Dev'Obs #33 / Bootstrapping

Télécharger MP3

Bonjour à tous et à toutes. Bienvenue dans un nouveau numéro de Devobs. Aujourd'hui on va avoir un numéro spécial, entièrement dédié au bootstrapping déjà. Qu'est-ce que c'est que le boostrapping ? Et comment on s'en sort avec tout ça ? Autour de la table donc nous sommes cinq.

moi c'est Mathieu que j'ai bec, que je bosse chez S3ns, je suis lead SRE, ben sur les parties bas niveau, si c'est une exploitation, stockage et puis un peu matériel, de manière générale.

Cécile Morange, moi je suis indépendante dans les sujets systèmes, réseaux, data center et tout ce qui est gravitede ce ce ce merveilleux univers.

Moi c'est Loïc Blot, je travaille chez Exoscale qui est un club suisse. Je suis dans la sur la partie plateforme et sur l'offre manager Kubernetes qui s'appelle SKS.

Barthélémy Vesmont, je suis également chez S3ns,

l'équivalent d'un staff SRE Lead et en ayant travaillé sur la partie KaaS notamment, mais en vrai je suis là depuis le tout début du projet donc la partie boots trap j'y ai

activement parti de s3ns, qui est une co-entreprise entre Thales et Google qui a l'objectif et l'ambition de construire Google Cloud,

sur le sol français par des équipes françaises avec un ownership complètement français.

Et alors moi donc Guilhem Lettron et je travaille chez Akamai et akamaiConnected Cloud anciennement Linode,

Et je travaille notamment sur toute la partie Kubernetes, tout ce qu'on appelle le cloud nativedonc les offres aussi bien publiques que interne, tour de Kubernetes.

Alors vous avez vu autour de la table on a quand même pas mal de gens qui travaillent dans le monde du cloud, aussi bien très bas niveau, en construction ou très haut niveau avec des offres déjà existantes et c'est une question qui revient souvent c'est comment on fait pour partir de zéro et comment on fait pour construire un cloud.

Toujours une problématique, quels sont les choix du logiciel, quels sont les choix de l'architecture disponible et nécessaire.

Moi la question en fait un peu que je me pose et c'est si jamais demain je vous donne un data center,

un peu jeu de rôle en fait voilà ça va être un premier podcast des en jeu de rôle c'est demain je vous donne un data center donc on va dire qu'il est au bon endroit, il y a l'électricité, il y a la ventilation, il y a tout ce qu'il faut dedans,

Et je vous mets des racks à la limite les machines, vous en mettez autant que vous voulez, vous avez machine illimitée et vous avez du réseau,

Maintenant je vous dis à partir de ça, comment on fait pour avoir une offre bah une offre pertinente, une offre de haut niveau à destination des clients, aussi bien interne qu'externe parce que voilà ça peut être aussi pour des gens qui se lancent dans une entreprise quelconque et qui ont besoin d'un,

d'une offre cloud interne, de quoi vous auriez besoin, quelles sont les questions que vous allez vous poser et que sans doute vous avez déjà répondu dans votre expérience.

Alors je vais partir du principe que on donc on a on va rajouter une zone par exemple sur un club probablement existant. Alors,

Chez Exoscelle chaque zone est totalement indépendante hein, c'est prévenu contractuellement, il y a pas de partage de données entre les zones,

Donc à chaque fois qu'on se pogne une zone, on repart de zéro. la première chose à monter pour moi au sens physique et début de logiciel c'est un out of band,

Parce que chez nous, l'objectif premier, c'est d'avoir accès à distance. On travaille tous à Henri Moat, il y a personne qui bosse dans un data center directement. Donc l'objectif, c'est d'arriver avec des premières machines qui vont permettre d'accéder à l'ensemble du vrai cloud qui est derrière,

Donc là effectivement on aura deux connectiques réseau, on aura la vraie connectique cliente mais on aura aussi cette fameuse connectique de secours qui a négocié avec notre data center et à partir de là on aura quelques machines qui vont servir à à se câbler aux fesses de tous les équipements physiques existants

Pour pouvoir tout manager.

Okay et donc ça c'est des choses qui sont prêts à installer vous avez donc un un ben en fait c'est presque un micro cloud en fait là que vous avez besoin de toutes ces machines qui sont sur la out of band.

C'est très simple, c'est vraiment très simple, c'est le but c'est que ce soit le plus rudimentaire possible et le setup généralement il est pas fait physiquement sur place, il est préparé,

au niveau de ben du l'entité mer à Lausanne et après ensuite il est chipé au data center et puis les équipes datacenter montent ce début.

Est-ce que vous voyez d'autres choses.

Globalement ouais c'est à peu près ce que t'as dit la première étape c'est avoir accès aux machines et pour ça bah résoudre et faut rester le plus simple possible un accès tout simple et c'est sage et c'est bon tant que t'es assis au maxime

accès aux machines, après tu peux commencer à faire la suite, donc faut quand même que t'as un premier réseau,

le réseau principal mais que ton réseau secondaire, le réseau d'admine on va dire en quelque sorte qui sert qui servait à un camp d'interne qu'aux équipes qui eux vont déployer les OS ou les Q ou,

les installations des machines quoi. Mais il faut déjà aussi que ben t'as un réseau donc ça veut dire switch routeur déjà donc une équipe réseau qui est travaillée sur le réseau avant même de travailler sur le réseau de prod qui lui va ou le trafic client va passer.

Et ce et ce ce réseau il va servir uniquement pour l'administration à ce moment-là où il sera prêt. Enfin c'est-à-dire en gros je suis branché à quoi? Je suis branché,

Vraiment la machine où je suis branché au dirac, aux choses comme ça, au au logiciel de de gestion de la machine. C'est en fait à quoi à quoi il va me servir après ce réseau.

