Diode = Accès extérieur pour les serveurs

L’EPFL met en place un réseau interne plus sécurisé.

Celui-ci sépare les données entre différentes zones.

Trois zones sont concernées pour les machines ouvertes sur Diode:

  • L’extérieur
  • La zone « Untrust » contenant les machines ouvertes sur Diode
  • La zone « DC Service » contenant les services de base.

Trois conséquences pour les machines accessibles depuis l’extérieur ouvertes sur le pare-feu (Diode):

  • Toutes les machines doivent être migré des sous-réseaux spécifiques (zone « Untrust »).
  • Les machines existantes doivent être migrées rapidement.
  • Depuis le 20 novembre 2018, il n’est plus possible d’ouvrir sur Diode une machine qui n’est pas dans une zone « Untrust ».

Le processus de la migration est décrit ici,
cinq étapes sont à respecter pour la migration :

  1. Vérifier si l’ouverture à Diode est pour le management :
    • Oui
      Utiliser de préférence le VPN, fermer l’ouverture Diode.
    • Non
      Allez étape 2
  2. Vérifier si la machine utilise d’autres serveurs liés:
    • Oui
      Migrer l’ensemble des serveurs concernés dans la zone « Untrust ».
      ou
      Migrer certains serveurs dans la zone « DC Service ».
      À terme, la machine devra être hébergée dans le DataCenter !
    • Allez étape 3
  3. Si votre machine offre un service qui dépend du nom IP (server Web)
    • Oui
      Demander à l’équipe réseau ([email protected]) de planifier un changement du TTL à 2 minutes pour les noms DNS concernés.
      Doit être fait au plus tard 48 h avant la migration.
    • Allez étape 4
  4. Préparer la migration vers la zone « Untrust »
    • Oui
      Pour chaque machine concernée, déclencher la migration avec ce formulaire:
      https://network.epfl.ch/epnet/vrf/vrf.pl
      Attention, le formulaire va créer une nouvelle adresse IP qu’il va vous communiquer.
    • Attention, la phase 4 et 5 doivent être faites dans la même journée.
    • Allez étape 5
  5. Effectuer la migration vers la zone « Untrust », pendant cette phase les services de la machine sont interrompus.
    1. Modifier l’adresse IP de la machine concernée provenant du formulaire de migration.
    2. Valider la migration (https://network.epfl.ch/epnet/vrf/vrf.pl).
    3. Redémarrer la machine.

Zone « DC Service »

Actuellement, voici les machines qui sont explicitement dans la zone « DC Service »:

DC Service

128.178.15.0

DNS, AD

128.178.50.0

VPSI

128.178.131.0

Hors VPSI

128.178.210.0

VPSI

128.178.222.0

Service SLB

128.178.166.166

ares

128.178.166.167

ares-ah

128.178.109.70

astalavista

128.178.166.117

security-scan2


128.178.109.75
128.178.109.79
128.178.109.94
128.178.109.143
128.178.109.187
128.178.109.129

myPrint Servers
exterpsrv1
exterpsrv6
exterpsrv7
exterpsrv8
exterpsrv10
exterpsrv14