Retour aux actualités

ECO est un Cloud Ouvert

Le 31 octobre 2023

Temps de lecture estimé : 11 mn

Une visite en février 2021 à mon arrivée au SNUM m’avait convaincu en un coup d’œil que ECO est un cloudéco-responsable. Une seule photo comme celle ci-dessous transmet visuellement que les flux de chaleur sont confinés pour une efficacité électrique maximale. Mieux, un tour complet des salles permet de remarquer les échangeurs qui assurent la récupération de chaleur fatale, ce qui est l’état de l’art.

Ce n’est que quelques mois plus tard que j’ai appris que le nom était un acronyme choisi comme pastiche d’un projet Open Source bien connu, quand la distribution Openstack HP Helion a été remplacée par la distribution collaborative Kolla

SiGNU is Not Unix, alorsECO est un Cloud Ouvert.

ECO constitue un slogan plus sympathique que OSHIMAE (offre de services d’hébergement interministériel Agriculture et Ecologie) qui l’a précédé mais on a rarement vu un système se revendiquerferméet de plus, cela n’explique pas en quoi cette ouverture est un atout voire une nécessité.

Une certaine ouverture était indispensable pour desraisons internestout d’abord. Précédemment, le ministère possédait deux pôles d’hébergement, un principal en Gironde à Saint-Médard-en-Jalles, et un secondaire sur Paris-La Défense. Chaque pôle était administré par des équipes locales, depuis des LAN dédiés, dans des zones protégées par contrôle d’accès physique à l’intérieur des corps de bâtiments attenants.

Les inspections des salles de Saint-Médard ont montré la présence de tracesd’amiante et ne sont clairement pas à l’état de l’art en terme de sobriété énergétique. Vers 2015, il avait donc été décidé de réaliser les nouvelles salles en photo ci-dessus afin de fermer les salles girondines. Comme il n’a jamais été envisagé de faire déménager les équipes attachées aux serveurs, cela voulait dire que le modèle d’administration locale était battu en brèche. La pandémie COVID19 a enfoncé le message quela téléadministration n’était plus un cas particulierpour les interventions sous astreintes, mais le cas général : il allait falloir accéder à tous les types d’hébergements depuis pratiquement partout.

A cette motivation interne, s’ajoute uneraison externe. Si le coeur des équipes d’exploitation représente une cinquantaine de personnes, cette population est déjà inférieure en nombre à la seule équipe de l’ESN titulaire du marché de tierce maintenance applicative de masse. Maintenant, nousavons uneestimation de la taille des développeurs au sens large, puisque nous pouvons dénombrer les utilisateurs de l’instance ministérielle de Gitlab. Début 2023, elle comprend plus de 1500 comptes référencés, avec un MAU (monthly average user) supérieur à 500 (mesure entre le 15 décembre et le 15 janvier, ce qui n’est pas une période haute d’activité). Autrement dit, pour une organisation quiprônel’agilité dans les développements de produits numériques, il faut sérieusement travailler pour que les phases d’intégration, de déploiements ne soient pas un goulot d’étranglement de tous les acteurs du numérique, du fait du rapport de masse des effectifs.

En particulier, un point généralement sous-estimé est legouffre opérationnelentre un prototype de base de données et une exploitation en centre serveurs. Vous n’avez besoin de personne pour créer un fichier Excel et disposer quelques tables dans autant d’onglets. Passer à un développement local (PHP, un moteur SQL) demande plus de compétencesmais guère plus d’effortsgrâce aux logiciels Open Source. VS Code et Postgres sont à portée de clic. Mais déployer en centre serveur devient unprojet informatiqueavec des délais en mois voire en trimestres. Contrairement aux articles de la presse professionnelle, la plupart des systèmes informatiques ne connaissent pas une croissance de GAFAM, n’ont pas besoin de solution d’orchestration deScale Upmais d’unScale Down : un système le plus simple possible pour qu’un artisan de l’informatique puisse faire tourner une machine unique (virtuelle même) 24h * 7j quand il ferme son PC portable.

Apports de l’ouverture et paradoxe du choix

Comme les marchés, les systèmes ouverts portent en eux leconsumérisme : choix au sein de variété de produits, choix de quand et où je consomme et finalement choix d’arrêter d’utiliser.