L'ostomande, le principe, c'est que si ton réseau de prods il tombe, tu es quand même backdor entre guillemets pour que t'aies la main sur le routeur et que tu puisses remonter ton réseau,

Et généralement sur les autobandes on va mettre bah les les îlots des machines, pas directement du réseau classique. C'est vraiment juste pour accéder aux accéder aux îlots et lancer la première install, ta machine avant de faire la suite.

Donc en gros j'ai accès par derrière à un peutout ce qui se passe donc c'est un réseau quand même assez assez triqué quoi.

Un réseau important qu'il faut quand même sécuriser un minimum parce que ben si tu te fais pirater ce réseau-là, ça devient compliqué quoi.

Et donc okay donc là on a donc quelques machines qui sont déjà installées, qui sont donc pré-approvisionnées et mises avant,

Après qu'est-ce que qu'est-ce que je fais? Qu'est-ce que qu'est-ce que je fais de tout ça? Donc okay, j'ai accès aux machines, j'ai accès au j'ai accès solution via cet out of band.

Après là t'as plusieurs méthodes, soit tu y vas classiquement tu mets ton ISO, t'installes ta machine, soit tu fais ça un peu en mode automatisé, un coup de PXE comme ça tes tes os ils s'installent automatiquement,

Le mieux c'est quand même de faire du plexus surtout si t'as beaucoup de machines à déployer comme ça ils s'installent tout seul, elles remontent dans le réseau c'est bon t'as accès fini quoi tu

passe à l'étape suivante installée cube, installer le logiciel tout ça,

Ça c'est la méthode la plus automatisée possible. après bah en parallèle il va falloir monter le réseau de prod qui lui va faire donner va va faire passer les données clientes,

Ben du coup ben le réseau principal quoi, pas le. C'est deux choses à faire en parallèle.

Je vois tous les ingénieurs hardware qui sont en train de crier de crier dans leur chaumière,

Parce que on nommait complètement la partie du matériel. Aujourd'hui on avait peut-être trois machines ou suffisamment de de serveurs VPN, de bastion SSH pour faire tourner la,

mais mais c'est pas magique le PXE, on peut pas juste raquer des machines, il va falloir travailler un inventaire, alors soit l'inventaire il est,

On connaît les machines à l'avance. Hum. Parce qu'on les a saisies donc ça veut dire qu'on a un serveur d'inventaire quelque part,

Voilà, d'un seul coup, on a une petite pastille qui vient d'arriver. Ou alors on peut avoir aussi alors un inventaire qui est dynamique, c'est-à-dire qu'on se prend on part du principe que les machines ne sont pas connues au démarrage et on va les découvrir au fur et à mesure qu'elles s'allument et les ajouter,

à la volée dans l'inventaire. Mais il faut quand même un inventaire. Ensuite le PXE faut l'installer mais est-ce qu'on l'installe sur le réseau à,

Ou est-ce que on va l'installer à cheval entre plusieurs réseaux, par exemple et parler d'un réseau de BMC qui peut être différent de celui il peut juste exister pour accéder à certaines ressources en particulier et pas forcément.

Les machines du parc, voire toutes les BMC du parc et servir absolument parce qu'en plus on va avoir des machines,

qui vont potentiellement être en DMZ donc on veut pas forcément avoir la qui va être sur toutes les segments de notre infrastructure en parallèle. Donc on peut avoir on peut déjà segmenter le réseau voire même,

Plus que le segmenté c'estuniquement le lui donner certaines prérogatives sur les accès, les VPN, sur cette fameuse machine qui va servir à faire du du provisioning et une fois qu'on a ça, le Provisionning va et l'inventaire,

Et ensuite, une fois qu'on a débloqué ces deux, trois petites features, on peut commencer à attaquer la suite.

Après j'ai on parle enfin là on a parlé de on va dire du service de de de déploiement à coup de PXE et cetera service minimum. Ce qu'il y a c'est que même avant de hum avant de déployer une machine, il y a peut-être de la préparation à faire,

La préparation typiquement là on parlait de enfin de ou d'annuaire, d'inventaire, il y a une partie gestion des identités aussi

C'est-à-dire que je vais peut-être générer des certificats donc une PKI pour pouvoir authentifier mutuellement mes machines, enfin en configurer des TPM et cetera,

Donc quelque chose qui est important aussi c'est avoir une solution de bécail qui marche tout de suite, une une gestion d'annuaires, une gestion d'identité pour pouvoir ensuite,

configurer le déployeur automatique en mode PXE avec les les bons A7 et déployés directement. C'est un peu ce que fait en fait Microsoft avec active et,

Quand on monte à un data center de Windows, Microsoft entreprise, c'est d'abord on déploie AD, dans AD, il y a DNS, annuaires, DHCP, il y a identité, il y a tout, et ensuite,

peut déployer, peut déployer des choses. Ça c'est c'est quelque chose qui est assez important parce que c'est le socle de de toute activité en fait.

On on voit un peu pointer du nez là avec ton exemple de de Microsoft une espèce de micro control plane ou de noyau de contrôle plane qui servirait,

À la base, avant même qu'on ait des machines à gérer,

des identités à gérer éventuellement bah des profils, des annuaires, des des choses et ce truc-là va nous servir peut-être à ce poney d'autres types de contrôle qui vont être plus spécialisés et qui vont s'appuyer sur ces features-là

Et ça c'est un modèle qui est pas forcément hyper répandu et qu'on voit dans très peu petite même de moyenne ou grande entreprise qui n'est pas du tout.

Ouais ça ça me fait penser un peu à ce qu'on appelait undercloud chez certaines distributions open stack, style rédash payant à l'époque et cetera,

C'est un peu ça déployer un un noyau monomacchine où il y a tout dessus, un peu all in one, ce qui permet ensuite de de déployer euh des choses euh beaucoup plus importantes à côté.

