Bonjour à toi chers compagnons et bienvenue dans ce nouvel épisode de Radio DevOps.
Aujourd'hui je suis avec Erwan, Damir et Benoit que tu as pu écouter lors du dernier
podcast en apparté et je dois t'annoncer qu'on va changer un tout petit peu le format
de l'émission puisque Radio DevOps va être publié en deux parties, la première partie
les actus, la semaine après on enregistre et la deuxième partie du débat, une semaine plus tard
ce qui permettra d'avoir des épisodes plus courts et surtout d'avoir une meilleure régularité
puisque j'espère pouvoir atteindre un épisode par semaine comme ça. Bonjour à tous les trourats,
comment allez-vous ? Et bien ça lave. Ça va très bien. Très bien aussi. Bon on va faire ce
premier épisode à 4 en remote. On va voir ce que ça donne. Je suis un peu comme on dit
tout chose parce que comme ça on va voir comment ça se passe à 4 et si on arrive à bien pouvoir
animer surtout qu'on n'est pas à côté. Alors justement on va commencer par les actus et Erwan
va nous parler de quelque chose. Il va nous parler d'une panne. Erwan je te laisse la parole.
Oui alors j'imagine que vous avez remarqué que le 30 août il y avait des problèmes sur
internet de façon très générale. Donc si le premier réflexe est toujours d'insulter son
provider préféré, le second c'est de commencer à regarder un petit peu ce qui se passe,
de regarder sur les twitter, sur les pages statuts, des différents services ou que vous
n'arrivez pas à contacter ou quoi et de voir qu'en fait le problème semblait vraiment généralisé.
Et donc ce qui s'est passé c'est qu'il y a eu un problème dans un des espèces de gros réseaux
transitaires qui s'appelle Centurilink, qui est la boîte qui a fusionné avec le VL3 il y a 2
ou 3 ans. Ça fait partie des gros réseaux mondiaux qui fournissent des tuyaux pour
faire circuler des données un peu partout dans le monde pour tout le monde. Et donc qu'est-ce
qui s'est passé ? On imagine bien que si un réseau de cette taille a un petit souci,
ça peut avoir des répercussions. Mais du coup ce qui est intéressant c'est de savoir ce qui s'est
passé. Alors quand on est au niveau de ces réseaux qui sont vraiment au delà de votre FI,
de votre provider, il y a pour se mettre d'accord sur le routage, ils utilisent un protocole qui
s'appelle BGP. Et en fait ce protocole a pour objectif de permettre à tous ces différents
acteurs d'échanger les routes pour que toutes les adresses IP publiques du monde soient joignées
par contre d'une façon ou d'une autre. Donc ça c'est dans la théorie ça devrait marcher
comme ça. Sauf que comme ce sont des informations qu'on s'échange, forcément si les informations
qu'on échange sont fausses ou du moins ne sont pas du tout optimisées, ça peut avoir des répercussions
assez fortes et surtout quand on est un gros réseau comme centurémiques. Et c'est exactement
ce qui s'est passé le 30 août. En gros il y a eu une annonce de route qui a été faite, qui
contenait des erreurs et il y a eu comme centurémiques, qui est un réseau important,
il a de l'influence et des informations qui sont diffusées à énormément de gens puisqu'ils ont
des connexions pairing avec beaucoup de gens. Du coup il y a eu un espèce d'effet domino. Et en fait
sans rentrer dans les détails de BGP et de comment on en est arrivé là, la conséquence est qu'une
partie d'Internet au sens large était donc ingénieble à cause des mauvaises routes transférées.
Alors on n'a pas de vrai post mortem officiel de ce qui s'est passé, donc on ne sait pas si c'est
vraiment une erreur humaine, si c'est lié, on ne sait pas trop quelle est la source officiellement.
Il y a quand même des gros acteurs du net qui ont été impactés, donc Claude Ferre en France Canal
Plus par exemple ou Scaleway, ont pas mal été impactés et puis eux ils ont un peu diffusé
les choses qu'ils ont débuguées et en gros c'est vraiment ça, c'est qu'ils confirment la réception
de mauvaises routes et d'informations erronées de la part donc d'un data center très précis
de la santé reigning qui serait au Canada. Donc tout ça liait à une extension de BGP très
spécifique qui s'appelle FOSPEG, ça c'est pour la culture angé. Et donc qu'est ce qu'on a comme
conséquence à tout ça ? C'est que donc une partie d'Internet était un joignable mais ça durera un
peu de temps puisque le problème en heure française c'était aux alentours de midi 30 que ça a commencé
en plus un dimanche donc parfait. La fin du problème a été actée aux alentours de 17h10
heure française aussi et en fait ce qui se passait c'est que suivant votre provider, suivant le
pien, suivant le routage que vous prenez, vous étiez plus ou moins impacté et ce qui peut être
rigolo c'est que par exemple moi je suis chez Free et de chez Free par exemple je pouvais pas jouer
à la Playstation en ligne mais par contre j'avais accès à tout un tas d'autres sites. Donc c'est
intéressant de voir que visiblement ce genre de petit erreur peut avoir des conséquences très
importantes. Historiquement il y a eu d'autres affaires comme ça comme pareil une histoire de
mauvaises annonces de tapes de routage qui avaient été faites par le réseau Tata qui a eu un impact
assez fort et après plus lié à mon travail est-ce que chez Toucan Toco on monitor tout
notre stack de nos clients vient un service qui s'appelle Statue Cake et en fait il y a une partie
du service de Statue Cake qui n'était plus plus adressable et donc du coup ça on a eu je sais pas
combien de milliers d'alertes pendant le downtime parce que en fait ça faisait que le flapper
parce que quand les tests étaient faits à partir de sondes qui étaient routées ça marchait bien
et quand c'était fait par des sondes qui n'étaient plus adressables il y avait un espèce de time
out et donc du coup c'était chaos et donc ma question c'est et vous par exemple Benoit est-ce
que toi t'as été impacté par ce problème est-ce que est-ce que tu connaissais ce genre de soucis
avec BGP et dis-nous tout non mais j'ai eu la chance de pas être impacté par ce problème pour la
bonne et simple raison que j'avais déjà quitté mon job quand c'est arrivé donc j'ai pas eu d'impact
professionnel direct je me souviens pas j'ai pas corrélé ça avec des problèmes en personnalité
j'avais déjà entendu pas mal parler de ça en fait de ce que je comprends c'est que je sais pas si
vous voyez le truc mais en gros si on voit internet comme une grande toile d'araignée avec les serveurs
les contenus et les utilisateurs en périphérie plus on va vers le centre de la toile d'araignée plus
les opérateurs ici trouvent sont importants et donc si on est proche de la périphérie les opérateurs
sont enfin c'est des choses que j'ai vu il y a un moment j'y touche plus depuis un moment donc
si excusez moi si je disais des erreurs mais je de ce que je sais c'est comme ça que ça marche en
gros plus les opérateurs sont proches de la périphérie plus il y a de chance qu'on les appelle
