Hello,

Ce post-ci sera plus un mémo qu’autre chose. Je gère un nom de domaine pour des services partagés et/où associatifs, et j’utilise également ce même nom de domaine pour mon infrastructure personnelle.

J’ai récemment acquis un nouveau nom de domaine dans le cadre de mon changement d’hébergeur mail, car je veux en profiter pour avoir le nom de domaine personnalisé. Au vu du fait que ce nom de domaine va être utilisé pour mes services personnels, j’ai décidé de l’utiliser également pour mon architecture perso.

La liste des services a modifier aura été plus longue que prévue, et je n’ai fait les modifications que pour une seule localisation géographique. J’ai pour méthodologie d’utiliser un sous-domaine dédié par localisation géographique, et ensuite d’utiliser un sous-domaine de ce même sous-domaine pour chaque service. Donc quelque chose du type service.localisation.domain.

Pour tout ce qui est résolution DNS publique, j’utilise les serveurs NS de mon fournisseur, et j’ai ensuite un résolveur DNS local par localisation. Sur celui-ci je fait du DNS-Rewrite pour pointer sur mes IPs privées plutôt que passer par mes propres IPs publiques, et j’ajoute également quelques entrées DNS privées lorsque le besoin s’en fait sentir. J’ai déjà dû faire une passe sur le résolveur DNS local pour modifier les domaines, j’ai ensuite perdu pratiquement toute résolution DNS jusqu’à me rappeler qu’il fallait également modifier le nom de domaine poussé côté DHCP pour finir par me rendre compte d’une typo sur un DNS-Rewrite…

Enfin bref, je me suis ensuite tourné vers mes configurations Ansible pour déployer le gros du travail :

  • Modification de /etc/hosts de partout
  • Modification des configurations postfix de partout
  • Modification des entrées DNS internes de Docker de mes différents conteneurs
  • Modification de l’email utilisé pour les différents services de notifications
  • Ajout d’une nouvelle configuration OpenDKIM
  • Modification de l’URL du serveur WireGuard

Et ensuite quelques modifications manuelles :

  • Modification du reverse-dns chez mon FAI
  • Ajout des entrées SPF/DMARC/DKIM publiques
  • Modification des paramètres de Communauté SNMP pour les équipements, et pour la supervision Telegraf et Zabbix

J’en ai également profité pour renommer mes NAS qui utilisaient un méthodologie batarde du style nas-localisation.domain.

Il ne me reste plus qu’à générer de nouveaux certificats avec ma nouvelle authorité de certification dédiée à ce nouveau nom de domaine pour les services internes, et tout sera bien propre.