Ouais parce qu'en plus enfin tu disais tout à l'heure bon ben il nous faut le réseau ceci, il nous faut le réseau cela et cetera. Alors c'est quoi? C'est un gars à la main qui va sur des interfaces sur tous les routeurs du du parc pour configurer des route.

Il y a déjà un énorme travail de découpage du réseau à l'avance avant même d'arriver dans le décès, il faut qu'on ait une espèce de cartographie sur ce qu'on veut faire,

Comment on va le faire? Et ce travail-là il prend du temps. Enfin en tout cas, chez nous, il a pris du temps. Je sais pas chez vous. le côté PKI, établir c'est les différentes branches de la racine des racines

Est-ce qu'on fait une racine par data center ? Est-ce qu'on fait une racine globale ? Comment on se débrouille ? Tout ça c'est des choix qui doivent être faits a priori,

Avant même de poser les pieds parce que quand on va commencer à créer les certificats, les SSH, les machines.

Mais ça c'est de la partie design, c'est des trucs que avant même que tu choisisses le c'est des choses que t'as désigné, décidé.

C'est on est voilà c'est des choix qu'il faut faire qui sont structurants mais qu'il faut faire dans tous les cas avant et c'est vraiment une grosse,

préalable au bout de qui est de,

D'être un peu visionnaire sur l'utilisation de l'usage et c'est là en général où quand on va faire une erreur ou qu'on va se planter ou qu'on va se dire c'est pas si pratique que ça, ça va être assez cool

Donc moi moi ma grande question pour Exoskill c'est,

Comment vous gérez vos racines et est-ce que vous avez une racine comme vous vous avez vos environnements qui sont très isolés, comment comment c'est c'est c'est fichu.

Je vais pas pouvoir beaucoup répondre à ça, ça fait que deux mois que j'y suis, je je sais qu'on a du volt avec toute la PKI. Pour moi, il est global à toutes les AZ. C'est c'est un cas un peu particulier de partage, effectivement, et toutes nos ils passent pas.

Et sur les choix enfin c'est est-ce qu'il faut faire des choix justement à dire une fois pour toute ou est-ce que tu te dis dès le début je vais faire des erreurs et donc il me faut quelque chose qui soit dynamique.

Sur la PKI se planter ça veut dire tout refaire. Donc c'est assez c'est enfin c'est assez tendu quoi.

Vraiment ça parce que enfin en théorie, enfin moi en tout cas là quand quand je réfléchis à chacune et il y a toujours des règles pensées à la rotation,

Et la rotation s'est littéralement changer quelque chose en fait, c'est-à-dire que rien n'est immuable et je pense dès que je le fais, à la manière dont je vais le changer, juste parce qu'il va falloir faire une rotation. Mais je pensais même aux machines

on a déjà été dans des contextes de boîte avant où les machines bougeaient de contexte en eau, c'est-à-dire que une machine elle pouvait commencer sa vie en étant un contrôle plain de je sais pas quoi, elle est enlevée, elle sert après à un autre contexte et donc elle va migrer comme ça de réseaux en réseau

Et donc est-ce que il y a besoin de tout raquer dès le début en disant bon ben cette pâte-là c'est tel VLAB tartan pion ou est-ce que cette machine elle va bouger

Et je vais pouvoir la réaffecter et se dire pourquoi pas euh.

C'est une très bonne question, elle est en touche du doigt un petit peu la mission technique qu'on fait porter sur le mas donc il y a une brique, la brique logicielle qui est là justement,

En interface avec ce qui est rentré dans cet inventaire ou dans cette CMDB

Et qui va ensuite nous permettait nous nous permettre de piloter les les machines et le masque c'est le métal a the service, donc c'est la stack fameux stack PXE,

En général elle est un peu plus intelligente, elle permet de définir des profils de machine, de sponer des machines, de sponer des OS, éventuellement aller jusqu'à la configuration de dynamique d'AS, par exemple,

On va pouvoir dire cet OS là, je veux qu'il ait le réseau X, Y, Z de bronché et on va se retrouver avec un OS directement configuré avec les bons Velan dans son fichier, je sais pas, systemD / networkD. Ce genre de choses-là qui sont on est capables de le faire, on peut capable, on est capable de lui,

En gros de piloter tout le fichier Cloudinit ou ignition ou peu importe ce genre de choses-là et c'est la cette stack logiciel-là qui va aller tamplétiser hein grosso modo ces fichiers et au moment du bout de la machine sur le réseau

lui passer toutes les informations.

En fait ce qui est important c'est c'est en fait il faut un outil de cycle de vie, de gestion, de cycle de vie du matériel,

c'est-à-dire je sors du carton une machine, je la raque, je la branche, je l'allume, faut qu'elle soit découvrable, ensuite je décide de de ce que j'en fais en fait,

Donc il faut piloter à la fois ben la carte contrôleur, la la fameuse BMC de la machine pour pouvoir l'allumer, l'éteindre. Mais il faut aussi être en mesure de configurer configurer le réseau

qui avec,

C'est-à-dire que je vais peut-être la mettre d'abord dans une zone de quarantaine parce que je vais faire un test, un test de charge, je vais voir si les aliments elles cassent pas, si le processeur il tombe bien, peut-être la faire chauffer un peu pour être sûr,

ben que qu'elle sait qu'elle est disponible et prête prête à la prod et ensuite j'ai sûrement la basculé dans une zone de métier. Mais si je la bascule dans une zone métier, c'est-à-dire que je vais changer l'OS qui est dessus,

Pas l'irriguer de la même façon niveau réseau, niveau c'est peut-être à ce moment-là que je vais lui envoyer des certificats, ce genre de choses

Doncle cycle la gestion du cycle de vie c'est pour le serveur mais c'est aussi pour la fabrique réseau en fait qui est autour.

