KubeSecureBox – Cluster Raspberry Pi

Cluster Raspberry Pi – GitOps, monitoring & apps métier

KubeSecureBox est un cluster Kubernetes (K3s) sur Raspberry Pi. Chaque nœud est configuré avec Ansible (sécurité, réseau, kubernetes). GitOps (ArgoCD), monitoring (Prometheus, Grafana, Loki) et apps métier (pentesting, n8n). Accès distant via Tailscale. Document de référence aligné avec le repo GitOps et les composants déployés.

I. Infrastructure matérielle

• Raspberry Pi 4 (8 Go RAM) – Nœud maître (Kubernetes Control Plane) + hébergement du disque 4 To
• Raspberry Pi 5 (8 Go RAM) x2 – Nœuds workers (charge de travail, outils de scan)
• Disque dur 4 To USB 3.0 – Stockage des logs, rapports, données Prometheus/Loki, volumes NFS
• Switch Gigabit – Connexion réseau stable entre les Raspberry
• Box / Routeur – Internet local ; pas de ports exposés sur Internet
• Cartes microSD : SanDisk Extreme 64 Go (Pi 4), Samsung PRO/Endurance 128 Go (Pi 5 #1), SanDisk High Endurance (Pi 5 #2)
• 4 × Câbles Ethernet RJ45 Cat 6A S/FTP – 2 m (Digitus)
• Accès distant – VPN Tailscale (IP privées 100.x.x.x)

II. Orchestration & conteneurisation

• K3s – Orchestration (pods, services, volumes, ingress)
• containerd – Moteur de conteneur pour les pods

III. Stockage & volumes

• NFS (sur Pi 4) – Partage du disque 4 To avec les nœuds
• NFS Provisioner – Création automatique de PV/PVC à partir du NFS
• StorageClass – Provisionnement à la demande pour les apps
• PersistentVolumes (PV) / PersistentVolumeClaims (PVC) – Stockage durable dans Kubernetes

IV. Réseau et sécurité système

• OS – Ubuntu Server 22.04 LTS (64 bits) sur les Pi
• Tailscale – VPN chiffré : PC ↔ Pi 4 ↔ Pi 5 (100.x.x.x)
• UFW – Pare-feu : deny par défaut, règles explicites
• Fail2ban – Limitation des attaques SSH
• Auditd – Audit système bas niveau
• Lynis – Audit de durcissement des Raspberry Pi

V. Monitoring & alertes

• Collecte métriques : Prometheus (scraping), Node Exporter (CPU, RAM, disque, température, load par nœud), kube-state-metrics (état des objets Kubernetes)
• Logs : Loki (stockage et requêtes), Promtail (collecte des logs pods/nœuds → Loki)
• Visualisation : Grafana – Datasources Prometheus et Loki ; dashboards : KubeSecureBox Overview, Par nœud (Raspberry), Node Summary, Loki - Logs
• Alerting : Contact point Discord uniquement ; règles (groupe kubesecurebox-infra) : nœud down, Node NotReady, Pods Not Ready, RAM/CPU/disque faibles ou élevés, température > 75 °C, load élevé

VI. Automatisation & GitOps

• GitHub – Repo Git des manifestes (YAML, Kustomize, Helm)
• ArgoCD – Synchronisation Git → Kubernetes (sync auto, self-heal, prune)
• Sealed Secrets – Secrets chiffrés dans Git (déchiffrés par le controller dans le cluster)
• cert-manager – Certificats TLS (Let's Encrypt, DNS-01 Cloudflare)
• Ingress NGINX – Entrée HTTP/HTTPS et terminaison TLS
• CronJobs Kubernetes – Exécution planifiée des scans (selon les apps déployées)

VII. Accès et interfaces

SSH : local ssh nom_du_pi@192.168.1.X ; distant (Tailscale) ssh nom_du_pi@100.X.X.X

Interfaces web (HTTPS via Tailscale, cert-manager) :

• Grafana – grafana.kubesecurebox.com (dashboards et alerting)
• ArgoCD – argocd.kubesecurebox.com (GitOps)
• Pentesting – pentesting.kubesecurebox.com (outils de scan)
• n8n – n8n.kubesecurebox.com (automatisation)

VIII. App Pentesting

• Reconnaissance : Nmap, Enum4linux, Gobuster
• Exploitation : Hydra, John the Ripper, CrackMapExec
• Web : SQLMap, Nikto, WPScan
• Wireless : Aircrack-ng

Bénéfices

Liens du projet

Site vitrine : kubesecurebox.com

Code source (GitHub) : github.com/alexiss-organization-12 (repos kubesecurebox_*)