L’auto-hébergement d’outils de gestion de secrets comme Infisical offre un contrôle accru sur vos données sensibles et s’aligne avec les meilleures pratiques dans un environnement auto-hébergé. Ce guide vous accompagnera dans l’installation d’Infisical sur un VPS en utilisant Docker, en couvrant la préparation du serveur, la configuration de Docker et la sécurisation de votre déploiement.
Pourquoi héberger soi-même Infisical ?
Infisical est une plateforme open-source de gestion de secrets conçue pour les développeurs et les homelabs afin de stocker en toute sécurité des clés API, des tokens et d’autres données sensibles. L’héberger vous-même élimine la dépendance à des services tiers, améliore la sécurité et vous donne un contrôle total sur votre environnement.
Prérequis
- Un VPS avec une distribution Linux (Ubuntu 22.04 LTS recommandé)
- Un domaine (optionnel mais conseillé pour SSL)
- Compétences de base en ligne de commande Linux
- Accès root ou sudo sur votre VPS
- Docker et Docker Compose installés sur le VPS
Choisir un fournisseur VPS
Pour un hébergement rentable et fiable, envisagez des fournisseurs comme :
| Fournisseur | Prix (par mois) | Lien affilié |
|---|---|---|
| Contabo VPS | 5,99 EUR | Contabo VPS |
| Hetzner Cloud | 4,15 EUR | Hetzner Cloud |
| DigitalOcean | 6 USD | DigitalOcean |
| Vultr | 6 USD | Vultr |
| Linode | 5 USD | Linode |
Pour une comparaison complète des VPS, consultez /en/best/.
Étape 1 : Configurer votre environnement VPS
Se connecter à votre VPS
ssh user@your-vps-ipMettre à jour votre système
sudo apt update && sudo apt upgrade -yInstaller Docker et Docker Compose
sudo apt install -y docker.io docker-compose
sudo systemctl enable --now dockerVérifier l’installation :
docker --version
docker-compose --versionÉtape 2 : Préparer le fichier Docker Compose pour Infisical
Créer un répertoire pour Infisical.
mkdir ~/infisical && cd ~/infisicalCréer le fichier docker-compose.yml :
version: '3'
services:
infisical:
image: infisical/infasical:latest
container_name: infisical
ports:
- "3000:3000"
environment:
- NODE_ENV=production
- PORT=3000
volumes:
- infisical_data:/app/data
restart: unless-stopped
volumes:
infisical_data:Note : Remplacez l’image par la version stabile la plus récente du registre officiel si nécessaire.
Étape 3 : Démarrer Infisical
Lancer le conteneur :
docker-compose up -dVérifier s’il tourne :
docker psVous devriez voir le conteneur Infisical actif.
Étape 4 : Configurer le domaine et SSL (optionnel)
Utiliser un domaine et un certificat SSL améliore la sécurité. Vous pouvez utiliser Certbot avec Nginx comme reverse proxy.
Installer Nginx
sudo apt install -y nginxConfigurer Nginx
Créer un fichier de configuration /etc/nginx/sites-available/infisical :
server {
listen 80;
server_name your.domain.com;
location / {
proxy_pass http://localhost:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Faire un lien et activer le site :
sudo ln -s /etc/nginx/sites-available/infisical /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginxActiver HTTPS avec Certbot
sudo apt install -y certbot python3-certbot-nginx
sudo certbot --nginx -d your.domain.comSuivez les instructions pour la configuration SSL.
Étape 5 : Utiliser Infisical
Accédez à votre déploiement via https://your.domain.com. Vous devrez initialement créer un compte admin.
Ajouter des Secrets
Vous pouvez ajouter des secrets via l’interface web ou en ligne de commande, selon votre flux de travail préféré.
Tableau comparatif : Hébergement soi-même d’Infisical vs Alternatives
| Fonctionnalité | Hébergement soi-même d’Infisical | Gestionnaires de secrets managés |
|---|---|---|
| Contrôle | Contrôle total sur les données et l’environnement | Limitée, gérée par un fournisseur tiers |
| Coût | VPS à partir de 4,15 EUR à 6 USD par mois | Généralement basé sur un abonnement, coût plus élevé |
| Personnalisation | Très personnalisable avec Docker et configurations serveur | Options de personnalisation limitées |
| Sécurité | Dépend de la configuration utilisateur, mais peut être hautement sécurisé | Souvent conforme, moins de contrôle utilisateur |
| Maintenance | Utilisateur responsable des mises à jour, sauvegardes, correctifs de sécurité | Fournisseur gère la maintenance |
FAQ
Comment garder Infisical à jour sur mon VPS ?
Vous pouvez mettre à jour Infisical en tirant la dernière image Docker et en redémarrant le conteneur. Utilisez :
docker-compose pull
docker-compose up -dAutomatisez les mises à jour via une tâche cron ou une pipeline CI/CD si vous le souhaitez.
Quelles sont les bonnes pratiques pour sécuriser mon Infisical auto-hébergé ?
Mettez en place HTTPS via des certificats SSL, restreignez l’accès avec des firewalls (iptables, ufw), changez les ports par défaut si nécessaire, et activez l’authentification à deux facteurs si supporté. Faites également des sauvegardes régulières de votre volume de données.
Puis-je faire tourner Infisical derrière un reverse proxy ?
Oui, déployer derrière Nginx ou Traefik améliore la sécurité et permet la gestion SSL. Une configuration appropriée garantit un accès sécurisé et fluide. Les routes peuvent être personnalisées pour plusieurs services si besoin.
Conclusion
L’auto-hébergement d’Infisical sur un VPS offre une solution robuste et privée de gestion des secrets, idéale pour les développeurs et passionnés de homelab. La mise en place est simplifiée avec Docker, et la sécurisation de votre déploiement suit les bonnes pratiques standard. Soyez proactif avec les mises à jour et les sauvegardes pour maintenir la sécurité et la stabilité.
Pour plus d’outils et configurations auto-hébergés, visitez /en/best/ et plongez dans la communauté self-hosted sur r/selfhosted et awesome-selfhosted.