Après deux ans d'absence c'était le grand retour de l'AWS Summit Paris ce mardi 12 avril 2022.

Vous avez raté cet évènement? Nous décryptons pour vous les tendances du Cloud vues par AWS.

Trois grandes tendances, un constat et enfin notre sélection de conférences à découvrir.

Le GreenIT occupe le devant de la scène

Omniprésent lors de la Keynote, sujet principal de conférence, invité des sujets finops, le Green IT a plus que tout autre sujet occupé la scène du grand amphithéâtre.

AWS déclare en grande pompe son désir de décarboner et annonce en chiffres ses ambitions: net zero carbone pour 2050. Aujourd’hui, les datacenters AWS émettent 14,7 MtCO2, et ils ont pu économiser 224,3 MtCO2 lors des dernières années.
Greenwashing, effet d'annonce, opportunisme? Peut-être.
Mais en faisant de la durabilité un axe central de sa communication ainsi qu'un argument de vente, AWS renforce les interrogations de la tech sur son impact environnemental, et propose des solutions clé en main.

Toujours plus loin vers la sécurité

Même approche de "responsabilité partagée" mais pour la sécurité cette fois. Elle s'expose partout, chez les partenaires, sur les stands, dans les conférences. Factuellement il n'y a pas de nouveauté. Mais ce qui est nouveau c'est que ce sujet traditionnellement réservé aux experts devient un des sujets principaux d'une conférence comme l'AWS Summit.

L'accélération de la transformation numérique avec la pandémie

Lors de la keynote, et aussi lors de certaines conférences, il a été mentionné à plusieurs reprises que la pandémie a favorisé la transformation numérique, soit pour sauter le pas et migrer leurs SI vers le cloud AWS, soit pour améliorer leurs existant.

Par exemple, Stephane Jannin de “The Fork” a mentionné que la baisse drastique de trafic causée par la pandémie a permis d’accélérer la migration vers AWS. Cette migration a ciblé tous les environnements, y compris de production, et au bout de 4 mois l’ensemble de leurs services ont migré vers AWS. Les bénéfices de cette migration sont multiples: gain de 30% de temps de réponse et une meilleure adaptation aux pics de charge (suite à une campagne de publicité ou événements ponctuels)

Notre constat

AWS toujours plus près des entreprises

C’est une première à l’AWS Summit ! Lors des retours d’expérience , les Solutions architectes partageaient la scène avec les équipes techniques des entreprises, des "best practices" au cas concret. Être utilisateurs AWS c'est collaborer avec leurs experts, une pratique qui s'est manifestement élargie, bien au delà des très grands comptes.

Nos conseils de conférence à voir en rediffusion:

Pas de limite pour les réseaux hybrides (Adrien Geniller et Hirofumi Morikawa)

Vous en avez assez de gérer vos tables de routage? Vous devez construire un réseau multi régions? Cette conférence est faite pour vous, on vous y parle de l'avenir du network AWS et on vous montre comment bien faire en attendant > inspirant

Transformer le load balancing pour optimiser le cache: objectif 50 millions d’utilisateurs

Une conférence abordant la stratégie adoptée chez Bedrock Streaming pour mieux gérer les problématiques de coûts, avec une stratégie de cache à très grande échelle en optimisant son équilibreur de charge. Lors de la première partie de la présentation, le SA d’AWS Guillaume Marchand détaille les bonnes pratiques d’utilisation des loads balancers d’AWS avec des patterns d’architecture possibles. L’un des patterns cité est l’utilisation du service Private Link  permettant de fournir une connectivité privée entre VPCs sans passer par des services réseau connus, peering VPC ou Transit Gateway. Ce pattern est recommandé en cas de chevauchement IPs des VPCs qu’on veut interconnecter.

