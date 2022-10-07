La conception et la mise en œuvre d'une architecture cloud hybride doivent tenir compte de nombreux facteurs, notamment les objectifs commerciaux d'une entreprise, son environnement technologique actuel, ses objectifs en matière de transformation numérique et ses considérations en matière de sécurité. Étant donné qu'une telle architecture avec de multiples solutions de cloud hybride peut devenir complexe très rapidement, il est essentiel de tirer parti des outils opérationnels pour une gestion centralisée, transparente et évolutive du cloud. Voici quelques facteurs à prendre en compte lors de l'élaboration de la stratégie de cloud hybride.

Stratégie de modernisation

Pour la plupart des organisations, l’idée du cloud computing hybride commence par la modernisation ou le transfert des applications sur site vers le cloud, et il existe plusieurs façon de procéder :

Lift-and-Shift : l'un des moyens les plus courants de lancer la modernisation, le lift-and-shift consiste à transférer l'intégralité de l'application hors site vers un environnement cloud. Cela implique de modifier le matériel sous-jacent pour profiter des ressources et des services d’infrastructure sécurisés et évolutifs du cloud computing. C’est une option pratique lorsque vous n’avez pas le temps nécessaire pour remanier ou repenser l’architecture.

l'un des moyens les plus courants de lancer la modernisation, le lift-and-shift consiste à transférer l'intégralité de l'application hors site vers un environnement cloud. Cela implique de modifier le matériel sous-jacent pour profiter des ressources et des services d’infrastructure sécurisés et évolutifs du cloud computing. C’est une option pratique lorsque vous n’avez pas le temps nécessaire pour remanier ou repenser l’architecture. Restructurer : plutôt que de transférer l'intégralité de l'application monolithique vers le cloud, ce qui est non seulement chronophage, mais peut également s'avérer inutile, il est préférable d'identifier un ou deux services (qui ne présentent pas de besoins urgents en matière de conformité ou d'amélioration des performances), de les restructurer (par exemple, en ajoutant du code de liaison pour exposer les API REST, car les interfaces de service précédentes pouvaient être étroitement liées à la plateforme spécifique) et de les déployer dans le cloud. Cette transition progressive permet de diriger une petite partie du trafic vers de nouvelles instances sur le cloud à des fins de test et d'apprentissage, puis, à terme, de transférer toutes les instances du service vers le cloud.

plutôt que de transférer l'intégralité de l'application monolithique vers le cloud, ce qui est non seulement chronophage, mais peut également s'avérer inutile, il est préférable d'identifier un ou deux services (qui ne présentent pas de besoins urgents en matière de conformité ou d'amélioration des performances), de les restructurer (par exemple, en ajoutant du code de liaison pour exposer les API REST, car les interfaces de service précédentes pouvaient être étroitement liées à la plateforme spécifique) et de les déployer dans le cloud. Cette transition progressive permet de diriger une petite partie du trafic vers de nouvelles instances sur le cloud à des fins de test et d'apprentissage, puis, à terme, de transférer toutes les instances du service vers le cloud. Repenser la structure : enfin, il existe l'approche la plus sophistiquée qui consiste à décomposer tous les composants du système en microservices à responsabilité unique qui sont modulaires et ont un chemin indépendant vers la production et à les conteneuriser. Cela implique une réécriture complète et un processus coûteux, mais cela maximise également les rendements.

Plan de contrôle unifié

Les équipes opérationnelles des entreprises gèrent leur environnement cloud via un plan de contrôle unifié qui offre une expérience cohérente et homogène des opérations cloud dans tous les environnements. Il prend en charge les fonctionnalités essentielles de gestion des clusters, telles que la planification et l'orchestration des workloads, les pipelines d'intégration et de déploiement continus (CI/CD), la journalisation, la télémétrie et la sécurité fédérée.

L'objectif est d'abstraire les complexités sous-jacentes des différents fournisseurs de services cloud (CSP) et des environnements d'exécution des équipes applicatives, et de fournir une interface commune aux équipes opérationnelles pour gérer un workload au sein de l'entreprise.

Voici quelques-uns des avantages d'un plan de contrôle unifié :

Utiliser des stratégies dynamiques de répartition du workload entre les machines virtuelles, les conteneurs ou les déploiements sans serveur.

Profiter de la possibilité d'intégrer des fournisseurs supplémentaires ou des emplacements edge avec un minimum d'effort.

Développer des capacités PaaS telles que le FaaS (Function-as-a-Service) qui sont hautement disponibles et fonctionnent sur différentes implémentations cloud.

Centraliser la gestion de la conformité.

API gateway et maillage de services

Les modèles architecturaux tels que les API gateways centralisées et les maillages de services permettent une gestion transparente des capacités cloud telles que le routage, la communication de service à service, la sécurité, la limitation de débit et l'observabilité.

