Construire un homelab DevSecOps complet en une journée est impossible. Cette roadmap vous guide phase par phase, de la box FAI jusqu’à un pipeline GitOps avec supply chain sécurisée.
Chaque phase dépend de la précédente. Ne sautez pas d’étapes : un cluster sans réseau propre ou sans gestion d’identité devient un cauchemar à maintenir.
Vue d’ensemble
Section intitulée « Vue d’ensemble »| Phase | Horizon | Ce que vous obtenez |
|---|---|---|
| 1. Fondations réseau | Immédiat | OPNsense, LAN propre, accès distant, base DNS |
| 2. Nœud admin de confiance | Court terme | Proxmox admin, authentik, OpenBao |
| 3. Cluster applicatif | Moyen terme | Talos, GitOps, observabilité de base |
| 4. Industrialisation et supply chain | Progressif | Images durcies, signatures, SBOM, politiques |
Phase 1 : Fondations réseau
Section intitulée « Phase 1 : Fondations réseau »Objectif : disposer d’une base réseau propre, administrable à distance, avant d’introduire la segmentation avancée.
Ce que vous installez
Section intitulée « Ce que vous installez »| Composant | Rôle | Guide |
|---|---|---|
| OPNsense | Pare-feu, routeur, DNS | Installation |
| Tailscale | Accès distant sans port exposé | OPNsense + Tailscale |
| Switch manageable | Prépare les futurs VLANs | Administration OPNsense |
| Proxmox VE | Hyperviseur pour le nœud admin | Installation |
Segmentation prévue ensuite
Section intitulée « Segmentation prévue ensuite »Une fois le LAN principal stabilisé, l’étape suivante consistera à introduire des VLANs distincts pour l’administration, les services et éventuellement l’IoT.
| Réseau cible | Subnet envisagé | Usage |
|---|---|---|
| MGMT | 10.0.10.0/24 | Administration |
| SERVERS | 10.0.20.0/24 | VMs et conteneurs |
| IOT | 10.0.30.0/24 | Objets connectés (isolés) |
Checklist Phase 1
Section intitulée « Checklist Phase 1 »- OPNsense installé et accessible
- LAN principal en
192.168.10.0/24fonctionnel - Tailscale connecté et accès distant validé
- DNS local prêt à être enrichi
- Proxmox admin accessible sur le LAN
- Plan de segmentation future identifié
Guide complet : OPNsense + Tailscale
Phase 2 : Nœud admin de confiance
Section intitulée « Phase 2 : Nœud admin de confiance »Objectif : poser une source d’identité et de secrets indépendante du futur cluster.
Ce que vous installez
Section intitulée « Ce que vous installez »| Composant | Rôle | Guide |
|---|---|---|
| authentik | SSO, OIDC, gestion utilisateurs | Installation |
| OpenBao | Secrets, credentials dynamiques | Installation |
| step-ca | PKI interne, certificats X.509 | Étape suivante |
Pourquoi sur un nœud séparé ?
Section intitulée « Pourquoi sur un nœud séparé ? »Ces services authentifient et distribuent les secrets au cluster. Si le cluster tombe, vous avez toujours accès à l’identité et aux secrets pour le reconstruire.
Intégrations à prévoir ensuite
Section intitulée « Intégrations à prévoir ensuite »| Source | Cible | Type |
|---|---|---|
| authentik | Proxmox VE | OIDC |
| authentik | Grafana | OIDC |
| authentik | ArgoCD | OIDC |
| OpenBao | Talos (External Secrets) | API |
| step-ca | Traefik (HTTPS) | ACME interne |
Checklist Phase 2
Section intitulée « Checklist Phase 2 »- authentik déployé et accessible
- Compte admin authentik avec MFA activé
- OpenBao initialisé, clés unseal stockées hors site
- DNS local enrichi (
auth.lab.local,vault.lab.local) - Premier utilisateur créé (votre compte perso)
- Sauvegarde des conteneurs/VMs configurée
Guide complet : Nœud admin Proxmox
Phase 3 : Cluster applicatif
Section intitulée « Phase 3 : Cluster applicatif »Objectif : disposer d’un cluster Kubernetes pour vos workloads, piloté en GitOps.