des tiers 3 et plus on va vers le centre plus c'est tiers 2 tiers 1 et en gros les tiers 1 c'est
ceux qui sont connectés avec tout le monde et sans eux il y a une grosse partie du réseau qui est
par terre quoi ce qui est compris c'est ça qui explique l'ampleur de la panne c'est que c'était
pas n'importe quel opérateur c'est une surlink 3 c'est un des plus gros quoi un des plus gros
à l'échelle mondiale mais moi après effectivement j'ai pas eu j'ai pas eu à me plaindre du problème
personnellement j'ai eu la chance mais je me permets de rebondir du coup je vais essayer d'un
peu plus vulgariser du coup effectivement ce que tu expliquais ce qui est juste mais globalement
internet c'est un réseau de réseau donc c'est plein de petits réseaux qui sont interconnectés
chaque bout de réseau en fait appartient à ce qu'on appelle un as donc c'est lui qui va être
propriétaire de son réseau et qui va s'occuper de son réseau dans une de mes précédentes
entreprises on est notre propre as faut bien voir qu'à être un as ça quand même c'est à dire
qu'on va être exprès de son tête on a notre propre réseau on a des IP qui nous appartiennent
donc globalement pas toutes les entreprises le font la plupart ben quand vous même quand vous êtes
sur du cloud par exemple vous voyez l'as d'amazon par exemple ou l'as de ce calouet donc vous
n'êtes pas votre as mais la plupart la certaines entreprises ont besoin d'être à d'avoir un as
c'était le cas d'une de mes entreprises précédentes et pour communiquer entre tous ces réseaux en
fait ces as entre eux il faut qu'ils sachent qu'ils connaissent les autres as c'est comment y accéder
donc ils vont s'échanger effectivement des tables de routage pour communiquer en en inter entre
les différents as donc dire ben moi l'as là si tu veux communiquer à celui et un réseau qui est
dans cette as donc avec ce range réseau il faut que je que tu passes par là et là et en fait pour
communiquer ces différentes tables de routage et surtout pouvoir les updates les donner les nouvelles
plages etc on utilise effectivement ce protocole qui est bgp qui est un protocole réseau qui va
permettre d'échanger ces tables encore une fois je suis pas un expert réseau je sais juste de
vulgariser un minimum avec les termes un peu réseau pour qu'on puisse se repérer et en fait
effectivement du moment où vous allez faire une faute dans cette table au final vous allez
impacter le routage centrale parce que c'est interconnexion des réseaux et ça m'est déjà
arrivé dans une de mes précédentes entreprises donc c'était pas moi parce que moi je suis pas du
tout expert réseau mais on avait un une de nos équipes réseaux qui avait fait une fausse
manif et qui avait envoyé une propagation bgp qui n'était juste pas bonne et effectivement ça
est causé un incident qui est assez grave vu qu'en fait ben ça n'a pas vous impacté que vous
parce que si vous dites ben je vais diffuser cette table de routage qui est fausse et que vous la
diffusez à toutes les toutes les toutes les autres as bien ça vous impacte finalement petit à
petit tout l'internet parce que c'est un protocole qui va se communiquer donc effectivement c'est
assez critique comme protocole et ça fait à partir mon sens des choses où ben on aura toujours
un risque un risque minimum d'erreur ça on va pas se le cacher ça ne arrive pas tous les 10 minutes
et les incidents de stp mais ça arrive quand même régulièrement peut être une fois tous les
deux ans qui sont impactants moi j'étais impacté je testais justement ce qu'à l'où elle jour
là pour un pour un projet donc j'étais très content qui se projette à ce moment là donc
oui ça c'est malheureusement ça c'est courant mais à part faire acheter de l'automatisation et
des tests il n'y aura pas de miracle je pense là dessus quoi je ne sais pas Christophe tu
pour estimer l'impact après je sais pas dans quelle mesure justement ces ne sont trop je ne sais
pas combien ils sont et si si c'est pas problématique pour l'avenir qui en est si peu et que un seul
acteur puisse faire tomber finalement de manière assez conséquente le net qu'on connaît je me
rappelle notamment de la panne de s3 il y a quelques années non je ne sais même pas il y a plusieurs
années c'est un an et du coup à chaque fois c'est un acteur dès qu'ils tombent en panne s'il
est assez gros il ya beaucoup beaucoup beaucoup de services qui sont qui sont dépendants qui tombent
et je trouve qu'on sort un petit peu de ce qui était internet au début avec tout un tas de serveurs
partout qui échangait bon il y avait quand même ces grandes quand on se changeur réseau mais
mais là je sais pas trop comment faire pour améliorer les choses à part on rajoutait d'autres
ou les rondondées je sais pas en l'occurrence je pense ce sont déjà rondondés c'est même le principe
de base de bgp c'est de dire il ya un chemin le plus court ou alors un chemin privilégié par
certains politiques et si jamais ce chemin n'est pas disponible il y en a d'autres c'est normalement le
réseau est censé bien se comporter de ce que j'ai compris là sur l'incident l'occurrence le vrai
problème qui fait que les gens étaient un peu coincés c'est que effectivement le ceinturier a
lancé des routes et derrière le trafic donc était envoyé par la s de ceinturier mais du coup ne
ressortait jamais de là et était et était perdu finalement mais a priori c'est un cas assez c'est
un cas assez particulier et normalement les bonnes pratiques chez les opérateurs font que dans ce
genre de cas en théorie le trafic est juste rerouté d'autre part donc j'ai l'impression que c'est
quand même quelque chose d'assez assez particulier et par rapport à s3 ce que tu disais c'est intéressant
parce que justement j'ai plus le sentiment après c'est juste un ressenti mais j'ai plus le sentiment
que la centralisation et la création de spoff un peu de spoff un peu de spoff l'idée du spoff on
la retrouve plus justement chez les fournisseurs de contenu les fournisseurs de cloud et les fournisseurs
de service que chez les opérateurs puisque là on en a parlé parce que c'était un très très
gros incident mais si on fait l'inventaire des incidents ça serait intéressant de faire de la
state et de voir entre les gros fournisseurs de service et les gros fournisseurs de réseau
combien on génère de vrais problèmes global de chaque côté mais davis que ça pense plutôt
du côté des services mais ça serait intéressant de voir ça. Est-ce que juste tu peux expliquer le
spoff à nos auditeurs et auditrices qui ne connaiteraient pas ce terme ? Oui pardon spoff c'est
un single point of failure c'est un terme un peu générique pour dire que dans une infrastructure
ou dans un système au sens plus large il y a un composant du système ou de l'infrastructure
qui est un passage obligé alors que soit pour le trafic réseau soit pour le fonctionnement
d'une application et que du coup si ce composant tourne en panne l'ensemble du système tourne en panne.