Hum hum. Exactement et là et là tu viens de toucher un truc super important la fabrique réseau,

Si elle est pas pilotable, si elle a pas été designée à l'origine pour être pilotable, ça veut dire qu'on a on a des gens au moment avant même qu'on pose les pieds, on va au moment où on configure les switchs, les routeurs,

On va dire que le Port-X c'est le Y,

Et ça, à partir du moment où on on a un mapping statique, des ports, des veillanes et qu'on a une cartographie qui est trop statique, on peut plus opérer notre décès de manière,

dynamique tout simplement,

ce choix-là, c'est un choix structurant. Si tout le décès si on peut pas piloter le et qu'on a pas de SDN et que on est pas capable de changer dynamiquement la topologie du réseau,

On pourra pas on pourra pas être flexible dans notre dans nos opération.

Et les solutions parce que là on est on a parlé masque, on a parlé et cetera, des solutions concrètes qui existent, ça existe ou pas? Parce que si jamais c'est juste dans le monde des idées et que ça existe que chez hum.

Ça existe mais c'est un grand débat, la l'automatisation réseau ça a toujours été un grand débat.

Et pourquoi enfin c'est quoi les les problématiques là par rapport à ça.

Ben faut que déjà ton réseau soit enfin dès que tu crées ton réseau faut qu'il soit designé day one pour être automatisable et pilotable puis tu lui mets pas day one c'est mort.

Et c'est quoi qui est automatique? Enfin vraiment concrètement c'est quoi il faut exhauster le un Cisco, un Juniper.

N'importe quoi qui qui sait parler de l'un de enfin chaque constructeur a sa petite sauce pour que tu puisses lui parler que ce soit de l'antibel, du piton, enfin ils sont plusieurs possibilités. Mais en gros c'est pouvoir changer de dynamiquement la configuration en un fichier quoi c'est tu changes ton fichier.

Par exemple moi je connais plutôt celui Ansible où bah tu fais ton tu dis ton port, t'as ta liste des ports, tu dis c'est machin, tu et puis ben ça change dynamiquement la configuration quoi

vraiment faut que ça soit pilotable comme ça quoi.

C'est pilotable, c'est pas forcément dynamique.

Moi je voulais revenir sur l'aspect dynamique parce que du coup ça va dépendre de l'offre cloud qu'on a,

C'est-à-dire que si ton offre Claude elle ne fournit pas de bar métal au client c'est pas forcément nécessaire,

C'est-à-dire que si t'as comme un Amazon ou un Exoskel c'est-à-dire qu'il y a une machine qui est désignée

Avec un gabarit et que ce que tu vas donner c'est des morceaux de cette machine, c'est ce qu'on appelle des profils hein au final dans ces machines ben ton réseau en fait sous-jacent il va pas bouger, c'est que du logiciel qui va être sur ton hyperviseur ou sur ta ton stockage qui va bouger

Et du coup ben ton réseau physique, oui tu vas l'appliquer avec de ou tout autre outil d'automatisation peu importe mais en fait c'est la partie intelligente elle sera au-dessus de ce réseau et tu ne le verras plus.

Okay donc en gros t'as un ton comment on appelle ça? Ton underler et de veau il est unique, il bouge pas et l'intelligence réseau dynamique tu la fais par-dessus c'est un petit peu encapsulé quoi.

C'est ça, comme avec du Vislam ou des d'autres technologies.

On pourrait même imaginer des zones d'ailleurs qui bougent pas hein, enfin c'est c'est tu pourrais tu enfin il y a il y a deux manières toujours de de penser quelque chose, soit on le pense de manière dynamique et on va le mettre à jour, sans le penser de manière bah inimitable quoi,

Très bien de te dire bon ben voilà telle zone elle a genre deux-cents serveurs et voilà le jour où j'ai besoin de plus de serveurs ben je fais une nouvelle zone,

serait même potentiellement possible en fait avec un certain design et en fait se dire bon ben cette zone-là elle est au design de référence un, deux, trois, en fonction de littération qu'on y a fait dessus, mais ce serait tout à fait possible maintenant,

Moi là sur le réseau je reviens, je suis très ben je suis très déçu, j'ai même pas entendu parler de Sonic.

Alors c'est vrai qu'il y a Sonic alors je t'avoue que moi j'ai jamais testé euh il faut que c'est dans ma truc à tester mais euh ça me paraît prometteur hein faut vraiment que je teste que je m'exerce avec.

Sonic on rappelle ce que c'est?

C'est un OS open source si on peut dire ça, pour du réseau et du coup on veut, t'as certains hardware, tu peux choisir ton OS et tu peux mettre Sonic dessus, entre autres

Il y a eu cumulus qui a été racheté par c'est ça c'est cumulus.

Ouais il y a eu ça à un moment, ouais je crois ouais. Mais c'est en fait en gros c'est toutes les tous les gros switch slash routeur parce que en fait la différence entre les deux est devient de plus en plus compliquée dessus.

En fait ils arrivent avec des gros ASIC complètement propriétaires sortis d'usine qui font un peu papa maman sur toutes les câbles réseau et en fait à chaque fois ils viennent avec et Sonic le but c'est d'avoir un OS vraiment open source et surtout en fait plus que l'OS les EPI,

Pour faire en sorte de configurer euh chacun de ces Asiques-là,

Et en fait après d'avoir une fabrique réseau et cette fabrique elle va reposer sur Sonic et donc cette fabrique tout en haut, c'est celle où on va dire bon ben telle machine tu deviens un load de balanceur bon ben hop je trunk tous les tous les porcs et hop t'as énormément de réseau pour aller de tel endroit à tel endroit,

et donc après le but c'est comment piloter parce que t'avais parlé d'Antibes mais,

Comme disait Barthe c'est c'est c'est c'est c'est tu la une fois et puis après bon ben voilà c'est là c'est très très c'est c'est de l'instanciation c'est pas vraiment du dynamique dedans mais voilà. Il y a il y a tout le temps ce choix entre les deux dynamiques versus un sens sensation.

