crypté SSH et donc inviolable. Cela est disponible sur demande en fonction du besoin du client.

Les composants annexes

La dessus, nous installons un certains nombres d’éléments supplémentaires. Une configuration est aussi nécessaire. Il permettent une meilleures gestion du serveur :

  • Mise en place de quotas sur le disque pour restreindre les accès.
  • Connecteur d’envoi d’emails : votre site pourra alors envoyer des emails de notification et transactionnel.
  • Centralisation des logs : logs d’accès à votre site ou application, logs d’erreur technique que peut rencontre votre site ou votre application.
  • Accès SSH sécurité soit par clé privé soit par IP afin de limiter les tentatives de connexion par brut force.

La spécificité des serveurs mutualisés

Nous utilisons un outil qui se nomme ISP Config pour gérer nos serveurs mutualisés. C’est une solution Open Source qui permet de superviser l’ensemble des applications du serveur via une interface Web Sécurisé. Nous le mettons à jour régulièrement, et son accès est extrêmement sécurisé pour éviter les tentatives d’attaques.

Ainsi nous pouvons garantir le paramétrage des sites en terme de fonctionnement et de sécurité, et cela sans avoir à modifier manuellement les configurations de chaque services applicatifs.

La sécurisation du serveur

La sécurisation du serveur va s’axer sur plusieurs technologies et plusieurs solutions. Des solutions d’accès réseau, des solutions d’accès logiciel, et des solutions d’accès de type « virus ».

Premièrement, on va faire le nécessaire pour que le serveur soit accessible en écriture et modification seulement aux bonnes personnes.

Petite parenthèse : lorsque vous consultez un site Internet, vous ne faite que lire du contenu. Vous n’avez normalement pas la possibilité de modifier le site. Vous ne pouvez pas non plus vous connecter directement sur le serveur pour modifier sa configuration.

La sécurisation réseau

La sécurisation réseau va passer la mise en place de plusieurs briques de sécurité.

  1. Premièrement, nous avons à notre disposition un pare-feu physique chez OVH. Il peut filtrer le flux dangereux et le transférer vers leurs infrastructures de mitigation (un bac à sable).
    Prenons un exemple. Si un groupe d’IP à l’autre bout du monde envoi des milliers de requêtes simultanément, alors la mitigation va détecter le flux. En conséquence elle va router ce flux sur des serveurs spécifique.
    Les tentatives de Dénie de Service n’impactent pas nos serveurs.
  2. Deuxièmement, nous installons et configurons un pare-feu physique en amont du serveur. Précisément, il est positionné directement par OVH en amont du serveur. De ce fait, nous allons fermer tous les ports de connexion réseau et ouvrir seulement les ports nécessaire à l’exécution des applications (http, https, ftps, sftp, ssh, etc.).
  3. Troisièmement, nous configurons le pare-feu IP TABLES de Debian avec les même paramètre de port ouvert que le pare-feu OVH. Le pare-feu IP TABLES va permettre aussi de bloquer facilement des IP qui se pourraient être insistante.

La sécurité applicative et système

Nous installons des applications sur le serveur pour renforcer la sécurité et permettre de fiabiliser nos formules d’hébergement. Nous allons ajouter un analyseur de log qui va sécuriser les applications du serveur. Puis nous ajoutons un antivirus qui va scanner régulièrement les disques pour éviter la présence de virus ou autre. Notons cependant que Linux et Debian ne sont pas sujet à un grand nombre de virus à l’opposé de Windows.

Nous allons aussi mettre en place un monitoring sur la machine, permettant de scanner son fonctionnement en temps réel :

  • Processeur
  • Mémoire
  • Disque dur
  • Charge moyenne
  • Mise à jour en attente

Notre solution de monitoring est même capable de nous informer si une machine est indisponible pendant plus de 3 minutes.

En cas de surcharges d’un des composants monitoré, alors nos équipes sont informés et peuvent intervenir au plus vite pour rétablir les services et agir en conséquence.

Notons que nos experts reçoivent une notification lorsqu’il y a des mises à jour de disponible afin de pouvoir les déployer au plus vite sur l’ensemble de nos serveurs et ainsi conserver un système à jour en terme de sécurité.

La sécurisation des données : la sauvegarde

La sauvegarde est l’élément primordial de tout système informatique, et cela pour permettre de remonter les systèmes en cas de défaillance du serveur principale.

Serveur mutualisé : La sauvegarde locale par ISP Config

L’application ISP Config permet de gérer des sauvegardes locales, sous forme d’un ZIP du système de fichier d’un site Internet et de sa/ses base(s) de données. Par défaut, il y aura toujours une sauvegarde chaque nuit avec 2 ou 3 rétentions.

Cette sauvegarde locale permet de remonter rapidement une version de la veille en cas de besoin.

Imaginons que vous modifiez votre site, vous supprimez des contenus, des médias, ou vous cassez tout, vous nous contactez, on remonte la sauvegarde de la veille en quelques minutes et c’est bon.

La sauvegarde serveur complète dans un Cloud distant

Chaque serveur, mutualisé ou dédié, est sauvegardé intégralement dans le Cloud Acronis, et cela chaque soir. Un agent est présent sur chaque machine, il s’occupe de communiquer avec les serveurs Acronis pour transmettre chaque soir l’intégralité des données de tous les disques de chaque machine.

Le Cloud Acronis, c’est un stockage sécurisé en Europe, garantie et certifié, répartie dans 3 datacenters parmi les 21 datacenters Acronis.

Nous avons paramétré la conservation des 15 dernières sauvegardes quotidiennes, des 4 derniers lundi, ainsi que du premier jour des 3 derniers mois.

En cas de besoin, nous pouvons remonter :

  • Un fichiers ou un dossier avec son contenu et cela en quelques minutes sans tout réécraser
  • Un disque de la machine intégralement
  • L’ensemble de la machine avec tout ses disques

La restauration peut se faire sur la machine initiale en cas de défaillance, ou sur une nouvelle machine en cas de restauration dans un autre datacenter OVH.

Il est même possible de restaurer la machine directement sur les infrastructures Acronis, ce qui nous permettrait de remonter les services en cas d’indisponibilité des infrastructures OVH.

Conclusion et pour finir

Maintenant que vous en savez un peu plus sur notre modèle d’hébergement pour l’application Web et les Sites Internet, n’hésitez pas à nous contacter via notre formulaire de contact pour obtenir plus d’information ou rencontrer nos équipes expertes.

MGS Informatique

SA au capital de 400 000 €

339 861 890 RCS BLOIS – NAF 4651Z

Identification TVA FR 58 339 861 890

Siret 339 861 890 00012

Contact
Siège Social

34 rue de la vallée aux boeufs,

41000 Blois

Tél. 02 54 57 40 00

Email: accueil@mgsinfo.com

Liens utiles

CGV MGS

Financement

Assistance technique

Espace client

Télémaintenance

Gestion de réunion

Notre autre site
Logo CJ prestations
Développé par MGS Informatique
CGV. Mentions légales