Ce qui tourne sous le capot.
Détail complet de la stack logicielle, de l'architecture matérielle et des mécanismes de protection mis en œuvre dans chaque déploiement Kovra.
Les couches du système.
Le serveur physique.
| Composant | Référence | Rôle |
|---|---|---|
| Processeur | Intel Core i5-8265U | 4 cœurs / 8 threads, faible consommation (~15 W TDP). Suffisant pour Nextcloud jusqu'à 30 utilisateurs simultanés avec transcodage léger. |
| Mémoire | 8 Go DDR4 SO-DIMM | Dimensionné pour ZFS (ARC cache) + Docker + Nextcloud. Extensible à 16 Go si nécessaire. |
| Système | 128 Go NVMe SSD | OS + Docker + base de données Nextcloud. Séparé des disques de données pour isoler les pannes. |
| Stockage — Standard | 3 × WD Red Plus 4 To | Pool RAIDZ1 : 8 To utiles. Disques NAS (CMR), conçus pour fonctionnement continu 24/7. |
| Stockage — Premium | 3 × WD Red Plus 6 To | Pool RAIDZ1 : 12 To utiles. Même architecture, capacité supérieure. |
| Boîtier | Jonsbo N4 | Format Mini-ITX, 8 baies 3,5". Compact, silencieux, thermique maîtrisée. |
| Alimentation | Be Quiet 400 W | Alimentation modulaire, certifiée 80+. Marge confortable pour la configuration actuelle. |
Plusieurs filets de sécurité.
Snapshots ZFS
ZFS crée des instantanés (snapshots) cohérents du pool de données à intervalles réguliers. En cas de corruption ou suppression accidentelle, un fichier ou un dossier peut être restauré à la minute près, sans restauration complète.
Sauvegarde externe chiffrée
Les données sont sauvegardées chaque nuit vers un emplacement distinct du serveur principal (disque externe ou stockage distant selon la configuration client), chiffrées avant transfert. La sauvegarde est indépendante du pool ZFS.
Zéro surface d'attaque.
Réseau privé Tailscale
L'accès distant passe par un tunnel WireGuard géré par Tailscale. Le serveur n'écoute sur aucun port public : il est invisible depuis l'internet. Seuls les appareils autorisés, authentifiés par clé cryptographique, peuvent s'y connecter.
TLS natif
Nextcloud AIO génère et renouvelle automatiquement les certificats TLS (Let's Encrypt). Toutes les communications entre les appareils et le serveur sont chiffrées, y compris sur le réseau local.
Isolation des services
Chaque composant (Nextcloud, base de données, reverse proxy) tourne dans un conteneur Docker séparé. Une vulnérabilité dans un service ne compromet pas les autres.
Mises à jour silencieuses
Les mises à jour de sécurité du système sont appliquées automatiquement (unattended-upgrades). Les mises à jour Nextcloud sont déployées manuellement après validation, hors heures d'utilisation.
Alertes avant que vous le sachiez.
Santé des disques
SMART est activé sur chaque disque du pool. Des rapports hebdomadaires analysent les indicateurs de vieillissement (secteurs réalloués, température, heures de fonctionnement). Une alerte est déclenchée dès qu'un seuil est franchi, avant toute panne.
Intégrité du pool ZFS
Un scrub ZFS est planifié mensuellement. Il vérifie l'intégrité de chaque bloc de données et corrige silencieusement les erreurs détectées (via la redondance RAIDZ1) avant qu'elles ne deviennent critiques.
Disponibilité du service
La disponibilité de l'instance Nextcloud est vérifiée périodiquement. En cas d'interruption détectée, une alerte est envoyée immédiatement pour intervention rapide.
Espace disque
Un seuil d'alerte est configuré sur le remplissage du pool et du disque système. Vous êtes prévenus bien avant d'atteindre la saturation, avec le temps nécessaire pour agir.