Infrastructure et opérations

Infrastructure et opérations

Intégrer HashiCorp Vault aux services AWS

Après avoir jeté la PKI Vault sur le grill, nous regardons ici comment Vault peut s’intégrer dans l’environnement AWS.

Notre cas d’usage d’origine était basé sur Puppet et sur le déploiement des certificats par ses agents. J’ai choisi ici de refaire la démo de zéro en utilisant Terraform et Ansible pour des raisons pratiques. À cette différence près, il s’agit de la suite directe du premier article et je vous invite à le lire pour suivre celui-ci.

L’intégration de Vault aux services d’AWS peut se faire à trois endroits :

  • par le backend de stockage, sur S3 et/ou DynamoDB
  • par le backend d’authentification, en ségrégant l’accès aux API Vault qu’à certaines instances EC2.
  • par le secret backend, permettant à Vault de générer des credentials AWS à la demande (sous la forme de couples access_key et secret_key).

N’ayant pas eu l’usage du secret backend AWS, je n’aborde que les deux autres intégrations dans les lignes qui suivent.

Lire la suite

Infrastructure et opérations

Exemple d’utilisation de Prometheus et Grafana pour le monitoring d’un cluster Kubernetes

« Ce que je ne mesure pas ne m’appartient pas ». Ce célèbre adage nous a souvent été répété par l’un de nos clients. C’est d’autant plus vrai lorsqu’il s’agit des systèmes distribués et dynamiques qui peuvent s’avérer complexes à monitorer. Au travers de l’exemple de Kubernetes, voyons les limitations des solutions de métrologie historiques, les nouveaux enjeux à adresser et de quelle manière le couple Prometheus et Grafana tente d’y répondre.

Lire la suite

Infrastructure et opérations

Déployer son infrastructure Google Cloud Platform grâce à Terraform

Comment gérer son infrastructure dans un contexte cloud ? Hashicorp répond à cette problématique via Terraform. Nous vous proposons de découvrir cet outil avec une mise en application sur Google Cloud Platform. Lire la suite

Infrastructure et opérations

La signature d’images Docker sur une Registry avec Notary

La Registry Docker est un composant incontournable dès que le besoin de distribuer ses images Docker se fait sentir. Ce composant en est actuellement à sa deuxième version et reste fidèle à la philosophie Unix : “faire une chose et la faire bien”, il stocke des images Docker et le fait bien. Le problème de la signature des images afin d’en garantir la provenance et le contenu doit donc être traité par d’autres moyens.

Plusieurs solutions existent pour ajouter ce niveau de garantie. Parmis elles, il en existe une développée par les membres de la communauté open source Docker : Notary.
Lire la suite

Infrastructure et opérations

Containerus Bellum, ou la chronique des hostilités dans l’écosystème Docker

Saison 1 : Previously…

Dans les épisodes précédents, nous avions vu naître la guerre sanglante des orchestrateurs de containers. Les deux principaux candidats à la première place étaient Docker Swarm et Kubernetes. Le premier, simple et limité, est porté par la jeune startup éponyme : Docker Inc. Le second, puissant et complexe, est soutenu par l’alliance d’un géant du Web et d’un mastodonte de l’open source : Google et Red Hat.

Le premier tour des débats avait porté sur le format de la brique de containerisation en elle-même. Google, par la main de CoreOS, avait tenté de déstabiliser l’hégémonie de Docker Container Engine en lançant rkt (Rocket) comme un contre-pouvoir.

L’Open Container Initiative (OCI) était un autre croche-pied fait à la jeune Docker Inc. En effet, derrière la noble idée de constituer un standard de conteneurisation à la fois universel et indépendant, la réalité pour Docker Inc. a été plus épineuse. La publication des spécifications et l’émergence des premières implémentations s’est faite au détriment de la vélocité habituelle de la startup pour le développement de nouvelles features.

Lire la suite

Infrastructure et opérations

« pet vs. cattle », de l’artisan du serveur à l’artisan codeur

L’évolution du métier d’Ops suit un cheminement que nous observons régulièrement dans nos interventions. C’est au travers de cette fable, que nous allons voir les 4 étapes qui jalonnent ce chemin pavé d’embûches. Voyons pour cela comment un Ops procède concrètement pour effectuer l’opération « fix_mysql » qui consiste à changer une configuration de MySQL sur des serveurs de production.
cw_mfpdxcaugw_k
Lire la suite

Infrastructure et opérations

La PKI Vault sur le grill

Vault (par HashiCorp) est un coffre fort permettant de stocker divers secrets, de les restituer, voire de les générer. Beef GrillPlus concrètement, il peut fournir à des utilisateurs ou à des services tout un tas de secrets – généralement temporaires – comme des certificats, des tokens, des couples login/mot de passe générés dans une instance PostgreSQL ou MongoDB et bien d’autres … et le tout par le CLI fourni ou par son API HTTP.

HashiCorp propose deux versions de l’application, une OpenSource et une payante – Vault Enterprise – avec support éditeur et quelques fonctionnalités supplémentaires : l’intégration aux modules HSM, une IHM utilisateur, un dashboard permettant de monitorer la bonne santé de l’instance et un workflow de gestion (init & unseal) améliorés.

L’éditeur est déjà connu pour ses solutions Packer, Terraform ou Consul. Avec Vault il vient compléter son panel d’outillage DevOps et OpenSource.

Nous souhaitons intégrer Vault chez un client où nous automatisons déjà tout, de l’allocation des réseaux aux déploiements des applications finales. Dans un besoin de sécurisation des flux entre ces applications, avoir une PKI as-a-service qui peut générer à la demande des certificats reconnus par l’entreprise devient donc indispensable. Nous vous proposons donc de découvrir Vault et de vous faire une idée de la façon dont Vault peut répondre à ce besoin.
Lire la suite

Infrastructure et opérations

Le DÉFI DES BOG’OPS : Les coulisses

Comme narré l’autre jour, la tribu OPS a organisé, pour elle et quelques affidés venus d’autres tribus, une journée de folie, épuisante mais très enrichissante.
Suite à de nombreuses demandes, nous partageons ici les coulisses du défi et nos conseils pour en organiser avec vos équipes.

Avec près de vingt consultants, la tribu OPS se retrouve très souvent éparpillée sur différents sites, ce qui ne facilite pas la tâche pour trouver des créneaux communs à tous propices à ces échanges.

Armés d’un Doodle, nous avons profité du creux de l’été et navigué entre les congés de chacun, pour trouver LA date.
L’invitation est aussitôt lancée pour toute la journée. Lire la suite

Infrastructure et opérations

Stratégie de placement de conteneurs Docker (partie 2)

Second volet de notre étude sur les orchestrateurs de nœuds Docker, après l’étude des placements des conteneurs sur les nœuds, abordons désormais les possibilités d’anti-affinité offertes par nos chers candidats Fleet, Nomad, Swarm et Kubernetes.

Profitons également de l’occasion pour nous offrir une petite mise à jour des versions de nos belligérants. Le changement majeur est du côté de Docker Inc. puisque désormais Swarm est directement embarqué dans le moteur de conteneurs depuis la version 1.12.

Lire la suite