Que se passe-t-il en ce mois de février 2023 dans le monde du cloud ou du DevOps ?
Une faille vmware et un ransomware, la sortie de Xenorchestra 5.79, OVH Cloud condamné,
et les annonces sur le futur d'OVH Cloud justement.
C'est ce qu'on va voir ensemble aujourd'hui dans cet épisode de podcast.
Bienvenue sur Radio DevOps, la balade aux diffusions des compagnons du DevOps.
Si c'est la première fois que tu nous écoutes, abonne-toi pour ne pas rater les futurs épisodes.
C'est parti !
Bienvenue à toi chers compagnons, dans Actu DevOps, ton émission de veille cloud et DevOps mensuelle.
Et comme d'habitude, reste bien jusqu'à la fin pour découvrir notre petite sélection d'outils.
Et avec moi pour parler actueux, j'ai Mathieu, bonsoir Mathieu.
Bonsoir.
J'ai aussi Erwan, bonsoir Erwan.
Bonsoir, bonsoir à tous.
Et Nicolas, bonsoir Nicolas.
Salut tout le monde.
Alors je le rappelle, si tu ne le sais pas, nous avons tous en plus un épisode de podcast dédié avec une interview chacun.
Donc si tu veux en savoir plus sur nous quatre, tu peux aller dans les liens en description et aller cliquer sur la présentation.
Et aller écouter le podcast.
Et on va commencer tout de suite par le courrier des auditrices et auditeurs.
Et j'aimerais commencer par vous lire un message de Joseph.
Joseph, il nous a laissé un message sur le formulaire des questions.
Et il nous demande une question très importante, je trouve.
Pourquoi il n'y a pas de femme qui intervienne dans l'émission ?
Et bien écoute, Joseph, pour l'instant, il n'y a aucune compagnone qui a passé le pas, qui nous a contacté pour être podcastrice.
Pourtant, j'ai fait plusieurs appels dans le podcast.
Et justement, ton message va me permettre de faire un nouvel appel au podcasteuse.
Si tu es amministratrice Cloud, amministratrice Linux, DevOps, etc.
Si tu es même développeuse DevOps et que tu es intéressé par venir partager justement ton expertise et ton expérience sur le podcast,
et bien c'est simple, tu peux me contacter sur le forum des compagnons du DevOps, m'envoyer un message privé,
et puis je t'intégrerai dans la liste des podcasteurs et podcasteuses.
Du coup.
Si toi aussi justement tu veux nous laisser un message,
tu peux le faire alors soit sur podcast addict, soit sur Apple Podcast, soit sur un commentaire YouTube,
ou alors comme l'a fait Joseph dans le formulaire question.compagnon-devots.fr qui est en lien de toutes les descriptions.
Je vais aussi vous parler d'un petit truc puisque je vais sortir de ma grotte et je serai dans l'espace communautaire de Kubernetes Commutities Days France.
Je vais participer en plus à une table ronde sur l'état des lieux de l'open source.
Alors je dis sortir de ma grotte parce que je n'ai fait aucune convention ni conférence depuis 2019, donc ça commence à faire un petit moment.
Alors le cassez des France, j'en avais déjà parlé, c'est le mardi 7 mars 2023 au centre Pompidou à Paris.
Les liens de la billetterie et du site sont en description, mais Mathieu m'a annoncé qu'il n'y avait déjà plus de billets.
Donc tu peux peut-être t'inscrire sur la liste d'attente, c'est ou jamais si tu n'as pas tombé, si tu as tombé, tu pourras me trouver là-bas.
Mathieu m'a dit qu'il y serait aussi. Tu pourras me trouver avec ce suite si tu es sur YouTube et que tu regardes sur YouTube.
Alors on va parler tout de suite d'une faille, ça fait un moment qu'on n'en avait pas parlé et c'est Erwin qui a l'habitude des failles qui va nous en parler.
Et ça à chaque fois que j'ai fait des news c'est pour parler de choses qui ne vont pas. Donc on va rester sur cette dynamique.
Donc vendredi 3 février, moi j'ai personnellement vu l'information par un tweet de Arnaud de Berningham qui est le fondateur et président de Skellway,
qui a tweeté un truc un petit peu vindicatif expliquant que tous les administrateurs de ESXi en version 6.1 quelque chose
devaient soit mettre à jour leur serveur au plus vite, soit les couper, les isoler au plus vite.
Ce message a été très vite suivi de messages de Träberger type IKULA ou OVH qui ont fait globalement le même type de communication.
En fait, j'avais vraiment dans la foulée, on a vu un nombre de tweets d'utilisateurs expliquant que leur serveur semblait être loqué,
qu'on leur demandait une rançon de 2 bitcoins. Il y a eu un nombre de tweets comme ça qui ont popé d'un coup.
Donc vraiment il y a eu une espèce d'attaque assez massive et on ne parle pas de choses, enfin quand je dis massive,
c'est qu'il y a même, ça avait probablement dû voir passer un gars qui est visiblement un administrateur sous ce type de plateforme
qui explique qu'il a 2000 machines virtuelles qui sont donnes sur son infra, c'est un truc un peu sérieux.
Et en fait, un petit peu plus dans la journée, on voit qu'au début je pensais bêtement avec ces messages que c'était très français,
mais en fait l'attaque a touché pas mal l'Italie aussi, la Finlande des États-Unis ou encore le Canada.
Bref, c'est vraiment une attaque mondiale avec ransomware.
Alors juste, on va faire un petit rappel au cas où qu'est-ce qu'un ransomware ?
C'est en gros un attaquant qui profite d'une faille ou d'un accès pour chiffrer les données d'un serveur.
Et donc en gros, quand vous, après, vous voulez avoir accès, vous n'y arrivez pas, vous n'avez pas la clé pour déchiffrer les données.
Et donc vous avez généralement un petit message qui accompagne l'archive chiffrée qui vous dit, vire-moi tant de sous et moi je te filerai la clé et la procédure pour déchiffrer.
Donc ça c'est en gros le ransomware et c'est donc le type de, c'est pas l'attaque mais c'est la conséquence de l'attaque que les exploitants ont fait.
Et qu'est-ce que c'est les ESXi ?
Et bien en fait c'est un hyperviseur, un hyperviseur d'hypermétal qui est fait par VMware.
Et globalement, pour ceux qui ne sont pas hyper à l'aise avec toutes ces notions, c'est juste un moyen de pouvoir spawn des machines virtuelles.
Et il faut se dire que c'est quand même relativement populaire comme plateforme et qu'en gros tous les gros hébergeurs bère métal, donc on a dit OPH, Shikula ou Skellway, en France, j'entends,
souvent ils fournissent des tutos pour exploiter ce type de plateforme avec leurs offres, donc c'est quand même assez populaire.
Donc en gros qu'est-ce qui s'est passé ?
Et bien en fait aujourd'hui il y a encore un peu de zone de flou mais il y a quand même eu quelques communications qui nous permet de comprendre un peu le truc,
notamment celle de certes et fères, donc pour ceux qui ne savent pas certes et fères c'est l'espèce de point de contact international privilégié pour tout incident de type cyber qui touche des acteurs français.
Et là on est vu l'ampleur et le type de dégâts, on est clairement dedans.
Et eux expliquent qu'effectivement qu'il y a une faille sur les plateformes ESXi en version 6 quelque chose, que la faille qui a exploité c'est la CVE 2021-2011974,
vous verrez si vous tapez ça sur Twitter là en ce moment c'est l'enfer.
Et donc voilà ils expliquent que la faille vient de là mais quand je dis qu'il y a une source de flou c'est qu'il y a beaucoup de convergence qui pense que ça vient de là mais il y a d'autres failles qui sont quand même évoquées.
Et cette faille je sais quoi, c'est en gros une attaque par Buffer Overflow donc un dépassement de mémoire qui permet d'exécuter du code arbitraire.
Et en gros, et l'exploitation de ce Buffer Overflow se fait via un service qui tourne donc sur les ESXi version 6 quelque chose qui s'appelle OpenSLP,
donc il y a un service qui écoute sur un port etc. et en fait quand ce dernier est donc exposé pas comme il faut,
du coup les attaquants peuvent tenter cet exploit et du coup le code arbitraire qu'ils exécutent c'est tout simplement le chiffrement des données de la machine.
Il faut savoir que cette faille elle était, c'est indiqué par le nom de la faille, il y a 2021 donc cette faille a été révélée il y a un bout de temps en février 2021,
VMware a communiqué dessus, il y a eu plusieurs communications, il y a eu des patches qu'on circule,
d'ailleurs si vous avez amusé à regarder sur Youtube il y a plein de gars qui expliquent comment exploiter cette faille avec des tutos clé en main,
et si vous voulez essayer.
