L’EPFL met en place un réseau interne plus sécurisé.
Celui-ci sépare les données entre différentes zones.
Trois zones sont concernées pour les machines ouvertes sur Diode:
- L’extérieur
- La zone « Untrust » contenant les machines ouvertes sur Diode
- La zone « DC Service » contenant les services de base.
Trois conséquences pour les machines accessibles depuis l’extérieur ouvertes sur le pare-feu (Diode):
- Toutes les machines doivent être migré des sous-réseaux spécifiques (zone « Untrust »).
- Les machines existantes doivent être migrées rapidement.
- Depuis le 20 novembre 2018, il n’est plus possible d’ouvrir sur Diode une machine qui n’est pas dans une zone « Untrust ».
- Vérifier si l’ouverture à Diode est pour le management :
- Oui
Utiliser de préférence le VPN, fermer l’ouverture Diode. - Non
Allez étape 2
- Oui
- Vérifier si la machine utilise d’autres serveurs liés:
- Oui
Migrer l’ensemble des serveurs concernés dans la zone « Untrust ».
ou
Migrer certains serveurs dans la zone « DC Service ».
À terme, la machine devra être hébergée dans le DataCenter ! - Allez étape 3
- Oui
- Si votre machine offre un service qui dépend du nom IP (server Web)
- Oui
Demander à l’équipe réseau ([email protected]) de planifier un changement du TTL à 2 minutes pour les noms DNS concernés.
Doit être fait au plus tard 48 h avant la migration. - Allez étape 4
- Oui
- Préparer la migration vers la zone « Untrust »
- Oui
Pour chaque machine concernée, déclencher la migration avec ce formulaire:
https://network.epfl.ch/epnet/vrf/vrf.pl
Attention, le formulaire va créer une nouvelle adresse IP qu’il va vous communiquer. - Attention, la phase 4 et 5 doivent être faites dans la même journée.
- Allez étape 5
- Oui
- Effectuer la migration vers la zone « Untrust », pendant cette phase les services de la machine sont interrompus.
- Modifier l’adresse IP de la machine concernée provenant du formulaire de migration.
- Valider la migration (https://network.epfl.ch/epnet/vrf/vrf.pl).
- Redémarrer la machine.
Zone « DC Service »
Actuellement, voici les machines qui sont explicitement dans la zone « DC Service »:
DC Service |
|
128.178.15.0 |
DNS, AD |
128.178.50.0 |
VPSI |
128.178.131.0 |
Hors VPSI |
128.178.210.0 |
VPSI |
128.178.222.0 |
Service SLB |
128.178.166.166 |
ares |
128.178.166.167 |
ares-ah |
128.178.109.70 |
astalavista |
128.178.166.117 |
security-scan2 |
|
myPrint Servers |