EPFL - SI - DIT - EX 2012...EPFL - SI - DIT - EX Septembre 2012 Page | 1 En essayant de mettre en place un pilote de cloud hybride à partir d’une infrastructure privée VMware existante,

7EPFL - SI - DIT - EX

DOMAINE IT – Groupe Exploitation

D O M A I N E I T – É c o l e P o l y t e c h n i q u e F é d é r a l e d e L a u s a n n e

La longue route vers l’Hybride Cloud, mythes, réalités et perspectives

Septembre 2012222

Auteur : Nicolas Argento supervisé par Fabien Figueras

EPFL - SI - DIT - EX

Septembre 2012

Avant-Propos

La lecture de ce document nécessite une bonne connaissance des environnements et des terminologies du cloud.

Ce document s’adresse principalement aux organisations souhaitant étendre un cloud privé de type IaaS avec une infrastructure publique. Ce dossier a été rédigé à la suite d’une étude de faisabilité pour la mise en place d’un cloud hybride dans une organisation possédant une Infrastructure as a Service VMware hébergeant environ 500 machines virtuelles réparties dans deux datacenters.

Le contexte de l’étude influence sur la pertinence de certains de mes propos pour des organisations ou des installations différentes. Cependant la démarche pour la mise en place d’un environnement hybride reste universelle.

Conseil de lecture :

Les trois premières pages suffisent à cerner tous les points important de la thèse. La suite explicite d’avantages chacune des problématiques en commençant par les technologies jusqu’à des considérations plus organisationnelles.


Septembre 2012 Page | 1

En essayant de mettre en place un pilote de cloud hybride à partir d’une infrastructure privée VMware existante, un logiciel de management de cloud open source hyperviseur agnostique et le cloud public Amazon, j’ai été confronté à des problématiques diverses et variées. Cette expérience a montré que la mise en place d’un cloud hybride de type IaaS ne se résumait pas à un choix technique, ni à une simple gestion de projet, mais demandait une considération plus holistique sur la gestion du système d’information. Ce document a pour objectif d’identifier tous les challenges à relever avant que le cloud hybride puisse tenir toutes ses promesses et être correctement mis en place, en partant d’une infrastructure privée existante.

Définition L‘hybride arrive aujourd’hui au sommet de la courbe des tendances du cloud computing publié par Gartner en 2010. Le terme de cloud hybride est assez nouveau et méconnu. Ce qui se cache derrière ce concept peut inclure une large variété d’infrastructure cloud. On parle de cloud hybride à partir du moment où il existe un lien matériel ou logiciel entre l’infrastructure privée et publique. Ce lien peut-être superficiel, seulement utilisé pour stocker quelques données chez un prestataire, ou au contraire permettre une réelle fédération des différents environnements. En réalisant le projet pilote, je me suis très vite rendu compte que l’éco système existant ne permettrait que d’implémenter un cloud hybride offrant très peu de flexibilité, sans aucun gain pour les utilisateurs, les administrateurs ou l’optimisation de l’infrastructure. Les différents acteurs du marché utilisent le terme de cloud hybride comme un outil marketing sans réellement expliciter la réalité technologique. Lorsque l’on creuse le sujet, le concept glisse lentement sur pente descendante de la courbe des tendances et atteint « zone des désillusions ».

C’est pourquoi, dans ce dossier, le terme cloud hybride sera utilisé au sens le plus « noble » : c’est à dire un concept permettant l’abstraction de l’hétérogénéité et la fédération des environnements cloud. On peut parler d’« Infrastructure agnostique ». Le but étant de réussir à fédérer des infrastructures réparties géographiquement et utilisant du matériel et des technologies de virtualisation hétérogènes.

Pourquoi le concept de cloud hybride est intéressant ? Le concept de cloud hybride est très attractif car il réunit les avantages du cloud privé et du cloud public et permet de trouver les meilleurs compromis sur leurs défauts. Ce concept n’est pas révolutionnaire, mais il est l’évolution naturelle du concept de calcul dans le nuage. L’idée est de trier ses applications et ses données et de les répartir adéquatement dans plusieurs infrastructures: le cloud privé pour les ressources les plus critiques, les autres



pouvant éventuellement être déplacées vers un cloud public. Etendre une infrastructure privée avec une infrastructure publique pourrait décupler les avantages fondamentaux qu’offrent les infrastructures virtualisées à la demande :

− Réduction des coûts: L’infrastructure hébergée mutualisée permet de bénéficier d’un effet d’échelle (infrastructures partagées : matériel, réseau, sécurité). La différence du ratio du coût d’exploitation par machine virtuelle varie selon l’application de cette machine (temps d’utilisation, configuration matérielle, etc. .). Un environnement hybride permettrait de choisir l’infrastructure privée ou publique présentant le meilleur ratio.

