Archives par mot-clé : Tag 1

Dare to Bare: opérer les containers sur du bare metal

Pour ceux qui ont besoin de performance dans l’exploitation de leurs containers et qui ont des workloads importants, il est preferable d’exécuter les containers sur du bare metal plutôt que d’utiliser des instances cloud ou machines virtuelles (VM) comme couche entre le container et les serveurs physiques. La structure la plus simple est souvent la plus efficace. Cela s’applique également aux infrastructures cloud. Pour ceux qui ont besoin de performance dans l’exploitation de leurs containers et qui ont des workloads importants, il est préférable d’exécuter les containers sur du bare metal plutôt que d’utiliser des instances cloud ou machines virtuelles (VM) comme couche entre le container et les serveurs physiques. En éliminant la plateforme de virtualisation ou la couche IaaS, l’infrastructure devient immédiatement moins complexe avec un impact positif sur les opérations. Il y a moins de réseaux, d’hôtes et de disques à administrer, de sorte que l’infrastructure peut être gérée par moins de personnes. Chaque couche en moins dans l’infrastructure conduit logiquement à ce que le système soit moins sujet aux erreurs, il y a moins de niveaux où quelque chose peut mal tourner ou dont quelqu’un doit s’occuper.

Meilleure exploitation des ressources

Côté performance, les éléments matériels peuvent être utilisés plus efficacement sur le bare metal. Toutes les ressources hardware peuvent être exploitées, puisqu’aucune n’est utilisée pour l’émulation matérielle par une couche de virtualisation. On élimine ainsi la double encapsulation des données et on accélère le réseau. Il n’y a pas deux SDN empilés l’un sur l’autre, mais un seul, ce qui augmente les performances. Il est également intéressant de constater que pour un tel cloud, on peut très bien utiliser du matériel assez simple sans nécessiter de grandes redondances. Il n’est pas nécessaire d’investir dans des doubles alimentations ou des connexions réseau redondantes, car en cas de panne du système, la gestion des containers garantit que ces derniers sont redémarrés directement sur un autre système – ils sont déjà répartis dans plusieurs instances sur des systèmes multiples. Ainsi, si un serveur est en panne, il est simplement remplacé par un nouveau, qui n’a plus qu’à être allumé, le système de gestion cloud s’occupe du reste.

Moins de redondances

Si l’on exécute les services formant une couche IaaS – comme OpenStack – dans les containers, on fait d’une pierre deux coups: d’une part le framework de containers assure une haute disponibilité pour ces services, et d’autre part, les services IaaS apportent une valeur ajoutée bienvenue, par exemple dans le domaine du stockage et de la gestion du bare metal. On peut également les mettre à disposition pour les VM et instances cloud.

Maîtrise de la sécurité

Abordons enfin le domaine de la sécurité. Si l’application est execute sur des hôtes bare metal que l’on l’exploite soi-même, on a la sécurité sous contrôle. Avec une machine virtuelle dans un cloud public, les choses sont différentes: une fuite sur une VM quelconque de l’environnement peut avoir un effet sur sa propre VM. Dans un environnement bare metal, les applications ou les clients peuvent être physiquement séparés si besoin. Bien sûr, il y a aussi des inconvénients à faire tourner ses containers sur du bare metal. Ainsi, la plateforme ne peut pas être mise à l’échelle de manière aussi flexible que sur des instances de cloud public. Il faut commander du nouveau hardware à temps et l’installer dans le rack si l’in souhaite utiliser une telle plateforme en interne. Mais de plus en plus de fournisseurs cloud offrent des performances bare metal pour les containers. Compte tenu de la baisse des coûts du matériel et de la complexité croissante des écosystèmes de containers, le cloud bare metal semble être un endroit sûr pour l’avenir.

Le cloud c’est l’ordinateur de quelqu’un d’autre

Il ne se passe presque pas un jour sans un article parlant de la «richesse des données» dans la presse. On entend par là ce moment où toutes les données d’une entreprise sont à la disposition de chacun sur internet – très souvent, ces données se trouvent dans «le cloud». Une entreprise préférerait bien sûr éviter à tout prix cette situation, mais elle doit aussi veiller à rester efficace et compétitive. Et, pour accroître l’efficacité et optimiser les ressources, le cloud computing sous toutes ses formes s’impose inéluctablement. A quoi faut-il dès lors veiller pour éviter de faire la une des journaux avec une méga-catastrophe concernant sa base de données? Qu’est-ce qui importe vraiment? Comme souvent, la réponse n’est pas simple.

Le chiffrement n’est pas une protection absolue

Tout d’abord, il faut être parfaitement conscient que l’on perd le contrôle de ses données. Il ne faut pas l’oublier: le chiffrement protège les données non utilisées et les sécurise durant leur transmission. Dans le lieu de leur traitement, les données ne sont en revanche jamais chiffrées. Même le meilleur chiffrement n’y peut rien, qui a accès à la mémoire, a aussi accès aux données. La question qui suit est donc de déterminer qui a accès à cette mémoire. Dans tous les cas, le fournisseur de cloud et, en function de la situation juridique dans le pays du fournisseur, les autorités du pays en question. Cela conduit à la question de la confiance: à qui dois-je confier mes données? L’externalisation est-elle compatible avec l’obligation de diligence? Le fournisseur cloud dispose-t-il des competences nécessaires en matière de sécurité? Existe-t-il des certifications ISO pertinentes? Des contrats de service (SLA) sont-ils proposés?

Classer les données selon leur sensibilité

Ayant ces questions à l’esprit, il s’agit dès lors de classer les données en fonction de leur confidentialité. Ensuite, le processus de protection s’effectue de manière classique selon les principes «need to know» et «least privilege», déterminant les données qui peuvent être externalisées et celles qui peuvent uniquement être traitées en interne. Des demandes de brevet récemment prepares n’ont pas leur palce sur un espace de stockage cloud. Une fois les données à stocker dans le cloud clairement définies, il convient de veiller à ce qu’elles ne puissent être manipulées sans autorisation – ou que les manipulations soient détectées immédiatement. Les mêmes règles s’appliquent que pour sa propre infrastructure: la mise en oeuvre technique du chiffrement et des contrôles d’intégrité doivent respecter les normes les plus récentes et les plus strictes. Des calculs manipulés d’un composant de support pourraient procurer aux concurrents des avantages inouïs sur le marché. Faire contrôler régulièrement le respect de ces règles par un auditeur indépendant est assurément un bon investissement.

Ce qui importe vraiement pour la sécurité dans cloud

Celui qui applique correctement ces consignes et classe les données en fonction de leur «capacité cloud» dans sa politique de sécurité, mise incontestablement sur la sécurité. Il va de soi que des mesures de sécurité identiques voire plus strictes que celles des systèmes internes doivent être définies pour les serveurs et le stockage dans le cloud. Encore une fois, il n’y a pas de mal à réaliser un audit externe; une partie indépendante est moins sujette à l’aveuglement que l’entreprise elle-même. Ce qui importe vraiment est donc de savoir qu’un cloud est l’ordinateur de quelqu’un d’autre, d’en tirer les conclusions qui s’imposent et de définir clairement ce que l’on y fait et ce qu’il vaut mieux ne pas y faire.