Mais globalement je me permets de rouleau vont dire dessus c'est pas une histoire de redondance
que des as il y en a énormément en fait il y en a un très très grand nombre j'ai pas le nombre
exact mais il y en a vraiment énormément le souci c'est qu'il y a un moment où forcément t'es
obligé à un moment de donner des numéros de tes objets donner des chemins c'est un peu comme dans
la vie t'es obligé de mettre des panneaux sur la route mais si ça se trouve quelqu'un un jour
et il va éplanter un panneau il va se tromper ça arrive et pour ça on peut pas vraiment faire de
choses magiques j'ai envie de dire à mon sens après je sais pas il y a peut-être une info que j'ai
pas là dessus mais il y a un moment où tu ne peux pas faire de magie entre guillemets et la seule magique
tu peux faire c'est de dire bah c'est carré faut qu'il y a au moins une ou deux personnes qui vérifier
de propager un truc important aux autres personnes mais tu peux pas le redonder ou ça doit dire faire
deux internet parallèles avec vraiment tu as deux câbles réseaux chez toi avec deux internautes
internet internet rollback et tout redonder comme ça mais ça serait pas imaginable et en général
il y en a quand même pas tout le temps des incidents comme ça il y en a très peu et en fait les
seuls qui a on les voit tout de suite parce que c'est un impact donc faut se dire que à part ceux
qu'on ressent il y en a quasiment pas voire pas du tout ou des très faibles ou c'est juste des petites
choses des broutilles entre guillemets donc je pense qu'il n'y a pas de soucis là dessus là où la
plupart du temps on les voit même pas puisque le fonctionnement de base de l'internait et bien
en place et c'est transparent pour la plupart des titans en parlant de magie moi je vais vous
parler de portenaire 2.0 alors je sais pas si vous connaissez portenaire mais portenaire en fait
c'est un logiciel qu'on peut installer qui permet de gérer les conteneurs et tout ce qui se passe
sur un serveur et avec portenaire 2.0 l'avènement ça va être en fait qu'on va pouvoir mettre
portenaire sur un cluster Kubernetes et donc on va pouvoir voir tout ce qui se passe dans notre
agrégat et là là vraiment ça promet en gros bon je vais pas vous citer tout ce qu'il y a comme
nouveauté dans portenaire 2.0 je vous laisserai aller voir les liens de la description mais ce que
va nous permettre portenaire notamment dans un agrégat Kubernetes c'est d'avoir une console
et une console un peu plus sexy que la console Kubernetes moi qui viens du monde OpenShift à
chaque fois que je passe sur Kubernetes je suis un peu déprimé et donc là on va avoir vraiment
de quoi gérer notre cluster de quoi gérer les ressources enfin bref tout ce qu'on peut faire en
ligne de commande ou autre on va pouvoir le faire au travers d'une interface graphique portenaire nous
font même la possibilité de ne plus rien faire en ligne de commande ou en manifestiamel je m'exprimerai
pas là dessus tout de suite mais bon peut-être après et surtout ce qu'on voit c'est que
vraiment il y a beaucoup de fonctionnalités qui sont super intéressantes et en plus esthétiquement
portenaire même la version 1 était vachement bien je sais pas si vous l'aviez testé justement
portenaire en version 1 et si vous vous apprêtez à tester portenaire 2 sur Kubernetes alors non
pas du tout je sais vraiment pas un projet que que je suis après enfin là comme ça je vois pas trop
ce que ça appart le fait d'avoir une jolie interface comme tu dis mais je suis pas forcément
hyper hyper convaincu pour passer du temps là dessus mais peut-être aussi parce que je ne suis pas
le plus Kubernetes compliante de l'équipe mais je sais pas ce qu'on pense d'amir par exemple
alors moi c'est un peu moi j'aime bien j'aime bien la ligne de commande entre guillemets donc
ça avec pour moi avoir un outil graphique fait des bodageboards c'est bien mais là portenaire
j'avoue que je l'ai pas l'aura testé parce que c'est pas forcément quelque chose dont j'ai un dont
je reçois le besoin tout simplement en général j'ai ma cli j'ai peut-être les cannefes en
local pour pour aller faire des trucs un peu plus de manière un peu plus agréable quand je recherche
moi quand je suis un peu en train de chercher des choses mais autrement non il y a une interface
graphique dédiée spécifique j'en ai pas besoin pour les logs j'ai déjà un moment de l'el cas et
pour du coup ce qui est monitoring du graffana ou autre j'ai pas ouais pour le reste la clime va très
bien et de façon de vrai c'est assez anecdotique vu que tant tout doit être fait en ci cd donc voilà
à part des bugs bien sûr je sais pas toi benoît c'est à des use case un peu plus spécifique au niveau
qui nécessiteraient peut-être portenaire du coup je connais pas du tout porté je connais deux
noms portenaire mais ça s'arrête là par contre d'un point plus général le fait d'avoir une
interface pour manager le cluster les contenants les applications qui a dessus moi j'y vois un
use case qui s'adapte pas à toutes les entreprises mais je l'ai déjà vu dans un précédent boulot
c'est typiquement quand tu quand t'es dans une entreprise où les développeurs sont censés
pour x y raison avoir pas mal la main sur sur ce qui se passe une fois l'application déployée nous on
s'en servait alors on servait de rancher à l'époque alors en rentres il sait faire plein d'autres
choses on servait juste de la partie web UI de rancher qui permet d'avoir une vision sur le
cluster et sur ce qu'est dedans pour donner une un moyen simple aux développeurs pour aller
troubleshooter leurs applications puisque du coup ça leur donner un accès à une une interface
en clique pour aller voir comment l'application était déployée est ce que les pot tourne dans
un peu détourné parce que c'est pas forcément le premier brancheur mais du coup pour faire le
parallèle acte portainer je peux imaginer un use case où ça peut avoir un intérêt après ça dépend