Mais du coup il y avait le patch et tout mais en vrai malgré tout ça, impératif de prod ou quoi que ce soit,
ou en tout cas pas de façon conforme, on puisse se faire avoir.
Du coup qu'est ce qu'on peut faire quand on fait partie des gens qui ont été impactés,
malheureusement si on n'est pas encore impacté mais qu'on est concerné par la version de ESXY,
on s'isole, on shut down et on analyse tout ce qu'on peut sur la machine pour voir si ça n'a pas été exploité d'une façon ou d'une autre malgré tout.
Si vous êtes impacté, malheureusement il n'y a pas grand chose.
D'ailleurs il y a un gars, un développeur NS Sunmes qui a publié un tuto pour déchiffrer,
qui propose une méthode pour arriver à s'en sortir, je ne sais absolument pas ce que ça vaut,
j'ai vu plein de gens dire que ça marchait pour eux, mais bon à voir,
il y a un lien qui est disponible que vous pouvez retrouver assez facilement,
mais bon comme ce n'est pas une méthode officielle faites quand même attention.
Sinon si vous êtes impacté et que vous êtes dans ce cas là,
le mieux reste malgré tout de réinstaller FromScratch et de restaurer des backups si vous en avez.
Et d'ailleurs même si vous arrivez à récupérer vos données par je ne sais quel moyen,
le fait d'isoler et d'analyser à froid tout ce qu'il y a sur vos serveurs est quand même fortement recommandé.
Mais malgré tout la meilleure solution, ça reste le FromScratch réunit, réinstallé, backup tout ça.
Avant de vous laisser la parole pour vous faire réagir,
je voulais juste finir sur un truc qui m'a quand même pas mal surpris,
bon des failles de sécurité, il y en a plein et tout, là effectivement,
c'est assez dommageable de voir que pas mal de gens,
des gens expérimentés en plus, ont été impactés et tout.
Mais ce qui m'a le plus surpris, c'est de voir le nombre de messages sur Twitter de gars
qui n'ont pas insulté mais qui blâmaient les compétences des gens qui ont été impactés.
Alors oui, ils auraient dû mettre à jour, oui probablement,
c'est pas probablement, il faut faire attention à ce qu'on expose, de quelle façon, etc.
Mais là les mecs ils ont déjà la tête dans le saut, ça ça a rien de désenfant,
c'est plus surtout pour pas les aider.
Moi ça m'a un peu surpris la tournure, vraiment là je vous invite à retrouver
le tweet du gars qui explique qu'il y a 2000 vm chez lui là qui sont donnes,
il y a franchement les deux tiers des messages qu'il reçoit, c'est pas des insultes mais pas loin.
C'est assez fatigant.
Donc voilà, Christophe Mathieu Nicolas, j'espère que vous n'avez pas été impacté par cet enfer
et que vous avez passé un bon week-end sans ça, mais je voulais savoir
ce que vous pensez de tout ça plus généralement,
ce que vous pensez de la réaction de la communauté vis-à-vis des gens impactés.
Nicolas, je te vois sourire, je te laisse la main.
Oui alors heureusement que j'avais pas de SX en production parce que j'étais au Foslem
donc j'aurais absolument pas eu le temps de m'en occuper
ou alors j'aurais moins discuté avec les gens sur place
et oui ça me fait sourire parce que j'ai eu un audit de sécurité récemment
alors c'était un autre hyper-viseur que j'utilisais
et effectivement j'avais laissé l'interface d'administration ouverte sur internet
alors il y a du login mot de passe mais en fait l'expert en sécurité m'a dit
bah non c'est faux le fermer parce qu'un attaquant pourrait utiliser le vecteur de l'hyper-viseur
pour détruire les VM ou faire n'importe quoi d'autre
donc c'est plutôt une bonne pratique de fermer tous les ports qui sont ouverts normalement sur internet
mettez au minimum des waitlist sur vos IP, mettez des VPN
et ne laissez que ce qui est strictement nécessaire disponible et ouvert à tout le monde
donc HTTP et HTTPS pour les services que vous mettez à disposition
mais tout ce qui est administration dans l'idéal bloquez les internet
et après oui effectivement ça me fait sourire
on est déjà la tête sous l'eau et on vient d'expliquer que Tama le fait, ton boulot
mais les admin 6 globalement eux ils aimeraient bien pouvoir mettre à jour souvent
mais sur des petites infras comme ça parce que je pense que c'est majoritairement des petites infras
c'est les clients qui veulent pas rebouter parce que tout n'est pas forcément redondé
tout n'est pas forcément mis en place pour pouvoir basculer les VM à chaud
d'un ESX à un autre et ainsi de suite
donc c'est toujours facile de blâmer le pompier qui vient roser le feu
mais c'est pas toujours lui qui est la source du problème d'origine
Et toi Mathieu est-ce que t'as à peu près la même vision ?
Oui en partie, moi j'ai pas été impacté non plus parce que je suis sur le cloud
sur des offres pure manager
d'ailleurs je tenais à dire quand même qu'on critique beaucoup de la sécurité du cloud
beaucoup de gens qui disent souvent oui et moi sur mon petit bar métal je suis sécurisé etc
on voit qu'en fait cloud ou pas on peut être impacté, ça ça ça ça ça ne fonctionne rien
je suis d'accord qu'il ne faut pas mettre les gens, la tete soulot alors qu'ils l'ont déjà
on avait vu ça aussi quand vos VH avait brûlé tous les gens qui disaient
ah ils n'avaient pas fait de backup, pas de chance
néanmoins c'est vrai que je suis d'accord avec ce que tu dis Nicolas
sur le fait que beaucoup d'adminsistes n'ont pas forcément les moyens
ou forcément l'appui de la direction pour consacrer du budget
à des chantiers de sécurité ou de burèles ou ce genre de choses
néanmoins c'est là aussi où on se pose la question de parfois
dans ce cas là est ce qu'il ne faudrait pas plutôt acheter des services
notamment l'offre VMware d'OVH qui me semble tourne sur des réseaux privés
donc mais n'a pas été impacté après ce que j'ai vu sur leur blog
donc plutôt acheter le produit plutôt que de maintenir le produit
et mettre ses clients, enfin maintenir le produit soi-même et mettre ses clients à risque
et mais ça souvent c'est pas, c'est parfois c'est pas les 6 admins qui lui font
comme tu l'as dit c'est plus la direction et peut-être que la direction retombera
sur les 6 admins pour ce problème et en disant vous avez pas fait votre travail
mais c'est vrai que quelque part bon je vais pas les, moi je suis allé dire
je suis pas allé mettre critiquer les gens sur du terrain n'y rien
ça pose aussi une question sur pour moi la, la, la, les les attentes
on va dire que les clients nous font confiance c'est ça que je veux dire
et quand même il y a quand même un minimum de choses à faire
lorsqu'on fait l'infrastructure avec des données sensibles en plus
Ah bah je vais prendre la parole du coup je vais continuer ce que tu dis
et je vais prolonger en expliquant dans mon avis
je pense aussi qu'il y a le, le problème du généraliste versus le spécialiste
c'est ce que t'as dit un petit peu Mathieu c'est qu'il y a beaucoup d'entreprises
et moi je le constate avec des prospects ou des clients qui pensent qu'elles peuvent tout faire
parce que ça leur coûte moins cher de tout faire en interne
et finalement qui manque de temps parce que manque de moyens, manque de temps
pour justement tout faire bien
et du coup on se met à faire de manière globale un peu tout et n'importe quoi
j'ai vu des clients qui ont par exemple 4, 4 outils de ticketing en interne
donc ça veut dire que les ops en interne de ce client alors c'est un gros client
mais on 4 outils de ticketing et donc ils gèrent 4 outils de ticketing
ils gèrent 2 GitLab, ils gèrent leurs propres Kubernetes etc etc
et au final ils se trouvent à faire les choses moins bien
