¶ Intro / Opening
Guilhem LettronBonjour à tous et à toutes. Bienvenue dans un nouveau numéro de Devobs. Aujourd'hui on va avoir un numéro spécial, entièrement dédié au bootstrapping déjà. Qu'est-ce que c'est que le boostrapping ? Et comment on s'en sort avec tout ça ? Autour de la table donc nous sommes cinq.
¶ Introduction au Bootstrapping
moi c'est Mathieu que j'ai bec, que je bosse chez S3ns, je suis lead SRE, ben sur les parties bas niveau, si c'est une exploitation, stockage et puis un peu matériel, de manière générale. Cécile Morange, moi je suis indépendante dans les sujets systèmes, réseaux, data center et tout ce qui est gravitede ce ce ce merveilleux univers.
Moi c'est Loïc Blot, je travaille chez Exoscale qui est un club suisse. Je suis dans la sur la partie plateforme et sur l'offre manager Kubernetes qui s'appelle SKS.
Barthélémy Vesmont, je suis également chez S3ns, l'équivalent d'un staff SRE Lead et en ayant travaillé sur la partie KaaS notamment, mais en vrai je suis là depuis le tout début du projet donc la partie boots trap j'y ai activement parti de s3ns, qui est une co-entreprise entre Thales et Google qui a l'objectif et l'ambition de construire Google Cloud, sur le sol français par des équipes françaises avec un ownership complètement français.
Guilhem LettronEt alors moi donc Guilhem Lettron et je travaille chez Akamai et akamaiConnected Cloud anciennement Linode, Et je travaille notamment sur toute la partie Kubernetes, tout ce qu'on appelle le cloud nativedonc les offres aussi bien publiques que interne, tour de Kubernetes.
Alors vous avez vu autour de la table on a quand même pas mal de gens qui travaillent dans le monde du cloud, aussi bien très bas niveau, en construction ou très haut niveau avec des offres déjà existantes et c'est une question qui revient souvent c'est comment on fait pour partir de zéro et comment on fait pour construire un cloud. Toujours une problématique, quels sont les choix du logiciel, quels sont les choix de l'architecture disponible et nécessaire.
¶ Débuter avec le Bootstrapping
Moi la question en fait un peu que je me pose et c'est si jamais demain je vous donne un data center, un peu jeu de rôle en fait voilà ça va être un premier podcast des en jeu de rôle c'est demain je vous donne un data center donc on va dire qu'il est au bon endroit, il y a l'électricité, il y a la ventilation, il y a tout ce qu'il faut dedans, Et je vous mets des racks à la limite les machines, vous en mettez autant que vous voulez, vous avez machine illimitée et vous avez du réseau,
Maintenant je vous dis à partir de ça, comment on fait pour avoir une offre bah une offre pertinente, une offre de haut niveau à destination des clients, aussi bien interne qu'externe parce que voilà ça peut être aussi pour des gens qui se lancent dans une entreprise quelconque et qui ont besoin d'un, d'une offre cloud interne, de quoi vous auriez besoin, quelles sont les questions que vous allez vous poser et que sans doute vous avez déjà répondu dans votre expérience.
Alors je vais partir du principe que on donc on a on va rajouter une zone par exemple sur un club probablement existant. Alors, Chez Exoscelle chaque zone est totalement indépendante hein, c'est prévenu contractuellement, il y a pas de partage de données entre les zones, Donc à chaque fois qu'on se pogne une zone, on repart de zéro. la première chose à monter pour moi au sens physique et début de logiciel c'est un out of band,
Parce que chez nous, l'objectif premier, c'est d'avoir accès à distance. On travaille tous à Henri Moat, il y a personne qui bosse dans un data center directement. Donc l'objectif, c'est d'arriver avec des premières machines qui vont permettre d'accéder à l'ensemble du vrai cloud qui est derrière,
Donc là effectivement on aura deux connectiques réseau, on aura la vraie connectique cliente mais on aura aussi cette fameuse connectique de secours qui a négocié avec notre data center et à partir de là on aura quelques machines qui vont servir à à se câbler aux fesses de tous les équipements physiques existants Pour pouvoir tout manager.
Guilhem LettronOkay et donc ça c'est des choses qui sont prêts à installer vous avez donc un un ben en fait c'est presque un micro cloud en fait là que vous avez besoin de toutes ces machines qui sont sur la out of band.
C'est très simple, c'est vraiment très simple, c'est le but c'est que ce soit le plus rudimentaire possible et le setup généralement il est pas fait physiquement sur place, il est préparé, au niveau de ben du l'entité mer à Lausanne et après ensuite il est chipé au data center et puis les équipes datacenter montent ce début.
Guilhem LettronEst-ce que vous voyez d'autres choses.
¶ Accès et Réseaux Initiaux
Globalement ouais c'est à peu près ce que t'as dit la première étape c'est avoir accès aux machines et pour ça bah résoudre et faut rester le plus simple possible un accès tout simple et c'est sage et c'est bon tant que t'es assis au maxime accès aux machines, après tu peux commencer à faire la suite, donc faut quand même que t'as un premier réseau,
le réseau principal mais que ton réseau secondaire, le réseau d'admine on va dire en quelque sorte qui sert qui servait à un camp d'interne qu'aux équipes qui eux vont déployer les OS ou les Q ou, les installations des machines quoi. Mais il faut déjà aussi que ben t'as un réseau donc ça veut dire switch routeur déjà donc une équipe réseau qui est travaillée sur le réseau avant même de travailler sur le réseau de prod qui lui va ou le trafic client va passer.
Et ce et ce ce réseau il va servir uniquement pour l'administration à ce moment-là où il sera prêt. Enfin c'est-à-dire en gros je suis branché à quoi? Je suis branché, Vraiment la machine où je suis branché au dirac, aux choses comme ça, au au logiciel de de gestion de la machine. C'est en fait à quoi à quoi il va me servir après ce réseau.
L'ostomande, le principe, c'est que si ton réseau de prods il tombe, tu es quand même backdor entre guillemets pour que t'aies la main sur le routeur et que tu puisses remonter ton réseau, Et généralement sur les autobandes on va mettre bah les les îlots des machines, pas directement du réseau classique. C'est vraiment juste pour accéder aux accéder aux îlots et lancer la première install, ta machine avant de faire la suite.
Donc en gros j'ai accès par derrière à un peutout ce qui se passe donc c'est un réseau quand même assez assez triqué quoi. Un réseau important qu'il faut quand même sécuriser un minimum parce que ben si tu te fais pirater ce réseau-là, ça devient compliqué quoi. Et donc okay donc là on a donc quelques machines qui sont déjà installées, qui sont donc pré-approvisionnées et mises avant,
Après qu'est-ce que qu'est-ce que je fais? Qu'est-ce que qu'est-ce que je fais de tout ça? Donc okay, j'ai accès aux machines, j'ai accès au j'ai accès solution via cet out of band.
Après là t'as plusieurs méthodes, soit tu y vas classiquement tu mets ton ISO, t'installes ta machine, soit tu fais ça un peu en mode automatisé, un coup de PXE comme ça tes tes os ils s'installent automatiquement, Le mieux c'est quand même de faire du plexus surtout si t'as beaucoup de machines à déployer comme ça ils s'installent tout seul, elles remontent dans le réseau c'est bon t'as accès fini quoi tu passe à l'étape suivante installée cube, installer le logiciel tout ça,
Ça c'est la méthode la plus automatisée possible. après bah en parallèle il va falloir monter le réseau de prod qui lui va faire donner va va faire passer les données clientes, Ben du coup ben le réseau principal quoi, pas le. C'est deux choses à faire en parallèle.
Je vois tous les ingénieurs hardware qui sont en train de crier de crier dans leur chaumière, Parce que on nommait complètement la partie du matériel. Aujourd'hui on avait peut-être trois machines ou suffisamment de de serveurs VPN, de bastion SSH pour faire tourner la, mais mais c'est pas magique le PXE, on peut pas juste raquer des machines, il va falloir travailler un inventaire, alors soit l'inventaire il est,
On connaît les machines à l'avance. Hum. Parce qu'on les a saisies donc ça veut dire qu'on a un serveur d'inventaire quelque part, Voilà, d'un seul coup, on a une petite pastille qui vient d'arriver. Ou alors on peut avoir aussi alors un inventaire qui est dynamique, c'est-à-dire qu'on se prend on part du principe que les machines ne sont pas connues au démarrage et on va les découvrir au fur et à mesure qu'elles s'allument et les ajouter,
à la volée dans l'inventaire. Mais il faut quand même un inventaire. Ensuite le PXE faut l'installer mais est-ce qu'on l'installe sur le réseau à, Ou est-ce que on va l'installer à cheval entre plusieurs réseaux, par exemple et parler d'un réseau de BMC qui peut être différent de celui il peut juste exister pour accéder à certaines ressources en particulier et pas forcément.
¶ Gestion des Inventaires
Les machines du parc, voire toutes les BMC du parc et servir absolument parce qu'en plus on va avoir des machines,
qui vont potentiellement être en DMZ donc on veut pas forcément avoir la qui va être sur toutes les segments de notre infrastructure en parallèle. Donc on peut avoir on peut déjà segmenter le réseau voire même, Plus que le segmenté c'estuniquement le lui donner certaines prérogatives sur les accès, les VPN, sur cette fameuse machine qui va servir à faire du du provisioning et une fois qu'on a ça, le Provisionning va et l'inventaire,
Et ensuite, une fois qu'on a débloqué ces deux, trois petites features, on peut commencer à attaquer la suite.
¶ Préparation et Gestion des Identités
Après j'ai on parle enfin là on a parlé de on va dire du service de de de déploiement à coup de PXE et cetera service minimum. Ce qu'il y a c'est que même avant de hum avant de déployer une machine, il y a peut-être de la préparation à faire, La préparation typiquement là on parlait de enfin de ou d'annuaire, d'inventaire, il y a une partie gestion des identités aussi
C'est-à-dire que je vais peut-être générer des certificats donc une PKI pour pouvoir authentifier mutuellement mes machines, enfin en configurer des TPM et cetera, Donc quelque chose qui est important aussi c'est avoir une solution de bécail qui marche tout de suite, une une gestion d'annuaires, une gestion d'identité pour pouvoir ensuite,
configurer le déployeur automatique en mode PXE avec les les bons A7 et déployés directement. C'est un peu ce que fait en fait Microsoft avec active et, Quand on monte à un data center de Windows, Microsoft entreprise, c'est d'abord on déploie AD, dans AD, il y a DNS, annuaires, DHCP, il y a identité, il y a tout, et ensuite, peut déployer, peut déployer des choses. Ça c'est c'est quelque chose qui est assez important parce que c'est le socle de de toute activité en fait.
On on voit un peu pointer du nez là avec ton exemple de de Microsoft une espèce de micro control plane ou de noyau de contrôle plane qui servirait, À la base, avant même qu'on ait des machines à gérer, des identités à gérer éventuellement bah des profils, des annuaires, des des choses et ce truc-là va nous servir peut-être à ce poney d'autres types de contrôle qui vont être plus spécialisés et qui vont s'appuyer sur ces features-là
Et ça c'est un modèle qui est pas forcément hyper répandu et qu'on voit dans très peu petite même de moyenne ou grande entreprise qui n'est pas du tout.
Ouais ça ça me fait penser un peu à ce qu'on appelait undercloud chez certaines distributions open stack, style rédash payant à l'époque et cetera, C'est un peu ça déployer un un noyau monomacchine où il y a tout dessus, un peu all in one, ce qui permet ensuite de de déployer euh des choses euh beaucoup plus importantes à côté.
Guilhem LettronOuais parce qu'en plus enfin tu disais tout à l'heure bon ben il nous faut le réseau ceci, il nous faut le réseau cela et cetera. Alors c'est quoi? C'est un gars à la main qui va sur des interfaces sur tous les routeurs du du parc pour configurer des route.
