🏛️ PLAN D’ADRESSAGE IP FÉDÉRÉ – VERSION 3 (2025)
🌍 Vision globale
Le modèle d’adressage de la Fédération repose sur deux espaces RFC1918 distincts et complémentaires :
-
CLASSE A (10.0.0.0/8) — Réservée à l’usage interne de chaque fédéré.
Non routée entre membres, elle constitue l’infrastructure locale, les tenants et les environnements de production isolés. -
CLASSE B (172.16.0.0/12) — Dédiée à la Fédération.
Routée exclusivement via VPN, elle relie les membres, leurs services exposés et leurs tunnels d’interconnexion.
Cette approche permet à la fois :
-
une indépendance complète entre les infrastructures locales ;
-
une interopérabilité maîtrisée entre membres ;
-
et une évolutivité illimitée par ajout progressif de fédérés, sans chevauchement IP.
🧭 Principes directeurs
-
Souveraineté locale : chaque fédéré administre librement son espace interne (10/8).
-
Interopérabilité contrôlée : les échanges passent uniquement par la couche fédérative (172.16/12).
-
Uniformité structurelle : un modèle d’adressage cohérent simplifie l’orchestration, la supervision et la gouvernance.
-
Évolutivité : aucun plafond théorique au nombre de fédérés ; seule la topologie VPN limite la densité des interconnexions directes.
🧱 Classe A – Espace interne (10.0.0.0/8)
Zone commune standardisée : 10.0.0.0/12
Structure identique pour tous les membres ; elle assure une interopérabilité complète entre fédérés.
| Sous-réseau | Usage | Exemples de services |
|---|---|---|
| 10.0.0.0/24 | Management | NTP, Bastion, Ansible, Proxmox, Backup |
| 10.0.1.0/24 | Plateforme | PostgreSQL, Redis, Traefik, PowerDNS |
| 10.0.2.0/24 | DNS Publics | ns1, ns2, Recursors |
| 10.0.3.0/24 | Monitoring | Icinga2, Grafana, Loki |
| 10.0.4.0/24 | Gouvernance | Forgejo, Wiki, IPAM |
| 10.0.5.0/24 | Authentification | Keycloak, LDAP, SSO |
| 10.0.10.0/23 | Internes | Outils spécifiques |
| 10.1.0.0/16 | Mutualisés | Backups croisés, forges miroir |
| 10.2.0.0/16 | Réservé | Expansion future |
Zone libre (tenants) : 10.16.0.0/12
Réservée aux tenants internes ou multi-tenants.
Chaque tenant reçoit un /20 (≈ 4 096 adresses).
| Tenant | Code | Bloc /20 | Description |
|---|---|---|---|
| Chezlepro | CLP | 10.16.0.0/20 | Fédéré maître (Tenant 0) |
| Technolibre | TNL | 10.16.16.0/20 | Partenaire fédéré |
| FACIL | FCL | 10.16.32.0/20 | Organisme d’utilité sociale |
| ÉTS | ETS | 10.16.48.0/20 | Institution académique |
| District16 | D16 | 10.16.64.0/20 | Communauté locale |
Découpe intra-tenant
| Couche | Sous-réseau | VLAN | Description |
|---|---|---|---|
| C5 – Données | base+0 (/24) | 150 | PostgreSQL, Redis |
| C6 – Middleware | base+1 (/24) | 160 | API, Traefik |
| C6a – Auth | base+2 (/24) | 165 | Keycloak, LDAP |
| C7 – Applications | base+4–5 (/23) | 170 | Nextcloud, ERP |
| C8 – Cognition | base+6 (/24) | 180 | Ortrux, LLMs |
Convention VNI (VXLAN/EVPN)
Chaque VLAN peut être réutilisé chez tous les fédérés.
L’unicité est garantie par le VNI, calculé ainsi :
VNI = (tenant_id × 10 000) + VLAN
Exemple : Chezlepro (ID 11) – VLAN 170 → VNI = 11170
🌐 Classe B – Espace fédératif (172.16.0.0/12)
Blocs membres : 172.16.0.0/14
Chaque membre reçoit un /20 (≈ 4 096 adresses) pour ses services exposés à la Fédération.
| Bloc /20 | Membre | Usages |
|---|---|---|
| 172.16.0.0/20 | Chezlepro | DNS, VPN, Monitoring, Backup |
| 172.16.16.0/20 | Technolibre | Idem |
| 172.16.32.0/20 | FACIL | Idem |
| … | … | … |
Allocation interne
| Adresse | Rôle |
|---|---|
| .10–.11 | DNS primaire / secondaire (AXFR) |
| .20 | Endpoint VPN |
| .30 | Endpoint Monitoring |
| .40 | API fédération |
| .50 | Endpoint Backup |
| .60 | Forge miroir |
Tunnels VPN : 172.20.0.0/16
Réservé aux interconnexions point-à-point entre membres (blocs /30).
Exemples :
-
172.20.0.0/30 → Tunnel Chezlepro ↔ Technolibre
-
172.20.0.4/30 → Tunnel Chezlepro ↔ FACIL
Chaque fédéré peut entretenir jusqu’à ~256 tunnels directs (soit l’espace complet du /16).
Mais le nombre de fédérés est illimité, grâce aux topologies mixtes :
-
Full-mesh (connectivité maximale, limitée par les ressources VPN)
-
Hub-and-spoke (liaisons centralisées autour de quelques nœuds pivots)
-
Overlay VXLAN/EVPN (tunnels encapsulés sur backbone fédératif)
🔐 Isolation et routage
| Classe | Routage | Usage | Politique |
|---|---|---|---|
| 10/8 | Non routée entre membres | Interne | NAT/pare-feu stricts |
| 172.16/12 | Routée via VPN | Fédération | Communications inter-membres |
| VXLAN (VNI) | Overlay L2 | Tenants | Isolation totale multi-site |
Chaque fédéré ou tenant dispose d’une VRF dédiée, assurant la séparation logique complète des contextes réseau.
🧩 Gouvernance et cohérence
Objectifs
-
Maintenir une architecture reproductible d’un fédéré à l’autre.
-
Faciliter le déplacement ou la réplication d’un tenant entre fédérés.
-
Préserver la sécurité et la traçabilité du routage inter-membre.
-
Soutenir la résilience collective par maillage progressif.
Règles de nommage DNS
Format universel :
<service>.<couche>.<tenant>.<domaine_fédéré>
Exemples :
-
cloud.app.clp.chezlepro.ca -
heimdall.auth.fcl.facil.quebec
📊 Capacité et évolutivité
| Élément | Capacité |
|---|---|
| Fédérés | Illimité (aucune contrainte d’adressage) |
| Tunnels directs | ≈ 256 par fédéré (limite du /16 pour les /30 P2P) |
| IPs internes par fédéré | 16 777 216 (Classe A complète) |
| Tenants par fédéré | Illimité (limité par ressources physiques) |
| VNI possibles | > 16 millions |
| VLANs locaux | 4 094 (réutilisables entre tenants) |
🏁 Conclusion
Ce plan d’adressage IP fédéré v3 établit une base stable, claire et extensible :
-
Aucune limite au nombre de membres de la Fédération.
-
Maillage progressif par VPNs, VXLANs ou interconnexions hiérarchisées.
-
Uniformité de structure favorisant la portabilité et la collaboration.
-
Gouvernance technique commune sous l’égide de l’Alliance Boréale.
💠 Ce schéma est la pierre angulaire de la souveraineté numérique partagée :
une Fédération sans centre, mais avec une cohérence.