− Flexibilité: Le mode hébergé et mutualisé permet le provisionnement rapide de nouvelles ressources supplémentaires en fonction des nouveaux besoins et d’ajuster les dépenses. Durant le cycle de vie d’une machine virtuelle, son coût d’hébergement peut varier selon son utilisation. Imaginons que l’on puisse librement la déplacer, augmenter/réduire ces capacités. On optimiserait notamment la gestion des pics d’utilisation saisonnière. Il n’est plus nécessaire de faire des investissements coûteux (en serveurs, espace, système de refroidissement, maintenance, consommation de ressources etc.) pour héberger des ressources qui ne seront pas utilisées toute l’année. On parle d’over-bursting : l’intérêt est aussi justifié pour des machines de tests ou des services saisonniers, gros consommateurs de ressources mais sur une courte période par exemple.

− Haute Disponibilité: La redondance des liens, du stockage, des serveurs pour plus de sécurité et de disponibilité grâce à la répartition entre différents environnements situés dans différents lieux est aussi un net progrès envisageable avec le cloud hybride. Ainsi les ressources informatiques et les données seront mieux protégées car répliquées et les machines virtuelles pourront être réparties géographiquement pour une disponibilité accrue aux quatre coins du monde.



Pourquoi est-‐il difficile de mettre en place une Infrastructure As A Service hybride aujourd’hui ? De mon expérience de projet pilote, voici ce que j’ai retenu.

D’un point de vu technique − L’interopérabilité entre les environnements cloud et la portabilité des machines

virtuelles est encore techniquement trop limitée. − Les possibilités d’orchestration, de supervision et de refacturation de

l’infrastructure sont encore techniquement limitées. − La disponibilité, la sécurité et l’intégrité des données n’est pas garantie que ce soit

techniquement ou commercialement dans l’éco système du cloud. − Il faut attendre le développement de standards.

D’un point de vu organisationnel : − Plus le cloud devient hybride, plus il y a besoin de management, − Le concept risque de bouleverser les métiers et l’organisation du service

informatique responsable de l’infrastructure et nécessite la mise en place d’une stratégie de développement complexe.

− Des bonnes pratiques et une législation doivent être largement adoptées. − Le recours croissant aux cloud externes rend de plus en plus difficile le retour en

arrière : phénomène d’irréversibilité ou lock-in.

La suite de ce dossier vise à sensibiliser et se projeter sur la suite de l’évolution du concept de cloud hybride afin d’appréhender au mieux un éventuel projet de mise en place. Comment les technologies et les organes responsables du management du système d’information vont pouvoir contourner ces éléments bloquants ? Voici quelques éléments de réponses.



Qu’est ce qui doit changer ?

Des courtiers pour assurer l’interopérabilité L’efficacité d’un cloud hybride repose fortement sur l’automatisation d’outils de gestion de capacité afin d'assurer le placement dynamique des ressources entre le site du client et le site d'hébergement mutualisé et atteindre le meilleur équilibre technique et économique. Ces outils commencent à être développés et sont connus sous le nom de logiciels courtier ou broker en anglais. Ils seront la clé de voute des cloud fédérés et l’implémentation technique de la gouvernance d’une organisation. Son rôle est de sélectionner des ressources provenant de fournisseurs de cloud hétérogènes en fonction des règles établies par l’utilisateur. Tout un mécanisme basé sur des API et une description logique standard et homogène des ressources est donc à établir pour rendre ce broker universellement opérable.

CompatibleOne est un projet open source de développement d’une couche middleware visant à fédérer les infrastructures de cloud. Ce projet est intéressant car il donne une idée des évolutions potentielles des services de cloud. Il met en évidence la nécessité de la standardisation des API (OCCI, Open Cloud Computing Interface pourrait devenir un standard).