d'entreprise ça dépend du contexte mais c'est le use case que j'y vois quoi c'est exactement
le use case auquel je pense parce que je travaille parfois avec des développeurs qui eux ne sont pas
adeptes de la ligne de commande et pour le coup ils ont besoin d'aller voir ce qui se passe et d'observer
et le deuxième use case que je vois c'est quand on est en face de développement d'une application
ou d'un ensemble de microservice qu'on va pas 4g ça peut être intéressant d'aller modifier
directement le code au travers une interface qu'elle soit graphique ou en ligne de commande mais du
coup quand elle est graphique sur un staging ou un environnement de développement c'est vachement
pratique et après on peut récupérer le yaml le tuné et le mettre à notre sauce ce qui permet de
faire du ci ici derrière parce que moi je suis hyper hype par ça parce que j'adore les consoles
les consoles et j'en cherchais une pour cube et du coup je vais l'installer je vais tester mais par
contre je ne me passerai jamais du déploiement au travers des ligne de commande ça c'est sûr mais
pour des environnements de développement pur et dur c'est super intéressant et puis même pour aller
voir la prod parce qu'il y a l'aspect monitoring l'aspect en effet centralisation des logs qui
vient tout d'un coup et qui permet de voir où est ce que sont les pods sur quel nœud etc et en
fonction de la typologie de notre agréga comment est ce qu'il est fait est ce qu'il y a plusieurs
types de nœuds ça peut être intéressant aussi surtout si on joue avec les affinités ou
genre de choses donc je pense ça peut être intéressant après chaque case et différent mais
pour moi c'est enfin la console de Kubernetes la trouve vraiment austère vous avez jamais
essayé la console d'open shift essayer là un jour vous verrez c'est super bien on peut aller voir
les événements et tout qu'on peut aller voir en ligne de commande bien sûr mais quand on est
plusieurs dans l'équipe et quand il y a des développeurs qui en effet vont pas triturer dans
la ligne de commande c'est quand même hyper pratique je vais juste un peu de challenge
cette vision ce que m'intéresse moi en tout cas ma vision des choses c'est pas tout faire en ligne
de commande moi moi je fais beaucoup en ligne de commande et parce que je suis habitué la plupart
du temps quand je travaille sur d'albos et tout faire des choses en graphique c'est juste interdit
mais on interdit direct c'est après un chose qu'on fait du coup ma vraie question là dessus c'est
qu'est ce que ça apporte de plus qu'un graffana ou qu'un prometteus ou un neul cas dans la mesure où
moi en tout cas c'est une vision personnelle des choses j'en ai tout à fait confiance conscience
mais ce que j'aime bien faire c'est habitué les devs aux outils qui ont en prod pour une raison
très simple c'est qu'aujourd'hui nos travaux sont plus en plus liés et un jour si on a un gros
incident bah c'est probablement un truc un peu complexe à débugger et possiblement je vais peut-être
demander à dev devenir en support avec moi pour dire bah écoute là écoute je sais pas trop ton
applicatif comment il se comporte est-ce que tu peux regarder donc au final j'essaie de l'habituer au
maximum assez métrique et à ces outils entre guillemets je vais pas dire de barbu mais c'est
outil standardisé prod pour du coup qui soit plus à l'aise avec et qui les prenne et justement
si il a une information qu'il n'a pas il me dit ben moi je comprends pas je représente cette
information en fait pour voir si mon truc tourne bah sur son dashboard graphenage dis
bah attends on va le regarder tac prometus on rajoute la valeur donc est-ce que ça
c'est pas est-ce que ça apporte vraiment quelque chose de plus par rapport à ça du
coup pour les devs bah moi je vois un élément je comprends ce que tu veux dire et je suis d'accord
sur le fond du coup c'est marrant ça me fait ça me remet mort aussi comment les choses sont
déroulées dans ce dans ce stafla une des raisons aussi c'était le l'accès en l'accès au cluster
c'est à dire que si tu veux que les développeurs fasse tout en ligne de commande du coup faut qu'ils
aient des configs ou des credentials qui leur donnent accès au cluster voilà tu peux restreindre
les drones etc mais tu dois distribuer un moment donné des credentials sur une forme
de route ce qu'on trouvait intéressant avec rancher c'est que tu pouvais du coup leur donner
accès juste à une interface web avec un login votre passe après tu rajoutes un peu la sécurité
que tu veux autour de ça et si c'est juste pour du travel shooting du coup ça suffisait
vous avez juste besoin de voir le l'état des choses l'état des services et pour moi c'était
plus complémentaire au monitoring tu vois bien sûr à côté de ça ta thémétrique ta thélogue
mais typiquement tes log vont te donner des événements et tu ne peux pas forcément te rendre
compte d'une manière visuelle que ah bah en fait je me rends compte tiens c'est marrant j'ai un tiers
de mes potes qui sont en faillite par exemple alors alors si tu veux sur graffana effectivement tu
veux la voir mais là c'est une vue très simplifiée ou du coup tu as un peu cette vision en un coup
d'oeil et après la démarche c'était de dire une fois que tu as cette première vision qui te donne
un premier indicateur tu vas sur graffana parce que du coup là t'as le détail des métriques et t'as
le détail de ce qui s'est passé et tu vas dans les logs aussi voilà c'est un truc en plusieurs
en plusieurs étapes après ça marche tout ça très très subjectif tu vois en fonction de qui
utilise le qui va aller troubleshooter l'application on va y avoir des goûts et des manières différentes
de fermes oui non mais du coup je comprends un peu ce que tu veux dire mais c'est vrai que quand je
dis graffana tu as séparé t'as un dashboard général avec le nombre de pod running en erreur
