Bienvenue dans cette revue hebdomadaire du Cloud et de l’Infrastructure as Code (IaC) !
haque semaine, nous décryptons les actualités, tendances et innovations majeures qui façonnent l’univers du cloud computing. À travers une sélection de sources fiables et spécialisées : blogs techniques, forums d’experts, réseaux sociaux et publications officielles nous vous proposons un résumé clair et structuré pour rester informé.

Avertissement : Contenu généré par IA avec MistralIA
Cet article a été généré automatiquement à l'aide d'une intelligence artificielle. Bien que nous nous efforcions d'assurer l'exactitude des informations, des erreurs ou imprécisions peuvent subsister.

Si vous constatez une erreur ou souhaitez signaler un problème, n'hésitez pas à me contacter :
Email : pro@sarquentin.fr
LinkedIn : Quentin Sar

Le résumé de la semaine

Cette semaine, nous avons exploré une variété de sujets passionnants dans le domaine du DevOps et du cloud computing. Nous avons commencé par examiner comment Terraform peut aider à sécuriser votre infrastructure, en mettant en lumière six pratiques fondamentales pour garantir une infrastructure sécurisée dès la provision. Ensuite, nous avons abordé la réduction des dépenses cloud, en identifiant trois étapes clés pour éviter le gaspillage et optimiser les coûts. Nous avons également discuté de l'attrition des développeurs, en soulignant comment les problèmes de DevEx peuvent conduire à la perte de talents précieux et comment les organisations peuvent améliorer l'expérience des développeurs pour réduire ce phénomène. Un autre sujet important a été le choix architectural entre les conteneurs sur bare metal ou sur machines virtuelles, en analysant les avantages et les inconvénients de chaque approche. Nous avons également exploré la plateforme engineering, en comprenant son évolution, ses avantages et comment elle se compare aux modèles traditionnels. Enfin, nous avons partagé cinq leçons difficiles apprises par les experts en gestion de Kubernetes, offrant des conseils précieux pour gérer efficacement cette technologie complexe. Pour terminer, nous avons présenté la sortie de la version 2.1 de kgateway, une mise à jour majeure qui intègre de nouvelles fonctionnalités et améliorations significatives.

Terraform et la sécurité de l'infrastructure

Terraform joue un rôle crucial dans la sécurisation de l'infrastructure en codifiant les configurations pour les rendre versionnables, scannables et réutilisables. Cela permet d'intégrer la sécurité et la conformité dès le début du processus de provisioning. En adoptant des modules sécurisés et en mettant en place des garde-fous via des politiques, les organisations peuvent garantir que leur infrastructure reste conforme et sécurisée tout au long de son cycle de vie.

Bridging the provisioning skills gap

L'une des premières étapes pour sécuriser l'infrastructure avec Terraform est de combler le fossé des compétences en provisioning. Cela implique de concevoir des workflows adaptés aux besoins des développeurs juniors, en simplifiant les processus et en réduisant les erreurs de configuration. Terraform offre des solutions comme la configuration unifiée pour le multi-cloud et l'importation configurée pour faciliter l'adoption et l'utilisation efficace de l'outil.

Building and reusing secure modules

La création et la réutilisation de modules sécurisés sont essentielles pour maintenir une infrastructure cohérente et conforme. Terraform permet de codifier les meilleures pratiques et les exigences de sécurité dans des modules réutilisables, facilitant ainsi leur déploiement et leur maintenance. Les organisations peuvent également tirer parti des registres de modules publics pour accéder à des configurations prévalidées et éprouvées.

Creating policy guardrails

L'établissement de garde-fous via des politiques est une autre pratique clé pour sécuriser l'infrastructure. Terraform supporte des frameworks de politique comme Sentinel et Open Policy Agent (OPA), permettant aux organisations de définir et d'appliquer des politiques de sécurité et de conformité automatiquement. Cela réduit les erreurs manuelles et garantit que les infrastructures déployées respectent les normes de sécurité.

Réduire le gaspillage cloud

Le gaspillage cloud est un problème courant qui peut entraîner des dépenses inutiles et importantes. Pour y remédier, les organisations doivent repenser leurs applications en passant d'un modèle CapEx à un modèle OpEx, mettre en place des garde-fous pour éviter les ressources sous-utilisées ou non utilisées, et coupler étroitement les dépenses cloud aux résultats commerciaux. Ces étapes permettent de réaliser des économies significatives et d'optimiser l'utilisation des ressources cloud.

Rethink apps from CapEx to OpEx

La transition des applications d'un modèle de coûts fixes (CapEx) à un modèle de coûts flexibles (OpEx) est essentielle pour optimiser les dépenses cloud. Cela implique de moderniser les applications legacy et de les réarchitecturer pour tirer parti des avantages du cloud, comme la scalabilité et la flexibilité. En adoptant ce modèle, les organisations peuvent réduire les coûts opérationnels et améliorer l'efficacité de leurs applications.