puisque dans la plupart des cas il y a des choses que tu fais pas
mettre un jour tes outils comme un GitLab qui n'est pas mis à jour pendant un an et demi
un Kubernetes qui n'est pas mis à jour pendant des mois etc etc
donc comme tu disais Mathieu c'est vraiment super important de faire l'état des lieux
est-ce que c'est maintenir l'infra ESX ou est-ce que c'est produire du logiciel
et le mettre sur une infra ESX
si c'est la deuxième solution je vais aller prendre un service en ligne
le temps que je grossisse et que j'ai un chiffre d'affaires assez important
pour avoir assez de personnes pour gérer correctement mon infrastructure dans l'état de l'art
en tout cas c'est mon avis je pense qu'on peut pas tout faire bien
à un moment donné on a des limites
même si on a une dizaine de personnes on a quand même des limites
et il faut savoir justement demander de l'aide aux autres
et ça nous coûte peut-être moins cher de passer par des services en ligne qui en théorie
ça se voit je veux dire c'est plus cher à l'achat
mais ça nous coûte peut-être moins cher en cas de problème
puisque justement les personnes pourront résoudre ça plus facilement
et du coup je vais laisser la parole à Erwan
non mais je suis d'accord avec tout ce que vous avez dit
moi je rajouterai un petit truc sur les réactions
c'est que je pense que les gars qui ont été impactés ils ont bien compris
qu'ils avaient fait des boulettes
mais ils auront le temps de comprendre le pourquoi après
quand ils auront retrouvé un truc à peu près stable
et je voulais juste rajouter un fun fact
moi je connaissais pas le service open-slp
donc j'ai tapé dans Google bêtement ça
et le quatrième lien qu'on me proposait c'était comment désactiver le service
et je me suis dit a priori si d'autres avaient fait cette recherche
il y a peut-être la plus à l'oreille
en tout cas, je pense que si il y a un truc qu'il faut retenir aussi
c'est que si vous acceptez de maintenir un service
posez-vous la question de son exposition, de sa mise à jour
donc suive les changelogs, etc, de l'éditeur
ou de l'équipe qui maintient ça
c'est quand même mandatorie pour pas se retrouver dans des situations comme ça
juste pour finir sur le fameux gars des 2000 VM
en fait il expliquait qu'il avait pas fait la mise à jour
parce que je crois qu'il a un espèce de script
qui était plus compatible avec les versions plus récentes
donc voilà, ça rejoint vachement ce que vous disiez
le curseur, est-ce que le fait de maintenir le truc moi-même
je serais prêt à lui accorder le temps, entre guillemets l'argent
pour avoir une qualité et rester le maximum dans l'état de l'art
donc voilà
je vais abonder sur ce que tu disais par rapport à comment désactiver OpenSLP
en fait comme je le disais c'est fermer les ports
mais c'est aussi arrêter tous les services dont vous n'avez pas besoin
faites l'inventaire sur vos machines de tous les services
en plus, regardez comme il y a le consomme
vous verrez, vous grappillerai quelques méga par ci par là
sur certaines VM c'est assez intéressant
et si vous avez moins de services qui tournent
vous réduisez votre surface d'attaque
et si j'ai déjà vu certaines attaques qui avaient été bloquées
parce qu'il y avait un petit service à la con qui avait été désactivé
sur certaines machines et comme ça servait de rebonds
pour exploiter certaines failles
ça bloquait complètement les attaques et certains ont eu
l'effet sauvé grâce à ce petit hack
merci Nicolas, on va pouvoir passer à la suite
justement à iNews de ta part
et comme on parlait de VMware, tu vas nous parler
d'un autre outil qui permet de sortir de VMware pour aller ailleurs
oui effectivement si vous avez été traumatisé par VMware
alors sur cette fois-ci ou sur les foies d'avant
j'entends beaucoup parler en ce moment d'un outil
qui s'appelle Xenorchestra
en plus c'est cool parce que c'est développé à Grenoble
donc Christophe tu peux aller les voir assez souvent
puisqu'ils ne sont pas très loin de chez toi
et j'ai profité de cette news là
donc ils ont sorti la version 5.79
j'en ai profité pour qu'on puisse en parler
et faire découvrir un petit peu à nos auditeurs cet outil
donc comme le dit le nom c'est basé sur Xen
moi je ne regardais plus trop ce qui se passait sur Xen
puisque j'avais l'impression que c'était totalement déprécié et abandonné
mais visiblement non et c'est même un excellent hyper-visor
je crois qu'AWS tourne entièrement dessus pour sa partie EC2
donc Xenorchestra, il y a une partie open source
il y a du support payant
donc il y a une partie open source et une partie gratuite
dans certains usages
vous pouvez payer pour avoir plus de support, plus de fonctionnalité et ainsi de suite
et la transition VMware va vous être simplifiée
puisqu'il fournisse des outils de migration
j'ai regardé rapidement cet après-midi
ça vous aide dans certains cas à faire des migrations à chaud de vos VM
je pense que ça doit être assez fun à faire
mais si ça fonctionne, ça vous permet de migrer vos VM à chaud
sans couper le service
et sinon dans le pire des cas vous avez la possibilité
de faire les migrations à froid
donc vous éteignez la VM
il va transférer votre VM d'un hyper-visor à un autre
convertir les formats, remettre le réseau qui va bien etc
et ça me paraît vraiment intéressant
parce que quand on commence à virtualiser
on a forcément beaucoup de VM
et enfin beaucoup
pour la personne qui a ses 2000 hyper-viseurs SXI
je pense que lui il ne va pas les migrer à la main
les autres trucs intéressants
c'est qu'il y a un déploiement de clusters Kubernetes automatisés
donc si vous voulez héberger du Kubernetes vous-même
vous avez la possibilité de le faire
par rapport à ce qu'on s'est dit précédemment
ce n'est pas forcément une bonne idée
de mettre votre prod dessus si vous ne maîtrisez pas
par contre pour avoir un environnement de développement,
intégration, d'envolos co ou quelque chose comme ça
ça peut être intéressant
et le dernier truc c'est qu'ils ont sorti une version lite
de leur interface d'administration
donc la priori ça tourne sur un téléphone portable
dans votre navigateur
et ça vous permet d'avoir une visualisation
de l'intégralité de vos VM, les paramètres etc
et du coup c'est un projet assez intéressant
je crois que je vais m'y intéresser un petit peu plus sérieusement
puisque en plus il y a un support de terraformes
donc c'est forcément très très cool
Christophe je te vois au chers de la tête toi aussi
ça commence à t'intéresser
je sais que Roné nous en avait déjà parlé dans un épisode de podcast
et moi je suis plutôt adept de Proxmox
qui est une solution plus légère parce que je ne gère pas autant de VM
je ne sais pas si je serai capable
à moi tout seul d'installer Xenorchestra
parce qu'à un moment donné comme je le disais tout à l'heure
il faut savoir faire attention à ce qu'on veut faire
mais je vois qu'en effet l'interface d'admins
a beaucoup changé par rapport à première fois
ou je l'avais vu
ça me fait penser un petit peu pour ceux qui connaissent Portenaire
pour la partie administration des machines
je vois et autres
en tout cas il y a une belle promesse entre le déploiement Kubernetes automatisé
la migration cloud etc
je trouve que ça a un super produit
justement moi je vais l'étudier un petit peu plus sérieusement
pour voir si ça ne peut pas remplacer Proxmox
avec lequel j'ai deux trois soucis quand même
tu me diras si c'est facile à prendre en main
et du coup Mathieu toi t'en pose quoi de Xenorchestra
est-ce que tu en avais déjà entendu parler ?