Vincent Gallissot de Bedrock Streaming a expliqué  par la suite comment Bedrock a trouvé la bonne équation entre le cache, la charge et aussi le coût pour migrer des dizaines de milliers de vidéos vers AWS. Pour se faire, Vincent nous a détaillé les évolutions d'architecture infrastructure dans le temps, avec trois versions majeures. La première version a apporté du cache au niveau des instances EC2 en appliquant le pattern  Consistent Hashing. Cette première version  a amélioré les choses, mais ce n’était pas suffisant, ce qui a fait naître la V2 avec l’ajout d’un HA Proxy à l'infrastructure actuelle.

Dans cette version, le consistent hashing est géré au niveau du HA Proxy ce qui apporte plus de performance. L'ajout de HA Proxy est nécessaire car les équilibreurs de charges AWS n'intègrent pas le Consistent Hashing. Une version intermédiaire est ensuite développée pour effectuer du discovery au niveau HA Proxy avec l’intégration du HA Proxy Discovery Operator. Enfin, la dernière version qui tourne aujourd’hui en production, apporte une meilleure réduction de coûts avec la suppression du trafic inter zones. Pour suivre leurs travaux techniques, Bedrock Streaming propose un blog technique: https://tech.bedrockstreaming.com/

Construire des applications serverless orientées événements

Une conférence abordant les architectures évènementielles. AWS nous a d’abord présenté les avantages de ces paradigmes et pourquoi il pouvait être intéressant de les mettre en pratique chez soi. Un tour d’horizon des différents services permettant d’aborder ces architectures a mis l'accent sur le stockage avec SQS et Kinesis et le traitement des évènements avec SNS et Eventbridge.

Ensuite Guillaume Lannebere de Betclic nous a présenté un retour d’expérience concernant la sélection des services AWS permettant de faire tourner un bus d'événements. Guillaume nous a partagé le cahier des charges de cette future plateforme afin de choisir les technologies adaptées à leurs besoins.

Finalement l’architecture choisie à base de SQS et SNS ne permettait pas de couvrir nativement tous les besoins. Guillaume nous a expliqué comment ils ont pallié les besoins non couverts avec du développement custom:

  • At least once: Betclic a mis en place une mécanique basée sur EFS, Cloudwatch et SNS pour que tout message en erreur atterrisse dans un topic de fallback SNS.
  • Reprise sur erreur et capacité d’analyse: Kinesis data firehose permet à Betclic de récupérer l’ensemble des messages SNS dans un bucket S3 pour ensuite les analyser à l’aide de Snowflake. La reprise sur erreur est assurée par des lambdas qui vont dépiler la file SNS de fallback et rediriger les messages vers les bons topics pour être rejoués.
  • Registre des schémas: chaque message envoyé est dupliqué et analysé par un service de validation. Cette analyse alimente un board de monitoring. Bien sûr ce système tourne hors production. Depuis 2 ans, aucun message avec un mauvais format n’a transité en production.

Point à souligner, AWS event bridge n’étant pas encore disponible au moment de la décision, il n'a pas fait partie de l’étude. Mais Guillaume a rédigé un article abordant cette nouvelle possibilité pour Betclic.

Tout ce que vous devez savoir sur le RGPD, le CLOUD Act et la souveraineté

Lors de cette conférence, Stephan Hadinger nous a expliqué ce à quoi il faut penser lorsque l’on parle de souveraineté et nous a permis d’en savoir plus sur les mesures prises par AWS par rapport au RGPD et au CLOUD Act.

La souveraineté c’est avant tout être maître de son destin. Un des piliers fondamentaux est bien sûr la sécurité et en particulier celle de la donnée. La souveraineté est donc l’autonomie stratégique et Stephan a listé les avantages d’AWS sur ce sujet:

  • Vous conservez la propriété de vos données
  • Vous choisissez la localisation de vos données
  • Vous pouvez changer de brique technologique quand vous le souhaitez (NB le coût de la migration)
  • Vous disposez des meilleures technologies pour créer de la valeur et innover