Put guardrails in place

Mettre en place des garde-fous est crucial pour éviter le gaspillage des ressources cloud. Cela inclut l'automatisation de la gestion des ressources et l'application de politiques pour garantir que les ressources sont utilisées de manière optimale. Les organisations peuvent également tirer parti de l'infrastructure as code (IaC) pour standardiser les processus et éviter les erreurs manuelles.

Tightly couple cloud spending with business results

Coupler étroitement les dépenses cloud aux résultats commerciaux permet de s'assurer que les investissements cloud sont alignés avec les objectifs de l'entreprise. Cela implique de surveiller les dépenses cloud et d'ajuster les ressources en conséquence pour maximiser les retours sur investissement. Les organisations peuvent utiliser des outils FinOps pour optimiser les coûts et améliorer l'efficacité des dépenses cloud.

L'attrition des développeurs : un problème de DevEx

L'attrition des développeurs est souvent liée à des problèmes d'expérience développeur (DevEx), tels que des outils défaillants, des processus inefficaces et une dette technique importante. Pour retenir les talents, les organisations doivent investir dans des outils et des processus qui améliorent l'expérience des développeurs, réduisent la friction et augmentent la productivité.

Broken tools and infrastructure

Les outils et infrastructures défaillants peuvent considérablement affecter la motivation et la productivité des développeurs. Les organisations doivent s'assurer que leurs outils sont fiables et efficaces pour éviter les interruptions et les frustrations. Investir dans des outils de qualité et maintenir une infrastructure robuste est essentiel pour améliorer l'expérience des développeurs.

Inefficient, frustrating processes

Les processus inefficaces et frustrants peuvent également contribuer à l'attrition des développeurs. Les organisations doivent automatiser les tâches répétitives et simplifier les processus pour permettre aux développeurs de se concentrer sur des tâches à plus forte valeur ajoutée. Cela peut inclure l'automatisation des builds, des déploiements et des tests pour réduire les interruptions et améliorer la productivité.

Too much technical debt

La dette technique peut entraîner des frustrations et une perte de motivation chez les développeurs. Les organisations doivent gérer activement la dette technique en investissant dans la refactorisation du code, la mise à jour des frameworks et la résolution des bugs. Cela permet de maintenir une base de code saine et de réduire les interruptions et les frustrations liées à la dette technique.

Conteneurs sur bare metal ou sur machines virtuelles

Le choix entre les conteneurs sur bare metal et sur machines virtuelles dépend des besoins spécifiques de l'organisation. Les conteneurs sur bare metal offrent des performances optimales et une faible latence, tandis que les conteneurs sur machines virtuelles offrent une meilleure isolation et une plus grande flexibilité. Les organisations doivent évaluer leurs besoins en matière de performance, de sécurité et de gestion pour choisir la meilleure approche.

Performance

Les conteneurs sur bare metal offrent généralement de meilleures performances en termes de latence et de débit, car ils éliminent la surcharge introduite par les hyperviseurs. Cependant, les avancées récentes dans les technologies de virtualisation ont réduit cet écart, rendant les conteneurs sur machines virtuelles une option viable pour de nombreuses applications.

Multiple Conformant Kubernetes Versions

Les conteneurs sur machines virtuelles permettent de déployer plusieurs versions conformes de Kubernetes sur un seul hôte, offrant une meilleure utilisation des ressources et une plus grande flexibilité pour les mises à jour et les migrations. Cela permet aux organisations de gérer plus efficacement leurs environnements Kubernetes et de répondre aux exigences de conformité et de sécurité.

Security and Isolation

Les conteneurs sur machines virtuelles offrent une meilleure isolation et une sécurité renforcée, car chaque machine virtuelle fonctionne avec son propre noyau. Cela réduit le risque de compromission croisée et améliore la sécurité globale de l'infrastructure. Les organisations doivent évaluer leurs besoins en matière de sécurité et d'isolation pour choisir la meilleure approche.

Qu'est-ce que la plateforme engineering ?

La plateforme engineering est une discipline qui vise à améliorer l'expérience des développeurs en fournissant des outils et des services standardisés, en réduisant la complexité de l'infrastructure, en augmentant la productivité et en promouvant la collaboration entre les équipes. En adoptant une approche de "plateforme en tant que produit", les organisations peuvent offrir une expérience utilisateur cohérente et optimisée pour leurs développeurs.