il faudrait déjà entendu parler parce qu'en effet ils sont de Grenoble
j'ai déjà parlé à Olivier qui a publié l'article de blog
sur les réseaux sociaux
on s'était promis une bière qu'on n'a toujours pas faite
dans les environs parce qu'il a vido vraiment à côté chez moi
donc si tu m'entends
j'espère qu'on pourra faire ça bientôt
donc en effet ça a l'air d'être un produit intéressant
je pensais qu'il y a quelques années un peu comme Nicolas
que Xen c'était un peu en perte de vitesse
parce que l'Amazon avait annoncé sa migration à KVM
en 2019 je crois
alors je ne sais pas si ça est fait
ou ça en est etc
mais il y avait cette volonté
d'Amazon de migrer au C2
peut-être grand partie je ne sais pas
je vais pas faire plus de détails vers KVM
et donc c'est bien aussi d'avoir
je pense que c'est toujours bien dans ce genre de technologie
d'avoir du choix, de pas en fait avoir des monopoles
même si c'est un produit open source
de ne pas avoir que KVM
ou une autre solution je ne sais pas
mais c'est toujours bien d'avoir de la compuissance
donc c'est bien de voir des outils surtout français
continuer d'évoluer
la migration à chaud pour migrer
de ESXY
à XCPNG
ça je pense que c'est vraiment quelque chose d'intéressant
parce qu'en effet on ne peut pas se permettre
de changer de solution en
en cassant tout généralement
notamment sur des infrastructures type cloud
c'est compliqué
surtout pour des clients de dire on va devoir
couper votre VM pendant je ne sais pas
deux heures pour la rallume ailleurs
donc bravo à l'équipe
pour ces améliorations
moi c'est vrai que je suis très très loin
du hardware
et c'est pas du tout ma spécialité aujourd'hui
je suis dans les couches beaucoup plus hautes
mais je n'y connais pas grand chose
même si tu connais quelque notion
mais si je devais faire demain
du baird métal peut-être
très probablement je comparerai on va dire
à l'existence en effet
comparer KVM
avec Xen c'est sur Xen Orchestra
voilà donc
Air One
ton avis sur la question
alors un peu comme vous
moi Xen ça remonte
ouf
à plus de dix ans en arrière
sur les infras que je managais
à l'époque
mais que ça rappelle ces souvenirs là
et je ne me rendais pas compte
que c'était
encore
plus utilisé que par d'autres gens
que Amazon
et donc du coup
ce type d'outil
ça reste hyper cool
moi ce qui me... fun fact
quand ils parlent des migrations à chaud
ils disent que ça marche pour
même les versions plus vieilles
que E6i 6.3
avec toutes les embrouilles
qui a eu récemment
si vous avez une dent contre E6i
voilà
il y a de quoi faire la migration
à chaud etc
donc c'est cool
merci pour l'info
j'ajouterais juste une petite chaude sur Xen
j'ai entendu beaucoup parler de Xen
ces dernières années sur la partie microcarnel
parce que je suis le développement
d'un microcarnel qui s'appelle MirageOS
microcarnel qui
écrit en eau camél qui est originaire
de Xen
et c'est notamment une équipe qui avait été rachetée par Docker
je sais pas si vous vous rappelez le rachat
d'une microcarnel.org
quelque chose comme ça par Docker il y a quelques années
cte
il y a notamment dans cette équipe
Anil Madhava Pedi
j'espère que je prends ce bien son nom
que je l'écorche au pas qui est franchement un ingénieur
au top
probablement
une personne à qui je voudrais travailler sera probablement cette personne
qui travaille sur ce type de sujet
donc Xen a beaucoup travaillé aussi sur ces histoires
de microcarnel
et même aujourd'hui il y a toujours des liens
entre ces équipes
donc il y a toujours en effet du développement sur Xen
et ben merci
on va pouvoir passer à la nous suivante
mais avant si tu aimes
ce podcast et que tu veux t'assurer qu'il continue
encore longtemps puisque ça fait
maintenant plus de 3 ans
qu'il est là le meilleur moyen
pour nous soutenir c'est si tu le peux
avec un petit don sur soutenir.compagnon-advops.fr
ça nous aidera à payer l'hébergement
des outils, du podcast et tout un tas de choses
tu trouveras le lien en description
et pour la nous suivante
c'est moi qui m'y colle
je vais te parler de
l'incendie de ovh-clod ou plutôt des suites
parce que ovh-clod vient d'être condamné
à indemniser un client
alors pour rappel
le 10 mars 2021
il y a eu un incendie qui a détruit une partie
des data centers de ovh-clod à Strasbourg
si tu étais dans une grotte ces dernières années
t'en as peut-être pas entendu parler mais ça a défair les
sur twitter, l'incendie etc
j'en avais même fait un épisode de podcast
à part sur les sauvegardes
puisque j'en ai profité
et bien on en sait un peu plus
puisque aujourd'hui la Mia El-Fat
qui est avocat spécialisé dans le numérique
la propriété intellectuelle
et la protection des données
nous fait résumer du jugement justement du 26 janvier 2023
c'est tout récent
bon on enregistre l'émission
alors je vais simplement te lire le post-linkedin
parce qu'il est super bien fait
je vois pas pourquoi j'irais pas rafraser son post
je te mets de toute façon le lien du post en description
si tu veux aller réagir
alors le client avait un vph et ovh
et avait souscrit l'offre de backup automatisé
l'ensemble de ces données
y compris celles de la sauvegarde
ont été détruites pendant l'incendie
alors sur la clause d'exclusion
pour 4 forces majeures
elle est écartée
en fait qualifié tout sinistre
de force majeure alors que les services de sauvegarde
visent précisément
à mettre les données à l'abri en cas de sinistre
contredit les sens même des obligations d'ovh
la clause de force majeure
est donc réputée non écrite
sur la localisation des sauvegards
la documentation commerciale d'ovh
et les conditions particulières d'ovh
selon lesquelles elle s'engageait
à apporter tout le soin
et toute la diligence nécessaire
à la fourniture d'un service de qualité
conformément aux usage de la profession
et à l'état de l'art
implique de fait que la société
d'ovh avait pris l'engagement de faire
des sauvegards dans un espace de stockage
physiquement isolé
du serveur principal
en stockant les 3 réplications
des sauvegards au même endroit
elle ne s'est pas conformée
aux règles de l'art et a donc
manqué à ses obligations contractuelles
sur la limitation
de responsabilité
les clauses limitatives de responsabilité
créent une asymétrie entre
les obligations du client et celle d'ovh
elle crée un déséquilibre significatif
et son réputé non-écrite
rappelant l'article 1171
du code civil, le tribunal
souligne bien que le prix du service
ne doit pas être pris en compte
dans l'appréciation de ceux déséquilibres
donc pour celles et ceux qui
lui ont demandé
il y a en plus la décision
directement dans le poste
il y a ça dure 21 pages
je vous laisserai aller lire
c'est assez intéressant
avant de réagir je vais vous laisser la parole
tous les 3, on parle bien là
de quelqu'un qui avait souscrit
à l'offre de sauvegarde
en plus de l'offre
d'hébergement
qui veut commencer à s'exprimer sur ce sujet ?
je peux commencer
bon, moi je suis pas trop surpris
cette décision dans le sens où en effet
nous on est tech
mais tout le monde
dans ce type de signature de contrat
n'est pas forcément tech non plus
et ça y est que là pour le coup cette entreprise
avait fait l'effort d'acheter
quand même le contrat
avec 3 réplications et en effet avec la mention
physiquement isolée
et physiquement isolée quand le truc
est dans le rack à côté
c'est vrai qu'il y avait quand même un peu d'abus
peut-être côté d'OVH
je suis pas surpris de ces décisions
ce que je me demande c'est est-ce que ça fera
un peu de jurisprudence
et est-ce qu'on va avoir de nombreuses condamnations
de ce type sur OVH
tous les clients qui vont filmer pour utiliser
ce jugement et qui avaient souscrit bien sûr
à cet offre de backup
pour
aussi avoir des dommagements
est-ce que c'était la première ? est-ce qu'il y en avait une avant
je sais pas, enfin est-ce qu'il y en a eu avant plutôt
ou est-ce qu'on risque de voir en fait
que toutes les semaines OVH
va être condamnée à 100 000€ d'amendement
de fois le nombre de clients impactés
mais on verra bien mais en tout cas
moi je suis pas surpris de cette décision
parce que sur toute cette affaire
c'est quand même un sacré fiasco à le coup de l'ascendie
on a déjà beaucoup parlé
notamment comme tu disais un peu de cast Christophe
que ce soit sur le design du data center
ou sur les sauvegardes et quand même