D'ailleurs moi je je posais la question quand tu fais de l'antibel dans des cadres comme ça mais c'est du cadre réseau mais en vrai ça pourrait être le cadre de la configuration de ou du enfin de n'importe quoi qui applique,

Quel est l'élément qui en ce temps-ci, qui lance la commande?

Alors pour l'autobande c'est à la main.

C'est-à-dire que c'est quelqu'un qui vient avec son laptop, qui se branche sur un port spécifique.

Ben de toute façon pour la première configuration où il était obligé faut être obligé d'être sur place, se connecter en céréales, faire des premières configurations ben tu peux tu peux pas avoir un réseau qui se tout seul une configuration qui se pogne automatiquement.

Si c'est possible tu aurais tu aurais pu avoir du LORA avec du sigfox.

Ouais je suis pas encore assez échelle là mais.

Dans le monde de l'embarquer tu fournis toutes tes configurations à ton fournisseur, à ton fabricant et en gros le.

Mais ça ça veut dire que t'as t'as un un intégrateur moi je je connais un intégrateur où littéralement il livre les baies en entière de pré-configuré, pré-câblé, t'as juste à brancher ta fibre de sortie et tout est vrai quoi, mais ça ça c'est possible. Mais ça veut dire que c'est quelqu'un d'autre qui l'a fatale la,

Mais t'as forcément au tout début t'as forcément une petite main qui est passée par là pour mettre la première configuration à la première graine de ton réseau quoi.

Sur enfin les matériaux fiscaux et autres on peut très bien sortir enfin à l'époque quand quand j'en faisais on pouvait sortir la la carte mémoire préconfigurée des fichiers dessus,

et ensuite ben recopier la carte mémoire et puis les la mettre.

Tu peux le faire ouais c'est de la clé USB aujourd'hui 4000 euros elles sont à l'intérieur elles sont soudées mais tu peux faire ça avec des clés USB, des clés USBfaites exprès où du coup tu butes la tu boucles la machine, elle va choper ce qu'elle espère et se configurer toute seule.

Et okay donc là en fait on a un masque, d'ailleurs les solutions de masse on en a pas parlé, qu'est-ce qui existe?

Alors je sais pas trop en open source moi je connais Canonical MaaS, on a Tinkerbell,

On a.

Ironic.

Et puis après même euh toutes les solutions à base d'ironic hein parce que Metal Cube euh et cetera et justement on va.

Metal Stack des Allemands là qui qui font aussi ça.

Donc et donc justement d'ailleurs enfin là quand on parle d'Ironic donc Ironix, solution de MaaS tant openstack what the point genre c'est quoi on il nous faut d'abord un open style, il me faut il me faut d'abord.

Moi j'ai Thinker Bell qui est un aéronique sur cube, même combat. C'est comment on a un premier cube.

En fait ce qu'il y a c'est Ironic qui la demande, c'est-à-dire qu'il y a un mode intégré dans openstack où il va consommer les API d'openstack keystone Glance et cetera et il a aussi un mode standalone, c'est-à-dire que on l'installe,

tout seul,

Et il est autoporté et on peut ben le configurer directement. Ce qui permet justement de ben faire un premier déploiement par exemple sans sans avoir on va dire à traîner ben traîner toutes les briques opensacs qui sont derrière quoi.

Okay donc là j'ai ce premier ironique on va dire, maintenant de quoi j'ai besoin. Voilà. J'ai mon PXE, j'ai mon PXE qui marche qui arrive à mettre des veilans sur des ports,

Je sais faire ça. Le but à la fin quand même c'est que j'ai des développeurs qui arrivent à déployer leur application. Est-ce que je leur donne ce PX là? Je leur donne le masque et je leur dis démerde-toi avec ou qu'est-ce qui se passe après quelle est la deuxième étape que je vais avoir besoin,

dedans.

C'est souvent là où t'as l'oeuf et la poule, généralement c'est sur cette étape parce que tu vas quand tu vas produire ton logiciel pour ton cloud ben t'aimes bien être foodé souvent,

Et c'est le moment où t'as produit du logiciel et t'arrives plus à revenir à cet état où comment je fais quand j'ai pas encore le logiciel,

Donc il y a plusieurs solutions, alors je je je n'ai pas exactement la solution que nous on utilise parce que j'ai pas encore le goût de frapper de zone mais j'ai une vague idée. La première c'est que tu utilises une zone existante parce que ben t'existes déjà en tant que cloud et tu tu fais une fake zone dedans,

Et tu plogues ton autre zone dedans pour commencer à booster tes hyperviseurs, ton stockage qui va se connecter via un VPN quelconque hein, tu vas tricher un peu sur les règles au début et tu vas être obligé à un moment.

Pouvoir ta première stagne donc où tu pourras spawner tes VMs.

Une sorte de clonage en fait un peu, enfin il y a une espèce de de.

Pas tout à fait en fait si tu vas tu oui on on va dire que c'est une sorte de clonage c'est tu vas créer ta zone mais elle sera pas physiquement dans la zone au début, ça c'est une technique possible et tu vas la consommer à distance au travers d'un VPN trotter deux sites,

Pour pouvoir justement lancer cette première phase digne. Ça c'est une une façon de faire, qui est pas forcément celle de tout le monde, parce qu'il y en a qui qui refusent de connecter les deux sites,

Après si vous avez d'autres solutions pour le faire, hésitez pas.

Alors chez chez S3ns, on utilise,

plus ou moins toutes les stratégies. Alors ça dépend parce que il y a les stratégies on peut pas en parler mais des stratégies qui sont dues utilisées en interne par Google où il y a un mix, un peu de tout. Donc comme ça,

C'est très mystérieux mais alors chez nous donc dans notre zone qui est la zone managée, la zone de confiance.