Il y a déjà un énorme travail de découpage du réseau à l'avance avant même d'arriver dans le décès, il faut qu'on ait une espèce de cartographie sur ce qu'on veut faire, Comment on va le faire? Et ce travail-là il prend du temps. Enfin en tout cas, chez nous, il a pris du temps. Je sais pas chez vous. le côté PKI, établir c'est les différentes branches de la racine des racines
Est-ce qu'on fait une racine par data center ? Est-ce qu'on fait une racine globale ? Comment on se débrouille ? Tout ça c'est des choix qui doivent être faits a priori, Avant même de poser les pieds parce que quand on va commencer à créer les certificats, les SSH, les machines. Mais ça c'est de la partie design, c'est des trucs que avant même que tu choisisses le c'est des choses que t'as désigné, décidé.
¶ Racines et Environnements
C'est on est voilà c'est des choix qu'il faut faire qui sont structurants mais qu'il faut faire dans tous les cas avant et c'est vraiment une grosse, préalable au bout de qui est de, D'être un peu visionnaire sur l'utilisation de l'usage et c'est là en général où quand on va faire une erreur ou qu'on va se planter ou qu'on va se dire c'est pas si pratique que ça, ça va être assez cool Donc moi moi ma grande question pour Exoskill c'est,
Comment vous gérez vos racines et est-ce que vous avez une racine comme vous vous avez vos environnements qui sont très isolés, comment comment c'est c'est c'est fichu.
Je vais pas pouvoir beaucoup répondre à ça, ça fait que deux mois que j'y suis, je je sais qu'on a du volt avec toute la PKI. Pour moi, il est global à toutes les AZ. C'est c'est un cas un peu particulier de partage, effectivement, et toutes nos ils passent pas.
Guilhem LettronEt sur les choix enfin c'est est-ce qu'il faut faire des choix justement à dire une fois pour toute ou est-ce que tu te dis dès le début je vais faire des erreurs et donc il me faut quelque chose qui soit dynamique.
Sur la PKI se planter ça veut dire tout refaire. Donc c'est assez c'est enfin c'est assez tendu quoi.
Guilhem LettronVraiment ça parce que enfin en théorie, enfin moi en tout cas là quand quand je réfléchis à chacune et il y a toujours des règles pensées à la rotation,
¶ Cycle de Vie et Migration
Et la rotation s'est littéralement changer quelque chose en fait, c'est-à-dire que rien n'est immuable et je pense dès que je le fais, à la manière dont je vais le changer, juste parce qu'il va falloir faire une rotation. Mais je pensais même aux machines
on a déjà été dans des contextes de boîte avant où les machines bougeaient de contexte en eau, c'est-à-dire que une machine elle pouvait commencer sa vie en étant un contrôle plain de je sais pas quoi, elle est enlevée, elle sert après à un autre contexte et donc elle va migrer comme ça de réseaux en réseau Et donc est-ce que il y a besoin de tout raquer dès le début en disant bon ben cette pâte-là c'est tel VLAB tartan pion ou est-ce que cette machine elle va bouger
Et je vais pouvoir la réaffecter et se dire pourquoi pas euh.
C'est une très bonne question, elle est en touche du doigt un petit peu la mission technique qu'on fait porter sur le mas donc il y a une brique, la brique logicielle qui est là justement, En interface avec ce qui est rentré dans cet inventaire ou dans cette CMDB Et qui va ensuite nous permettait nous nous permettre de piloter les les machines et le masque c'est le métal a the service, donc c'est la stack fameux stack PXE,
En général elle est un peu plus intelligente, elle permet de définir des profils de machine, de sponer des machines, de sponer des OS, éventuellement aller jusqu'à la configuration de dynamique d'AS, par exemple,
On va pouvoir dire cet OS là, je veux qu'il ait le réseau X, Y, Z de bronché et on va se retrouver avec un OS directement configuré avec les bons Velan dans son fichier, je sais pas, systemD / networkD. Ce genre de choses-là qui sont on est capables de le faire, on peut capable, on est capable de lui,
En gros de piloter tout le fichier Cloudinit ou ignition ou peu importe ce genre de choses-là et c'est la cette stack logiciel-là qui va aller tamplétiser hein grosso modo ces fichiers et au moment du bout de la machine sur le réseau lui passer toutes les informations.
En fait ce qui est important c'est c'est en fait il faut un outil de cycle de vie, de gestion, de cycle de vie du matériel, c'est-à-dire je sors du carton une machine, je la raque, je la branche, je l'allume, faut qu'elle soit découvrable, ensuite je décide de de ce que j'en fais en fait,
Donc il faut piloter à la fois ben la carte contrôleur, la la fameuse BMC de la machine pour pouvoir l'allumer, l'éteindre. Mais il faut aussi être en mesure de configurer configurer le réseau qui avec, C'est-à-dire que je vais peut-être la mettre d'abord dans une zone de quarantaine parce que je vais faire un test, un test de charge, je vais voir si les aliments elles cassent pas, si le processeur il tombe bien, peut-être la faire chauffer un peu pour être sûr,
ben que qu'elle sait qu'elle est disponible et prête prête à la prod et ensuite j'ai sûrement la basculé dans une zone de métier. Mais si je la bascule dans une zone métier, c'est-à-dire que je vais changer l'OS qui est dessus, Pas l'irriguer de la même façon niveau réseau, niveau c'est peut-être à ce moment-là que je vais lui envoyer des certificats, ce genre de choses Doncle cycle la gestion du cycle de vie c'est pour le serveur mais c'est aussi pour la fabrique réseau en fait qui est autour.
Hum hum. Exactement et là et là tu viens de toucher un truc super important la fabrique réseau, Si elle est pas pilotable, si elle a pas été designée à l'origine pour être pilotable, ça veut dire qu'on a on a des gens au moment avant même qu'on pose les pieds, on va au moment où on configure les switchs, les routeurs, On va dire que le Port-X c'est le Y,
Et ça, à partir du moment où on on a un mapping statique, des ports, des veillanes et qu'on a une cartographie qui est trop statique, on peut plus opérer notre décès de manière, dynamique tout simplement, ce choix-là, c'est un choix structurant. Si tout le décès si on peut pas piloter le et qu'on a pas de SDN et que on est pas capable de changer dynamiquement la topologie du réseau, On pourra pas on pourra pas être flexible dans notre dans nos opération.
Guilhem LettronEt les solutions parce que là on est on a parlé masque, on a parlé et cetera, des solutions concrètes qui existent, ça existe ou pas? Parce que si jamais c'est juste dans le monde des idées et que ça existe que chez hum. Ça existe mais c'est un grand débat, la l'automatisation réseau ça a toujours été un grand débat. Et pourquoi enfin c'est quoi les les problématiques là par rapport à ça.
Ben faut que déjà ton réseau soit enfin dès que tu crées ton réseau faut qu'il soit designé day one pour être automatisable et pilotable puis tu lui mets pas day one c'est mort.
¶ Automatisation et Pilotage
Et c'est quoi qui est automatique? Enfin vraiment concrètement c'est quoi il faut exhauster le un Cisco, un Juniper. N'importe quoi qui qui sait parler de l'un de enfin chaque constructeur a sa petite sauce pour que tu puisses lui parler que ce soit de l'antibel, du piton, enfin ils sont plusieurs possibilités. Mais en gros c'est pouvoir changer de dynamiquement la configuration en un fichier quoi c'est tu changes ton fichier.
Par exemple moi je connais plutôt celui Ansible où bah tu fais ton tu dis ton port, t'as ta liste des ports, tu dis c'est machin, tu et puis ben ça change dynamiquement la configuration quoi vraiment faut que ça soit pilotable comme ça quoi.
C'est pilotable, c'est pas forcément dynamique.
Moi je voulais revenir sur l'aspect dynamique parce que du coup ça va dépendre de l'offre cloud qu'on a, C'est-à-dire que si ton offre Claude elle ne fournit pas de bar métal au client c'est pas forcément nécessaire, C'est-à-dire que si t'as comme un Amazon ou un Exoskel c'est-à-dire qu'il y a une machine qui est désignée
Avec un gabarit et que ce que tu vas donner c'est des morceaux de cette machine, c'est ce qu'on appelle des profils hein au final dans ces machines ben ton réseau en fait sous-jacent il va pas bouger, c'est que du logiciel qui va être sur ton hyperviseur ou sur ta ton stockage qui va bouger
Et du coup ben ton réseau physique, oui tu vas l'appliquer avec de ou tout autre outil d'automatisation peu importe mais en fait c'est la partie intelligente elle sera au-dessus de ce réseau et tu ne le verras plus.
Okay donc en gros t'as un ton comment on appelle ça? Ton underler et de veau il est unique, il bouge pas et l'intelligence réseau dynamique tu la fais par-dessus c'est un petit peu encapsulé quoi.
C'est ça, comme avec du Vislam ou des d'autres technologies.
Guilhem LettronOn pourrait même imaginer des zones d'ailleurs qui bougent pas hein, enfin c'est c'est tu pourrais tu enfin il y a il y a deux manières toujours de de penser quelque chose, soit on le pense de manière dynamique et on va le mettre à jour, sans le penser de manière bah inimitable quoi, Très bien de te dire bon ben voilà telle zone elle a genre deux-cents serveurs et voilà le jour où j'ai besoin de plus de serveurs ben je fais une nouvelle zone,
serait même potentiellement possible en fait avec un certain design et en fait se dire bon ben cette zone-là elle est au design de référence un, deux, trois, en fonction de littération qu'on y a fait dessus, mais ce serait tout à fait possible maintenant, Moi là sur le réseau je reviens, je suis très ben je suis très déçu, j'ai même pas entendu parler de Sonic.
¶ Solutions Open Source et Infrastructure
Alors c'est vrai qu'il y a Sonic alors je t'avoue que moi j'ai jamais testé euh il faut que c'est dans ma truc à tester mais euh ça me paraît prometteur hein faut vraiment que je teste que je m'exerce avec. Sonic on rappelle ce que c'est? C'est un OS open source si on peut dire ça, pour du réseau et du coup on veut, t'as certains hardware, tu peux choisir ton OS et tu peux mettre Sonic dessus, entre autres Il y a eu cumulus qui a été racheté par c'est ça c'est cumulus.
Ouais il y a eu ça à un moment, ouais je crois ouais. Mais c'est en fait en gros c'est toutes les tous les gros switch slash routeur parce que en fait la différence entre les deux est devient de plus en plus compliquée dessus.
En fait ils arrivent avec des gros ASIC complètement propriétaires sortis d'usine qui font un peu papa maman sur toutes les câbles réseau et en fait à chaque fois ils viennent avec et Sonic le but c'est d'avoir un OS vraiment open source et surtout en fait plus que l'OS les EPI, Pour faire en sorte de configurer euh chacun de ces Asiques-là,
Et en fait après d'avoir une fabrique réseau et cette fabrique elle va reposer sur Sonic et donc cette fabrique tout en haut, c'est celle où on va dire bon ben telle machine tu deviens un load de balanceur bon ben hop je trunk tous les tous les porcs et hop t'as énormément de réseau pour aller de tel endroit à tel endroit, et donc après le but c'est comment piloter parce que t'avais parlé d'Antibes mais,
Comme disait Barthe c'est c'est c'est c'est c'est tu la une fois et puis après bon ben voilà c'est là c'est très très c'est c'est de l'instanciation c'est pas vraiment du dynamique dedans mais voilà. Il y a il y a tout le temps ce choix entre les deux dynamiques versus un sens sensation.
D'ailleurs moi je je posais la question quand tu fais de l'antibel dans des cadres comme ça mais c'est du cadre réseau mais en vrai ça pourrait être le cadre de la configuration de ou du enfin de n'importe quoi qui applique, Quel est l'élément qui en ce temps-ci, qui lance la commande? Alors pour l'autobande c'est à la main.
¶ Configuration Manuelle et Dépannage
C'est-à-dire que c'est quelqu'un qui vient avec son laptop, qui se branche sur un port spécifique. Ben de toute façon pour la première configuration où il était obligé faut être obligé d'être sur place, se connecter en céréales, faire des premières configurations ben tu peux tu peux pas avoir un réseau qui se tout seul une configuration qui se pogne automatiquement.
Guilhem LettronSi c'est possible tu aurais tu aurais pu avoir du LORA avec du sigfox. Ouais je suis pas encore assez échelle là mais.