La API gateway agit comme une porte d’entrée unifiée dans toutes les régions et est responsable de la gestion des fonctions de trafic « nord-sud », notamment les suivantes :

Authentification et autorisation d'utilisateurs

Limitation du débit et restriction

Gestion du trafic

Gestion du cycle de vie des API

Garde-fous de sécurité sur le cloud

analytique edge

Le maillage de service, quant à lui, gère le trafic « est-ouest » entre les dépendances de service :

Communication sécurisée de service à service dans un cluster

Gestion du trafic avec équilibrage de charge, règles de routage, tentatives de reconnexion, basculement, reprise après sinistre et injection d'érreur

Télémétrie avec indicateurs, journaux et traces pour tout le trafic au sein d'un cluster, y compris les entrées et sorties du cluster

Traçabilité distribuée pour suivre le flux d'une requête au-delà des limites des services

Reconnaissance automatisée des services

Istio, par exemple, est une couche de maillage de services open source qui dirige la communication entre les services selon une configuration prédéfinie fournie par les administrateurs cloud. Il agit comme un sidecar de la couche d'orchestration Kubernetes et fonctionne avec des conteneurs, de manière invisible pour les programmeurs et les administrateurs.

Sécurité

La complexité de l’architecture de cloud hybride nécessite une approche multi-niveaux à différentes couches pour assurer une sécurité et une protection de bout en bout.

Les fournisseurs de services cloud tels qu'IBM Cloud, Amazon Web Services (AWS), Microsoft Azure et Google Cloud ont la responsabilité, conformément aux accords de niveau de service (SLA), d'authentifier et d'autoriser tous les appels au niveau de la couche périphérique, en créant un pare-feu autour des applications d'entreprise. Cela inclut la protection contre les dénis de service et le respect des réglementations en matière de confidentialité telles que le règlement général sur la protection des données (RGPD) et la Health Insurance Portability and Accountability Act (HIPAA).

Dans une infrastructure sur site, la sécurité du périmètre peut être réalisée à l'aide d'API gateways, qui sécurisent tous les points de terminaison d'API. Tout appel provenant d’un service Web ou d’une application résidant en dehors d’un centre de données doit être validé et acheminé via l’API gateway.

Un environnement de cloud computing intègre une couche de sécurité supplémentaire sous la forme de politiques de contrôle définies au niveau du maillage de services et des API exposées par la plateforme d'orchestration. Ces politiques garantissent que seuls les appels sécurisés sont transmis aux nœuds Kubernetes et de là aux microservices.

En outre, le concept de micro-segmentation, qui consiste à diviser l’environnement en différents segments de sécurité logiques pour définir des politiques de contrôle d’accès pour chaque service et workload, peut être utilisé pour établir et délimiter les niveaux de sécurité entre les services exécutés au sein d’un environnement. Enfin, les politiques de chiffrement constituent une couche supplémentaire de protection des données.

Connectivité réseau

Dans une région cloud unique, les zones de disponibilité disposent d'un réseau fibre dédié connectant tous les nœuds d'un réseau, ce qui permet aux entreprises de créer des architectures à haute disponibilité où la bande passante est illimitée et les latences réseau sont faibles. Cependant, la communication entre les régions et les différents fournisseurs de cloud passe par l'Internet public, ce qui entraîne des latences plus élevées et des risques de défaillance.

Dans une architecture de cloud hybride, il existe trois modèles d'échange de données entre les fournisseurs sous-jacents :

Adresses IP publiques sur Internet (latence élevée en raison de la bande passante partagée)

Services gérés comme le VPN (latence plus prévisible avec une sécurité accrue)

Interconnexion dédiée via des points de présence (POP) communs (option coûteuse proposée par les fournisseurs de services de communication, mais offrant la latence la plus faible et une sécurité maximale)

Comme ces options diffèrent en termes de vitesse de transfert, de latence, de fiabilité, d'accords de niveau de service, de complexité et de tarification, il est important de peser les contraintes et les avantages avant de concevoir la couche de connectivité du réseau.

Préférence pour l'open source dans les plateformes de développement

Un cloud hybride signifie la capacité de déplacer des workloads d'un environnement à un autre et d'avoir une plateforme de développement d'applications qui s'exécute sur n'importe quel cloud. Pour être véritablement cloud natif, il ne doit pas y avoir de dépendance étroite à l'égard d'une technologie, d'une plateforme ou même d'un CSP en particulier, et les entreprises doivent être adaptées aux évolutions du marché.

Une architecture open source permet cette approche unifiée du développement, dans laquelle les développeurs peuvent gérer leur infrastructure sous-jacente, quelle que soit la technologie utilisée pour sa mise en œuvre. L'open source n'est plus un domaine marginal réservé à un public niche et exclusif qui l'utilise pour des raisons de rentabilité ; il est désormais courant et occupe le devant de la scène grâce à ses fonctionnalités riches, sa qualité et son développement communautaire.

Même dans un domaine sensible comme la sécurité, les logiciels open source sont désormais perçus comme un excellent choix, comme l'indique le Rapport Red Hat sur l'état de l'open source dans les entreprises. La sécurité, la qualité et la prise en charge de l’architecture cloud native sont les principales raisons pour lesquelles les entreprises font preuve d’un biais conscient en faveur de l’open source.

Consultez l’article de JJ Asghar,« Cultivating Careers, Communities and Companies with Open Source », pour en savoir plus.