Les années 2000-2010 ont été la première phase de croissance explosive d’Internet et l’émergence de nombreuses applications Intranet et Extranet. A l’initiative de MERISE dans les années 1990, le ministère a répondu aux besoins de sites web applicatifs parlaméthodologie ACAI. Comme Henry Ford qui clamait au plus fort de la production de son modèle T que les clients pouvaient choisir la couleur de leur voiture pourvue qu’elle soit noire, ACAI était directif : langage Java, base de données SQL, authentification unifiée par intégration d’un composant maison (Cerbère), etc. Si cette approche normative est appropriée pour des développements sur-mesure, elle est inadaptée face à l’**émergence de progiciels serveurs**. Comme l’intégration verticale de Ford a été dépasséepar GeneralMotorsqui proposait une gamme de marques, de modèles et d’options, l’utilisation de produits ou composants sur étagère comme base des produits numériques a mis ACAI sur le côté de la route. Les éditeurs ou les développeurs Open Source choisissent leurs technologies selon des critères totalement indépendants du maintien de pôles de compétences au sein du ministère.

Si on faitabstraction du brouillard marketing et de la confusion avec l’externalisation, lecloudest une organisation des systèmes d’information qui vise l’autonomie, en intégrant de base trois qualités qui font défaut aux hébergements traditionnels.

  • accessibilité departout, particulièrement aux télétravailleurs, aux prestataires en facilitant le processus d’incorporation de nouveaux intervenants
  • self-servicepour permettre le juste-à-temps
  • multi-technologiesavec des enjeux d’interopérabilité
    Ces points sont en recherche permanente d’équilibre. Par exemple, si un client de cloud peut valoriser l’interopérabilité quand il se préoccupe de réversibilité, le choix d’une filière technologique plus spécifique peut lui réduire ses temps de développement en phase amont...

Du coup, comme dans d’autres filières de production, on observe que la variété bloque certains consommateurs devant le paradoxe du choix. On le comprend aisément en voyant l’offre pléthorique de certains clouds publics.ECO propose de raisonner ce choix, en supportant non plus uneseulemais unesélection de technologies(la condition est qu’il ne suffit pas d’un ou deux bénéficiaires pour justifier une plateforme mutualisée) et en proposant également l’accompagnement au choix : catalogue en ligne, notices techniques et architectes en support. La décomposition fonctionnelle de la pose de cuisines IKEA appliquée à l’informatique.

Accès privilégiés et Zero Trust Networking

Mais pour voir fleurir les produits numériques,la sécurisation est une conditionnécessaire etimplicite à l’autonomie.

Dans le domaine des cartes bancaires, on continue de vivre un grand écart en matière de fraude selon que le périmètre observé comprend les distributeurs à billets et l’achat en magasins (absencepratique de fraude dès que la carte est physiquement présente si on exclut l’extorsion physique ou les différents commerciaux avec des commerçants indélicats) ou les achats en ligne (réseaux organisés dans le dark web pour échanger des numéros de cartes, bases de données constituées après piratage de serveurs).

Pour le dire pudiquement,personne ne voudrait qu’unecertaine faune qui déambule au sein des clouds publicspuisse prendre pied dans les systèmes d’information des ministères, Quand le ticket d’entrée est minime (5€/mois pour un VPS), on trouve des embrouilles bénignes (serveurs de jeux qui s’attaquent en déni de service, avec des épiphénomènescomme Wanacry tout même) jusqu’aux cyber-attaquants de classe mondiale. C’est la raison pour laquelle les applications bancaires particulièrement sur mobile refusent le plus souvent les connexions qui proviennent des blocs d’IP des clouds publics.

Google ne le souhaite pas non plus pour ses propres services. Comme les autres GAFAM du reste, il pratique l’auto-hébergement et il a adopté une posture de sécurité exposée très simplement en 2014 dans l’articleBeyondCorp : A New Approach to Enterprise Securityde la revue ACM ;login (Corp. pour Corporation, l’entreprise). Le concept a été repris ensuite par Forrester Research puis le NIST avant de devenir un gimmick marketingZero Trust Networking. Dans sa version réductrice, pour pouvoir assurer l’accessibilité de partout, ce n’est plus l’adresse de connexion qui ouvre des droits d’accès aux serveurs mais l’authentification de l’utilisateur / développeur à un niveau applicatif. Ainsi pour certains, ZTN est atteint dès qu’on met en place une forme de relai proxy SSO.