des sacrés manquements côté OVH
et donc là en effet
ils font un peu face à leur responsabilité
Nicolas tu es levé la main tout à l'heure
oui bah j'allais dire
à peu près la même chose
c'est autant
sur pas mal de choses
on pouvait pas trop blâmer OVH
parce que
c'est de la responsabilité
des gens qui sont du métier
de mettre les sauvegardes ailleurs
autant là c'est indéfendable
le fait que les backups
soient sur le même site géographique
c'est limite une faute professionnelle
donc qui soit condamnée
ça me paraît normal
voilà
et effectivement
si ça peut servir de le son
à pas mal de gens dans le métier
mais
moi c'est un des sujets
qui m'empêche le plus de dormir
c'est les sauvegardes
je moniteur des sauvegardes et ainsi de suite
par contre j'ai toujours peur que je puisse pas restaurer
et quand un client me demande
de restaurer un backup
j'ai toujours une petite prière
pour que ça marche
et là récemment
je lui ai dit bon, ce qu'on va faire
c'est que tous les mois tu vas me demander de restaurer un fichier au hasard
et au moins ça va valider
que sa sauvegarde
surtout qu'on peut restaurer
parce que ça aussi c'est un truc super important
c'est pas parce que sa sauvegarde
que la restauration fonctionne
donc il faut tester vos process régulièrement
et partager la responsabilité
avec votre client
parce que au final c'est aussi une responsabilité
du client de vérifier que
la sauvegarde fonctionne bien
j'ai travaillé avec des chercheurs en sécurité
dans le STI
dans des Tésards
et qui me disaient
toujours la confiance n'exclut pas le contrôle
et effectivement c'est ça
c'est contrôler toujours vos prestataires
vérifier qu'ils font bien leur travail
ça marche aussi avec vos collègues
Erwan je te vois sourire
qu'est ce que t'as rajouté
non non
effectivement
si faire des backups c'est bien
s'assurer que ça fonctionne
c'est encore mieux
et effectivement ça fait eco
je ne sais plus quel podcast
mais je me souviens qu'on avait parlé un peu de ça
avec le plan de reprise d'activité
ou des choses comme ça
on avait évoqué ce type de choses
et effectivement j'ai rien
ajouté de plus que ce que vous avez cité
c'est quand même très surprenant
de faire l'effort
de faire les 3 sauvegarde mais mettre
à côté
c'est dommage
et effectivement
le vrai truc à suivre
c'est à quel point ça va faire un appel d'air
pour d'autres plaintes
de ce type
et ça peut du coup coûter vraiment
très très très cher
à OVH
oui mais je vais prendre la parole du coup
en effet je vais pas
être d'un don par rapport à ce que vous avez dit
et
même
j'ai envie de dire même si on prend
la sauvegarde chez
notre fournisseur Cloud
je pense qu'il faut
prendre l'habitude de faire nous-mêmes nos propres sauvegarde
parce que c'est bien beau de gagner un procès
face à OVH mais les données elles sont partis
en fumée elles
le bac-up aussi donc c'est hyper important
de nous en tant que client
de s'assurer d'avoir nos propres sauvegarde
et j'espère que ça servira de leçon
au OVH et qu'ils feront
justement qu'ils feront évoluer
leur infrastructure parce que
comme on dit dans le moment des VOPs
avec les erreurs on évolue et donc
j'espère qu'il y aura une belle évolution
là dessus oui Nicolas
oui en fait tout à l'heure on parlait
de la faille qu'il y avait eu
sur VMware imaginez que toute votre
infrastructure et sur du VMware
backup compris tout est ransomware
isé vous avez tout perdu donc
arrangez-vous pour que ça soit
sur des technologies différentes aussi
sur des comptes séparés
si vous avez tout dans
un gestionnaire de mot de passe
et réfléchissez à
ce qui va se passer si jamais votre
gestionnaire de mot de passe est
piraté et que le pirate
s'amuse à
supprimer tous vos backup
et tous vos serveurs chez
tous vos vôts formisseurs
j'avais lu un article de blog
la boîte s'était fait pirater son compte
AWS et le pirate
a utilisé la paix il a détruit
toutes les ressources mais il a
commencé par les backup sinon c'est pas
marrant et la boîte
avait plus aucune donnée plus aucune
sauvegarde disons mine la clé sous la porte
donc est-ce que vous avez envie de changer
de boulot dans ces conditions là je suis pas
sûr oui alors on le rappelle pas
c'est mais une boîte qui perd ses données
a de très très forte chance
de mettre la clé sous la porte
en moins de deux ans je sais plus qu'elle est
exactement la statistique on l'avait étudié
pour un massage justement et
c'est quand on parle les données
on a grosso modo une chance
sur deux de mettre la clé sous la porte rapidement
c'est super important les sauvegarde
j'avais vu
un article comme tu dis Nicolas je crois qu'il y a une
perda née c'était un cloud provider qui a
vu le problème un petit cloud provider mais
quand même un petit entre guillemets et pareil il avait
fermé parce qu'il s'était fait détruire 100% de son infra
mais vraiment quoi il y avait plus plus rien
plus aucune donnée
c'est vrai que c'est fou
oui puis en plus dans ces cas là il a perdu
les données de ses clients
du coup en
réaction en chaîne il y a combien de boîtes
qui sont
qui ont fermé
réfléchissez
vos tokens
AWS sur lequel
vous avez mis les droits administrateurs
sur l'intégralité de vos ressources
et oops ça a été publié
sur github et je me rends compte
une semaine après
je pense que vous allez vous rendre compte
rapidement parce que vous aurez plus d'infra
mais bon
il y a plus de token tout le monde fait
du Kubernetes avec les annotations des roules
Amazon non ?
avec l'identity provider
justement avant qu'on passe
à la suite du coup
vu que vous parlez de secret et autre
je rappelle à notre chair
auditeur ou auditrice qui nous écoute
que nous avons fait un épisode de podcast
sur les secrets et la gestion
des secrets dans l'infrastructure Ascon
donc je te renvoie
à cet épisode là le lien sera en description
et situé sur Youtube il y a
la petite fiche I
qui est ici
qui va s'afficher avec le lien direct
de la vidéo
et Mathieu
justement
tu vas nous parler de l'avenir d'OVH
puisque maintenant qu'on a parlé d'OVH
qu'est ce que OVH nous réserve pour l'avenir
un petit peu de positivité dans ce podcast
c'est ce que je vais dire
on va faire un peu des news positifs sur OVH
donc il y avait la conférence Veritech Trip
qui était organisée par OVH
c'était il y a deux semaines je crois
une ou deux semaines je sais plus
alors je n'ai pas eu l'occasion d'y assister
mais une chose intéressante c'est qu'OVH
on a profité pour faire de nombreuses annonces
concernant sa roadmap
annonce qui ont été reportées
sur leur blog dans un article de blog
on a discuté
déjà plusieurs fois
sur ce podcast dans le passé
dans d'autres épisodes du cloud
du cloud français notamment
parfois des manques de produits qu'on peut avoir
sur les OVH françaises
et ce qui fait que forcément
certaines entreprises n'utilisent pas des cloud locaux
parce qu'ils manquent des fonctionnalités
donc je pense qu'on peut vraiment être contents
dans ce cloud français annonce de nouveaux produits
et là
il y a plusieurs choses qui m'ont intéressé dans cet article
d'abord il y a les produits eux-mêmes
on commence avec IAM et KMS
donc OVH nous promet un nouveau système
la sortie prochaine
d'IAM pour gérer toutes les identités
et les permissions de manière globale sur ces services
sur la PI et ensuite sur le manager
en commençant par la partie plus vite cloud
qui est probablement la partie qui nous intéresse
de plus ici
dans ce podcast
donc ça c'est déjà très intéressant
et pour KMS
il y a assez peu de détails dans l'article
KMS ils disent que ça sera là pour gérer les secrets
alors est-ce qu'on parle de secrets applicatifs
comme par exemple
pour les personnes qui connaissent de secret managers
d'Amazon on peut stocker
des fichiers ou des chaînes de caractères chiffrés
ou est-ce qu'on parle aussi de KMS
ici pour des clés de chiffrement
pour chiffrer par exemple des disques
des volumes ou des bases de données
on sait pas encore mais en tout cas c'est bien
que ce qu'il y a ces annonces
et surtout sur ces deux annonces
la chose intéressante c'est qu'OVH
annonce que ces deux produits seront open source
le code sera libéré
alors je sais pas sous quelle forme
je me demande d'ailleurs si ça sera
utilisable facilement en dehors de VH
si il y aura un couplage fort
avec l'infrastructure interne de OVH ou non
ou si ce sera des produits
