Revue de presse de Mars

Les features réseaux dans Ansible 2.3

Ansible supporte le “config management” des devices de type réseaux depuis longtemps au travers d’un ensemble de modules assez pléthorique, chaque module correspondant à certains éditeurs ou produits ( cisco , Citrix, F5 ..etc).

Cela dit, dans sa version à venir, Ansible 2.3 un focus tout particulier a été opéré sur le support du networking à travers le core framework “persistant connection”. Dans cette mouture l’accent est clairement mis sur l’amélioration des performances de connexion, en outre la “persistance de connexion” permettra de supprimer l’overhead qui survient lorsqu’Ansible exécute un ensemble de tâches d’un playbook. On passe d’un modèle ou une multitude de connexions ssh sont ouvertes avec comme principe une tâche = une connexion, à un modèle à une seule connexion persistante pour l’ensemble des tâches (d’un playbook) à effectuer sur un device réseaux.

Les premières implémentations de modules utilisant la persistance de connexion sont :

Network_cli connexion plugin : pour les connexions en mode local sur les devices réseaux
Netconf connexion plugin : pour les devices réseaux qui supportent le protocole Netconf (protocole basé sur du xml)

Ansible investit fortement dans cette nouvelle architecture et incite vivement les partenaires et la communauté à baser les prochains développement de modules réseaux sur cette nouvelle architecture qui permet des gains de performance indéniables.

CoreDNS rejoint Cloud Native Computing Foundation

Le 2 mars 2017, CoreDNS annonce qu’il a été accepté pour rejoindre la Cloud Native Computing Foundation (CNCF). L’objectif de CoreDNS est de devenir LA solution de DNS natif et de découverte de service cloud. Cet objectif est un élément clé du paysage natif défini par CNCF. Le développement de CoreDNS devrait être beaucoup plus soutenu grâce aux ressources proposées par CNCF. CoreDNS a accès à une expérience approfondie et à des cas d'utilisation étendus de la communauté des utilisateurs finaux du CNCF, ainsi qu’à l’utilisation de CNCF CLUSTER, ce qui permettra de tester CoreDNS sur un environnement à grande échelle.

AWS S3 a bu la tasse

Le 28 février dernier, le service de stockage S3 pour la région Caroline du Nord est tombé suite à une erreur de manipulation interne. Les ingénieurs d’Amazon souhaitaient sortir de production une partie des services sans impact. Malheureusement la commande a été lancée pour un trop grand nombre d’instances ce qui a causé un crash. Il aura fallu 4 heures aux équipes pour remonter le service complet en production sans perte de données.
Pendant ces 4 heures, quelques grands sites ont souffert ou sont tout simplement tombés parmi lesquels nous pouvons citer Quora, Slack, Trello, Github.
S3 est aussi utilisé par AWS pour beaucoup de ses services comme la page de status de ses services qui de ce fait était incapable d’afficher des informations à jour. Dans son communiqué l’hébergeur affirme bien sûr tirer les leçons de cet évènement avec la mise en place de garde fou pour éviter de sortir de production un nombre trop grand de serveur. Des projets d’optimisation du temps de reprise d’activité sont lancés et le service de statut a été modifié pour pouvoir fonctionner sur plusieurs régions.
Quelle leçon en tirer ? Tout d’abord la première source d’erreur est humaine, la démarche d’automatisation impliquant le moins d’action manuelle est essentielle ! L’expression “Shit happens”, est aussi là pour veiller sur nous. Même chez AWS les problèmes existent, le tout pour se prémunir est de générer soi-même ces problèmes le plus souvent possible.
Pour ce qui est du service S3, vous pouvez déjà penser à activer la réplication multi-région. N’hésitez pas non plus à construire un service hybride tirant parti d’un autre service de stockage par exemple.

Google Next 17

Du 8 au 10 mars se tenait la grand messe Google Cloud de l’année à San Francisco. Voici les annonces qui nous ont marqué :

Windows Partner Program
Google Cloud Platform montre son intérêt pour les offres Microsoft en ouvrant un programme de partenariat réservé aux intégrateurs Windows. Ce programme complète l’enrichissement de l’offre Windows sur GCP avec SQL Server, et le support ASP .NET.

Cloud SQL for PostgreSQL passe en version beta public. Concrètement cela signifie que vous pouvez commencer à utiliser PostgreSQL sur GCP mais sans garantie pour un environnement de production.