etc après t'as des ajeurs par application ou t'as bien sûr les métriques du kubernetes du pod du
namespace etc mais aussi les métriques de l'application elle même avec le nombre de fil dans l'acq par
exemple les latences etc donc non mais je demande plus que pour comprendre mais fait bon je comprends
mieux mais dans mon sens sinon je utilise la cd donc j'évite de donner quand même d'écranant
sur la tournage c'est d'où j'essaye de faire passer maximum par la cd je comprends moi pour
apporter ma dernière pierre à l'édifice de la discussion moi je rejoins vachement d'amir c'est que
pour moi tout tout tout doit passer par la cd d'une façon ou d'une autre ça évite tout un tas de
choses et du coup après de façon très générique on est pas mal sur la stack ulk et je comprends
ça si on a ce genre de stack bien bien c'est avec les logs qui remontent avec les tags qui vont
bien pour pouvoir se retrouver retrouver ces différents conteneurs c'est machin j'ai pas l'impression
que ça soit un vrai game changer de passer à porteur mais en fait moi je vais tester je vous
dirais mais il faut bien se dire aussi que tout le monde n'est pas sur prométéus grafana et lk ça
dépend aussi des besoins et donc je me dis comment c'est possible parce que genre t'as pas envie d'avoir
un lk qui consomme je ne sais combien par exemple ou que tu veux par exemple utiliser loki pour tout
envoyer dans prométéus et donc pas avoir de lk ou que tu as envie d'installer un truc qui fait tout par
exemple porteur faut tester avant de dire ça mais l'idée c'est ça en fait c'est quels sont les
besoins et comment et comment est-ce qu'on peut y aller après si vous allez jamais dans la console
coubernétise c'est sûr que le besoin pour vous il n'existe pas mais moi j'ai l'idée régulièrement
y compris avec mes développeurs donc pour le coup là le besoin est lié on va parler d'un autre
sujet et damir tu vas nous parler d'une cyber attaque alors oui je vais vous parler d'un petit truc
qui est arrivé il ya quand même maintenant quelques quelques temps il ya quasi moins un mois mais ça
me semble intéressant de remonter un peu dessus à froid et par l'actualité récent dont je vais
revenir sur la fin du coup garmin je sais pas si vous connaissez mais c'est un service globalement
qui fait pas mal de choses il fait des objets connectés un peu sportifs il fait beaucoup de
cartographie notamment et du coup pour tous ces services il a de beaucoup de grosses parties informatiques
pour synchroniser des objets connectés et tout si et cartographie notamment dans les avions donc
autant dire c'est quelque chose qui est assez important parce que la cartographie dans l'aviation
c'est important c'est la base de beaucoup de choses et les objets connectés pour sportif il ya
quand même beaucoup gens qui se utilisent donc c'est mieux quand ça marche surtout qu'on est
une marque assez connue et j'ai pu noter la date mais il y a un an un peu plus d'un mois ils ont subi
une cyber attaque et pas n'importe quel type de cyber attaque ils ont été victimes d'un crypto
lockers quel est le principe globalement vous allez avoir cette sorte on va dire de l'océan
maveillant qui va venir sur votre réseau et qui à la place de vous voler des données ou autre il va
réfléchir autrement il va dire moi je chiffre toutes vos données donc il va chiffrer toutes vos
bases de données vos sauvegardes etc il va mettre un mot de passe qui vous donne pas sinon c'est pas
marrant et il va vous dire ben voilà moi j'ai chiffré vos données donc vous pouvez faire ce que
vous voulez mais là globalement vous pouvez plus utiliser donc vous êtes un peu bloqué et ils vont
vous réclamer de l'argent en fait c'est un renseignoir il va vous demander de l'argent et il va vous
dire ben pour telle somme on vous donne la clé des chiffrements vous la rentrez votre infra et
des chiffrés vos données sont des chiffrés vous repartez comme en 40 comme dit expression là où
c'est assez assez intéressant c'est que c'est un type d'attaque qui est de plus en plus courante
en fait depuis quelques années et qui s'attaque de plus en plus à des acteurs assez gros là du
coup c'est un acteur qui est assez assez conséquent donc très rapidement on a eu un impact très très
important qui s'est propagé que ce soit dans les compagnies aériennes ou autres sur les différents
services qui étaient impactés parce que la plupart de leurs services étaient hors ligne et n'avaient
plus de données donc ils n'avaient plus les données et du coup ce qui s'est passé c'est que très
rapidement les pertes elles ont explosé pendant plus de six jours l'activité est quasiment à l'arrêt
et ils vont arriver à accumuler une perte qui a atteint quasiment un qui est estimé à plus ou moins
3,5 milliards de dollars pour eux et leurs clients donc on arrive quand même à une somme qui est
assez gigantesque on va pas se le cacher et entre temps en fait les renseigneurs du coup qui
utilisait un qui était rattaché à une un groupe musculaire apparemment qui se fait appelé
evil cop et vill corp je pense qu'ils ont beaucoup aimé mr robot qui est une très bonne série que
je vous conseille au passage mais du coup eux en un parallèle ils ont réclamé en fait du coup une
somme pour des chiffres et données une somme de 10 millions de dollars la règle vœu et les conseils
de beaucoup de personnes cyber sécurité veulent dire qu'il faut pas payer parce que demain ça leur
donne les moyens et ça les incite à continuer et de deux c'est pas forcément une solution parce
que ça se trouve il va pas vous donner la bonne clé il a peut-être même pas la clé en fait tout
simplement ça se trouve c'est peut-être du bluff le mec il a chiffré mais il n'a jamais récupéré
la clé donc du coup il ya quand même un gros gros va dire drapeau noir pour dire ne payer pas des
renseins parce que ça va juste aggraver le problème mais au vu des pertes en fait bah ils