un peu à la HICORP par exemple
comme Vault qui pourra être aussi
facilement utilisé
et déployé sur des infrastructures
OVH ou
voilà quel que soit le type d'infrastructure
mais c'est vraiment intéressant de prendre
cette approche open source sur ces deux produits
et je me demande où ça ira
je me pose aussi la question de pourquoi
si c'est open source et
pourquoi c'est pas reversé à la fondation open stack
par exemple parce que OVH est un contributeur
d'open stack et utilisateur
d'open stack énormément sur son off public cloud
mais s'ils ont un espèce de franc-cun open stack
on va dire c'est pas vraiment de l'open stack
est-ce que c'est de l'open stack mélangé avec
l'open stack avec leur produit privé
comme par exemple le verac
et donc je me demande aussi
comment ça se passera
sur la libération de ce code et sur son utilisation
il y a aussi des nouveautés
concernant d'autres produits
comme une off bermetelle et de service
sur un Kubernetes multi cloud
qui serait aussi lui aussi open source
alors avoir c'est quoi
comment ça sera libéré
est-ce que ça sera une offre un peu type Rensher
je sais pas, je vais dire OZAR qui pourra
s'installer sur Ayr
donc avoir
et d'autres services plus haut niveau
comme des services DIA
ou des services de face
donc en conclusion
moi ce que j'attends c'est voir si les promesses vont être tenues
sur 2023 on aura ces produits qui vont
sortir
AYAM par exemple je me rappelle que
Octave Clabal, le fondateur d'OVH
on parlait déjà il y a plusieurs années
je me rappelle de slides comme ça
des OVH submits où c'était annoncé
mais finalement c'était pas sorti
j'espère que là ça sera la bonne année
pour que ça sorte
et avoir si ces produits bien sûr seront de qualité
avec l'outil H attendu
au niveau par exemple Terraform ou autre
le risque pour moi
côté OVH ça peut être également de se disperser
OVH annonce par exemple une offre
Kubernetes multi cloud
peut-être pour
concurrencer Skelway qui a déjà une offre sur secret no
mais pour moi ces deux acteurs font un peu une erreur
sur ce niveau-là
dans le sens où ils annoncent des offres
Kubernetes multi cloud avant d'avoir
l'offre monocloud chez eux
vraiment utilisable en production
pour connaître des gens qui l'utilisent vraiment c'est compliqué
donc des fois je me demande s'il n'y a pas aussi
le fait de vouloir aller trop vite pour avoir des effets d'annonce
au lieu de déjà corrigir
les problèmes existants qui sont nombreux
sur les produits
ou sur l'outil H
mais bon on peut se réjouir quand même de ces annonces
et qui vivra verra
et on verra en 2023
ce qu'il en est on va pouvoir faire un bilan
peut-être dans un an de qu'est-ce qui est sorti
et on verra si
la remap a été déroulée comme prévu
voilà donc je vous laisse réagir sur ça
je ne sais pas qui veut commencer
je peux
compléter un petit peu
parce que j'avais vu une présentation
du CTO d'OVH
dont je ne retrouve pas le nom donc je m'excuse
pour lui
ou en fait
le but
d'OVH en open sourcent
je suis en train de retrouver son nom
bon c'est pas grave
en fait il avait fait une présentation
sur la stratégie d'OVH
et de l'open source
ou en fait le but c'est
d'arrêter de se faire bouffer
par les gaffes âmes
donc principalement à WS
qui leur pique
une bonne partie des clients
et en fait pourquoi c'est que
il manque plein de fonctionnalité
notamment à IAM, KMS et ainsi de suite
et en fait
ils ont réfléchi
à comment est-ce qu'on pouvait
concurrencer ces acteurs-là
et ils se sont dit nous tout seul on ne va pas pouvoir
et donc
ils se sont dit la solution
c'est de développer des solutions
ou de racheter des solutions
ou de contribuer
et là
sur la partie
il expliquait bien pourquoi ils sont partis
à le refaire eux-mêmes
c'est qu'en fait ils ont bensé
plein de solutions d'IAM
dont la solution d'open stack
qui est
ça y est j'ai perdu le nom
bref la solution
d'open stack
qui gère la partie
identité
en fait elle ne scale pas du tout
voilà qui se tône, merci
donc c'est basé sur un cluster
MariaDB etc donc ça marche
bien mais c'est quand même
assez lié au
système des régions et
avec
les millions d'utilisateurs d'OVH
ça ne scale pas parce que le but
c'est quand même que tout utilisateur
tout client d'OVH
et un compte qui lui permettent de l'authentifier
et après lui rajouter des droits
c'est toi t'as le droit de voir
tel service, t'as le droit de faire telle action
dessus et tel autre service
un autre à le droit de faire ça et ça
et ainsi de suite
donc il faut que ça soit quelque chose qui tient la charge
il faut quelque chose de robuste
en termes de sécurité, stabilité
fiabilité etc
et donc ils n'ont pas trouvé
d'acteurs open source qu'ils faisaient
ils ont trouvé une petite boîte qu'ils faisaient
ils l'ont racheté et
ils sont tout de suite dit
on va le sortir en open source
mais en fait ça va beaucoup plus
loin que ça c'est non seulement ils vont le mettre
en open source mais ils vont documenter
la manière
de l'installer
donc finalement c'est toi Mathieu
tu veux l'installer dans ton entreprise
tu vas pouvoir mais ça va
beaucoup plus loin que ça c'est ils veulent
que tous les cloud européens
puissent utiliser la même stack
donc tu veux monter un concurrent
au vh pas de soucis
tu prends le playbook il t'explique comment
installer la partie iam
la partie kms, la partie open stack
ainsi de suite
ils n'ont pas trop peur de la concurrence
puisque c'est
les gros acteurs comme Scaleway
ils sont déjà en place
avec exactement les mêmes logiciels
ils vont pas forcément
les concurrencer directement parce que
au vh il y a quand même pas mal d'avance sur
certains domaines
et en fait pourquoi ils font ça
c'est aussi pour apporter
la possibilité
aux clients de passer d'un cloud provider
à un autre
ça aussi c'est quelque chose qu'on peut
reprocher aux acteurs américains
c'est une fois que t'es chez AWS que t'as
utilisé tout leur service pour en sortir
bon courage faut réécrire quand même pas mal
de choses pour aller
chez Google, chez Azure ou chez
qui tu veux il faut réécrire
pas mal de choses, là ils veulent vraiment se démarquer
en disant si vous venez
sur un hébergeur européen comme
vh vous pourrez très bien
aller chez un autre opérateur
un allemand, un suisse
ou je ne sais pas quoi
qui aura utilisé la même stack
et ça va même encore un tout petit peu plus loin
que ça c'est
il y a certains gros clients qui veulent
pouvoir avoir du cloud public
mais ils veulent aussi avoir du cloud privé
donc ça ils ont déjà commencé
que tu aies la possibilité
d'avoir une partie du cloud chez toi
c'est
les mêmes API que
l'API d'OVH alors je crois qu'aujourd'hui
ils ont commencé avec juste des workers
que tu installes chez toi
et finalement tu peux déployer
une partie des services
qui normalement sont déployés
dans du public cloud, dans du cravé de club
et ainsi de suite mais du coup
là c'est dans tes locaux sur tes machines
que tu gères toi et OVH
et ça ne t'en a quasiment pas la main dessus
sauf à travers son API
et pour compléter
je trouve que c'est des super nouvelles
ce qui nous annonce
je suis impatient de pouvoir
t'aider tous ces trucs là
et notamment
sur la partie IAM parce que effectivement
c'était un truc qui manquait pas mal
je n'en ai jamais ressentu le besoin
mais comme toutes mes entreprises
grossissent, ça va être cool
que je puisse utiliser ça
Erwan, je t'ai vu un petit peu
chez la tête
t'en penses quoi ?
oui mais
les compléments d'un foc
que t'as ajouté
je trouvais que déjà les annonces
étaient relativement ambitieuses
et c'est cool mais en fait
ça allait nettement plus que ce que j'avais compris
et ce que j'avais lu
donc c'est vraiment
vraiment bien
et après les premiers services
que
Mathieu a cité
c'est effectivement
les must-have des cloud provider
aujourd'hui tu ne peux pas avoir
un cloud provider sans IAM
d'ailleurs c'est pour ça que Skelway a mis
pas mal d'énergie là dessus
et a pas mal communiqué sur le fait que c'était sorti
KMS pareil
donc non
c'est cool
et
je trouve que c'est un peu
utopiste la vision
d'ailleurs tout le monde utilise la même stack
comme ça, ton terraform
tu changeras le endpoint de ton
nouveau provider et ça va marcher pareil
j'attends pour voir
mais
mais c'est quand même cool
que ce soit l'ambition
et avoir
gajons que
on se reparle plus tard pour voir
ce qui sortira
Christophe ?