On est parti du principe en effet avec les zones de communiquaient pas entre elles et on a eu l'avantage de partir de zéro,

Donc là littéralement, on avait pas une zone existante,

Pour démarrer, pour buter, pour créer les racines, pour créer plein de choses, tous les même pour construire les artefacts, nous n'avions pas de zone, parce que la CI alors c'est un c'est un choix mais l'ACI qui construit des des artefacts

tous les systèmes, qui toutes les configurations, elle est hébergée dans la zone en elle-même.

Donc notre stratégie c'est de déployer donc d'arriver en effet avec les laptops dans les décès et de déployer tous les premiers composants lors du boot strap donc ça peut aller assez loin, ça va en effet jusqu'au IAS je crois,

mais ça va assez loin et on déploie ces ces briques-là donc ça peut les VPN, les PKI, le DNS, le yas en utilisant nos lattes,

Donc c'est de la taupe qui doivent être là pour le coup intégrés dans la dans l'infrastructure bah de sécurité, enfin sécurisé, on n'est pas à n'importe quel ou il est aptop soit été validé et cetera et cetera, mais ce sont des latops d'admin qu'on va utiliser pour construire tous ces artefacts-là

les embarquer. Alors soit on arrive avec une clé USB ou un disque dur parce qu'on a beaucoup beaucoup d'artefacts, soit on est construit à la volée,

et on les pousse sur une registre qui va être une registrée et cetera et cetera. Et donc une fois qu'on a tout,

Ces artefacts-là, on est capable de les premières parties jusqu'à arriver au point en effet où on peut un et on arrive à ne plus se passer de on arrive à se passer de cette construction locale,

construire au travers de la Syrie.

T'as pas des problèmes de dépendance croisées? Enfin je sais pas. Ton vault il a besoin du DNS mais le DNS il a besoin du vault enfin je je donne un exemple au pif mais.

C'est la registre.

La registre, l'enregistrerie qui a besoin d'un DNS mais en fait le DNS il est déployé par la registrée enfin.

Elle a besoin d'un certificat aussi, elle a besoin de plein de choses.

Et donc là pour le coup c'est quoi? C'est.

Alors pour le coup on a alors c'est la ah c'est très compliqué comme sujet c'est très compliqué parce qu'on y a passé beaucoup beaucoup de temps. On avait des on a commencé le sujet le le programme il y a deux ans,

On dessinait des sur le tableau, des graves de dépendance avec des bars, avec des flèches dans tous les sens, c'était vraiment très compliqué justement pour que ce bout de srap-là,

on identifie qu'est-ce qu'on pouvait écourter,

Et il y a une stratégie qu'on a utilisée, qu'est-ce qu'on pouvait écourter, qu'est-ce qui devait être fait avant, qu'est-ce qui devait être fait en même temps, qu'est-ce qu'on faisait à la main? Qu'est-ce qu'on pouvait ne pas faire à la main,

Et il y a une stratégie qu'on a pu faire et que j'aime bien, c'est des solutions étagées,

Des solutions à étage, par exemple le DNS, on avait une solution à étages alors c'est pas forcément celle qu'on a retenue deux ans après,

mais elle était à l'époque hyper séduisante la solution à étage c'était d'avoir un DNS la qui ne fait quasiment rien sur lequel on va enregistrer des des notamment la registrerie en dur,

Et ensuite, pour tout le reste, elle va aller vers un qui n'existe pas encore, mais qui va exister à la phase d'après,

Donc c'est un DNS qui sera hébergé dans le et puis plus tard, une fois que les services dynamiques de DNS avec external DNS, avec cloud DNS, enfin peu importe le service que vous allez utiliser pour faire de l'enregistrement dynamique,

Pour vos futurs utilisateurs ou pour vos vos futurs services, ça sera dans un troisième étage. Et donc on avait un système à deux ou trois étages comme ça,

Où on avait l'astack hyper le dépanneur qui est uniquement nécessaire lors du bootstrap Lolevel, une deuxième staclo-dépendence qui va aller être nécessaire.

Les briques on va dire de cercles un et puis ensuite le cercle deux qui est pour les logiciels un petit peu plus haut niveau et en fait tout le monde, tout le reste du décès.

Et t'as besoin de les garder du terme aeternam ou pas? C'est c'est.

Il y a des cas de figure où oui, il y a des cas de figure ou non. Alors par exemple le DNS, le DNS on peut le on va le garder,

la registre c'est un super cas de figure puisqu'on a eu l'exemple on a eu le l'illustration il y a pas très longtemps la registrée on est capable de sponer une registre,

Juste le temps du boot strap avec le même nom un certificat qui est valide, peut-être moins longtemps parce que on va le on va le déployer à la main mais et ensuite,

Une fois que la les infrastructures sont en place, que ça soit des infrastructures type VM ou type,

On va pouvoir migrer s'être en gros c'est une c'est de la haute dispo on va aller créer d'autres instances et puis on va aller shooter,

Plus tard, la celle qui nous a servi à la. On se pose la question après du disaster Recovery, c'est comment on fait si qu'est-ce qui arrive si le truc plus haut niveau tombe en panne et là on a des,

Exactement. Par exemple la registry qui est hébergée dans un conteneur elle tombe eh ben on est embêtés parce que on peut plus la remonter vu qu'il y a plus de registre.

D'accord. Et donc ben là t'as t'as parlé de conteneur,

Donc justement, comment faire? Parce que là, on a dit on déploie un milliard de logiciels. Je fais quoi? Je vais sur toutes les machines, j'ai sur la machine un, je fais guette DNS, machine deux, APT Gatin. Enfin, c'est c'est quoi, justement?