Dans le monde de l'embarquer tu fournis toutes tes configurations à ton fournisseur, à ton fabricant et en gros le.
Mais ça ça veut dire que t'as t'as un un intégrateur moi je je connais un intégrateur où littéralement il livre les baies en entière de pré-configuré, pré-câblé, t'as juste à brancher ta fibre de sortie et tout est vrai quoi, mais ça ça c'est possible. Mais ça veut dire que c'est quelqu'un d'autre qui l'a fatale la, Mais t'as forcément au tout début t'as forcément une petite main qui est passée par là pour mettre la première configuration à la première graine de ton réseau quoi.
Sur enfin les matériaux fiscaux et autres on peut très bien sortir enfin à l'époque quand quand j'en faisais on pouvait sortir la la carte mémoire préconfigurée des fichiers dessus, et ensuite ben recopier la carte mémoire et puis les la mettre.
Tu peux le faire ouais c'est de la clé USB aujourd'hui 4000 euros elles sont à l'intérieur elles sont soudées mais tu peux faire ça avec des clés USB, des clés USBfaites exprès où du coup tu butes la tu boucles la machine, elle va choper ce qu'elle espère et se configurer toute seule.
¶ Outils et Dépôts d'Artefacts
Guilhem LettronEt okay donc là en fait on a un masque, d'ailleurs les solutions de masse on en a pas parlé, qu'est-ce qui existe?
Alors je sais pas trop en open source moi je connais Canonical MaaS, on a Tinkerbell, On a.
Ironic.
Guilhem LettronEt puis après même euh toutes les solutions à base d'ironic hein parce que Metal Cube euh et cetera et justement on va.
Metal Stack des Allemands là qui qui font aussi ça.
Guilhem LettronDonc et donc justement d'ailleurs enfin là quand on parle d'Ironic donc Ironix, solution de MaaS tant openstack what the point genre c'est quoi on il nous faut d'abord un open style, il me faut il me faut d'abord.
Moi j'ai Thinker Bell qui est un aéronique sur cube, même combat. C'est comment on a un premier cube.
En fait ce qu'il y a c'est Ironic qui la demande, c'est-à-dire qu'il y a un mode intégré dans openstack où il va consommer les API d'openstack keystone Glance et cetera et il a aussi un mode standalone, c'est-à-dire que on l'installe, tout seul, Et il est autoporté et on peut ben le configurer directement. Ce qui permet justement de ben faire un premier déploiement par exemple sans sans avoir on va dire à traîner ben traîner toutes les briques opensacs qui sont derrière quoi.
Guilhem LettronOkay donc là j'ai ce premier ironique on va dire, maintenant de quoi j'ai besoin. Voilà. J'ai mon PXE, j'ai mon PXE qui marche qui arrive à mettre des veilans sur des ports, Je sais faire ça. Le but à la fin quand même c'est que j'ai des développeurs qui arrivent à déployer leur application. Est-ce que je leur donne ce PX là? Je leur donne le masque et je leur dis démerde-toi avec ou qu'est-ce qui se passe après quelle est la deuxième étape que je vais avoir besoin, dedans.
¶ Stratégies Air Gap et Sécurité
C'est souvent là où t'as l'oeuf et la poule, généralement c'est sur cette étape parce que tu vas quand tu vas produire ton logiciel pour ton cloud ben t'aimes bien être foodé souvent, Et c'est le moment où t'as produit du logiciel et t'arrives plus à revenir à cet état où comment je fais quand j'ai pas encore le logiciel,
Donc il y a plusieurs solutions, alors je je je n'ai pas exactement la solution que nous on utilise parce que j'ai pas encore le goût de frapper de zone mais j'ai une vague idée. La première c'est que tu utilises une zone existante parce que ben t'existes déjà en tant que cloud et tu tu fais une fake zone dedans,
Et tu plogues ton autre zone dedans pour commencer à booster tes hyperviseurs, ton stockage qui va se connecter via un VPN quelconque hein, tu vas tricher un peu sur les règles au début et tu vas être obligé à un moment. Pouvoir ta première stagne donc où tu pourras spawner tes VMs.
Guilhem LettronUne sorte de clonage en fait un peu, enfin il y a une espèce de de.
Pas tout à fait en fait si tu vas tu oui on on va dire que c'est une sorte de clonage c'est tu vas créer ta zone mais elle sera pas physiquement dans la zone au début, ça c'est une technique possible et tu vas la consommer à distance au travers d'un VPN trotter deux sites,
Pour pouvoir justement lancer cette première phase digne. Ça c'est une une façon de faire, qui est pas forcément celle de tout le monde, parce qu'il y en a qui qui refusent de connecter les deux sites, Après si vous avez d'autres solutions pour le faire, hésitez pas.
Alors chez chez S3ns, on utilise, plus ou moins toutes les stratégies. Alors ça dépend parce que il y a les stratégies on peut pas en parler mais des stratégies qui sont dues utilisées en interne par Google où il y a un mix, un peu de tout. Donc comme ça, C'est très mystérieux mais alors chez nous donc dans notre zone qui est la zone managée, la zone de confiance.
On est parti du principe en effet avec les zones de communiquaient pas entre elles et on a eu l'avantage de partir de zéro, Donc là littéralement, on avait pas une zone existante, Pour démarrer, pour buter, pour créer les racines, pour créer plein de choses, tous les même pour construire les artefacts, nous n'avions pas de zone, parce que la CI alors c'est un c'est un choix mais l'ACI qui construit des des artefacts
tous les systèmes, qui toutes les configurations, elle est hébergée dans la zone en elle-même. Donc notre stratégie c'est de déployer donc d'arriver en effet avec les laptops dans les décès et de déployer tous les premiers composants lors du boot strap donc ça peut aller assez loin, ça va en effet jusqu'au IAS je crois, mais ça va assez loin et on déploie ces ces briques-là donc ça peut les VPN, les PKI, le DNS, le yas en utilisant nos lattes,
Donc c'est de la taupe qui doivent être là pour le coup intégrés dans la dans l'infrastructure bah de sécurité, enfin sécurisé, on n'est pas à n'importe quel ou il est aptop soit été validé et cetera et cetera, mais ce sont des latops d'admin qu'on va utiliser pour construire tous ces artefacts-là les embarquer. Alors soit on arrive avec une clé USB ou un disque dur parce qu'on a beaucoup beaucoup d'artefacts, soit on est construit à la volée,
et on les pousse sur une registre qui va être une registrée et cetera et cetera. Et donc une fois qu'on a tout, Ces artefacts-là, on est capable de les premières parties jusqu'à arriver au point en effet où on peut un et on arrive à ne plus se passer de on arrive à se passer de cette construction locale, construire au travers de la Syrie.
Guilhem LettronT'as pas des problèmes de dépendance croisées? Enfin je sais pas. Ton vault il a besoin du DNS mais le DNS il a besoin du vault enfin je je donne un exemple au pif mais.
C'est la registre.
Guilhem LettronLa registre, l'enregistrerie qui a besoin d'un DNS mais en fait le DNS il est déployé par la registrée enfin.
Elle a besoin d'un certificat aussi, elle a besoin de plein de choses.
Guilhem LettronEt donc là pour le coup c'est quoi? C'est.
¶ Dépendances et Conception
Alors pour le coup on a alors c'est la ah c'est très compliqué comme sujet c'est très compliqué parce qu'on y a passé beaucoup beaucoup de temps. On avait des on a commencé le sujet le le programme il y a deux ans, On dessinait des sur le tableau, des graves de dépendance avec des bars, avec des flèches dans tous les sens, c'était vraiment très compliqué justement pour que ce bout de srap-là, on identifie qu'est-ce qu'on pouvait écourter,
Et il y a une stratégie qu'on a utilisée, qu'est-ce qu'on pouvait écourter, qu'est-ce qui devait être fait avant, qu'est-ce qui devait être fait en même temps, qu'est-ce qu'on faisait à la main? Qu'est-ce qu'on pouvait ne pas faire à la main, Et il y a une stratégie qu'on a pu faire et que j'aime bien, c'est des solutions étagées, Des solutions à étage, par exemple le DNS, on avait une solution à étages alors c'est pas forcément celle qu'on a retenue deux ans après,
mais elle était à l'époque hyper séduisante la solution à étage c'était d'avoir un DNS la qui ne fait quasiment rien sur lequel on va enregistrer des des notamment la registrerie en dur, Et ensuite, pour tout le reste, elle va aller vers un qui n'existe pas encore, mais qui va exister à la phase d'après,
Donc c'est un DNS qui sera hébergé dans le et puis plus tard, une fois que les services dynamiques de DNS avec external DNS, avec cloud DNS, enfin peu importe le service que vous allez utiliser pour faire de l'enregistrement dynamique,
Pour vos futurs utilisateurs ou pour vos vos futurs services, ça sera dans un troisième étage. Et donc on avait un système à deux ou trois étages comme ça, Où on avait l'astack hyper le dépanneur qui est uniquement nécessaire lors du bootstrap Lolevel, une deuxième staclo-dépendence qui va aller être nécessaire. Les briques on va dire de cercles un et puis ensuite le cercle deux qui est pour les logiciels un petit peu plus haut niveau et en fait tout le monde, tout le reste du décès.
Guilhem LettronEt t'as besoin de les garder du terme aeternam ou pas? C'est c'est.
Il y a des cas de figure où oui, il y a des cas de figure ou non. Alors par exemple le DNS, le DNS on peut le on va le garder, la registre c'est un super cas de figure puisqu'on a eu l'exemple on a eu le l'illustration il y a pas très longtemps la registrée on est capable de sponer une registre, Juste le temps du boot strap avec le même nom un certificat qui est valide, peut-être moins longtemps parce que on va le on va le déployer à la main mais et ensuite,
Une fois que la les infrastructures sont en place, que ça soit des infrastructures type VM ou type, On va pouvoir migrer s'être en gros c'est une c'est de la haute dispo on va aller créer d'autres instances et puis on va aller shooter, Plus tard, la celle qui nous a servi à la. On se pose la question après du disaster Recovery, c'est comment on fait si qu'est-ce qui arrive si le truc plus haut niveau tombe en panne et là on a des,
Exactement. Par exemple la registry qui est hébergée dans un conteneur elle tombe eh ben on est embêtés parce que on peut plus la remonter vu qu'il y a plus de registre.
Guilhem LettronD'accord. Et donc ben là t'as t'as parlé de conteneur, Donc justement, comment faire? Parce que là, on a dit on déploie un milliard de logiciels. Je fais quoi? Je vais sur toutes les machines, j'ai sur la machine un, je fais guette DNS, machine deux, APT Gatin. Enfin, c'est c'est quoi, justement?
Toute cette façon de pouvoir déployer parce qu'en fait la stack elle commence à devenir à devenir sympa hein, enfin tout déployer dans tout ce que je vais avoir besoin si je veux quelque chose de sécurisé avec de la si je veuxdes registreries si je veux ceci et cetera.
Voilà au niveau au niveau on va dire ce que t'es en train de dire c'est que il faut un dépôt d'artefact un dépôt de paquet ou un dépôt d'images enfin faut faut un dépôt d'autres choses que de conteneurs quoi.
Guilhem LettronIl y a ça et il y a même enfin il y a même un autre point, c'est l'orchestration et genre je fais ça à la main, c'est-à-dire une orchestration manuelle au pifomètre et je dis machine un c'est machine un c'est la registre et machine deux et cetera, enfin c'est quoi justement ce, De quoi de quoi je vais avoir besoin, justement, pour faire ces choix-là, c'est.