Dans le contexte du ministère, le Cerbère des années 2010 a évolué pour supporter le protocole OpenID Connect et permet par conséquentles fonctions d’authentification interministérielle (Agentconnect). Mais la lecture attentive des papiers de Google montre que cet acteur n’a qu’une confiance limitée dans les mots de passe et prônait déjà d’ancrer la sécurité dans des composants électroniques. A l’époque, il parle de puces Titan (leurs descendantes sont les clés FIDO2 d’aujourd’hui) pour autoriser ce qu’on appelle des accès à privilèges. Il n’y a d’ailleurs rien de surprenant à ce constat : c’est aussi la période à laquelle les USA ont enfin adopté des cartes à puce sur leurs cartes bancaires...

En 2021, DNUM/MSP a identifié qu’en agençant adroitement des composants répondant aux vénérables standards X.509, PKCS11, et les cartes agents dont étaient déjà dotés plusieurs milliers d’agents, le ministère pouvait poser les bases d’une pratique Zero Trust Networking.En 2023, tous les accès privilégiés, ceux qui permettent d’administrer des serveurs ou des bases de données, passeront par l’emploi d’une carte à puce RGS 2*, par nos agents ou nos prestataires, sur nos serveurs ou les hébergements sous la responsabilité DNUM.

Bien sûr, il y a un prix à payer initial : s’équiper avec une [carte](https://spote.developpement-durable.gouv.fr/offre/cae-carte-des-agents-de-l-etat) et se faire reconnaître comme Développeur. Mais notre ’ZTN’ déverrouille toutes les potentialitésde self-service. Outre les usages bureautiques préexistants (signature de .pdf, échange de conteneurs chiffrés),l’authentificationsur les portails IaaS (Openstack),la connexionaux VPN (IPsec, SSL),l’ouverture desessions SSH via des bastions deviennent possible depuistoute localisation géographique. lI n’y a plus de barrières technologiques mais seulement des habilitations à obtenir (en gros, se faire avaliser par le gestionnaire des ressources utilisées), sans tenir compte de votre point de connexion ou de la marque d’ordinateur. Tant qu’il maîtrise sa carte, un prestatairedûmenthabilité peut tout à fait créer des machines virtuelles dans un tenant Openstack ou lancer une compilation et un déploiement de conteneurs depuis son Mac en télétravail à Moulins.

Point de situation en janvier 2023

Par rapport à cette vision générale, le point en début de cette nouvelle année est que la DNUM s’est dotée d’un véritablecatalogueen ligne,SPOTE, précisément le site sur lequel vous lisez ces lignes. La publication jusque sur Internet, qui nous oblige à la transparence, permet aux partenaires et prestataires d’appréhender nos architectures techniques sans réunion inutile. Ce n’est pas un catalogue qu’on parcourt comme un enfant celui des jouets de Noël mais avec le moteur de recherche intégré pour s’échanger les URL des fiches et être tous à la même page. On ne va pas chercher ici à résumer toutes les évolutions des deux dernières années mais pointer quelques faits marquants.

[B3](https://spote.developpement-durable.gouv.fr/offre/b3-sauvegardes-distantes), le service de stockage de données froides est probablement celui qui symbolise le plus la transition vers le cloud, en apportant l’élasticité en matière de volume et le support du protocole AWS S3 reconnu par tous les outils modernes de sauvegardes. Accessible depuis Internet et non seulement le RIE, on peut y stocker des volumes de 100 Go, 1 To, 10 To : la seule limite est le débit de votre connexion réseau et le délai de transfert.

Depuis son origine, [Openstack](https://spote.developpement-durable.gouv.fr/offre/openstack-infrastructure-as-a-service-iaas) a embarqué une interface web appelé Horizon. Mais maintenant que l’accès est facilité, lancer une VM en 2 min chrono après avoir fait quelques choix de paramètres (taille mémoire, disques, OS) est la meilleure démonstration du self-service pour ceux qui croient encore qu’il faut encore des semaines pour approvisionner les infrastructures d’un SI.