savaient qu'ils ont payé du coup les 10 millions visiblement et ils ont pu repartir leur
différent faire repartir leur différents services petit à petit donc là on avait un problème c'est
de comportement à perdurer à continuer il va y en a un de de plus en plus et là où c'est assez
c'est assez fou c'est qu'on a appris bah là j'ai appris quelques minutes dans le podcast comme quoi
l'actualité se prépare même pour le podcast et ça c'est merveilleux ou peut-être moins vu
l'actualité que equinix a déclaré avoir subi lui-même une attaque du coup qui serait apparemment du
cryptolocage donc du coup on aurait chiffré les données du coup des données qui appartient à
l'actualité avec unix qui est pour rappel une grosse société qui gère beaucoup d'interconnexion
réseau et qui est un aise d'ailleurs pour revenir au premier sujet comme quoi tout est lié et beaucoup
de données du coup client beaucoup de données qui gère beaucoup d'atacenture notamment en
france et du coup ils ont été aussi victimes on n'a pas forcément beaucoup plus d'infos ils ont
juste déclaré ça publiquement maintenant on va voir ce que ça donne est ce qu'ils vont payer est
ce qu'ils vont pas donner est ce qu'ils vont pas payer c'est une une grosse question et du coup je
vais te passer la parole christophe toi t'en penses quoi tout ça est-ce que déjà qu'est ce que tu
ferais pour éviter ce genre de situation à tes clients bonne question ça
nous déjà ce qu'on fait on met en place plusieurs plusieurs sauvegardes compris en dehors du réseau
c'est la première chose qu'on fait c'est on a des sauvegardes dans le réseau en live sur les
serveurs puis des sauvegardes en dehors du réseau et si on n'arrive pas à recharger les données de
nos clients on est mal je t'avoue que ça n'est jamais arrivé je touche du moi mais ça n'est
jamais arrivé et qu'est ce que je ferais je ne payerai pas quitte à mettre la clé sous la
porte parce que en effet comme tu le dis payer c'est encourager ce genre de choses et ça les inciterait
à aller voir des entreprises encore plus grosses voir pire des états et là on serait mal je pense
s'ils commencent à s'attaquer à nos états nos ministères et genre de choses c'est ce serait
vraiment problématique donc les sauvegardes décentralisés chiffrés avec tout ce qu'on veut c'est à
mon avis la seule réponse qu'on peut avoir et toi erre 1 qu'est ce qu'on pense parce que vu
que vous devez gérer pas mal de données je pense chez tout compte au cours qu'est ce que vous
feriez et qu'est ce que vous mettez en place vous pour éviter ça non effectivement tout
enfin j'imagine que c'est partout pareil mais rappelons le pour chaque chaque stack client il ya
il ya une clé gpg différente qui est utilisée pour chiffrer les backups qui sont exportés dans
des data center différents de là où se trouve le coeur de notre de notre métier et qui sont même
pas chez le même évergeur etc avec des accès hyper restreint tout donc j'imagine que c'est mais
j'imagine que garmin a probablement des trucs comme ça mais là où je suis hyper surpris de la
news c'est que on fin comment on sait tout ça ça ça me paraît hyper tendu de de communiquer sur
de comment dire je communiquais sur de de fait que fin de choses qui les mecs et on sait qu'ils ont
payé mais la terre entière va décider après quoi je trouve ça fou mais c'est un gros risque
qui a été mis en avance que globalement bon les infos viennent un peu de à gauche et à droite
parce qu'il ya beaucoup de gens qui ont été impliqués y compris des gouvernements parce que
ça impactait beaucoup de choses c'est une des grosses craintes en fait c'est qu'il y ait du coup une
nouvelle cyber attaque qui les vise surtout que globalement d'après ce que j'ai compris des articles
des différents articles sur le sujet ils auraient pas fait grand chose en fait pour pour combler le
truc ils ont juste comblé la faille entre guillemets ils ont parmi en question tout le système ce que
c'est vrai qu'on dit des sauvegarde mais faut pas bien qu'en fait des sauvegarde il faut les faire
hors réseau etc c'est pas forcément des sauvegarde fraîche donc on aura des paires de données et
surtout ça implique il faut les tester parce que souvent on pense à faire des sauvegarde on se dit
je fais mon majestuels d'hommes t'inquiète ça passe si on n'a jamais assez de réinjecté peu de
chance que ça marche on va pas se le cacher donc du coup c'est vrai qu'il y a ce problème là aussi
qui se présente montrement oui les infos viennent un peu à gauche et à droite et toi du coup Benoît
est-ce que tu as déjà été confronté à ça et est-ce que tu as des idées magiques on va dire pour
pour y lutter contre non bien heureusement j'ai jamais été confronté à ça et c'est un sujet
qui est qui est super compliqué parce que pas j'aimais bien au début quand tu disais oui on dit
souvent il faut pas payer et je suis bien d'accord et c'est effectivement les premières premiers types
de bonne pratique qui vient l'esprit c'est-à-dire on va payer parce que de façon ça sert à rien rien de
de garantie qui vont pas juste recommencer d'ailleurs pour te redemander d'une million et voilà il y a
tout un tas de raisons pour lesquelles c'est pas bon mais en même temps j'arrive pas à imaginer comment
ça se passe t'es dans ton entreprise ça y a ça qui arrive on peut dire on est en train de perdre
3 milliards 5 je pense qu'il y a une espèce d'effet panique qui prend la gorge à peu près tous les
étages de l'entreprise et c'est c'est vraiment vraiment super compliqué quoi c'est donc les
bonnes pratiques c'est bien mais une fois quand tu es dans le bouillon tu te rends compte qu'elle
tombe les unes après les autres enfin j'imagine en tout cas à cette échelle là que ça doit arriver
et du coup j'envisais enfin j'envie pas du tout les gens qui ont subi ça et je suis hyper solidaire
de l'équipe l'équipe d'infra qui est là bas parce que ça pas du tout facile et l'équipe de secu aussi