¶ Orchestration et Déploiement
Déjà il y a il y a une partie orchestration avec ben le fameux Metaplas de service qui va permettre déjà de dire Bah tiens ça c'est des machines de calcul, ça c'est des machines enfin plus du cattle quoi ou du des des machines dire en bas de pète qu'on avec des des choses un peu plus un peu plus rigides au-dessus on va dire et déjà on rien que le fait de devoir fournir des images ou des,
des des artefacts enfin des une distribution de nux qui tournent sur les machines, c'est-à-dire que il faut qu'on ait créé les images Donc donc il faut un dépôt entre guillemets un dépôt d'images Donc option une, on qui est un peu dégueulasse et on ouvre tout de suite par le réseau internet et on va chercher,
On va chercher sur les dépôts enfin nos dépôts préférés on va dire. Option deux c'est on fait une pré-construction ben soit sur les soit sur les portables de de boots rap comme disait Barthélémy ou vraiment tranquillement au bureau plusieurs semaines avant on crée on crée toutes les images, toutes les configurations un peu en mode golden image, Et ensuite on va déposer ça sur le stockage du métal as de service et ensuite on va pouvoir envoyer ça sur les machines en fait.
Guilhem LettronEt c'est quel c'est à quel nom là? Le tiers Gap, enfin en fait en gros pour que les gens puissent chercher, cette stratégie en fait c'est vraiment la stratégie Air Gap, c'est-à-dire on a on passe pas par Internet, on a un flux d'air enfin on a On a les deux deux mondes qui sont séparés et c'est une clé USB slash portable, slash quelque chose en tout cas qu'on identifie qui fait le lien entre les deux. Donc c'est souvent des stratégies en air gap.
Enfin l'intérêt du aussi ce qui est c'est que qui n'arrive jamais la double panne mais serveur crame et mon accès internet avec, Ben si je suis pas en Argap, ben je suis pas capable de ressortir ma clé USB ou mon disque dur et de réinstaller en fait Je perds du temps à essayer de remonter mon mon axe internet pour pouvoir re-télécharger mes artefeuilles. Donc il y a quand même une certaine sécurité on va dire qui qui peut être intéressante avec.
Guilhem LettronAprès on peut se dire que si il y a pas d'accès à internet, en tous les cas toutes mes applications servent à rien. Donc des fois c'est c'est c'est toujours toujours le choix entre.
Ouais mais mais il y a un gain de temps à la remontée en fait. Hum. C'est ça c'est ça qu'on voit, c'est-à-dire que on peut on peut remonter plus vite et donc avoir une indisponibilité réduite entre guillemets avec une solution interne en fait.
Il y a il y a un truc, qu'on a évoqué, qu'on dessine, sans le dire, c'est que il y a des dans cette approche de d'identification des dépendances, on a des choses qu'on peut faire et des choses qu'on peut pas faire,
On veut bien que des services se dépendent entre eux, mais pas au même niveau de criticité. On veut pas, par exemple, tu disais le service, je sais pas, d'installe des OS peut pas dépendre d'Internet, Parce que ils sont au même niveau en terme d'installation, donc on a des des espèces de de ring, on appelait ça nous des rings mais il y a des rings dans la sécurité, il y a des rings de dépendance,
Un peu compliqué des fois à se comprendre, mais on a des rings et on un service a le droit de parler de ring un a le droit de dépendre d'un service de ring zéro, mais un service de ring zéro n'a pas le droit de dépendre un autre service de ring zéro Et c'est pour ça que ben déjà il faut réduire le scoop de ring zéro au minimum et il faut éviter,
Il faut éviter de mettre des trucs trop compliqués à l'intérieur qui ont beaucoup de dépendances parce que toutes ces dépendances-là dont tu vas avoir besoin en ring zéro et c'est argent ce que ce que tu disais,
Au début c'est on veut des choses extrêmement simples en DMZ ou en DMZ en sur la Out Of Band parce que ce ring zéro là dès que vous allez avoir une dépendance à l'intérieur ça ça va être à vous de la gérer. Vous pouvez ne compter que sur vous, Et pas sur quelqu'un d'autre et pas sur un autre service et pas sur un autre contrat parce que ben parce qu'on est dans un stade où c'est tout est ultra critique et il va falloir notamment dans des scénarios de disaster recovery,
pouvoir tout reconstruire uniquement en enfin en vous démerdant avec vos propres. Et donc ça dessine ces différents rings-là, donc on en a deux ou trois chez nous, je crois, on a un green deux ring zéro ring un green deux pour différentes raisons. Mais mais ça nous aide à designer ce cet arbre de dépendance.
Guilhem LettronMoi c'est marrant j'appelle ça plutôt des étages la plupart du temps et les.
Ouais des stages. Ouais ça peut être des stages.
Guilhem LettronBen parce qu'en fait je pense souvent en fait au starship en fait, la manière dont il est fait et le stage zéro, c'est une partie et elle bouge pas pourtant, elle reste sur place, mais le qui va allumer les moteurs,
Ben voilà mais c'est pour ça qu'en fait j'aimais bien cette allusion et bien sûr le Stelro a pas besoin du stage deux de de la fusée quoi en fait. Et de se dire non on a cette espèce d'étage de lancement, Qui a beaucoup d'intelligence et beaucoup de choses à faire mais en effet qui ne sert,
a démarré dans les premiers instants, dans les premiers instants du lancement d'une fusée. Voilà, c'était le j'ai plutôt cette notion d'étage mais Loïc, tu disais euh enfin genre de de déployer, enfin, c'est justement vous comment vous allez essayer de de déployer tout ça, comment comment il tourne les services, même si au début vous avez une dépendance à une zone entre guillemets,
va être enfin c'est vraiment c'est quoi? C'est le choix, il se fait au hasard, il y a toujours les petits noms Remus Romulus pour la machine de enfin je sais pas c'est c'est vraiment les les classiques non enfin comment va se faire le déploiement.
¶ Rôles et Images de Base
Non quand même pas bon après t'as il y a des hein comme comme souvent, ça rejoint ce qui a été dit avant avec les Golden Emmage, C'est-à-dire que sur ce fameux système de masse, nous il est un peu plus trivial que les masques qu'on va trouver d'habitude. On aura des Golden Immage déjà prédéfinis par rôle, on a Claude Probader relativement simple sur la couche basse, c'est-à-dire que en gros,
Il y a du réseau effectivement, on a du stockage et des hyperviseurs. Donc il y a des images pour le stockage et pour les hyperviseurs, il y a l'OS est pas installée dessus, ça va charger par le réseau et ensuite via Claudinite, Et du coup une interaction avec ce ce système de masse, la machine connaît son rôle et elle a intégré directement dans dans le data cent heures en fait,
Et donc là bon on a une machine avec un rôle. Maintenant qu'est-ce qu'on fait une fois qu'on a ce rôle? Ben il va falloir être un peu plus intelligent parce que c'est bien on a des hyperviseurs mais ils font rien, Et c'est là que vous avez peut-être une réponse, moi je peux en donner mais.
Guilhem LettronNon mais non mais justement mais c'est c'est un peu ça. Là depuis tout à l'heure j'essaie de de vous faire aller vers quelque chose. C'est et ça rejoint aussi la notion de Tant de restauration et cetera, ces ces machines-là elles vont mourir à un moment parce que elles ont pas une durée de vie infinie donc si jamais j'ai installé un DNS, une part, à un endroit pour un besoin,
Ben le jour elle meurt ben elle a perdu le décès en fait entre guillemets quoi. Si jamais je perds ces machines de ring zéro ou de de d'état zéro comme on dit et où justement, Comment je fais pour que ça n'arrive pas ou comment je fais pour pour que j'aie pas ce problème-là.
Bah déjà il y en a plusieurs, c'est le minimum syndical, on en a au moins deux, puis après ben faut c'est c'est du cycle de vie matériel hein, peut-être que Cécile pourra plus s'emparer que moi mais c'est plus classique. Oui oui non mais après ben ton serveur il a une durée de vie, généralement dans les entreprises c'est trois, cinq ans en fonction des immo, enfin il y a plusieurs stratégies.
Mais un des provisionniers que ça se prépare autant que un provisionning donc euh t'as quand même une stratégie de fin de vie, des serveurs, c'est pas juste tu vas éteindre ton serveur, merci Rouard euh il y a quand même une vraie stratégie de okay cette machine elle fait ça, est-ce qu'il y a des trucs importants dessus? Est-ce que je dois migrer les Workload euh où ils vont se migrer tout seul parce que j'utilise Kube euh.
Guilhem LettronAh bah enfin la perche depuis un petit moment quand même par les orchestrations et cetera. Justement c'est genre vous vous mettez les machines, vous faites surtout appeler Gate Insta DNS et puis vous priez pour le reste de de la vie du décès enfin.
Il y a un peu de ça il y a un peu de ça malheureusement.
Guilhem LettronNon mais voilà, on va peut-être pour un ring zéro à la limite j'accepte parce que il y a quatre composants comme tu le disais ils se battent en duel et puis okay, d'accord, okay. Ringe zéro à la limite bien que je pense qu'on peut faire sans, mais bon. Ça se dispute, et on fait des designs, on fait.
Il y a des designs où il y a du cube mais c'est des cubes qui vont être et tournés sur une machine et qui ne seront pas clusterisés. C'est on utilise la PIC cube sur la machine parce que c'est sympa mais uniquement sur la machine et elle part pas avec ses copain, C'est donc c'est un truc on a pas fait très honnêtement on l'a pas fait mais moi ça m'aurait plaint plus.
Guilhem LettronOkay, donc en gros, moi c'était toute cette notion justement d'installation qui est, est-ce que j'ai vraiment envie pour installer tout ça et même pour cette notion de définition dont on a parlé qui est j'ai besoin d'avoir tel tel tel tel service, Ben en fait cette notion de définition de qu'est-ce qui doit tourner cube c'est assez cool donc en fait même pour Sring Zero en fait on peut avoir un Uber Métisse qui va permettre de,
définir en monode allez via du si jamais on a envie de faire du euh des trucs un peu un peu marrants, même ça oui donc c'était ça en fait un peu vers lequel j'essayais de de vous faire aller qui est.
Utiliser une API déclarative.
Guilhem LettronEst-ce que tu parles de comment l'utiliser cette.
Ah ben elle a enregistré.
Guilhem Lettronoui bah c'est qui va aller qui va aller tirer des choses là-dedans.
On fait Docker Pull à l'ancienne, c'est bon.
Guilhem LettronC'était aussi une chose mais en fait c'était cette notion d'orchestration qui est dedans qui est je perds une machine, tu vois ça se prévoit à l'avance.
Le problème de le problème de tous ces trucs très bas niveaux c'est que les opérations sont très manuelles les opérations d'installations sont manuelles et puis après les opérations sont manuelles aussi parce que bah à force à fortiori t'as installé un truc à la main tu le manèges à la main,
c'est c'est des trucs qui sont très coûteux, il faut les réduire à son strict minimum. C'est vraiment et c'est un c'est dur comme travail parce que ben il y a des choix, T'as envie de mettre beaucoup de choses, mais tout ce qu'on va mettre en ring zéro, c'est un peu comme le la masse, la masse tournante dans une voiture quoi, c'est c'est ça fait fois 10 en termes d'opérations et en terme de criticité, en termes de désaster Recovery,
l'effort de design d'origine doit être dans réduire au maximum ce qu'il y a là-dedans. Donc peut-être qu'on va aussi réduire le temps de parole à louer à ce truc-là mais c'est vraiment très très très décisif quoi.
Guilhem LettronOn parle de bootstrapping. C'est littéralement exactement tout tout ce truc-là et donc tous ces choix-là et des choses qu'on voit pas quand on est à l'extérieur. C'est c'est justement tout ce toutes ces choses-là sont pas visibles quand quand on utilise un Cloud Provider.
Littéralement on y a passé un an quoi, presque à définir cette peut-être pas un an mais pas loin de définir ces phases-là en partant de zéro et avec un nouveau projet et on avait pas de modèle comme on peut avoir chez Exoskelle c'est c'est vraiment un gros travail.
Guilhem LettronEt donc donc voilà, donc on se dit on a un ring zéro, on a la des briques de base qui nous permettent de partir, de partir. Tout à l'heure t'as parlé d'hyperviseur, genre c'est ça le truc, on a des hyperviseurs, on a des, qu'est-ce qu'on va partir après? C'est qu'est-ce qu'on va.
