Construire un HomeLab DevSecOps

Cette page vous aide à construire un homelab moderne, réaliste et orienté security-first. Vous allez poser d’abord les fondations réseau, identité et secrets, avant de déployer les premiers workloads. Chaque étape renvoie vers un guide détaillé pour avancer sans vous disperser.

L’objectif : apprendre en faisant

Un homelab n’est pas un projet de collection de VMs. C’est un environnement d’apprentissage actif.

Vous n’apprendrez pas Kubernetes en regardant des tutoriels YouTube. Vous n’apprendrez pas la sécurité réseau en demandant à ChatGPT de vous expliquer les VLANs. Vous apprendrez en cassant des choses, en debuggant à 23h, en recommençant quand ça ne marche pas.

Ce homelab est conçu pour vous faire pratiquer :

• Configurer un pare-feu : pas lire un article sur les règles firewall
• Déployer une PKI : pas regarder une vidéo sur les certificats
• Réparer un cluster K8s planté : pas copier-coller une stack YAML
• Sécuriser un accès : pas demander “comment je sécurise mon serveur ?”

Chaque guide vous donne les commandes, les fichiers, les erreurs courantes. À vous de taper, d’observer, de comprendre pourquoi ça marche (ou pas). C’est le seul chemin vers la compétence réelle.

Commencer ici

Bien choisir son matériel Mini-PC, switch manageable, stockage : les recommandations concrètes pour démarrer.

Déployer OPNsense + Tailscale Posez les fondations réseau : pare-feu, accès distant, segmentation VLAN.

Installer le nœud admin Proxmox Déployez authentik et OpenBao hors du cluster applicatif.

Voir la roadmap complète Les 4 phases : fondations, industrialisation, cluster applicatif, supply chain.

Parcours recommandé

Si vous partez de zéro, commencez par le matériel, puis le réseau avec OPNsense + Tailscale, avant de déployer le nœud admin Proxmox. La roadmap détaille les étapes suivantes.

Pourquoi cette approche ?

Le problème des homelabs classiques

La plupart des homelabs suivent cette trajectoire :

1. On installe Proxmox sur un mini-PC
2. On crée quelques VMs, un cluster K3s
3. On expose des services avec un reverse proxy
4. On ajoute des secrets… en clair dans des fichiers YAML
5. On se dit “je sécuriserai plus tard”

Résultat : un environnement fonctionnel mais fragile, où chaque service gère ses propres credentials, où les mots de passe traînent dans l’historique Git, et où l’accès admin se fait sans authentification centralisée.

La philosophie security-first

L’approche security-first inverse la logique :

1. D’abord le réseau : OPNsense sépare les flux, segmente les VLANs, contrôle les accès
2. Ensuite l’identité : authentik centralise l’authentification avant d’avoir des services à protéger
3. Puis les secrets : OpenBao gère les credentials avant qu’ils n’existent
4. Enfin les workloads : les applications arrivent dans un environnement déjà sécurisé

Cette approche garantit que chaque nouveau service hérite automatiquement des bonnes pratiques : SSO via OIDC, secrets dynamiques, logs centralisés, accès auditable.

Mon architecture réelle

Ce parcours n’est pas théorique. C’est l’architecture que je construis et documente pour mon propre homelab :

• Mini-PCs Intel N100 et AMD Ryzen plutôt que des serveurs rack bruyants et énergivores
• OPNsense pour la segmentation réseau et l’accès distant via Tailscale
• authentik et OpenBao hors cluster pour éviter les dépendances circulaires
• Supply chain moderne : images signées, SBOM, politiques d’admission

Vous pouvez vous en inspirer ou le reproduire étape par étape. Les contraintes sont réelles : budget limité, bruit acceptable, consommation maîtrisée.

Architecture cible

L’architecture repose sur une idée simple : isoler les fonctions critiques avant de déployer les services applicatifs. Le réseau protège, le nœud admin fournit les services de confiance, puis les workloads consomment ces briques de manière standardisée.