et j'en profite pour ajouter juste une info pour pour ces histoires d'attaque de grande ampleur
avec des des des des retours d'expérience assez détaillés qui parlent aussi bien de la technique que
du que que de la gestion humaine et de la gestion de crise il ya il ya le il ya le retour d'expérience
sur la grosse attaque tv 5 monde avait subi et où ils avaient eu un écran noir etc c'est assez sérieux
et de façon très transparente ils ont fait un réx qui est vraiment top qui est en vidéo je pense
c'est toujours intéressant à lire et comme c'est vraiment de très grande ampleur avec là pour le coup
une crise une crise assez ouf et que toutes les transparents sur ce qu'ils ont fait comment ils
ils ont capté le truc comment ils ont résolu le truc ça peut aussi donner des des infos sur un peu
sur ce genre de cas qui sont qui sont extrêmes et j'espère ne pas connaître les réx là c'est
souvent très enrichissant faut pas hésiter à les lire vous apprendrez forcément quelque chose sur
les bonnes pratiques ou les choses à faire ou ne pas faire c'est tout aussi important si hier
on tu trouves le lien je le mettrai dans la description de l'épisode et enfin on va aborder
la dernière actu du jour puisque benoît nous a préparé aussi une petite actu et benoît c'est
ton baptême du feu tu vas nous parler d'une sortie et quand j'ai vu la sortie je me suis dit je
suis interpellé j'aime beaucoup oui effectivement alors c'est uneuse qui commence déjà un peu
d'été puisque ça doit être du 10 août il me semble mais tout simplement alors c'est la sortie de
tecton hub donc pour rappel pour ceux qui n'ont pas entendu parler tecton c'est une solution de
ci cd basé sur cubert nettes c'est complètement dépendant de cubert nettes parce que ça s'appuie
sur les mécanismes cubert nettes et le type de service qu'on peut trouver dedans donc là
c'est une techno qui est qui est baquée par google il me semble c'est open source mais c'est google
qui l'a lancé donc tecton en swash trouve ça très intéressant et et tecton hub du coup c'est
ben comme son nom indique c'est un petit peu comme docker à son hub pour partager des images
de conteneurs en si bel à son galaxy pour partager des recettes un déro le ans cible
enfin il y en a plein des exemples comme ça et donc le principe est le même là sur tecton hub
l'idée c'est qu'on peut partager donc ce qui s'appelle dans tecton des des tasks et donc des
tasks ça va être des des routines qu'on va vouloir implémenter dans nos pipeline de ci cd et
qu'on peut pouvoir réutiliser et rendre modulaire donc l'idée super intéressante et clairement ce
type de plateforme pour partager c'est toujours c'est très souvent très intéressant pour ce type
de solution parce que ça me permet de pas réinventer la roue à chaque fois ça permet de partager
et d'itérer sur sur ce que les gens ont déjà conçu et de s'inspirer aussi donc ça dans
l'idée je trouve ça très bien par contre la question du coup qui m'est venue j'ai carrément
pas encore david franché là dessus mais la question qui m'est venue en voyant ça c'est je me dis
mais au final c'est donc si on parle là dessus imaginons dans une entreprise on a tecton comme
solution de ci cd on met en place tecton hub on va devenir de plus en plus dépendant de la solution
parce qu'une fois qu'on commence à utiliser des des rôles liés à la des tasks liés à la
techno va difficilement vouloir en revenir et j'ai pris un pas de recul et je me suis dit mais
est ce que ma ci cd sur kubernetes est ce qu'au final je veux que ce soit la base de mes déploiements
dans le sens où je suis je suis très convaincu par kubernetes pour plein de use case mais est ce
que réellement kubernetes doit aller au delà que au delà de gérer l'application gérer l'état
de l'application et l'application qu'on veut déployer pour entreprise j'entends est ce qu'on
est ce qu'à mettre ces services d'infra et ces services critiques d'infra sur kubernetes c'est
intéressant je pense notamment pour essayer d'expliquer mon propos typiquement quand on fait du build
dans une ci très souvent on a besoin d'avoir au moins une machine virtuelle pour le faire
typiquement pour builder des conteneurs et donc je me dis dans kubernetes qu'est ce que ça veut dire
est ce qu'il faut avoir des machines virtuelles dans kubernetes je sais qu'il y a des projets qui
tendent d'implémenter ce genre de choses mais où ça on est quel est l'état de maturité etc voilà
c'est une question très ouverte j'ai pas de réponse fermée à ça mais je me suis posé à moi-même
cette question et je sais pas vraiment y répondre donc ça m'intéresse d'avoir votre damir par exemple
du coup c'est je n'ai pas entendu parler de ce projet donc qui peut être intéressant après moi
c'est vrai que niveau siège il y a encore quelque chose qui est un peu plus agnostique en
entre guillemets parce que je fais peu de cube au final je ne m'en j'ai pas j'ai pas du tout
mon workload qui est sur kubernetes donc clairement ça me suis pas fan de de reposer un truc ce qui
s'entrique là dessus après l'idée d'avoir des ripos communs des choses comme ça ça me
semble plutôt pas mal chez gitlab partage certains il ya un ripo il me semble sur gitlab ou sur gitlab
du coup au point comme ça serait très trop le de mettre sur le github qui est justement détiens pas
mal de templates pour déployer une note des choses comme ça donc ça peut vraiment être
une approche intéressante après pour la question de d'être dépend une plateforme j'ai envie de dire
c'est une question qui se pose aujourd'hui pour tout on va pas se le cacher le moins de langages
qu'on choisit bien si on choisit si l'engagement et il se fait racheter par une boîte qui fait de la
merde ou autre chose bah on est on s'est fait avoir de même c'est je travaille beaucoup sur de la
ws et je travaille un peu sur du scalway quand on va chez un cloud provider bah le jour où tu