De base hein on parle d'hyperviseur mais je dirais plus on a des noeuds de calcul donc c'est-à-dire qu'on a des des Kubernetes de manière enfin générique et ensuite dessus on enfin on lance on lance les les potes qu'on veut Donc c'est-à-dire que est-ce que j'ai besoin, Enfin ça dépend, enfin en fait c'est c'est très lié aussi à mon étude de risque. C'est-à-dire que est-ce que hum est-ce que je suis dans un environnement critique,
Est-ce que j'ai des de confiance entre guillemets? Est-ce que je peux me permettre de les faire tourner directement sur du matériel où est-ce que je dois faire de la VM, du Fire Cracker ou autre? Donc en fait ce qu'il y a c'est que le le client qui va tourner, Il faut qu'on décide comment on va le faire tourner. Donc est-ce que on peut est-ce qu'on.
¶ Introduction à l'hyperviseur et à la virtualisation
On doit faire, est-ce qu'on peut, par exemple, pardon, faire du mutualiser? Donc c'est-à-dire que tous mes clients ont un niveau de sécurité équivalent, donc je suis dans une zone homogène À partir de là ben très bien je peux, On va dire je peux je peux déclarer du nem space en direct sur mes barmetal et puis les les enfin les qui ont des poids déploient leurs appli
Ou est-ce que je suis dans un modèle segmenté où j'ai des applications internet qui risquent de se faire attaquer avec à côté des on va dire un réseau intranet qui n'a pas vocation à aller sur Internet avec des applications un peu critiques donc là il y a plusieurs stratégies, c'est-à-dire que soit je vais dédier des noeuds physiques, Donc avec des labels et cetera pour déployer les bons pod aux bons endroits ou est-ce que je me dis que j'ai une couche unique,
À partir de là, je vais lancer par exemple dans dans de la micro VM ou dans des des cas ou des KVM. Les Workload client,
Donc là c'est c'est des stratégies qui sont différentes en fait. Ça dépend, ça c'est un choix structurant, Qui a aussi des un impact aussi sur les coûts parce que si on segmente trop on a un besoin en matériel qui est plus important donc ça veut dire qu'on on aura une offre entre guillemets haut de gamme parce que sécurisé mais plus cher Donc après faut voir aussi sur quel segment enfin quel segment on veut attaquer en fait au au niveau de nos clients.
¶ Stratégies de sécurité et de segmentation
Guilhem LettronBah il y a même ça et même enfin le Kubernetes barmétal c'est marrant mais il y a plein de choses quand on y pense qui vont être compliqués à implémenter aussi bien ben on parlait de storage, des choses comme ça, c'est quoi? C'est je fais de l'hyper convergé avec mon intérieur du même cluster Kubernetes pour faire ça même voilà.
Ouais ouais.
Guilhem LettronC'est ça en fait toute la question et c'est pour ça que personnellement par exemple je ne pense pas qu'à cet étage-là que paraît-il soit un bon choix parce que Kubernetesen fait étant fait pour être cloud native historiquement.
Veut des API autour.
Guilhem LettronIl veut des API autour. Il se trouve que ces EPI ben tu les as pas donc en fait là pour le coup on arrive dans les fêtes de fêtes poule qui est bah Cuba Indice a envie d'avoir des et à pas les.
Ça dépend. Alors je dirais on on a parlé tout début de Ironic qui était en mode ou en mode open sac, L'intérêt enfin qu'on peut faire l'intérêt d'avoir ironique dans un environnement pensak c'est-à-dire c'est c'est qu'on peut déployer les machines physiques Comme si c'était des instances virtuelles hein avec Driver Nova, ce qui permet en de ben d'utiliser des machines physiques comme si c'était des des VM mais avec tout l'écosystème Openstack autour
Donc euh le sider pour le stockage par exemple ou bien toute la partie neutrons pour le réseau, Donc on va dire que Kubernetes était seul ça tient pas la route autant partir sur un produit qui fait ça très bien euh il y en a plein sur le marché mais.
Guilhem LettronC'est quoi le plan justement? C'est quoi les ben.
Je dirais on peut.
Guilhem LettronTu mettais un.
¶ Déploiement et gestion de Kubernetes
J'aurais plutôt dit que mais, Voilà, ça peut être du xen, enfin XCP-NG ça peut être du Lincus ou LXD, après faut toujours mettre VMWare du Nutanix euh enfin si si on aime ça ou mettre de l'oxide directement pour.
A lancé le gros mot.
Pour avoir voilà pour pour avoir un truc qui marche qui marche bien mais ce qu'il y a c'est que il faut.
Guilhem LettronAh il y a juste Openstack hein déjà.
Oui oui mais Openstack c'est déjà bien, c'est c'est.
Guilhem LettronC'est le non mais c'était le l'éléphant dans la pièce.
Il parle d'Oxide bien sûr. Alors si vous êtes client ou potentiel client français de chez Oxide contactez-nous. S'il vous plaît on veut tester on a envie.
Guilhem LettronQui est déjà acheté du en.
Et en plus on veut vous entendre en podcast.
Guilhem LettronC'est ça ouais, Mais donc okay donc en gros au final la conclusion c'est qu'un peu ben il faut des produits autour là ça là voilà on est à l'étage où ça il faut qu'on construise des produits quoi enfin on a besoin d'avoir cette espèce de couche intelligente intelligente, Et donc là et ben par exemple chez Exoscale ça va être quoi cette espèce de couche ? Vous avez des services.
¶ Intégration de l'OpenStack et Ironic
Ben c'est là où on donc on va tricher évidemment hein pour arriver à la destination mais c'est là où effectivement on a cette fausse zone dans une autre zone où on a un Kubernetesoù il y a les orchestrateurs,
Et donc ben toutes ces briques de base élémentaires qui sont dans la nouvelle zone qu'on est en train de créer, elles sont on peut les orchestrer et lancer la glace. Donc effectivement là on a pris un shortcut très violent et on arrive directement à la cible. On a nos briques, on sait déjà créer des veines. Et ensuite une fois qu'on s'est créé des VM, Eh ben il suffit, alors j'ai jamais vu la création de nouvelles zones hein mais
de d'étendre le Kubernetes de l'ancienne la fausse zone de bootstrap vers physiquement du coup la nouvelle zone et du coup on migre tout là-bas directement, Du coup ça va ça va entre guillemets Trail puisqu'une fois qu'on a que des hyperviseurs sur les deux zones qu'on a virtuellement mis comme une seule zone, ben il suffit juste de tout migrer puis après on a fini d'en terminer.
Guilhem LettronDonc il est bar métal ou c'est lui qui fait tourner les.
Non, il est virtuel l'illusion de Layas. Donc effectivement il y a il y a un effet de fait de poule, c'est pour ça qu'on a besoin d'une autre zone nous.
Guilhem LettronOkay. Et donc oui parce que le yacht lui il est autoportant en fait.
C'est ça, tout à fait. En fait, toute la couche orchestration dans l'offre de service qu'on a, elle tombe sur Kubernetes Il y a il y a il y a effectivement ce ce phénomène d'oeuf et dee poule mais l'orchestrateur de la est dedans. L'orchestrateur ben des cubes clients est dedans. c'est le seul Kubernetes d'ailleurs qui n'est pas euh de en dog foodé mais.
Guilhem LettronOkay donc en fait en fait en fait le Kubernetes estdans le IaaS mais il pilote le IaaS c'est des VM okay.
Ce VMs classique comme tout le monde en fait et là où Mathieu parlait de de segmentation, ben nous on n'a pas de segmentation donc en fait si jamais il y a un impact sur un hyperviseur, nous aussi on peut être impacté parce qu'on est dans la même infrastructure tout le monde en, On n'a pas cette volonté de sécurité extrême comme vous pouvez avoir chez S3ns.
Il y a quand même un SDN, des VPC, des choses pour isoler.
Alors on n'a pas tout à fait des VPC, on est juste en dessous, en terme de réseaux, mais effectivement il y a du privnet net et donc on est bien isolé virtuellement de nos clients.
Guilhem LettronMais c'est le pilotage, c'est le pilotage qui est fait au niveau de l'orchestrateur qui dit bon ben t'es LVM t'es dans tel réseau et isolé de tel autre.
¶ L'importance du stockage dans l'infrastructure
C'est ça, c'est du c'est c'est globalement c'est du VXlan avec du Privnet donc il y a une couche un peu spécifique.
On n'est pas beaucoup différent dans notre zone de confiance on a un orchestrateur donc qui est lors de ces phases-là, Et avec la registre et après, en effet, c'est sept orchestrateurs de VM là qu'on qui est basé sur Cube c'est du Kubirt, c'est lui. Ouais on en a beaucoup parlé donc on y retourne hein mais elle a la solution commence à devenir de plus en plus mature. On s'approche de la V1 si elle est pas déjà sortie, ça ça fait l'amour je vous le fais en direct ça fait la moue euh.
S'il avait un il y a quelques mois. Ouais. Ouais ouais.
Elle est sortie cet été je crois. Donc c'est en cours, une fois qu'on a ça on a notre SDN qui est directement embarqué, donc les VM on les branche dynamiquement, Et on utilise plus cet underlay en physique on passe directement au partout donc, Voilà quoi, c'est on a des VM, des VXLan, on orchestre tout, on a même une isolation physique pour différentes raisons entre deux catégories de machines mais qu'on fait via des labels,
Et c'est terminé. On a un contrôle plane de VM sur lequel on va pouvoir déployer notre stack de Kubernetes asa Service.
Guilhem LettronEt donc là justement donc on arrive à ce point-là donc en gros là on arrive au point où on a des VM, on arrive à soigner des VM, On fait quoi pour tous les services justement à haute valeur ajoutée qui vont être par-dessus donc tous les DB as a service / machin, as a service, tous ces trucs-là vous vous les mettez dans le Kubernetes en dans le même Kubernetes que tout ou est-ce que on va précréer d'autres pubs au-dessus des Kubernetes, Ça va être euh ça va être à quel niveau.
On a fait un un gros raccourci aussi, on a pas du tout parlé du stockage. On a parlé des.
Guilhem LettronOuais j'ai pas j'ai j'ai.
C'est on on peut faire cinq minutes sur le stockage. Allez! Ça intéresse vraiment quand même, c'est c'est.
Guilhem LettronParce qu'en fait et alors là donc ouais donc ça veut dire que donc le stockage on le met au même niveau que le il est pour moi oui mais moi aussi mais ils étaient pour valider valider ça ah ben.
J'ai presque envie de dire qu'on met avant hein parce que dans le stockage il y a le stockage bloc, il y a aussi stockage objet en général c'est là où on met ben nos artefacts, où on met nos sauvegardes accessoirement,
Avant même de déployer du serveur, enfin de calcul, on va dire, il faut je pense déployer la solution de stockage, là où les solutions de stockage. Parce que quand on va ne serait-ce que déployer un OS, ça va se reposer sur un stockage, Donc c'est c'est important de à mes yeux de ouais de déployer le stockage avant même les serveurs de calcul.
¶ Processus de remédiation et automatisation
Guilhem LettronOui, on avait dit qu'on n'a pas de dépendance au sein du même ring, donc ça veut dire que c'est plutôt un stockage qui est au niveau du ring zéro, donc potentiellement il y a deux stockages, un ring zéro pour déployer le ou non.
Il y a pour moi faut faire le maximum de choses qui sont DNS enfin des truc.
Guilhem LettronOui mais c'est c'est ton ring un a besoin de stockage.
Il va le déployer à sa.
Guilhem LettronT'as dit que ils avaient pas le droit d'être attends mais.
Là je suis d'accord, je suis d'accord, mais là il faut faire des exceptions.
Guilhem LettronException aux règles.
Les exceptions aux règles, c'est comme ça que ça commence et on sait comment ça finit. Non mais oui oui, bien sûr qu'il va y avoir des il va y avoir des des des choses à faire à ce niveau-là. Je sais plus où je vais.
Guilhem LettronEt donc et donc Storage, on parle de quoi quand on parle de storage? qu'est-ce qu'on va mettre en place.
¶ La transformation numérique et ses défis
La grande question. Ben ça dépend beaucoup des contextes.
Ça dépend enfin.