Premiers choix à arbitrer
Section intitulée « Premiers choix à arbitrer »| Distribution | Cas d’usage | Complexité |
|---|---|---|
| Talos Linux | Immutable, sécurisé by design, choix recommandé | Moyenne |
| K3s | Homelab simple, ressources limitées | Faible |
| K0s | Alternative légère à K3s | Faible |
| RKE2 | Plus proche de RKE/Rancher | Moyenne |
Ce que vous installez
Section intitulée « Ce que vous installez »| Composant | Rôle | Guide |
|---|---|---|
| Talos | Distribution Kubernetes immutable | Installation |
| ArgoCD | GitOps, déploiement continu | GitOps |
| Traefik | Ingress controller, HTTPS | Installation |
| External Secrets | Synchronise les secrets depuis OpenBao | Secrets |
| Prometheus + Grafana | Monitoring et alertes | Installation |
Architecture cluster
Section intitulée « Architecture cluster »
Checklist Phase 3
Section intitulée « Checklist Phase 3 »- Talos installé et fonctionnel (
kubectl get nodes) - ArgoCD déployé, accessible via authentik (OIDC)
- Traefik configuré avec wildcards DNS
*.apps.lab.local - External Secrets connecté à OpenBao
- Prometheus + Grafana opérationnels
- Première app déployée via ArgoCD
- Premiers secrets synchronisés depuis OpenBao
Phase 4 : Industrialisation et supply chain
Section intitulée « Phase 4 : Industrialisation et supply chain »Objectif : garantir l’intégrité et la traçabilité de ce qui tourne sur votre cluster, et industrialiser vos images.
Ce que vous mettez en place
Section intitulée « Ce que vous mettez en place »| Pratique | Outil | Guide |
|---|---|---|
| Golden images VM | Packer + Ansible | Packer |
| Signature d’images OCI | Cosign + Sigstore | Sigstore |
| SBOM | Syft, Trivy | SBOM |
| Politiques d’admission | Kyverno ou Gatekeeper | Supply chain |
| Registry privé | Harbor ou Zot | Harbor |
Workflow cible
Section intitulée « Workflow cible »
Checklist Phase 4
Section intitulée « Checklist Phase 4 »- Templates Packer pour VMs (Debian, Ubuntu)
- Pipeline CI qui build, scan, et signe les images
- Registry privé (Harbor) déployé
- Cosign configuré avec votre keyless ou clé privée
- Kyverno installé avec politique “require-signed-images”
- SBOM générés et stockés avec les images
Guides par phase
Section intitulée « Guides par phase »Phase 1 : Fondations
Section intitulée « Phase 1 : Fondations » OPNsense + Tailscale Pare-feu, VLANs, accès distant
Formation OPNsense 17 guides pour maîtriser OPNsense
Installation Proxmox VE Hyperviseur pour vos VMs
Phase 2 : Confiance
Section intitulée « Phase 2 : Confiance » Nœud admin Proxmox authentik + OpenBao + PKI
Formation authentik SSO et gestion d'identité
Formation OpenBao Gestion des secrets
Phase 3 : Cluster
Section intitulée « Phase 3 : Cluster »Phase 4 : Supply chain
Section intitulée « Phase 4 : Supply chain » Packer Golden images automatisées
Supply chain Signature, SBOM, attestations
Politiques Politiques d'admission
Évolutions futures
Section intitulée « Évolutions futures »Cette roadmap couvre les bases d’un homelab DevSecOps. Voici ce qui peut s’ajouter :
| Domaine | Évolution | Complexité |
|---|---|---|
| Haute dispo | Cluster K3s multi-master, HAProxy | Moyenne |
| Storage | Longhorn, Rook-Ceph, NFS-CSI | Variable |
| Multi-tenant | Namespaces, NetworkPolicies, Quotas | Moyenne |
| Observabilité avancée | OpenTelemetry, Loki, Tempo | Moyenne |
| DR complet | Velero, site secondaire | Élevée |
À retenir
Section intitulée « À retenir »- Phase 1 (réseau) conditionne tout le reste : LAN propre, accès distant, DNS de base
- Phase 2 (confiance) évite la dépendance circulaire : authentik et OpenBao vivent hors cluster
- Phase 3 (cluster) est le terrain de jeu : Talos + ArgoCD pour démarrer
- Phase 4 (industrialisation) est continue : ajoutez les pratiques progressivement
- Documentez votre setup : vous vous remercierez dans 6 mois