oui bah écoute c'est cool
parce que du coup
je trouve que nos chers cloud provider
français, les deux Skelway
et OVH ça bouge beaucoup chez eux
je trouve que c'est
des bons cloud intermédiaire
sans aller vers les gros
c'est une bonne marche en fait pour faire
pour avoir certaines choses
à s'insécuriser sans forcément avoir
tout l'appel de temps de service
des grands hyper scaler
pour certains services ça peut suffire
le high yam c'est vrai que ça manquait
après je trouve que la stratégie open source
est vraiment super bien
et super ambitieuse moi je suis persuadé
en fait que pour avoir une souveraineté
des états
sur le numérique il faut aller vers
l'open source néanmoins
je sais que les cloud provider
la plupart sont pas forcément
prêts à prendre des briques communes
à tout le monde parce qu'ils
ont des innovations hard
ils ont des innovations soft etc
qui font qu'ils vont avoir du mal
à utiliser des briques open source
on constate parce que open stack
c'est quand même un gros
très gros projet open source qui marche bien
selon moi et il n'y a pas
30 cycles de provider qui le fournissent
en France je reconnais
3 dont 1 qui n'expose pas la
pays
ça c'est un autre sujet
et en Europe
je crois qu'il y en a un autre
après il y en a plein que je connais pas
il y en a plein qui le proposent
en info géré
mais je pense que
l'open source n'est pas encore
vraiment rentré
comme on dit chez les cloud provider
et ça me fait penser en fait
que j'aime beaucoup Scalway
et c'est à des griffes que moi je fais
contre Scalway c'est que la plupart des choses
qui développent ne sont pas libres
ce qui fait qu'on est aussi mariés avec eux
quand on va chez eux
parce que malheureusement tout ce qu'on développe
pour eux ça reste
à terme chez eux
ouais Mathieu
je voulais réagir sur ça parce que tu as raison
aujourd'hui la majorité des cloud
même peut-être la totalité on y reviendra
j'y reviendrai, on utilise des sacs propriétaires
et en effet aujourd'hui
on est autant de locking chez Amazon que chez Scalway
c'est la même chose que chez clémercloud
c'est du pure propriétaire partout
néanmoins on peut toujours utiliser du
RDS ou chez Scalway l'équivalent
ou chez ExoScal, par exemple pour pose risquel
donc utiliser un pose risquel qui lui c'est standard
utiliser du Kubernetes qui lui est standard
du S3 qui lui est standard
c'est à dire que même si la partie terraformes
provisioning de l'infrastructure etc
n'est pas standard
si on fait de l'Obuntu avec du cube
du S3, du pose gré, du MSQL et du Kafka
par exemple
la partie applicative elle est quand même
libre open source
et ça c'est quand même une bonne chose
mais je trouve en effet comme
DZR1 que c'est un peu utopique
de vouloir que les autres cloudriders
installent la stack d'OVH
déjà parce que
il y avait
aussi cette idée avec Gaia X à l'époque qui a totalement
coulé d'avoir des stacks communes
et au final dans le cas d'OVH
moi je le ressent un peu comme s'il disait
installez nous, on va tout avoir la même stack
mais ça sera la nôtre
c'est très très facile
comme discours parce que au final
c'est eux qui font le développement, c'est eux qui auraient
l'avantage et le contrôle du projet
ce qu'un petit acteur n'aurait pas
comme tu l'as dit Christophe
il y a aussi beaucoup d'innovations dans le cloud
qui font que
c'est très compliqué de participer
à des projets communs
si demain moi je fais par exemple
j'en joue un nouveau endpoint sur open stack
pour mon besoin de mon cloud interne
je peux être sûr que je vais avoir 10 personnes
qui vont dire d'un ou même moi je n'en ai pas besoin
moi je voudrais plutôt que ça soit fait comme ça
etc etc etc
et peut-être que je vais mettre 6 mois à ajouter moins de points
pour faire je ne sais pas quoi alors qu'en fait
moi j'ai envie de relis tout de suite pour avoir des clients tout de suite
donc ces projets un peu à comité
c'est aussi difficile à faire évoluer
donc avoir
mais c'est vrai que moi le fait que le cloud soit propriétaire
ça ne me dérange pas tant que ça
tant qu'en fait les produits au-dessus
donc les produits plus au niveau de base de onnets
de message bus
de gestion de log
de maitrisque etc
le sont eux
ce que c'est ça finalement
qui me permettra de migrer
ce qu'elle oeille par exemple sorti cockpit récemment
pour le monitoring que j'utilise pour des projets
cockpit c'est du grafana
grafana
enfin l'interface grafana mais aussi du grafana
cortex
c'est du loki et je ne sais plus si il propose tempo
il y a sûr loki, cortex
et grafana
d'ashboard on va dire
qui est du pur open source donc finalement je sais que demain
je peux migrer assez facilement
sur notre infrastructure
moi je préfère ce genre d'approche
plutôt que vouloir
mettre en commun la base du cloud
là où moi j'y crois plus
il aurait fallu faire ça il y a 15 ans
OpenStack avait essayé mais ça n'a pas pris
aujourd'hui je ne pense pas qu'on arrivera à repartir là dessus
voilà tant Nicolas je te passe la parole juste après
je vais rebondir sur ce que dit Mathieu
moi je suis persuadé en effet
de ça puisque
c'est la voie qu'on a choisi
nous pour Frogit on se base sur des bricks open source
pour l'instant à GitLab
Mattermost à l'avenir il y en aura d'autres
et c'est notre manière de manager
notre manière de faire les choses qui est
les propriétaires qu'on ne libère pas
en effet et on va
on va développer je pense
des petites innovations à l'avenir
quand on aura plein de clients et qu'on aura
les moyens et
en effet si on se base
comme tu le dis sur des bricks qui sont
libres et s'il y a juste
le code Terraform à refaire
ça reste
encore dans un projet une petite part
parce que l'application
elle elle va pouvoir se connecter
à du PostgreSQL manager etc etc
donc ça c'est vraiment
c'est vraiment une bonne chose je pense
Nicolas je te laisse la parole
oui alors du coup je voulais compléter
donc j'ai retrouvé le nom du
CTO donc c'est Thierry Souche
et justement la question
lui avait été posée ben oui
vous êtes bien gentil de mettre votre brick open source
mais si vous voulez que ça soit
vraiment adopté c'est comment est-ce que
vous allez gérer les contributions etc
donc déjà il met en open source
et son but c'est que ça soit
mis dans un
dans un consortium type open stack
avec une gouvernance qui n'est pas
que celle d'OVH
où il y a des contributeurs qui peuvent être
extérieurs à OVH donc au fur et à mesure
où il y aura des acteurs
qui commenceront à l'utiliser
au fur et à mesure chacun aura
de plus en plus de poids mais un petit peu
comme la gouvernance
d'open stack et
il y a des gens
de la NASA, il y a des gens
de rack space à l'origine
et il y a des gens comme OVH
qui sont
plus ou moins liés sur certains projets
et après pour avoir discuté
avec eux leur but c'est d'avoir
de moins en moins des forcs
et
aujourd'hui je crois qu'ils sont
très très proches de toutes les versions
maintenues par open stack
et ils essayent
de contribuer pour que tout
ce qui est spécifique
chez eux puisse être
généralisé ailleurs
parce qu'au final si eux ils ont le besoin
le jeu de l'open source
c'est aussi de faire
remonter sa upstream
et
finalement c'est aussi le meilleur moyen
que le développement coûte moins cher
parce que maintenir un forc
dans son coin
c'est extrêmement coûteux
et finalement
c'est assez
il n'y a pas là où la valeur
de l'entreprise et le plus
c'est plutôt
l'intégration de tout ça
et faire en sorte que tout ça fonctionne bien
et même sur cette partie
là au VH je trouve qu'ils sont très
transparents ils expliquent comment ils font
de toute façon
ils sont tellement
enfin des équipes sont tellement dimensionnées
et leur expertise est
tellement ancienne que vouloir
concurrencer au VH
directement en frontal
sur ce qu'ils font
sur la partie open stack
ça serait pas très raisonnable
parce qu'ils ont un certain volume
mais on ne pourra jamais
les concurrencer sur cette partie là
par contre un concurrent allemand
qui a déjà ses clients
sur la même solution
alors j'ai pas le nom des opérateurs
allemands en cloud
mais il y en a quelques-uns
ils pourraient très bien être complémentaires
au VH et quand on veut faire du
multicloud aujourd'hui
si on veut faire du multicloud en France
on a la solution
entre au VH et SQLW
mais comme on le disait c'est des solutions
qui sont quand même diamétralement opposées
en termes d'API etc
si on a un autre opérateur
européen
qui propose une API
un peu plus similaire
ça sera plus facile de faire du
multicloud en tout cas
c'est aussi bien qu'il y ait de la diversité
et surtout en France
d'ailleurs c'est cool c'est qu'on a quand même
deux acteurs majeurs
du cloud qui sont français
et c'est une bonne nouvelle
après je ne dis pas que
SQLW c'est pas bien ce qu'ils font
c'est au contraire ils sont hyper innovants
et ils sont très attentifs
à ce que veulent leurs clients
et ils développent les choses au fur et à mesure
on en a parlé dans un précédent
épisode la partie AIM
c'est bien
je ne sais plus dans quel podcast
j'ai entendu ça
ils sont hyper à l'écoute de ce que font les clients
ils regardent la stabilité du truc
et ainsi de suite
donc on prend la bonne voie pour
moins se faire bouffer par les américains
et sur ces bonnes paroles
on va passer à la suite
alors avant de passer
aux outils je vais te rappeler
que ce podcast il en licence libre
il est en créatif commun CC by SA
tu peux prendre des petits bouts