Guilhem LettronÇa dépend de quoi pour la limite juste de ton argent et si t'as des goûts ou pas quoi enfin c'est.
c'est un peu plus complexe que ça, c'est-à-dire que on parlait de enfin on arrive sur dans une salle qui est vide. Moi la le premier réflexe que j'ai, c'est je regarde combien j'ai de d'arrivées électriques. Comment je vais comment j'ai urbanisé mon data center pour pouvoir faire de la.
Guilhem LettronQue tu veux, t'as ce que tu veux, t'as genre vraiment la climatisation elle est à fond, le plancher il va pas s'effondrer, vraiment t'es dans le meilleur des cas, genre t'as pas ces contraintes-là.
Ouais ouais donc pas dans le meilleur des cas bon on va éviter les, enfin on va dire on va plutôt choisir des des des on va dire des des des solutions un peu enfin avec du stockage distribué sur des noeuds dédiés quoi, un peu à la ceph par exemple, donc voilà Je je je vais éviter la la bonne la bonne grosse baie de stockage en en réplication plutôt partir voilà sur du software Define Storage quoi avec pour pouvoir justement garder de l'API, garder du pilotage, garder de la résilience et.
C'est vraiment un choix parce que on peut reprendre l'exemple de Criteo hein qui se vante, d'avoir des performances over the top et donc de ce fait utilise du stockage local. Il n'y a pas de baies de stockage enfin jusqu'à c'était il y a six huit ans.
Guilhem LettronIl y a même pas de VM donc.
Il y avait pas de VM donc on était sur du baremetal c'était une stratégie une stratégie produit liée aux objectifs de performance.
Guilhem LettronOui mais c'est c'est-à-dire en fait que juste si on était limité au ring un dans dans Paris enfin l'étage un et c'est tout c'est.
Ouais mais ça c'est parce que ton cas d'usage métier c'était sûrement faire tourner des batchs avec du stockage éphémère local et dès que le résultat était pas enfin a été fait ça envoyait dans de la.
¶ Évolution des infrastructures et des technologies
Il y avait des élastiques sur j'avais des Cassandra, il y avait du hado.
Guilhem LettronLes machines.
Ta réplication est applicative.
Exactement, exactement. Donc on avait plus besoin de stockage volume, de volume bloc ou de volume S3 qui a été répliqué à à cette échelle-là. D'ailleurs on a eu longtemps, on a demandé c'était un ouais. Le stockage S3, gros sujet.
Guilhem LettronC'était le stockage S3, c'était un sujet c'était parce que justement le stockage objet pour le coup, ben tu le fais pas en local, enfin ça sert à rien, okay? D'accord, j'ai un fichier à tel endroit, okay, cool mais bon, personne peut y acc.
Il y a peu de solutions qui font du du stockage S3 sous un modèle distribué comme on peut retrouver avec Cassandra ou Elastic Search. Nativement. Et donc c'était un gros débat en effet, mais c'était il y a six ans.
Guilhem LettronD'où le saint, d'où ce genre de choses-là en fait qui sont des solutions, des solutions avec des des solutions distribuées en fait parce que le sel après il va utiliser un disque local et après c'est la manière dont il l'expose en réseau à d'autres, T'es plus c'est plus là. Fait que on a même pas parlé de ou de choses comme ça.
Là on on arrive sur comment comment on manège tous ces trucs-là? Parce qu'on vient voilà on on accumule, on accumule, on accumule et et la complexité elle se fait dans le nombre de choses qu'on doit manager. Et avec la les limites humaines c'est ouais.
Guilhem LettronHein, c'est il y a les deux hein. Ouais. Parce que si jamais j'ai dix000 choses mais qui se manette tout seul c'est différent que d'avoir dix choses où je suis obligé de les pieds pomponnés.
Et encore une fois, c'est pas pour rien que ça prend du temps de designer ces choses-là parce que non seulement faut designer ben la stratégie, distribuer, pas distribuer la, Gérer les différents rings de dépanne Annecy, gérer les désasters Ecovery, mais il faut aussi penser l'opérationnel. Et penser l'opérationnel, ça se fait en mode, Je ne dois pas intervenir ou au minimum si j'interviens c'est que c'est déjà trop tard sur mes sur mes infrastructures
Et c'est là où on passe beaucoup de temps et tout le monde le sait je pense parmi autour de la table et parmi les auditeurs que les opérations ça prend du temps et encore pire quand ça a mal été industrialisé ou automatisé. Et c'est hyper, En tant de cerveau, en projection et en effort, en effort de de.
¶ Optimisation des opérations et approche Cloud
Guilhem LettronOkay. Et en plus un point important c'est que tu te reposes sur les SLS de la couche du dessous. Si jamais t'as eu un problème et que t'as fait un mauvais design de réseau, de quoi que ce soit et cetera, Eh ben tu te le tapes sur toutes les couches en fait qui seront au-dessus quoi en fait. C'est un problème de design qui que tu vas conserver et et qui aura un impact tout du long de la chaîne dessus et donc justement quand on commence à créer des services à haute valeur ajoutée,
Donc c'est service à haute valeur ajoutée, on les met au même niveau, on les met au-dessus, on les met on les fait comment? Donc là maintenant on parle donc on a le stockage.
On a les volumes, on a les les VM.
Guilhem LettronOn a enfin voilà on a les volumes, on a on a le donc je peux spawner des VM je peux, j'ai du stockage associé à ça.
J'ai un réseau pilotable.
Guilhem LettronJ'ai un réseau pilotable magiquement, voilà. Qu'est-ce que je fais avec ça? Je donne ça directement au client, je fais autre chose.
On rejoint ça dépend de l'offre qu'on a hein, encore une fois l'offre typique interne cryto c'est pas la même que celle exhostèle qui n'est pas la même que celle que chez S3ns, qui n'est pas la même que celle que Cécile rencontre chez tous ses clients, On peut s'arrêter des fois ici et c'est bien parce que les clients leur vendent la VM. Ou on leur vend du berméal.
Guilhem LettronOu c'est ce qu'ils utilisent en interne, enfin vendre au sens même interne hein, c'.
Faut voir aller utilisateur au sens client hein. Client au sens ut, Maintenant, moi je pense que si on veut une une stats qui est opérable et qui est industrialisée, il faut qu'on ait des automatismes en place. Donc il faut mettre en place, par exemple, vous allez créer un cluster Cassandra, ben vous allez pas prendre une VM et installer APT Gate installe Cassandra,
Il va falloir mettre en place une brique qui va aller générer des configurations, générer des clusters, avoir un inventaire, pas un inventaire machine cette fois-ci mais un inventaire de Cluster Cassandra,
Les boots rappés, les suivre, les monitorés, exposer des métriques, les suivre, me suivre leur live cycle, je sais pas, générer leurs certificats s'il y a des certificats. Donc ils vont s'appuyer sur toutes les briques existantes et c'est là où on va avoir des notions de contrat qui vont apparaître, contrats d'API, des conventions, peu importe, ça dépend quel est notre niveau de proximité avec les équipe,
Une fois qu'on a ce contrôle pleine-là, on le laisse tourner. En gros, le travail n'est plus dans l'administration, dans la réflexion, il est dans comment on opère ce,
Et je pense que c'est l'approche de tous les clouds provider aujourd'hui liés à leur taille, liées à leur à leur dimension et puis au nombre de personnes qui travaillent sur les sujets. C'est de tout, plaît et d'interfacer, Alors là je me tourne vers vers mon voisin qui va pouvoir nous dire comment les choses sont découplées et est-ce que t'as t'as cette notion, cette approche de contrôle play in First.
Je suis patient d'avoir tout suivi parce que tu tu t'avais l'air de parler d'une offre produit pour les clients autour de Cassandra.
Oui par exemple? Par exemple, mais ça fait des clients internes hein encore une fois c'est peut-être j'ai mon équipe de SRE à gauche qui doit stocker des données.
¶ Choix stratégiques et gestion des coûts
On n'est pas très gros hein, on est quatre-vingts donc effectivement il y a des équipes plus ou moins produits on va dire qui sont spécialisés et qui vont fournir différents types d'offres qui sont à la fois internes et externes dans dans une bonne partie des cas,
On a pas non plus un catalogue à la AWS hein donc ça va être plus simple. Mais globalement, Ben déjà, tu parlais tout à l'heure de tout ce qui était astreinte, monitoring, donc on a une équipe qui est orientée sur cette partie-là et ça, C'est pas forcément une offre que tu fournis à tes clients parce que c'est celle qui va te coûter très cher à opérer, donc ça ça va dépendre de l'échelle que tu vas avoir.
Et tu vas t'appuyer sur elle ben déjà pour pour toutes les opérations courantes puisqu'il va falloir envoyer tes loges, envoyer tes métriques et cetera donc c'est la c'est une des premières choses à vous de strapper juste, quand tu commences à être mature hein, on parle pas d'une nouvelle entreprise dans une zone c'est de ou de frapper toute cette partie observabilité,
tu vas avoir besoin de de ben de voir des insectes en fait. Et ensuite t'as d'autres équipes donc chez nous ben donc on a des équipes qui sont plus orientées sur la partie alias qui vont être spécialisées dans l'évolution du produit, qui vont gérer la partie data center et cetera et la cycle en dessous,
Elles sont un peu hybrides sur les deux et on a des équipes plutôt plateformes comme la mienne par exemple où là on va fournir une offre par exemple cubarné donc l'idée c'est de produire un orchestrateur qui est basé ben sur du logiciel,
Et qui va être hébergé dans le cube de la plateforme pour fournir ces ces ce nouveau produit. Je suis je suis pas sûr d'avoir complètement à cerner jusqu'où tu voulais aller mais, Pour moi tu parles de découpage produit et de comment tu montes des équipes un peu.
Je parlais aussi des contrôles, c'est-à-dire comment ton quelque soit en fait là je parlais de Cassandra mais quelque soit la solution que tu déploies, Comment tu penses l'administrer? Par exemple si on reprend l'exemple de de Cécile tout à l'heure, si tu déploies avec de l'antibel, c'est bien, mais en gros ton contrôle plain ça devient enfin ton contrôle plane, ton intelligence, ça devient la personne,
la CIAI qui déclenche ce job antibel. Sous quel contexte, sous quel est le le déclenchement, quel est le trigueur de ce job antibel?
Est-ce qu'il est manuel? Est-ce que c'est un déclenchement lié à une alerte liée à une panne? Ou est-ce que c'est un déclenchement lié à un nouveau commis? Et c'est ça pour moi le contrôle planète. L'intelligence c'est à quel moment je rétablis une situation où suite à une détection ou suite à n'importe quoi, Qui est pas normal et je relance volonté qui est d'appliquer ou d'avoir un résultat lié à je sais pas une base de données ou des clusters whatever.
Là tu parles de processus de remédiation, on est d'accord.
Oui mais pour moi ça va de pair avec le processus de boots trapping en vrai, parce que arrivé à un certain niveau de maturité quand on est sorti des couches basses, En gros il y a plus de différence entre manager une solution day today, remédier aux incidents, réparer, reconstruire une réplication, déployer un nouveau cluster ou déployer une nouvelle instance de la solution que tu manage.
D'accord. Alors là t'as je pense que il y a pas forcément de solution idéale, il va falloir cumuler à la fois l'automatique, fin d'analogie on réconcilie qu'Hubert où templémente une logique logicielle qui va dire sur toutes ces situations que je connais je dois aller de l'État A à l'État baisser et cetera, Donc là c'est toute la partie automatique pour éviter d'être embêté et cetera, les systèmes convergent et ils arrivent à autorésoudre les problèmes,
Néanmoins, c'est du logiciel produit par de l'humain, c'est pas infaillible et il y a des cas à la marge et c'est là où tu vas mettre en place des, Dans ce roadbook, tu dois que t'acquiers souvent par l'expérience hein, tu vas pas tu peux pas dire il nous faut tous ces road book. Si tu le sais des one c'est que théoriquement t'arrives à le produire de manière logicielle.
C'est plutôt ben j'étais embêté telle nuit, il y a eu tel cas et ouais ça me coûte tant à l'implémentant logiciel où je ne peux pas et puis soit tu l'automatises, soit ça ça fait partie d'une d'un process que tu vas mettre en place quoi. Donc je pense que c'est c'est plutôt vers ça que tu tu voulais aller c'est ça?