Cloud SQL for MySQL voit son offre de performance étendue avec des instances à 32 cores pouvant bénéficier de 200 Go de RAM.

Les images SQL Server passent en mode GA et donc sortent du status de beta public.

Big Query intègre maintenant la possibilité d’interroger directement des données dans Big Table.

App Engine, s’ouvre à des nouvelles runtimes en beta (.Net et php 7.1), mais bénéficie aussi maintenant du support d’images Docker. Il est donc possible d’ajouter des runtimes personnalisées en construisant sa propre image de conteneur.

Les Cloud Functions passent à leur tour en beta public et intègrent désormais Firebase. Pour mémoire, il s’agit là de la réponse de Google aux fonctions lambda proposées par AWS. Bien qu’elles ne supportent que l’exécution JavaScript. Elles permettent de s’interfacer avec les événements remontés par les services de la plateforme.

Big Query Data transfer permettra désormais d’importer directement les données issues des services Google (AdWord, DoubleClick et Youtube) dans Big Query. Ce service est pour le moment disponible uniquement sous forme de beta privé.

Data Prep est un nouvel outil en beta privé qui permet de définir les transformations de données à appliquer sur des fichiers de données pour les importer dans Big Query. Il s’agit d’un explorateur de données visuel qui vous assistera dans la préparation des données pour les normaliser avant l’importation dans BigQuery. Cerise sur le gâteau, une fois les transformations préparées, Data Prep va créer un pipeline Dataflow et réaliser l’import dans BigQuery.

L’ouverture de trois nouvelles régions est aussi annoncée pour cette année avec les Pays-Bas, la Californie et Montréal. Ces régions proposeront trois zones de disponibilité, un déploiement complet des services GCP mais aussi et surtout un accès direct au réseau global en fibre optique de Google. On notera qu’il n’y a pas eu d’annonce sur l’éventuelle ouverture d’une région France et qui de surcroît représente un atout majeur pour bon nombre d’entreprises françaises.

Les performances maximales des instances sont doublées pour culminer maintenant à 64 vCPU et 416 Gb de RAM. Ces nouvelles capacités peuvent aussi tirer parti de la récente disponibilité des GPUs sur GCP.

Baisse des prix et committed use discounts
Les prix Compute Engine sont revus à la baisse entre 5 et 8% selon la région concernée. Google propose désormais un engagement contractuel à ses clients pour une durée d’un ou trois ans. Dans les faits, il s’agit de s’engager sur une consommation en CPU et mémoire fixée pour la période et facturée au mois. La contrepartie pour les clients est une baisse significative de tarif pouvant aller jusqu’à 57%.
Au final, cela nous laisse un léger goût de trop peu, sans aucun doute lié à la façon qu’a Google de gérer ses produits. En effet, comme ce fût le cas pour Spanner, les annonces se font plutôt au fil de l’eau que lors des grands événements comme le font les concurrents.
Les produits sont lancés d’abord en beta privé accessible seulement à quelques heureux élus, puis ils passent en beta public accessible à tous mais sans engagement de SLA, pour finir en GA ou General Availability.

Multi cloud AWS/GCP et migration GCP

C'est à travers deux retours d'expériences de la part de Meetup et Waze que vous pourrez découvrir des stratégies adoptées pour effectuer des infrastructures multi cloud. Ce premier met en oeuvre une architecture multi cloud en exploitant des solutions PaaS et il n'est pas avare d'informations concernant les schémas d'architectures ainsi que les différents outils exploités aussi bien dans la démarche Devops que pour la partie Data science. Le deuxième, quant à lui, exploite pleinement la solution Spinnaker (Made in Netflix) pour déployer indépendamment chez GCP que chez AWS. L'article propose quelques copies d'écrans histoire de vous mettre l'eau à la bouche.
On notera dans la continuité de ces stratégies multi cloud l'annonce de GCP concernant la migration des VM de votre SI Legacy vers leur plateforme pour un coût nul. Cela s'effectuera via le service VM Migration Service. On ne pourra que se rendre compte de la stratégie agressive de GCP pour s'accaparer le marché des entreprises frileuses à l'adoption du Cloud et en l'occurrence de GCP.