History and evolution of platform engineering

La plateforme engineering est née de la nécessité de surmonter les limitations des modèles de développement logiciel traditionnels, caractérisés par des cycles lents, des équipes isolées et des infrastructures complexes. En fournissant des outils et des services standardisés, la plateforme engineering permet aux développeurs de se concentrer sur le code et la logique métier, tout en améliorant la productivité et la collaboration.

Comparison with other traditional models

Contrairement aux modèles traditionnels comme le "ticket ops", où les développeurs dépendent des équipes opérations pour la provision des infrastructures, la plateforme engineering adopte une approche de self-service. Cela permet aux développeurs de provisionner des ressources, déployer des applications et gérer les configurations de manière autonome, réduisant ainsi les délais et les interruptions.

Benefits of platform engineering

L'adoption de la plateforme engineering offre de nombreux avantages, tels que l'augmentation de la productivité des développeurs, la réduction du temps de mise sur le marché, l'amélioration de la sécurité et de la conformité, l'optimisation des coûts, une plus grande agilité et scalabilité, l'attraction et la rétention des talents, et une différenciation concurrentielle.

Leçons difficiles apprises en gestion de Kubernetes

La gestion de Kubernetes peut être complexe et présenter des défis opérationnels, de sécurité et de scalabilité. Les organisations doivent investir dans la sécurité, la politique et la gestion des permissions utilisateur dès le début, utiliser des outils automatisés pour les mises à jour et la maintenance des add-ons, valider les besoins commerciaux avant de déployer de nouveaux clusters, et chercher un soutien communautaire pour réussir avec Kubernetes.

Operational overhead catches teams off guard

La gestion d'un environnement Kubernetes en production implique de gérer de nombreux add-ons et composants, ce qui peut entraîner une charge opérationnelle importante. Les organisations doivent mettre en place des solutions de self-service pour réduire cette charge et améliorer l'efficacité des équipes.

Hidden corners: Security issues put clusters at risk

Les clusters Kubernetes ne sont souvent pas sécurisés par défaut et nécessitent une planification minutieuse pour être prêts pour la production. Les organisations doivent configurer correctement les accès serveur, le contrôle d'accès basé sur les rôles (RBAC), les politiques de réseau, les intégrations CI/CD et la reprise après sinistre pour garantir la sécurité de leurs clusters.

Scaling challenges that stall growth and agility

Kubernetes excelle à la scalabilité, mais cela peut également entraîner des défis en termes de coûts et de performance. Les organisations doivent configurer soigneusement les composants de scalabilité pour éviter les coûts élevés et les performances inconsistantes. Cela inclut la définition de limites supérieures pour les nœuds et l'utilisation de métriques personnalisées pour la scalabilité des pods.

Talent acquisition: High talent costs and skill gaps in Kubernetes expertise

La gestion de Kubernetes nécessite des compétences spécialisées et coûteuses. Les organisations doivent évaluer leurs besoins en talents et budgétiser en conséquence. Elles doivent également s'assurer que leurs équipes ont l'expérience nécessaire pour gérer et maintenir la plateforme Kubernetes.

Technical debt piling up faster than teams can manage

La migration vers le cloud et Kubernetes introduit une nouvelle forme de dette technique liée à l'écosystème en évolution. Les organisations doivent gérer activement les mises à jour et les améliorations pour éviter l'accumulation de dette technique et garantir la sécurité et la stabilité de leurs clusters.

Kgateway v2.1 est sorti !

Kgateway v2.1 est une mise à jour majeure qui intègre de nouvelles fonctionnalités et améliorations significatives. Cette version marque l'intégration du projet open source agentgateway, qui fournit une connectivité AI pour les charges de travail basées sur les agents. Kgateway v2.1 est également conforme à la version 1.3.0 de l'API Gateway Kubernetes et à la version 1.0.0 de l'extension Inference. Cette mise à jour offre de nombreuses nouvelles fonctionnalités et améliorations, telles que l'attachement global des politiques, la fusion profonde pour les politiques extAuth et extProc, la personnalisation supplémentaire du modèle de pod proxy, l'auto-scaling horizontal des pods, le proxy dynamique, l'affinité de session, des capacités de retry et de timeout améliorées, des vérifications de santé passives avec détection d'anomalies, et un nouveau tableau de bord d'opérations kgateway.

Agentgateway integration

Cette version marque une étape importante avec l'intégration du projet open source agentgateway. Agentgateway est une solution de plane de données hautement disponible et évolutive qui fournit une connectivité AI pour les charges de travail basées sur les agents. Cette intégration permet à kgateway de gérer de manière native les charges de travail AI et d'offrir une solution complète pour la gestion du trafic.

K8s GW API 1.3.0 and Inference Extension 1.0.0

Kgateway est maintenant conforme à la version 1.3.0 de l'API Gateway Kubernetes et à la version 1.0.0 de l'extension Inference. Cette conformité garantit que kgateway offre une solution robuste et fiable pour la gestion du trafic et des charges de travail d'inférence.