Moi je je suis intéressé de la la vie de Cécile parce que là on parle vraiment un peu de manière, Maère très haut niveau, très un peu ésotérique de de tous ces trucs-là, toi quand tu vas chez des clients qui sont pas forcément euh la taille des ou de sens ou qui ont des petites infrastructures, est-ce que tu sens qu'ils ont cette,
Cette volonté d'approcher le la problématique d'un point de vue contrôle pleine ou alors il s'en fiche, ils sont d'arriver par le résultat et peu importe la manière, peu importe l'intelligence ou la non intelligence, il faut le résultat.
Ben je vais te raconter un de mes clients, ça va être le plus simple, mon seul client que j'ai sur Cube et grâce à lui, j'apprends Cube. En gros, c'est un client qui fait de l'IAI Et il m'a demandé de lui trouver un pour mettre des machines avec des cartes graphiques donc grosse consommation donc ben voilà quoi, des machines DI qui consomment je sais pas 3000 watts unités
donc il fallait mettre il fallait trouver deux B donc du coup grosse consommation donc dix kilos watts au total. Bon bref il avait déjà son logiciel, il tournait sur Azure, Azure c'était trop cher, il voulait se mettre en propre, bah c'était un peu ça le contex,
Donc bref, on a fait le choix des machines, donc choisir les bonnes carographiques pour le la bonne utilisation, choisir le bon batacenter qui qui ben t'autorise à avoir des grosses cautions parce que c'est pas de la consommation standard, c'est bien au-dessus de ce qui se fait classiquement, au niveau consommation par B. Enfin bref hein je vous passe l'installation, le rackage, la configuration réseau où j'ai passé mes quelques journées là-bas et en fait lui sa philosophie c'est c'est
du serveur jetable entre guillemets. Si en gros il a son contrôle plain, c'est ça?
¶ Conclusion sur les défis futurs et recommandations
Ouais sur AWS quand on rentre les machines moi j'installe et on a un script qui fait péter un sale et ça va ça le il va rejoindre le cluster directement, tout seul quoi. Et ben la philosophie de lui c'est que ben même si il perd le serveur c'est pas super grave le il va aller ailleurs c'est vraiment ça la philosophie c'est vraiment très très simple juste on installe.
Guilhem LettronCette philosophie-là, en fait, elle a un nom, hein, c'est c'est littéralement dessus, c'est en fait t'as ton contrôle plain dans un endroit un peu managé, tranquille, qui va pas trop bouger.
Le jour où tu changes de provider, que tu prends ton rack, tu le mets ailleurs, ça va marcher pareil.
C'est ça ouais, Ben justement le but c'est de ben pouvoir rajouter des machines à la voler super facilement parce que ben en quoi elle processe, on commençait où aller on a essayé de faire le même déploiement que j'ai pas géré qu'ils ont essayé tout seul mal choisi les machines, le le réseau il a fait n'importe quoi et ben du coup on a des clusters qui marchent pas et qui sont en vrac H vingt-quatre bah parce que, la base n'est pas bonne quoi, ouais c'est ça ouais.
Guilhem LettronSont pas classés et c'est vrai que dès qu'on parle des parce que là vous êtes dans le cas extrêmement bien où les flux réseaux sont pas très importants, c'est pour ça. le le réseau on s'en fou. On s'en fiche complètement, c'est le run local parce que tes jobs vont mettre plusieurs heures, consommer je sais pas combien d'une. Peut-être pas mais euh quelques minutes ouais.
Peut arriver en tout cas, c'est euh mais en tout cas ça veut dire que c'est le run local qui coûte cher et pas tellement le réseau alors, Ben dans d'autres cas, mais ça c'est ça c'est un cas classique qui est assez cool avec l'edge où tu vas pouvoir choisir ben l'endroit où c'est pas cher. Que ce soit chez ton CSP, donc Club Provider ou euh si tu le fais.
Et même euh quand ils ont testé leur premier développement, c'était des PC euh à la maison reliés en ils faisaient le premier, c'est comme ça que ça commençait leur logiciel en fait euh c'était des PC reliants avec des 4-mille-quatre-vingt-dix et puis euh il tournait, ça a commencé comme ça quoi.
Ah c'est Nicolas qui devrait être content euh les premiers euh software euh tel sky natif, C'était du euh j'aime bien parler de Shlag Network hein euh Éric euh genre tel sky c'est genre le roi pour ça euh pour.
En vrai c'est génial pour vous connecter euh tout est enfin tout est nos ensemble euh enfin surtout c'est super simple à monter c'est c'est, T'as pas de question de réseau, ça peut être n'importe quel réseau, ça pourrait être ton ton iPhone à la maison, ça pourrait être un super réseau, ça pourrait être une connexion Wi-Fi pourrie dans un aéroport, ben c'était si ça passe tout porter esquive
Le processus est le même de partout euh c'est vraiment reproductible et c'est ça que j'adore dans ce cas-là quoi.
J'avoue que enfin depuis que j'ai découvert Tesque je suis un peu accro quoi c'. Ah bah c'est génial. J'en rêve d'en mettre partout, dès que je fais une archie euh je veux en mettre. Enfin c'est vrai que c'est c'est vraiment l'overly network qui qui chiffre euh et qui qui permet de d'interroger n'importe quoi quoi.
On on pourrait interroger n'importe quelle euh technorea qui va dire euh tel skale euh c'est juste du en fait non la force de tel scale c'est pas juste ouais il regarde, c'est désolé hein de revenir, c'est le contrôle plane qui est derrière.
Donné qui est au-dessus.
C'est alors euh c'est vraiment le en effet le le noeud 100ralisateur qui permet de manager les gens et les gens ne communique, avec ce machin-là mais ils communiquent entre eux, ça fait un réseau méché, mais lui c'est le coordinateur. C'est c'est oui c'est un way your mais en fait c'est tout le service qui est autour qui fait que c'est bien en fait euh.
Faut pas juste se dire on va faire euh trois tunnels Wiregard et euh ça va marcher, alors oui ça va marcher, si vous avez que trois machines mais le but du jeu.
Guilhem LettronMachines qui vont pas bouger et que.
Pas bouger exactement. Puis aussi la simplicité de rajouter un nœud euh à enfin même bon il regarde c'est un peu quand même euh. Tel quel login euh faut enlever l'expiration, il y a il y a des petites euh des petites subtilités euh.
Ce qui est intéressant aussi c'est que c'est relié à tous les provider d'identité euh du marché, Donc c'est-à-dire que nominativement déjà je peux me connecter avec mon petit portable mais nominativement je peux, Déclarer une machine euh, un serveur, donc il y a aussi un peu le côté zéro trust avec on sait qui a fait quoi où et quand et on connaît la machine, on connaît l'identité de la machine.
Guilhem LettronDonc là on s'approche un peu en fait du futur euh maintenant euh on arrive à la fin euh maintenant du boots trapping c'est que même il y a un moment en fait quand on commence à avoir du c'est le moment qui est gagné quoi c'est est-ce qu'on pourrait pas est-ce qu'on pourrait pas avoir des BMC demain qui ont du tel quel.
Ça serait bien. Ça serait bien.
Guilhem LettronEn vrai, en vrai de vrai, enfin c'est ça pourrait être complètement le cas euh dans un quelque chose ou comme ça. En fait, au lieu d'avoir cette logique, parce qu'on a commencé en parlant des de ces morts avec euh plein de choses, des câbles qu'il faut brancher, et cetera. Est-ce que je pourrais pas dire bon ben en fait, je branche tout au même endroit.
Réseau à plat et.
Guilhem LettronRéseau à plat mais genre plat plat plat et après tu te partout. Tu gères ton réseau avec les policiers.
Directement comme un S.
Guilhem LettronParce que c'est un produit euh enfin qui est presque open source, il y a une implémentation. Que j'utilise ouais. Voilà, il y a une implémentation open source du du, et justement est-ce qu'on pourrait pas dire voilà de faire des réseaux à plat euh complètement à plat et de se simplifier euh complètement et que le hardware est au Xalid euh c'est et Auxalé un? Ils ont pas le but de faire ce genre de choses parce que c'est un peu la philosophie du je monte le plus vite possible en.
J'ai pas suivi pour le coup.
Guilhem LettronNon mais c'est enfin en fait mais ça pourrait être ce genre de choses-là pour dire ben en fait c'est ce ring zéro, il est directement implémenté euh assez vite de manière hard euh sur des machines dans une BMC quoi enfin et ça t'évite, tu pourrais très bien avoir ça.
Le le problème de de ce paradigme c'est que c'est tellement disruptif que tu vas perdre tous les resticides de la planète quoi.
Guilhem LettronNon mais attends, on les a perdus avec Enux, on les a perdus avec Kubernetes, on les a perdus avec les conteneurs, on les a enfin tu vois.
Euh.
Guilhem LettronTrès longtemps en vrai hein c'est c'est qu'on soit d'accord hein c'est mais voilà c'est c'est c'est peut-être la la chose justement et,
Moi je suis ultra-fan des réseaux à plat, genre vraiment. De toute façon euh, moi mon réseau de BMC enfin mon réseau de Out of Born, ça devrait être du Wi-Fi Genre euh ça passe tout le temps et euh t'as une un peu wi-fi voire même du lorra si jamais il faut Mais genre euh pour moi c'est ce genre de choses-là vers lequel j'irai en fait avec des réseaux physiques euh lourds euh d'infrastructures quoi et après euh bah la hauteur de vente c'est du Wi-Fi quoi enfin c'est.
Ouais ouais la petite puce 5G et puis basta.
Guilhem LettronOuais voilà oui la puce 5G, la puce 5G euh dedans voire même bah je sais que au dernier il y avait des gens qui faisaient des des antennes 5G locale euh dans des dans des data center,
5G d'ailleurs qui tourne sur Kuberneteseuh donc il y a bien un effet de fait de poule que il y a un Uber Métis qui fait tourner la 5G et cetera mais on pourrait très bien avoir ce genre de choses-là également en fait avec avec des choses où vraiment on serait dans le peps absolu enfin dans le dans le co absolu qui est ce cattle où, Ben le serveur il est sorti d'usine avec un truc où il était déjà potentiellement connecté au réseau et après je l'ai branché et juste parce qu'il est à un endroit,
il s'autodécouvre et il fait les choses automatiquement de même plus avoir tu pourrais même demander vraiment à n'importe qui de dire bon ben voilà le câble rouge, le câble bleu c'est bibi qui a branché et hop après il y a tout qui il y a tout qui se fait tout seul via des auto-configurations à distance, sur des réseaux euh sur des réseaux sans fil. Bah c'est un peu le but de Oxague et Infines et tout, API, tout configuré par API.
Mais je pense même que ça pourrait même être des choses comme ça et je parlais de Six Fox mais ça ça pourrait être ce genre de choses-là.
C'est un point qu'on n'a pas beaucoup appuyé, c'est euh les les relations entre les différentes briques, par exemple, va avoir le la brique de masse avec la brique de glace, la brique de glace avec n'importe quelle brique qu'il va l'exploiter pour du je sais pas, de l'élastique, du Cassandra, du casse ou peu importe,
Tous ces trucs-là, en général, quand on arrive à ce stade-là de l'entreprise et qu'on a dépensé une année, une année et demie ou plus à designer, à construire ce truc-là et à commencer à de le bâtir à partir de rien, bah le temps il se compresse, Et on a plus beaucoup le temps et c'est c'est valable pour ceux des projets de boots trap mais pour n'importe quel euh projet logiciel on a plus beaucoup le temps de euh bah de passer autant de temps sur ces brique,
On se met à les exploiter, les exploiter, les exploiter et on on ne pense pas, À définir des où on ne pense pas où la technologie ne le permet pas parce que il faudrait redéployer quelque chose de un vapeur autour, On ne pense pas à exploiter ces interfaces et à définir des contrats entre les briques et là la force de c'est qu'ils livrent une solution euh all in one, de du Firmwa jusqu'à l'AVM quasiment ils font pas encore le conteneur, ça viendra.