[Gitlab](https://spote.developpement-durable.gouv.fr/offre/gitlab-livraison-continue) est la forgeministérielleprincipale pour collaborer sur et autour du code. Chaque utilisateur peut créer à sa guise un dépôt de fichiers ou des Pages, procéder à des compilations Java par pipelines après push, des SSG (static site generator) ou autres. Outre la population de développeurs traditionnels (langages informatiques, Java, PHP, etc), nous observons l’usage de langages d’analyse de données (R) ou documents faiblement structurés (Markdown)

Nouvelle option dans la famille PaaS, [Eco Compose](https://spote.developpement-durable.gouv.fr/offre/eco-compose-orchestrateur-de-conteneurs-docker) permet maintenant les redéploiements continus : en apposant un tag de version dans Gitlab, le groupe de conteneurs décrit par docker-compose.yaml est automatiquement stoppé, mis à jour et relancé en quelques secondes généralement. Pour les environnements de production, le développeur peut choisir de ne lancer le déploiement qu’après son clic, par exemple pour maîtriser l’horaire de migration entre versions.

En résumé, passé la phase d’incorporation d’un intervenant (une carte RGS2* est nécessairement distribuée en face-à-face, les demandes d’habilitation pour accéder aux tenants doivent être explicites, etc), il est possible à 90% pour un développeur de piloter les changements de son application, sans recourir à des tickets et donc être pénalisé par des allers-retours et des délais.

Perspectives

Il reste encore plusieurs potentiels d’amélioration. Tout d’abord, le porteur du produit numérique a besoin de le rendre accessible à des acteurs externes. Cela implique d’attribuer un nom de domaine à l’application et de faire router les flux vers le serveur.

A la fin des années 1990, le ministère bénéficiait du patrimoine du SETRA et disposait de ce qu’on appelait une classe B, soit 65536 adresses IP publiques. Cela lui permettrait encore aujourd’hui d’attribuer aisémentune IP publique par machine. Le ministère a été partageur de cet héritage vis-à-vis du RIE (réseau interministériel de l’Etat), si bien que comme la plupart des entreprises, il est maintenant obligé de relayer des IPv4 externes en nombre restreint vers des IPv4 privées internes. Bien que doté d’un gestionnaire de zones DNS similaire à celui des enregistreurs de noms de domaines publiques (WDNS est une offre interministérielle qui permet la délégation de zones), cela ne suffit pas à abouter le trafic des internautes en quelques clics. Et soyons transparent, cette chaine Ingress n’a pas fait l’objet de rénovation depuis longtemps.

En 2023, DNUM/MSP se lancera dans la conception d’unIngressnouvelle génération, supportant le multi-homing, les enregistrements RR HTTPS, IPv6… Moyennant aussi des adaptations dans le filtrage des ports TCP à l’intérieur des réseaux, le but est de garantir une eXpérience Développeur à l’état de l’art : en suivant des conventions préétablies et documentées, il doit pouvoir exposer un prototype sans créer de ticket, sans se soucier de certificats https, etc.

Autre offre attendue,Eco SQLva être l’occasion de bénéficier à plein des choix d’authentification forte. Toutes les envies de lacdedonnées se heurtent dans la réalité aux inquiétudes légitimes des fournisseurs de données sensibles qui s’inquiètent de leurs responsabilités RGPD. Pouvoir affirmer que tous les accès sont authentifiés par carte et tracés avec détection des anomalies de comportement est un état de l’art que peu d’organismes statistiques peuvent garantir. L’objectif est de pouvoir commander une instance Postgres et recevoir en retour un DSN (data source name). En utilisant son client Postgres favori (interfaces console ou graphique), on pourra alors manipuler des bases jusqu’à 10Go sans se préoccuper de sauvegardes ou de montéesde version, prises en charge par la plateforme.

Pour finir, une offre en apparence modeste. Dès les premières semaines d’usage des bastions SSH, il est apparu que certains les utilisaient comme des petits homedir. Les créateurs d’Unix avait compris que le shell était le premier PaaS, celui des traitements en mode texte.Eco Shellvisera à mettreàdisposition des bash, des outils en ligne de commande préconfigurés pour être le tremplin des nouveaux intervenants vers l’usage des autres services ECO : copier des fichiers, transformer des .csv, .log, .json, programmer des tâches de fond, automatiser des déploiements via Ansible ou Terraform. On peut faire beaucoup de choses quand on dispose d’une ligne de commande qui s’exécute au cœur des centres serveurs...