AWS met en prod son OpenSSL

Si vous n’étiez pas encore au courant, sachez qu’AWS a construit une librairie permettant la gestion du protocole TLS. Les principaux atouts de cette librairie sont la légèreté de son code source (100 fois moins important que OpenSSL) ainsi que la livraison d’un outil de test et d’analyse.
Après moultes évolutions, une étape importante a été réalisée par les équipes d’AWS : cette librairie remplace désormais OpenSSL pour l’ensemble du service S3.
Vous trouverez l’annonce ainsi que quelques liens ici.

CoreOS vous guide dans l’utilisation de vos containers

Les équipes de CoreOS ont mis l’accent sur la sécurité dans l’ensemble de leur développement. Naturellement, ils nous donnent dans cet article quelques conseils sur comment apporter plus de sécurité dans l’utilisation des containers : auditer, sécuriser la communication entre les diverses applications de vos clusters de containers, ne pas oublier l’hôte, utiliser des tags immutables. Ces divers points sont clairement développés et vous y trouverez aussi des liens pour vous aider à rendre vos architectures plus sécurisées.

Docker cherche à séduire les entreprises

Docker passe à la vitesse supérieure pour conquérir de nouveaux marchés en annonçant sa solution destinée aux entreprises sous le nom d’Entreprise Edition (EE).
Sur son blog, Docker annonce que la version Entreprise est destinée aux entreprises qui veulent conteneuriser leurs applications critiques et scalables jusqu’en production.
Docker EE certifie les infrastructures cibles : les fournisseurs cloud AWS et Azure, Linux (CentOS, Oracle Linux, RHEL, SLES, Ubuntu) et Windows Server 2016
Docker EE certifie aussi des plugins, ainsi que les conteneurs de partenaires provenant du Docker Store.

Cette nouvelle offre se compose en trois gammes : Basic, Standard et Avancée, avec chacune des fonctionnalités supplémentaires.

Par ailleurs, Docker annonce que son édition gratuite se nomme Docker Community Edition (CE), ayant deux versions, le Edge avec une mise à jour tous les mois et Stable avec des releases tous les trimestres. La version CE supporte Windows 10, MacOS, CentOS, Ubuntu, Debian, Fedora ainsi qu’AWS et Azure.

Première collision du SHA-1

En 2005, le cryptologue Bruce Schneier indiquait déjà un défaut de sécurité dans le SHA-1 dans son article sur les collisions dans l’algorithme. Par contre, prouver sa théorie avait un coût trop élevé pour le faire.

En 2014, Google a décidé d’en finir avec le SHA-1 sur son navigateur Chrome dès janvier 2017 car il estimait que les attaques par collision peuvent être effectuées plus facilement et à moindre coût, et SHA-1 n’offre plus un moyen de protection suffisant.

Fin 2016, Mozilla et Microsoft ont décidé de faire de même que Google et bannir le SHA-1 de leurs prochaines versions des navigateurs Firefox, Edge et Internet Explorer.

En Février 2017, Google et CWI (Centre de recherche national en mathématiques et informatique à Amsterdam) ont apporté une preuve concrète à la théorie de Bruce Schneier en générant une collision sur deux fichiers PDF qui se retrouvent authentifiés avec la même clé. Google a publié un article sur son blog annonçant cette expérience historique dans le monde de la sécurité informatique.
Pour faire l'expérience, Google a utilisé la méthode Mountain View nommée Shattered pour pouvoir réduire le nombre de possibilités que les unités de calcul vont explorer. Ainsi, Google n’a eu besoin que de 6500 CPU et 110 GPU pendant un an pour trouver cette collision, c’est à dire qu’il a fallu faire 9 223 372 036 854 775 808 calculs.
Cette expérience pourrait bien achever le SHA-1 au profit du SHA-256 ou du SHA-3.

Une vue d’ensemble des outils pour les sysadmins

IT Landscape for sysadmins nous présente ici un panel assez large et complet des outils et technologies les plus utilisés et les plus utiles pour les sysadmins aujourd’hui. La version que l’on peut voir sur le site est la 2.1 et date du 12 janvier dernier. À chaque modification, la mention “new” est ajoutée sur la techno pour vous permettre de savoir où vous en êtes. Le site a également l’avantage d’avoir organisé les outils par fonctions (virtualisation, messaging, automation, monitoring…) ce qui permet de s’y retrouver assez facilement.
Chaque outil vous renvoie en plus vers le site qui lui est dédié, pour permettre de creuser rapidement un outil si besoin !