Mais euh mais surtout tout est à épéfier alors que dans sa petite entreprise, en général on va épifier la faim, parce que ben Kubernetesc'est, si on fait du l'open stack on va bénéficier de la Pennstack et dès qu'on va arriver il va y avoir une espèce de rupture brute, Pour manager les briques d'en dessous. L'inventaire ça va être le bordel, le masque ça dépend du masque mais ça peut être le bordel,
Le SDN c'est le bordel. Euh le SDN c'est le bordel. Et et et donc on arrive dans une situation où euh ben l'ESTAC sont hyper matures d'un côté et ne sont plus matures de l'autre et au moment de la construction on n'a pas pensé, se dire putain comment au lieu de faire un commis dans le guide pour demander un réseau ou demander je ne sais pas quoi est-ce que je vais pas mettre un contrôle plain, un service qui va les consommer des API ou qui va aller consommer une déclaration en fait dynamique,
Pour que mes utilisateurs puissent commencer à bâtir un truc intelligent. Et c'est là où on va se heurter aux limites du bootstrap qui vont en fait vont euh rester pendant euh cinq, dix, 15 ans, le temps de la vie du produit et le temps de la vie de son infra.
Guilhem LettronEst-ce que est-ce que c'est passé justement la définition des de la différence entre Dave et Hops c'est l'Obs c'est celui qui gère le bout de strap une fois que ça a été fait quoi enfin qui se qui maintient le qui maintient ce qui a été là au début du bout de ce raping à coup de scotch.
Moi je je regrette hein, ça fait 20 ans que je bosse bientôt j'ai jamais vu, Une entreprise où je suis passé, qui se transforme radicalement, qui transforme son SI, j'ai je suis toujours passé et je suis resté des fois cinq à quatre, cinq ans dans des boîtes
Dans des boîtes où ben on est drivé par l'existant. Et c'est cette notion de transformation, elle est très très dure à appréhender déjà dans une des entreprises matures. Je sais pas si côté exoscal ils ils ont déjà mené à bien des transformations complète, du de du process en fait de production et de l'architecture mais moi je l'ai jamais vécu et je sais pas si je vais le voir un jour.
Guilhem LettronExiste avant Kubernetes, c'est sûr.
Est-ce que est-ce que t'as.
Guilhem LettronEu des changements euh alors d'un point de vue temporel, le fait que maintenant leur solution tourne sur cube c'est-à-dire qu'à un moment où ça tournait avant cub.
Ouais. Est-ce que tu peux tater un exemple.
J'ai j'ai pas l'exemple pour exosquel mais j'étais chez chez Vie avant et typiquement le SI entre le moment où je suis arrivé et encore on était en milieu de projet et le moment où je suis parti il avait rien à voir, Au début c'était euh de la VM euh demander à la main ou euh via du terrain former par terre et puis à la fin on avait toute notre alias pilotable complet euh plus du Kubernetesmanagé et cetera donc euh là on a fait une vraie transformation de SI complète en fait,
on avait énormément d'applis sous Windows qui sont passés sous l'INux euh dans Cube et tout hein.
Guilhem LettronEt même les sur les machines basses, sur les couches basses également.
Ben les couches basses euh il y a eu un recyclage de l'ardoir mais c'est passé de VMWAR à du ben du coup de la en libre virtuite orchestrée.
Guilhem LettronDonc un changement.
Ouais un changement radical, un.
Radicard ouais.
Guilhem LettronBon avec des paradigmes de VM qui restent euh parce que bon VMR euh la VM un Liby mais avec des changements quand même c'est important.
Bon ben c'est cool. J'ai juste pas eu de chance alors. Ça viendra, ça viendra.
Guilhem LettronNon mais c'est vrai que et c'est c'est ça en fait euh dans mon analogie que je voulais faire avec les apps c'est que ça reste quand même un domaine où on a parlé tout à l'heure de valeurs, de hautes valeurs ajoutées quand on est au-dessus, enfin changer euh de passer de VMWR à quelque chose de libyen Pour quelqu'un au-dessus qui vend ben en quatre VP des des des fringues et des choses comme ça,
Le gain en valeur ajoutée immédiat, enfin disons faut un peu de temps avant de convaincre. Et alors dans le cadre VP pour avoir un peu vécu, oui en effet il a fallu beaucoup, euh de changer les choses. Donc est-ce que c'est ça aussi le temps? C'est que ben il y a un moment on arrive avec euh cette chose où en fait cette dette,
Devient tellement importante que oui elle a un attrait de changer là-dedans mais c'est rarement le cas parce que ben ça marche quoi. Genre euh okay ben tu mets plus d'obses et, On était chez Créteo, on sait très bien. Il y a plein de boîtes qui quand elles ont beaucoup d'argent, ben préfèrent rajouter des hommes que enfin le ce qu'on appelle le mid cloud, Ah c'est du quoi en fait, tu mets plus de gens, c'est du cloud à viande et hop là! Tu mets des gens et ça gère et ça gère et.
Ils étaient pas complètement idiots non plus hein.
Guilhem LettronMais c'est pas une question d'auditrio, c'est que quand t'as de l'argent, tu peux gérer les choses de manière différente, t'as pas besoin de te reposer des questions euh dessus. C'est pas une question vidéo, c'est c'est un choix rationnel de, Tu changes une t'as une technologie qui marche mais qui marche avec plein de gens,
ou tu as un risque de changer vers quelque chose, t'es pas sûr que ça fonctionne. Bah des fois il vaut mieux mettre plus de gens à gérer le truc hein, c'est mais c'est le cas de Cristo, c'est le cas de ce que j'ai entendu, de la WS ou de de projets comme ça, où c'est des armées mexicaines pour gérer euh pour gérer certains produits. Mais ce ce truc de l'argent, tu tu l'as aussi en ce moment et que l'exode devait mourir, t'as des gens qui ben tout le monde a entendu,
Il y a des entreprises qui se posent la question, est-ce que c'est mieux de foutre de l'argent dans les licences de mémoire? Et au moins, je sais que je suis tranquille, c'est du mémoire, ça tombe déjà, ou est-ce que je me risque à faire une migration vers autre chose vers les CPNG, vers Proxmox, vers Bruno Never, qui va Peut-être différemment parce que au lieu de payer la licence euh je vais payer du temps humain, je vais payer de la prestation, je vais payer de l'accompagnement,
J'ai payé la licence euh aussi de l'autre côté mais moins cher. Et ça c'est aussi des questions de boîte que qu'elles peuvent avoir, c'est est-ce que c'est plus simple de donner 20 millions que peut-être euh ça coûtera moins cher de migrer mais euh bah faut aimer le goût du risque quoi, faut aimer l'inconnu euh.
Donc c'est le moment de lancer une boîte qui fait du euh Froxmox euh Open. Ben c'est un peu c'est c'est mon bise hein euh ouais. C'est Twitter.
Guilhem LettronToi tu suis pas assez Twitter, mais oui c'est t'es le drama depuis un an euh là-dessus euh. Bah mon bide en ce moment c'est euh migrer des gens vers ICPNG hein, c'est le bidon, ça.
Je pense que le le lobby avec ça c'est surtout vendre du conseil pour choisir le produit de virtualisation.
Tu sens le le gratte de papier.
Guilhem LettronTu sais euh celui qui gagne c'est le vendeur de pelle quoi tu vois genre là c'est genre le gars qui te conseille, le gars qui va vendre la pelle quoi.
Alors tu devrais aller au magasin de pelle euh.
Guilhem LettronBen je pense qu'on a déjà fait un bon tour, il y a encore plein de choses à dire euh c'est sûr parce qu'on n'a pas fait le tour de toutes les technologies qui existent, toutes les choses après au-dessus, il y avait une partie organisationnelle euh, des choses comme ça qui apparaît après au-dessus Mais je pense qu'on est déjà un peu plus loin que le bout de strapping, c'est quelque chose qu'on dont on pourra discuter euh une prochaine fois
j'étais assez content qu'on arrive à se dire c'est se poser ces questions de tout en bas Jusqu'à quelque chose où on a euh des VM qui tournent plus ou moins des Kubernetesslash DB. On a du on a des choses comme ça et on a un peu répondu, répondu, On a posé les questions on va dire euh voilà il y a des il y a des logiciels, n'hésitez pas à venir nous contacter,
de toute façon ben vous verrez dans la description euh toutes les personnes, n'hésitez pas à venir nous contacter, n'hésitez pas à venir euh sur le Discord si vous avez des questions euh toutes les personnes qui sont là sont euh sur le discorde de sur qui vous pourrez poser des questions euh,
Ben voilà euh sur toutes ces stacks, sur tous ces ces contextes, sur euh les logiciels qui peuvent être mis en place. Il y a des il y a des inconnus dans tout ce qu'on a dit, parce qu'en fait il y a je pense il y a pas une stat parfaite loin de là aujourd'hui qui existe sur euh tout ça. On le saurait euh Kubernetesn'est malheureusement pas, Euh,
euh non mais voilà il y a pas le Kubernetes du MaaSaujourd'hui il y a pas un MaaS qui est apparu et qui est devenu euh complètement leader dans son marché dessus et sur le SDN et sur et cetera donc aujourd'hui il y a encore plein de choses des des choix qui sont très contextualisés. Donc n'hésitez pas à venir poser des questions sur Twitter, sur Discord. Voilà, je sais pas si vous avez un dernier mot tous euh pour finir?
Je dirais qu'avant boostrappé il faut faire de l'ingénierie, faut réfléchir avant d'y aller quoi, Parce que à partir du moment où on a commandé des machines parce que on commandait du matériel, ça prend du temps, il y a des délais, ça a un coût. Et euh c'est c'est très engageant quoi. Donc euh, Oui oui bon je.
Guilhem LettronQui a réussi à avoir euh l'équivalent de la production de viga pendant euh pendant un petit moment pendant un décès.
Donc voilà c'est faut faut vraiment ne pas négliger l'ingénierie qui est avant. Ben c'est pas que de la tech et beaucoup de stratégie euh c'est pas juste aller braquer des trucs, c'est vraiment une partie stratégique euh choisir les les bons trucs ouais pour avoir un truc euh. L'urbanisation, l'architecture euh, les choix. Faire les bons choix des schéma. Plan sur combien d'années enfin bref.
Hardware dise hard, prévoir une sale machine, c'est jamais simple, d'autant plus si on sait pas exactement ce qu'on va en faire dès le début et en plus euh ça peut changer en cours de route donc donc faire des plans c'est bien, s'adapter, Changement et qui vont subvenir c'est encore mieux. Donc ça c'est vraiment un travail un travail difficile donc il y a pas de solution unique,
Faites des contrôles plane. Non mais vraiment pensez pensez avant tout à comment vous allez l'opérer, avant de penser à ce que ça va faire. Parce que le coup sur la durée, le coût sur les deux, trois, quatre, dix ans qui vont venir, principalement provenir de ça.
Guilhem LettronJe pense que ça sera une discussion qu'on peut avoir parce que ça va être dans le cadre de tout logiciel et genre euh sa différence de coût et de d'urgence dans le développement pas l'ouvrir.
Non non pas là mais voilà c'est euh l'opération First notamment dans l'Infra. C'est peut-être moins vrai dans le logiciel où c'est plus facile, il y a plus de stratégies de de contournement pour faire de la baie, du canari, euh du whatever, du feature flag, ou de radicalement changer les choses et euh vraiment euh Operation Fir.
Et il y a des Kubernetesqui mènent le jus Cloud.
Guilhem LettronAh là là, c'est ça, on l'aura, on met le juste.
Le le le point final.
Guilhem LettronSi les gens iront jusque là mais il faut la référer de de tout ça. Bon merci à tous. Pour info on était hébergés chez Akamaï aujourd'hui donc euh ouais Akamaï c'est. Merci à. Donc voilà. Bon bah à une prochaine. On essayera de faire des épisodes un peu plus tôt, la prochaine fois? Voilà. Mais euh mais voilà. En tout cas n'hésitez pas si vous avez des sujets à venir me voir, à en parler et euh, À une prochaine.