1. L’utilisateur entre ses critères techniques et économiques dans le système 2. A partir des contraintes, un parser établie un plan de déploiement. 3. Le ressource scheduler (programmeur de ressource) exécute le plan de

provisionnement en choisissant les infrastructures présentant le plus de valeur ajoutée.

4. Le broker communique via OCCI avec les infrastructures de cloud pour le provisionnement des ressources.

DynamicOp est un logiciel propriétaire qui permet également d’automatiser le choix de l’infrastructure (privée virtuelle, physique, ou cloud public de microsoft) selon les règles que peut programmer l’utilisateur. Ce logiciel a été récemment racheté par VMware.

Le Software Defined Network pour la portabilité Les problématiques liées à la gestion du réseau constituent encore un élément bloquant. Les infrastructures réseaux sont actuellement statiques et peu intelligentes. Outre la gestion de la qualité de services et de la répartition de charge, l’intelligence et la flexibilité sont très limitées. Les machines virtuelles sont déployées dans une infrastructure figée fortement dépendante de la topologie physique.

Le Software Defined Network est une forme de virtualisation du réseau. Le principe est de centraliser logiquement l'intelligence. Actuellement, la virtualisation du réseau se limite à la virtualisation des équipements (switch virtuels, switch virtuelles distribués) ou à la segmentation grâce au VLAN. On ne peut qu’obtenir un découpage vertical. On créé des silos isolés avec des configurations figées, mais pas de flexibilité. La principale source du problème provient du fait que la commutation de paquet et la décision du chemin choisi se



font au niveau du même équipement. La configuration des équipements réseau est toujours principalement exécutée sur chaque commutateur indépendamment. Pour créer un environnement plus flexible, il faudrait délier cette double tache réalisée par le matériel afin de s’adapter aisément et en temps-réel au changement des besoins. Le but serait que la table de routage soit modifiée par un équipement tiers : un contrôleur indépendant dans la topologie. Ce contrôleur collecterait les informations des équipements réseaux pour optimiser le flux de données et reconfigurer l’architecture sans intervenir sur le matériel physique.

PRINCIPE DU SDN ET DE OPEN FLOW

OpenFlow (protocole réseau de niveau 2) est l'exemple le plus en vue de SDN, il est conçu pour augmenter la flexibilité de réseau et le contrôle en appliquant l'orchestration de virtualisation à la gestion de réseau. Tous les principaux constructeurs (Cisco, Juniper, HP, etc.) travaillent actuellement sur OpenFlow. Avec ces avantages et l'élan de l’industrie, SDN est sur la voie de devenir la nouvelle norme pour des réseaux. A l'avenir, ce modèle opérationnel permettra de créer, supprimer, étendre, contracter et migrer sur demande, des réseaux isolés et distincts en temps-réel.

En centralisant le contrôle de réseau et en collectant des informations d'état depuis des applications de plus haut niveau, une infrastructure SDN pourrait s'adapter aux besoins selon un contexte précis de façon automatisée et en temps-réel. On peut imaginer que le contrôleur analysera des informations sur la congestion du réseau, mais également des informations reçues des applications elles-mêmes et d’un contrôleur de réseau apportant ainsi portabilité, flexibilité, possibilité de supervision et même d’authentification. On peut également imaginer que ce protocole pourra gérer un système d’adresses virtuelles pour les machines virtuelles afin de rendre possible la transparence des migrations et donc la portabilité des machines entre les différents réseaux. On pourra ainsi tout contrôler avec beaucoup de granularité et d’automatisation. Le découpage des couches réseaux sera d’avantage horizontal que vertical, offrant ainsi d’avantage de flexibilité. La configuration devenant logicielle, elle sera rendue plus simple et plus rapide. La sécurité sera plus facile à assurer, elle restera néanmoins un risque majeur qu’il ne faut pas négliger puisque qu’elle sera liée à la robustesse du logiciel. Les failles seront plus difficilement détectables. Les métiers liés à la gestion du réseau peuvent donc être bouleversés.