L’architecture se compose de trois couches distinctes :

Couche réseau (OPNsense)

Le pare-feu OPNsense est le premier composant déployé. Il assure :

• Segmentation VLAN : sépare le trafic admin, workloads, IoT
• Routage inter-VLAN : contrôle précis des flux autorisés
• DNS interne : résolution locale pour tous les services
• VPN WireGuard/Tailscale : accès distant sans exposition Internet
• IDS/IPS : Suricata analyse le trafic en temps réel

Couche de confiance (nœud admin Proxmox)

Un nœud Proxmox dédié héberge les services de confiance :

Service	Rôle	Pourquoi hors cluster ?
authentik	Fournisseur d’identité (SSO OIDC)	Le cluster ne peut pas valider ses propres tokens
OpenBao	Gestion des secrets (fork Vault)	Les secrets du cluster ne peuvent pas être stockés dans le cluster
PKI interne	Certificats TLS internes	L’autorité de certification doit être externe au périmètre signé

Glissez pour voir

Pourquoi séparer les services de confiance ?

Si authentik tourne dans le cluster Kubernetes, et que le cluster a un problème d’authentification, vous ne pouvez plus vous connecter pour réparer. C’est une dépendance circulaire.

Le nœud admin est volontairement extérieur à l’infrastructure applicative pour garantir un accès de secours en cas d’incident.

Couche d’exécution (cluster applicatif)

Le reste de l’infrastructure (VMs, clusters K8s, conteneurs) consomme les services de confiance :

• Toutes les applications s’authentifient via authentik (OIDC)
• Tous les secrets sont injectés par OpenBao (secrets dynamiques)
• Tous les certificats sont émis par la PKI interne

Le parcours recommandé

Voici l’ordre exact pour construire ce homelab sans partir dans tous les sens :

1. Choisir le matériel

   Mini-PC, switch manageable, stockage. Budget : 500–1000 € pour un setup complet.

   → Bien choisir son matériel

2. Poser les fondations réseau

   OPNsense comme pare-feu/routeur, Tailscale pour l’accès distant, plan d’adressage et VLANs.

   → OPNsense + Tailscale

3. Déployer le nœud admin

   Premier nœud Proxmox avec les services de confiance : authentik et OpenBao.

   → Premier nœud Proxmox admin

4. Industrialiser avec IaC

   Templates Proxmox, golden images, automatisation Ansible, provisioning Terraform.

   → Guide en préparation

5. Déployer le cluster applicatif

   Kubernetes (K3s ou Talos), observabilité, GitOps avec ArgoCD.

   → Guide en préparation

Les prochaines étapes

Une fois les fondations posées, le homelab évolue vers l’industrialisation, puis vers un cluster applicatif sécurisé et une supply chain moderne.

Ce qui vient	Contenu
Templates Proxmox	Golden images Debian/Ubuntu avec Packer, provisionning Ansible
Guide Talos homelab	Installation Talos, intégration authentik/OpenBao, premiers workloads
Observabilité	Prometheus, Grafana, Loki sur le homelab
GitOps complet	ArgoCD, ApplicationSets, gestion multi-clusters
Supply chain	Cosign, Kyverno, politiques d’admission, registry Harbor

Glissez pour voir

→ Consultez la roadmap détaillée pour les 4 phases complètes.

À retenir

• Security-first : commencez par le réseau et l’identité, pas par les workloads
• Services de confiance hors cluster : évite les dépendances circulaires
• Architecture réelle : ce sont mes choix pour mon propre homelab, avec contraintes réelles
• Progression guidée : suivez les étapes dans l’ordre, tout s’emboîte

Formations détaillées (référence)

Ce homelab s’appuie sur les formations complètes déjà publiées. Les guides du parcours orchestrent ces ressources :

Formation OPNsense 17 guides : installation, VLANs, firewall, WireGuard, Tailscale, DNS, IDS/IPS

Formation Proxmox Installation, clustering, stockage, automatisation Terraform et Ansible

authentik — SSO OIDC Providers, applications, flows, intégration Proxmox

OpenBao — Gestion des secrets Secrets dynamiques, PKI, rotation automatique

Supply chain security SBOM, signatures, attestations, admission policies

Administration de Serveurs Linux Gestion et administration des serveurs Linux

Terraform Provisioning et gestion de l'infrastructure

Ansible Automatisation de la configuration des VMs

Conteneurisation Apprentissage de la conteneurisation et gestion des conteneurs

×

📖 Voir la documentation →