Toute cette façon de pouvoir déployer parce qu'en fait la stack elle commence à devenir

à devenir sympa hein, enfin tout déployer dans tout ce que je vais avoir besoin si je veux quelque chose de sécurisé avec de la si je veuxdes registreries si je veux ceci et cetera.

Voilà au niveau au niveau on va dire ce que t'es en train de dire c'est que il faut un dépôt d'artefact un dépôt de paquet ou un dépôt d'images enfin faut faut un dépôt d'autres choses que de conteneurs quoi.

Il y a ça et il y a même enfin il y a même un autre point, c'est l'orchestration et genre je fais ça à la main, c'est-à-dire une orchestration manuelle au pifomètre et je dis machine un c'est machine un c'est la registre et machine deux et cetera, enfin c'est quoi justement ce,

De quoi de quoi je vais avoir besoin, justement, pour faire ces choix-là, c'est.

Déjà il y a il y a une partie orchestration avec ben le fameux Metaplas de service qui va permettre déjà de dire

Bah tiens ça c'est des machines de calcul, ça c'est des machines enfin plus du cattle quoi ou du des des machines dire en bas de pète qu'on avec des des choses un peu plus un peu plus rigides au-dessus on va dire et déjà on

rien que le fait de devoir fournir des images ou des,

des des artefacts enfin des une distribution de nux qui tournent sur les machines, c'est-à-dire que il faut qu'on ait créé les images

Donc donc il faut un dépôt entre guillemets un dépôt d'images

Donc option une, on qui est un peu dégueulasse et on ouvre tout de suite par le réseau internet et on va chercher,

On va chercher sur les dépôts enfin nos dépôts préférés on va dire. Option deux c'est on fait une pré-construction ben soit sur les soit sur les portables de de boots rap comme disait Barthélémy

ou vraiment tranquillement au bureau plusieurs semaines avant on crée on crée toutes les images, toutes les configurations un peu en mode golden image,

Et ensuite on va déposer ça sur le stockage du métal as de service et ensuite on va pouvoir envoyer ça sur les machines en fait.

Et c'est quel c'est à quel nom là? Le tiers Gap,

enfin en fait en gros pour que les gens puissent chercher, cette stratégie en fait c'est vraiment la stratégie Air Gap, c'est-à-dire on a on passe pas par Internet, on a un flux d'air enfin on a

On a les deux deux mondes qui sont séparés et c'est une clé USB slash portable, slash quelque chose en tout cas qu'on identifie qui fait le lien entre les deux. Donc c'est souvent des stratégies en air gap.

Enfin l'intérêt du aussi ce qui est c'est que qui n'arrive jamais la double panne mais serveur crame et mon accès internet avec,

Ben si je suis pas en Argap, ben je suis pas capable de ressortir ma clé USB ou mon disque dur et de réinstaller en fait

Je perds du temps à essayer de remonter mon mon axe internet pour pouvoir re-télécharger mes artefeuilles. Donc il y a quand même une certaine sécurité on va dire qui qui peut être intéressante avec.

Après on peut se dire que si il y a pas d'accès à internet, en tous les cas toutes mes applications servent à rien. Donc des fois c'est c'est c'est toujours toujours le choix entre.

Ouais mais mais il y a un gain de temps à la remontée en fait. Hum. C'est ça c'est ça qu'on voit, c'est-à-dire que on peut on peut remonter plus vite et donc avoir une indisponibilité réduite entre guillemets avec une solution interne en fait.

Il y a il y a un truc,

qu'on a évoqué, qu'on dessine, sans le dire, c'est que il y a des dans cette approche de d'identification des dépendances, on a des choses qu'on peut faire et des choses qu'on peut pas faire,

On veut bien que des services se dépendent entre eux, mais pas au même niveau de criticité. On veut pas, par exemple, tu disais le service, je sais pas, d'installe des OS peut pas dépendre d'Internet,

Parce que ils sont au même niveau en terme d'installation, donc on a des des espèces de de ring, on appelait ça nous des rings mais il y a des rings dans la sécurité, il y a des rings de dépendance,

Un peu compliqué des fois à se comprendre, mais on a des rings et on un service a le droit de parler de ring un a le droit de dépendre d'un service de ring zéro, mais un service de ring zéro n'a pas le droit de dépendre un autre service de ring zéro

Et c'est pour ça que ben déjà il faut réduire le scoop de ring zéro au minimum et il faut éviter,

Il faut éviter de mettre des trucs trop compliqués à l'intérieur qui ont beaucoup de dépendances parce que toutes ces dépendances-là dont tu vas avoir besoin en ring zéro et c'est argent ce que ce que tu disais,

Au début c'est on veut des choses extrêmement simples en DMZ ou en DMZ en sur la Out Of Band parce que ce ring zéro là dès que vous allez avoir une dépendance à l'intérieur ça ça va être à vous de la gérer. Vous pouvez ne compter que sur vous,

Et pas sur quelqu'un d'autre et pas sur un autre service et pas sur un autre contrat parce que ben parce qu'on est dans un stade où c'est tout est ultra critique et il va falloir notamment dans des scénarios de disaster recovery,

pouvoir tout reconstruire uniquement en enfin en vous démerdant avec vos propres.

Et donc ça dessine ces différents rings-là, donc on en a deux ou trois chez nous, je crois, on a un green deux ring zéro ring un green deux pour différentes raisons. Mais mais ça nous aide à designer ce cet arbre de dépendance.

Moi c'est marrant j'appelle ça plutôt des étages la plupart du temps et les.

Ouais des stages. Ouais ça peut être des stages.