La nécessité d’authentifier chaque élément Le challenge est de taille au niveau du réseau, puisqu’il s’agit de décloisonner sans créer de failles de sécurité. De même, si l’on veut à la fois superviser, optimiser, facturer à l’utilisation, on doit être capable de collecter beaucoup d’informations. Les machines devront pouvoir être tracées, savoir où elles doivent et à quels segments/couches du réseau elles peuvent accéder. Le broker ou le contrôleur de réseau devront être capables de traiter toutes ces informations. Sans ses fonctions de contrôle d'accès, de définition de politiques et d'analyse pour optimiser et monétiser le service, il paraît bien difficile de bâtir une stratégie de cloud hybride. Cela nécessitera le développement d’un protocole standard pour la communication entre les machines virtuelles, un contrôleur de cloud et un broker qui contrôlera l’environnement multi cloud. Techniquement il faut rendre le service location-agnostique. En réalité l’emplacement des machines devra respecter les règles de gouvernance établies et configurées dans le broker.

Repenser les applications et les flux Les infrastructures et les applications cloud ont besoin de beaucoup de flexibilité et de modularité. Même si nous traitons principalement d’Infrastructure as a Service, les applications qui seront hébergées nécessitent également une attention particulière. La gestion des flux à travers un environnement hétérogène est un élément critique pour la fiabilité et les performances, cela est encore plus critique pour des cloud fédérés. Ce sont principalement les applications qui génèrent ces flux. Elles doivent donc être conçues d’une manière adaptée.

Avant de se lancer dans le cloud hybride, une organisation devra obligatoirement cartographier rigoureusement les dépendances entre les différentes applications afin de déterminer à quel type de d’environnement elle est adaptée. Selon ses caractéristiques (performances exigées, sensibilité des données, type d’application, type de trafic généré etc…) une application sera plus adaptée à un environnement précis et devra pouvoir être accessible depuis un environnement distant.

De plus, le cycle de vie entier des services doit-être dorénavant pris en compte. Les applications ne résolvent plus des tâches particulières mais seront amenées à être flexibles, scalables et réutilisables. Leur localisation en devient un élément critique. En effet, si elles sont amenées à grossir, à traiter d’autres données, cette flexibilité doit être conservée quel que soit le volume de données à déplacer entre les clouds. Les différentes machines d’une application seront même susceptibles d’être réparties dans différents cloud, mais devront être administrées comme un bloc homogène (vApp). Les applications doivent être orientées services. Un cloud hybride bien construit doit suivre des principes rigoureux d’ingénierie logicielle de SOA (Service Oriented Architecture).

Ne pas oublier que la latence compte. Pour des performances optimales le développement de prestataire proposant des liens fibres dédiés ou le déploiement massif de fibre optique par les opérateurs classiques aideront au développement du cloud hybride. Amazon le propose déjà dans quelques quartiers.





La sécurité Malgré les avancées technologiques attendues, la sécurité est et restera pour encore longtemps la source de tracas principale dans le système d’information et encore plus avec le cloud computing. Elle constitue un risque permanent pour une organisation. Ce risque est plus ou moins critique selon l’activité de l’entreprise et le type de données traitées. La sécurité nécessite une attention toute particulière, elle doit être considérée et gérée comme n’importe quel autre risque : les failles doivent être identifiées, un plan doit être mis en place pour les supprimer ou réduire au maximum leur probabilité d’apparition et un plan de recouvrement de désastre doit être anticipé. Bâtir un cloud hybride fait apparaître de potentielles nouvelles failles, pour l’intégrité, l’authenticité et la disponibilité des données.

Ce qu’il ne faut pas perdre de vue. Un fournisseur de cloud héberge les machines de nombreux client. L’infrastructure sera partagée et on bénéficiera d’un environnement virtuellement privé. Il est nécessaire de s’interroger sur cet environnement privé. Les fournisseurs peuvent proposer : Un serveur dédié, du stockage partagé ou un serveur partagé et du stockage partagé. Obtenir un serveur et du stockage dédié est très peu probable.

Il faut être conscient que les machines sont dans la même infrastructure et peuvent donc être contaminées par d’autres machines, même si à l’origine l’application n’était pas la cible de l’attaque. Au niveau du stockage, on a rarement une isolation physique avec du SAN ou du NAS. Les mécanismes RAID ou les systèmes de backup peuvent au final mélanger les données. Les LUN ne pointeront jamais un groupe de disques physiques dédiés. C’est envisageable dans le cas d’un serveur dédié ou si le stockage interne est utilisé. Mais cela présente un nouveau risque lié à la fiabilité matérielle de disque.