Global policy attachment

Avec cette mise à jour, vous pouvez maintenant créer un namespace global pour les politiques. Ces politiques globales peuvent être attachées à des ressources dans n'importe quel namespace de votre cluster grâce à des sélecteurs de labels. Cette fonctionnalité permet une gestion plus centralisée et cohérente des politiques de sécurité et de conformité.

Deep merging for extauth and extproc policies

Vous pouvez maintenant appliquer une fusion profonde pour les politiques extAuth et extProc. En outre, vous pouvez utiliser l'annotation kgateway.dev/policy-weight pour déterminer la priorité selon laquelle plusieurs politiques extAuth et extProc sont fusionnées. Cette fonctionnalité permet une gestion plus flexible et granulaire des politiques de sécurité et de conformité.

Additional proxy pod template customization

Kgateway offre maintenant plus d'options pour personnaliser le modèle de pod proxy par défaut, y compris la configuration des sélecteurs de nœuds, de l'affinité, des tolérances, des contraintes de répartition topologique et de la politique de trafic externe. Cette fonctionnalité permet une gestion plus flexible et granulaire des proxys de gateway.

Horizontal Pod Autoscaling

Vous pouvez maintenant apporter votre propre plug-in Horizontal Pod Autoscaler (HPA) à kgateway. Cela permet de mettre automatiquement à l'échelle les pods de contrôle et de plane de données de kgateway en fonction de seuils comme la consommation de CPU ou de mémoire. Cette fonctionnalité permet une gestion plus efficace et automatisée des ressources.

Dynamic Forward Proxy

Vous pouvez maintenant configurer le proxy de gateway pour utiliser un filtre Dynamic Forward Proxy (DFP). Ce filtre permet au proxy d'agir comme un proxy HTTP(S) générique sans avoir besoin de préconfigurer tous les hôtes amont possibles. Au lieu de cela, le DFP résout dynamiquement l'hôte amont au moment de la requête en utilisant DNS. Cette fonctionnalité permet une gestion plus flexible et dynamique du trafic.

Session Affinity

Vous pouvez maintenant configurer différents types d'affinité de session pour vos proxys de gateway basés sur Envoy. Cela inclut la possibilité de changer l'algorithme de répartition de charge par défaut, de mettre en place une affinité de session douce entre un client et un service backend en utilisant des algorithmes de hachage cohérents, et de mettre en place une affinité de session forte ou des sessions persistantes pour garantir que le trafic d'un client est toujours acheminé vers la même instance backend pendant la durée d'une session.

Enhanced retries and timeout capabilities

Les capacités de retry et de timeout ont été améliorées pour vos proxys de gateway basés sur Envoy. Cela inclut des guides pour les retries de requête, les timeouts de requête, les timeouts par essai, les timeouts d'inactivité et les timeouts de flux d'inactivité. Ces améliorations permettent une gestion plus flexible et granulaire des retries et des timeouts.

Passive health checks with outlier detection

Vous pouvez maintenant configurer des vérifications de santé passives et supprimer les hôtes non sains du pool de répartition de charge avec une politique de détection d'anomalies. Une politique de détection d'anomalies définit plusieurs conditions, telles que les retries et les pourcentages d'éjection, que kgateway utilise pour déterminer si un service est non sain. Lorsque kgateway détecte un service non sain, la politique de détection d'anomalies définit comment le service est retiré du pool de destinations saines vers lesquelles envoyer le trafic.

New kgateway operations dashboard

Lorsque vous installez la pile OTel, vous pouvez maintenant utiliser le nouveau tableau de bord d'opérations kgateway pour Grafana. Ce tableau de bord montre des métriques importantes en un coup d'œil, telles que le temps de traduction et de réconciliation, le nombre total d'opérations, le nombre de ressources dans votre cluster et la latence.

Deprecated or removed features

Le support des proxys de gateway basés sur Envoy pour les fonctionnalités AI Gateway et Inference Extension est déprécié et est prévu d'être supprimé dans la version 2.2. Si vous souhaitez utiliser les capacités AI, utilisez plutôt un proxy agentgateway. Pour en savoir plus sur pourquoi nous pensons qu'agentgateway est mieux adapté comme gateway pour les charges de travail d'AI et de MCP, consultez ce blog.

Sources

• 6 ways Terraform can help secure your infrastructure
• How to reduce cloud waste: It boils down to 3 steps
• Developer attrition is a DevEx problem. Fix it before it costs you.
• An architectural decision: Containers on bare metal or on virtual machines
• What is platform engineering?
• Top 5 hard-earned lessons from the experts on managing Kubernetes
• Kgateway v2.1 is released!