veux quitter bah oui il faut refroidir une bonne partie ton infra va falloir repenser beaucoup de
choses parce que chacun sa manière de faire chacun ses conceptions donc oui aujourd'hui
quand on choisit une techno faut essayer de prendre un truc sur lequel on on se dit pas dans deux
semaines je vais partir sur autre chose donc oui c'est un c'est que je prends compte clairement
il faut y penser c'est toujours toujours pareil après je ne sais pas si je vais le tester honnêtement
parce que je serais quand on cia et moi je fais beaucoup de git lab et je connais un très peu
mais je connais un peu jane kins et j'ai jamais vraiment fait d'autres choses et pour l'instant
j'ai pas disons que j'ai d'autres priorités que que me rajouter un système de ci même si même si
pour l'instant git lab me plaît très me convient tout à fait dans mes besoins toi du
coup erouane je sais pas si t'as si t'as un avis dessus si tu l'as déjà testé même
je suis en fous non j'ai pas testé je trouve ça cool mais je rejoins la crainte de ce côté très
très technocentrique à terme et moi je comprends tout à fait la entre guillemets lango à ce que ça
peut ça peut générer et c'est d'ailleurs je sais que donc chez tout quand je suis le on repose
sur du jane kins mais au final on l'utilise de façon vraiment très agnostique c'est à dire que
jane kins c'est il automatique juste ce que moi je ferai si je devais build les projets pour tout
quand ou ou les pousser etc c'est juste qu'il a déjà un environnement qui est qui est fait pour
qui qui qui s'est lancé les les conteneurs comme il faut etc mais le concrètement ce qui fait c'est
des mecs fails de nos projets et c'est des des goals qui sont qui que n'importe quel utilisateur
pourrait faire aussi là les credentials etc qui vont bien donc et l'idée d'avoir fait d'avoir
utilisé ça c'était justement pour être le plus agnostique et ne pas être fermé si demain on veut
plus de jane kins et qu'on veut passer sur le kit là bah c'est pas grave on aura juste à droper
nos jane kins file on s'adapte à git lab et puis ça devrait rouler donc c'est vrai que je
comprends la crainte qui a qui peut y avoir trop s'engager dans dans une route où le jour
faudra faire demi-tour on va faire ah c'est relou j'ai à flemme et du coup le pas bouger quoi
alors je sais pas je pense que je vous en rappelais pas mais quand on a lancé le podcast on a parlé
de la city foundation donc la continuous delivery foundation et tec ton faisait partie des projets
qui étaient hébergés par la continuous delivery foundation au même titre que jane kins et jane
kins x d'ailleurs donc je vous mettrai le lien de l'épisode de podcast alors moi ça vous étonnera
pas moi ma ci et c'est git lab git lab ci et je n'utilise pas d'autres a priori maintenant je suis
pas je vais pas les tester tec ton ci par contre le la cd il faut que je regarde parce que je m'intéresse
de plus en plus aux githops en mode pool du coup à l'intérieur du cluster Kubernetes c'est lui qui va
aller chercher les informations et qui va les tirer plutôt que ce soit la ci qui va pousser les
infos dans dans l'agrégat ce qui nous permet justement d'éviter de déposer des secrets en fait
dans notre ci donc faut que je regarde si tec ton le fait parce que là pour l'instant je suis plutôt
orienté argot argocd qui m'a l'air d'être hyper prometteur pour le coup là dessus et faut
comparaître les deux je pense que avec mon futur stagiaire qui va arriver on va on va regarder on
va tester si on a le temps testera tec ton mais pour le coup je sais pas ça fait pas partie des
des projets qui me qui me haïe plus que ça après le côté hub je trouve ça intéressant justement
dans le point de vue de la continuous delivery formation fondation excusez moi qui permet justement
d'aider les gens à aller vers la phrase d'aller vers le continuous integration et continue
delivery donc de proposer des solutions un peu plus package pour faciliter la pénétration parce
que faut pas oublier qu'il ya plein de gens qui n'utilisent même pas d'intégration continue donc si
ça peut les aider pourquoi pas j'ai envie de dire même tant mieux bien mais je crois que nous avons
nous avons atteint la fin de l'émission qui est déjà pas mal avancé quand même donc je vais vous
laisser un petit mot de la fin moi je vais et puis je reprendrai la parole juste après pour
clôturer donc bono à je te j't'en prie je te laisse la primeur ouais bon bâton que je veux du coup
là non bah en tout cas c'est super moi je trouve ça super intéressant merci beaucoup de m'avoir
reçu pour le podcast déjà parce que j'en avais jamais fait je peux vous mentir et c'était
super intéressant les débats et super intéressant et j'aimerais bien recommencer si vous m'acceptez
la prochaine fois on en discutera du coup merci à tous ouais dans le nouveau format était cool ça
me permet d'un peu plus poser nos points de vue et d'en discuter sur différents sujets c'était
intéressant et j'ai un petit mot de la fin on dit chiffré et pas crypté déjà voilà vu que c'est
pas mal à 4 on a bien tenu le nouveau format me parait pas mal donc c'est cool et puis comme
dernier mot je dirais chaise et moi je vous dis en tout cas si vous ne connaissez pas la communauté
des compagnons de devops bah rejoignez nous puisqu'on est tous les quatre dans la communauté
inscrivez vous dans le lien en commentaire et on pourra discuter on pourra discuter entre les deux
épisodes et moi je vous dis à très bientôt merci d'avoir écouté radio des vops n'oublie pas de
nos téléviso de plus la note sera élevée et plus sera mis en avant dans les applications tu
peux aussi le partager ça nous aidera à le diffuser et à rendre le mouvement plus visible si tu
as envie de discuter du mouvement alors rejoins nous dans la communauté des compagnons du devops à
bientôt la baladeau diffusion des compagnons du devops est produit par l'hydra