Ben parce qu'en fait je pense souvent en fait au starship en fait, la manière dont il est fait et le stage zéro, c'est une partie et elle bouge pas pourtant, elle reste sur place, mais le qui va allumer les moteurs,

Ben voilà mais c'est pour ça qu'en fait j'aimais bien cette allusion et bien sûr le Stelro a pas besoin du stage deux de de la fusée quoi en fait. Et de se dire non on a cette espèce d'étage de lancement,

Qui a beaucoup d'intelligence et beaucoup de choses à faire mais en effet qui ne sert,

a démarré dans les premiers instants, dans les premiers instants du lancement d'une fusée. Voilà, c'était le j'ai plutôt cette notion d'étage mais Loïc, tu disais euh enfin genre de de déployer, enfin,

c'est justement vous comment vous allez essayer de de déployer tout ça, comment comment il tourne les services, même si au début vous avez une dépendance à une zone entre guillemets,

va être enfin c'est vraiment c'est quoi? C'est le choix, il se fait au hasard, il y a toujours les petits noms Remus Romulus pour la machine de enfin je sais pas c'est c'est vraiment les les classiques non enfin comment va se faire le déploiement.

Non quand même pas bon après t'as il y a des hein comme comme souvent, ça rejoint ce qui a été dit avant avec les Golden Emmage,

C'est-à-dire que sur ce fameux système de masse, nous il est un peu plus trivial que les masques qu'on va trouver d'habitude. On aura des Golden Immage déjà prédéfinis par rôle,

on a Claude Probader relativement simple sur la couche basse, c'est-à-dire que en gros,

Il y a du réseau effectivement, on a du stockage et des hyperviseurs. Donc il y a des images pour le stockage et pour les hyperviseurs, il y a l'OS est pas installée dessus, ça va charger par le réseau et ensuite via Claudinite,

Et du coup une interaction avec ce ce système de masse, la machine connaît son rôle et elle a intégré directement dans dans le data cent heures en fait,

Et donc là bon on a une machine avec un rôle. Maintenant qu'est-ce qu'on fait une fois qu'on a ce rôle? Ben il va falloir être un peu plus intelligent parce que c'est bien on a des hyperviseurs mais ils font rien,

Et c'est là que vous avez peut-être une réponse, moi je peux en donner mais.

Non mais non mais justement mais c'est c'est un peu ça. Là depuis tout à l'heure j'essaie de de vous faire aller vers quelque chose. C'est et ça rejoint aussi la notion de

Tant de restauration et cetera, ces ces machines-là elles vont mourir à un moment parce que elles ont pas une durée de vie infinie donc si jamais j'ai installé un DNS, une part, à un endroit pour un besoin,

Ben le jour elle meurt ben elle a perdu le décès en fait entre guillemets quoi. Si jamais je perds ces machines de ring zéro ou de de d'état zéro comme on dit et où justement,

Comment je fais pour que ça n'arrive pas ou comment je fais pour pour que j'aie pas ce problème-là.

Bah déjà il y en a plusieurs, c'est le minimum syndical, on en a au moins deux, puis après ben faut c'est c'est du cycle de vie matériel hein, peut-être que Cécile pourra plus s'emparer que moi mais c'est plus classique.

Oui oui non mais après ben ton serveur il a une durée de vie, généralement dans les entreprises c'est trois, cinq ans en fonction des immo, enfin il y a plusieurs stratégies.

Mais un des provisionniers que ça se prépare autant que un provisionning donc euh t'as quand même une stratégie de fin de vie, des serveurs, c'est pas juste tu vas éteindre ton serveur, merci Rouard euh

il y a quand même une vraie stratégie de okay cette machine elle fait ça, est-ce qu'il y a des trucs importants dessus? Est-ce que je dois migrer les Workload euh où ils vont se migrer tout seul parce que j'utilise Kube euh.

Ah bah enfin la perche depuis un petit moment quand même par les orchestrations et cetera. Justement c'est genre vous vous mettez les machines, vous faites surtout appeler Gate Insta DNS et puis vous priez pour le reste de de la vie du décès enfin.

Il y a un peu de ça il y a un peu de ça malheureusement.

Non mais voilà, on va peut-être pour un ring zéro à la limite j'accepte parce que il y a quatre composants comme tu le disais ils se battent en duel et puis okay, d'accord, okay. Ringe zéro à la limite bien que je pense qu'on peut faire sans, mais bon. Ça se dispute, et on fait des designs, on fait.

Il y a des designs où il y a du cube mais c'est des cubes qui vont être et tournés sur une machine et qui ne seront pas clusterisés. C'est on utilise la PIC cube sur la machine parce que c'est sympa mais uniquement sur la machine et elle part pas avec ses copain,

C'est donc c'est un truc on a pas fait très honnêtement on l'a pas fait mais moi ça m'aurait plaint plus.

Okay, donc en gros, moi c'était toute cette notion justement d'installation qui est, est-ce que j'ai vraiment envie pour installer tout ça et même pour cette notion de définition dont on a parlé qui est j'ai besoin d'avoir tel tel tel tel service,

Ben en fait cette notion de définition de qu'est-ce qui doit tourner cube c'est assez cool donc en fait même pour Sring Zero en fait on peut avoir un Uber Métisse qui va permettre de,

définir en monode allez via du si jamais on a envie de faire du euh des trucs un peu un peu marrants,

même ça oui donc c'était ça en fait un peu vers lequel j'essayais de de vous faire aller qui est.

Utiliser une API déclarative.

Est-ce que tu parles de comment l'utiliser cette.

Ah ben elle a enregistré.

oui bah c'est qui va aller qui va aller tirer des choses là-dedans.

On fait Docker Pull à l'ancienne, c'est bon.

Créateurs et invités

Cécile Morange
Invité
Cécile Morange
21 ans | 35U de hauteur | Tech sys, net & datacenter @aquaray_fr | @as208069 | Collectionneuse de PCs & consoles rétros | 📧:[email protected]
Dev'Obs #33 / Bootstrapping
Diffusé par