voir le publier intégralement
enfin tu peux faire ce que tu veux avec
par contre il faut nous citer
et citer la source
de toute façon le lien
le lien des crédits est en description
alors on va parler d'outils
cette fois-ci il n'y a que moi
qui propose des outils
à moins que vous vous les proposez au pied levé
mais je vais vous parler de deux petits outils
alors le premier c'est
Docker Shell
c'est un shell interactif pour Docker
que j'ai découvert cet après midi
en préparant l'émission je ne l'ai pas encore testé
mais d'après les captures d'écran
en gros on lance le Docker shell
et après on a un nouveau shell
qui se lance et qui est complètement interactif
il nous propose la liste des actions
à faire sur les conteneurs
la liste des conteneurs qui sont
à disposition à lancer
à inspecter etc etc etc
donc ça je pense que c'est un petit outil
sympathique quand on manipule des conteneurs
je ne sais pas si vous le connaissiez
cet outil
non pas du tout
non vous ne le connaissiez pas
et grâce à moi vous allez pouvoir le tester
un nouvel outil
à tester
et autre outil
qui est en ce moment dans mes marotes
puisque quand on gère
des projets open source on doit faire
d'échanges logs et du coup je vais vous parler
de shellog
et plus particulièrement de shellog cli
en fait c'est son petit nom mais on va dire que c'est shellog
shellog il va vous permettre de créer
d'échanges logs
qui suivent le format conventionnel
donc les conventionnels shellog
mais de manière automatique en s'appuyant
sur les métadonnées de guite
si vous suivez
les comites conventionnelles
ça va vous faciliter la vie
et moi je suis très pressé
de pouvoir l'utiliser
parce qu'aujourd'hui on fait le shellog
à la main et c'est une des choses
que je veux automatiser
la création
d'échanges logs en automatique
je ne sais pas si vous vous faites ça
d'échanges logs et d'échanges logs de manière automatique
le conventionnel comite
c'est quand même
une vertu c'est de pouvoir utiliser
des outils pour générer les change logs pour nous
c'est
donc ta cité
moi je ne connaissais pas celui là mais il y a pas
mal d'outils qui
à partir du moment où tu respectes
conventionnel comite
il te génère des change logs
plutôt propre et tout et puis t'en as
qui intègre directement avec github
tout ça donc c'est plutôt cool
mais
je me permets un petit troll
ça me rappelle que récemment il y a eu un gros débat
sur le gith emoji
sur les messages
de comites avec des emojis dedans
bon bah voilà
ça gâte à nos ortools à développer
pour générer le change log
automatiquement
oui bah nous
typiquement on a abandonné les emojis dans les messages
de comites parce que justement
ça posait des problèmes pour ce genre
de choses c'est en effet
c'est plus sympa à lire quand on lit
historique mais ça apporte un petit
souci justement pour genre d'outils
et aussi pour les mal voyants
et aussi pour les mal voyants
Nicolas tu viendras ajouter un outil
alors je te laisse la parole
eh bah ouais parce que régulièrement
j'en parlais tout à l'heure
c'est
ah non on en parlait en offre
du fait d'être DBA
ou pas donc moi
je manipule pas mal de bases de données
que ça soit pour moi ou pour mes clients
et
des fois visualiser tout ça en ligne de commandes
c'est sympa ça permet d'aller vite
mais ça pique un peu les yeux
et des fois un petit outil
pour aller visualiser
sa base de données c'est toujours sympa
par contre bah c'est
j'en ai un pour
Meia SQL MariaDB
mais pour PostgreSQL je trouvais
jamais celui qu'il fallait et j'en avais marre
de passer un petit peu de l'un à l'autre
et pour trouver un outil pour un de
mes clients je suis tombé sur
DBiver
c'est un petit caster
la mascotte c'est open source
alors il y a une version payante
là j'ai pas trop regardé ce qu'elle faisait
mais dans la version gratuite on peut déjà se connecter
à plein de bases de données
donc Meia SQL, PostgreSQL
SQL Lite
vous pouvez même faire du propriétaire
avec de l'oracle, du site base et ainsi de suite
et je trouve que c'est
toujours pratique d'avoir un petit outil
comme ça d'installer sur sa machine
un petit tunnel SSH et hop
vous pouvez
visualiser votre base de données, le schéma
etc et ça
vous permet de gagner du temps
quand vous allez
avoir besoin de farfouiller
un petit peu dans un schéma que vous ne connaissez pas
et quand vous avez
pas envie de
déplucher 50 pages de doc
parce que vous êtes en astrinte il est 3h du matin
et vous voulez retourner vous coucher
écoute merci Nicolas
tu viens de me projeter 15 ans en arrière
à l'époque où j'utilisais ce genre d'outils
quand j'exploitais des solutions
que j'étais
gestionnaire d'applications
l'ancien nom de
ingénieur de DevOps
mais j'utilisais
c'est hyper pratique et je me demande
même si je n'ai pas
déjà utilisé une ancienne version de DBweaver
en tout cas l'interface me dit quelque chose
et c'est vraiment en effet
hyper pratique, hyper puissant
parce que comme tu le dis une connexion SSH
on peut aller manipuler
interroger
une base de données
sans avoir un truc du genre
HP MyAdmin ou Adminer
et en même temps, on peut avoir un truc

pour pouvoir maintenir
qu'il est installé sur les serveurs
et ça c'est une bonne chose
et Mathieu et Erwan
vous en pensez quelque chose de ça ?
si c'est toujours bien
c'est vrai que c'est toujours bien
de pouvoir explorer facilement un schéma
de base de données
pourquoi pas
j'ai peu l'occasion
au travail d'aller sur des bases de données
et au final aujourd'hui
les suels ça m'arrive mais c'est quand même assez rare
je fais moins de codes qu'avant on va dire
mais oui ça peut toujours aider
à débugger
mais encore comme d'habitude
attention à comment vous accéder à vos bases de données
et comment vous les exposé
et comment vous vous identifiez
pour éviter la même chose que ce qui se passe sur DMWare
exactement moi j'ai tendance
à penser que ce genre de choses
on devrait aller qu'à la prod
pour le garder sur des environnements hors prod
pour qu'on développe et genre de choses
après il y a potentiellement
des moments où tu as besoin
en tant que d'exploitant d'aller regarder
ce qui se passe dans la base de données
ou alors tu demandes un dôme de ta base de données
à ton DB à préférer
et il te l'envoie et il anonymise
et puis toi tu vas regarder
parce que tout le monde fait ça évidemment
tout le monde anonymise les bases de données avant de les envoyer au développeur
vous faites tout ça
j'espère
ou alors il y a le
je voulais dire
déjà une base de données qui sort de la prod
du compte de prod
c'est déjà en théorie pas possible
moi c'est un peu ce qu'on essaye de dire
ce serait même pas sortir ailleurs
ce serait pas finir
sur un poste de dev ou sur même en staging
remonter un backup de la prod en staging
ça devrait être interdit
non allé nomiser surtout
si c'est anonymisé pourquoi pas
mais à voir comment c'est fait
oui c'est
ce genre de choses à non anonymiser
oui on prend des risques
eh ben écoutez on va aller
vers la clôture alors
donc je rappelle
je voulais rajouter un petit truc
c'est vos bases de données normalement
elles devraient limite même pas avoir accès internet
elles sont
dans une DMZ bien cachée
et pour que vos développeurs
puissent y avoir accès si vous êtes
une petite boîte vous mettez en place
d'être une lssh avec une machine
d'orbon sur laquelle vos développeurs
ne peuvent pas faire grand chose y compris
sur connecter sur d'autres morceaux de l'infra
regardez la doc de ssh
on peut faire des trucs très très bien
avec le point ssh autorisant de qui
et si ça vous suffit pas
ben vous avez des outils
H.I.Corp comme Boundary
qui vous permettent de faire exactement la même chose
mais de manière beaucoup plus compliquée
je suis rentrant de m'arracher les cheveux avec
tiens
merci Nicolas
du coup très chère
auditeur et auditrice si tu nous écoutes
et que tu as appris les choses
et que tu as envie de partager
ben tu peux venir en discuter avec nous dans la communauté
des compagnons du DevOps c'est une communauté
on est déjà plus de 1500 à discuter
au quotidien
sur un forum tu peux t'inscrire
le lien est en description
et tu pourras participer
aux discussions tu verras on apprend plein de choses
et peut-être même
tu pourras participer au podcast
merci
encore une fois tous les 3 votre participation
je vais vous laisser
à chacun le mot de la fin
et on va commencer par R1
ça sera
carte
c'est une belle carte je ne sais pas quel je sais
ça m'intrigue
je vais te le montrer
je vais te le montrer
Mathieu
quel est ton mot de la fin
mon mot de la fin
c'est dur à dire mon mot de la fin
ça serait peut-être rebondir sur la partie
sur le cloud
ou comment dire ça
j'espère
que les cloud français
arriveront à décoller
même européen arriveront à décoller
mais pour ça
il ne faut vraiment vraiment vraiment
pour moi il n'y a qu'un seul truc essentiel
sans parler le libre c'est important
l'ouverture le multicloud c'est important
mais la base c'est d'avoir un produit qui marche
c'est ça vraiment le truc clé
pour moi
c'est vraiment sur ça que je les attend aujourd'hui
pas sur le reste
merci à Nicolas tu as le mot de la fin
de la fin profitzant
et bien c'est rejoignez nous
sur le forum venez discuter avec nous
de comment est-ce qu'on fait
nos mi-sejour, nos back-up etc
et essayer de les faire
le plus rapidement possible
pour éviter d'être au chômage
suite à un petit ransomware
à bientôt