Il est essentiel pour AWS de générer de la confiance auprès de ces utilisateurs. Pour atteindre cet objectif le Cloud provider travaille sur trois axes:

  • Juridique: les contrats AWS ont été mis à jour pour tenir compte des évolutions de la RGPD ainsi que de la réglementation de l’Union Européenne
  • Certification: les engagements pris par AWS sont audités via des organismes externes. Les rapports sont d’ailleurs disponibles dans la console AWS. Bon à savoir, 52 services ont été certifiés selon le code de conduite IaaS validé par la CNIL
  • Contrôles: Stéphane rappelle le modèle de responsabilité partagée et le fait qu’AWS sur les couches basses du modèle qui sont donc de sa responsabilité cherche sans cesse à améliorer la sécurité. Il prend l’exemple des architectures Nitro qui permettent physiquement de gérer le chiffrement du stockage et des appels réseaux. De plus, derrière le service KMS il y a des boitiers HSM rendant impossible l'accession aux clefs même pour AWS

Par rapport au CLOUD Act, Stéphan nous explique que c’est une législation concernant les communications électroniques. Un juge ne peut pas demander toutes les données d’un client, il doit être plus précis que ça. AWS refuse ou conteste les demandes dès qu’elles sont inappropriées. Dans tous les cas, le client est tout de suite mis au courant. Chose importante, le CLOUD Act ne peut pas forcer un provider à déchiffrer la donnée. De plus comme dit plus haut, des services existent pour rendre impossible le déchiffrement par AWS.

Autre fait important, AWS est transparent sur le nombre de demandes faites par la justice Américaine et plus spécifiquement concernant des entreprises européennes. Soit zéro demande depuis la création du CLOUD Act.

En conclusion de cette conférence, Stéphan rappelle les points essentiels:

  • AWS propose des engagements contractuels forts, incluant les exigences post schrems 2 (arrêt européen interdisant le transfert de données vers les États-Unis)
  • Il y a beaucoup de certifications existantes par des auditeurs indépendants
  • Chiffrez vos données
  • N’hésitez pas à aller lire les rapports d’audits

Comment protéger et améliorer votre application avec les services Edge d’AWS

Lors de cette conférence, deux axes importants ont été abordés: la sécurité et la performance de vos applications hébergées dans AWS. Lors de la première partie de cette conférence, Alexis Marcou, Solution Architect AWS, nous a présenté les techniques Edge côté AWS pour apporter la performance: AWS Global Accelarator qui permet d’améliorer la performance sur les  flux réseau, ou l’utilisation des règles de routage Route53 pour spécifier par exemple une route conditionnée par l’origine de l’IP source. Ensuite, Alexis nous a présenté les solutions AWS permettant de protéger nos applications: DDOS, WAF…

Par la suite Guillaume Galliot de Winamax nous a présenté les solutions Edges mises en place pour se protéger des attaques DDOS. Guillaume a d'abord listé les attaques les plus importantes subies depuis le passage AWS, et les solutions implémentées pour y remédier: faire passer les appels publics sur le OnPrem par  AWS et les protéger par un WAF.

Cette solution a permis de réduire les attaques mais n’a pas complètement absorbé toutes les attaques DDOS. Un passage par CloudFront a permis de résoudre complètement le problème.

Conclusion

Conférence très impressionnante dans son organisation, le nombre de participants, le nombre de talks et de sponsors.

C’est un excellent moyen d’entretenir sa veille sur l’écosystème AWS mais surtout les nombreux REX client permettent d’avoir une bonne vision des problématiques terrains et des réponses apportées.

Enfin, avec la pandémie que nous traversons, c’est un plaisir de retrouver une conférence majeure en présentiel et l’enthousiasme était présent aussi bien du côté des participants que des organisateurs. Petit bémol, l’absence de Werner Vogels le CTO d'AWS, qui n’a pas pu nous partager sa vision lors de la Keynote. Mais nous lui souhaitons un prompt rétablissement et lui donnons rendez-vous l'année prochaine.