De plus, même si les ressources ne sont pas partagées, tous les clients du prestataire partagent le même cœur de réseau. Il est très important de questionner son fournisseur sur les mécanismes et les protocoles d’isolation utilisés. L’arrivée des réseaux définis par logiciel ne résout pas le problème. La configuration logique est implémentée physiquement et le risque de faille persiste. Des alertes de faille de sécurité apparaissent régulièrement même sur des produits haut de gamme régulièrement mis à jour réputée robuste comme l’hyperviseur VMware. La virtualisation ajoute des couches logicielles et augmentent donc les possibilités d’attaques. Il est important de connaître le matériel, les plateformes de virtualisation, les applications logicielles et leurs versions qu’utilisent son prestataire si l’on veut réellement maitriser la sécurité. Les opérations de maintenance et de mise à jour doivent rester transparentes et ne pas entraîner de problèmes de compatibilité.

De plus, sous-traiter l’hébergement signifie également sous-traiter le personnel en charge de l’infrastructure. Les employés gèrent plusieurs comptes et on ne maitrise pas leurs formations et leurs sensibilités aux problématiques de sécurité et de confidentialité. Sous-traiter et partager l’hébergement nous oblige à envisager des cas encore plus extrême. On



peut envisager que le fournisseur de cloud puissent être obligé d’arrêter le service car il n’est plus rentable, ou de livrer des informations à une autorité dans le cadre de perquisitions, etc.

L’ensemble du cycle de vie de l’accord passé avec le fournisseur doit être pensé. Car lorsque celui-ci arrive à terme, que se passe-t-il avec les données ? A la fin du contrat, l’éradication physique des données doit être exigée pour une sécurité maximum. La localisation géographique du stockage et le pays d’origine du prestataire peut avoir une grande importance (confère partie sur la législation).

Il ne faut pas non plus perdre de vue que la disponibilité du cloud externe dépend du lien avec le cloud interne. Sécuriser ce lien, le rendre redondant, le dimensionner adéquatement est essentiel.

L’accès aux machines doit rester transparent et sûr pour l’utilisateur final que celles-ci soit hébergées en interne ou en externe.

En résumé, il est très difficile de maitriser tous ces paramètres lorsqu’ils sont gérés par un tiers. Mais il est important de connaître toutes les sources potentielles d’incident. Cela permet de juger de la qualité et de la transparence du prestataire et cela constitue la base d’un plan de gestion de risques de sécurité. La relation avec un prestataire de cloud doit d’avantage ressembler à un partenariat. De plus, le cloud devient le nouveau terrain de jeu des hackers.



Les tendances du marché La flexibilité du cloud attire, mais un effet pervers existe. Si la sécurité est la principale réticence recensée pour ne pas adopter le concept de cloud, une autre moins visible à court terme mais tout aussi importante à long terme est bien trop souvent oubliée : le lock-in. Plus on utilise un service de cloud externe, plus il est difficile de s’en défaire. Les volumes de données augmentent, un éventuel changement devient une entreprise trop lourde à supporter pour une organisation. On entre alors dans un cercle vicieux dangereux. Cela est également vrai pour les plateformes de virtualisation privées. Les constructeurs n’ont pas intérêt à permettre à leurs clients d’utiliser facilement d’autres technologies ou de déplacer des machines vers des hébergeurs tiers. Puisque le marché est très lucratif et sous l’effet de la concurrence, les différents acteurs tentent de verrouiller leur clientèle et de maximiser les bénéfices réalisés grâce à leurs avancées technologiques. Tout cela ralentit l’émergence et l’adoption de standards mondialement reconnus et développés. Chaque effort d’ouverture fait par les géants du marché sont évidemment guidés par une stratégie purement commerciale. Amazon reste leader pour le cloud public mais ne fait pas d’effort significatif pour devenir un partenaire adéquat à l’environnement multi-cloud.

Les précédents paragraphes ont montré que la construction et l’adoption généralisées de standards sont indispensables à la fédération des clouds et donc à son évolution vers l’hybride. Les problématiques d’interopérabilité, de portabilité des machines virtuelles et de visibilité sur la sécurité pourront ainsi être résolues.

La bonne nouvelle est que dans le secteur, les standards foisonnent. Malheureusement, c’est une fausse bonne nouvelle ; cela souligne surtout la difficulté d’une part, et le manque de volonté, d’autre part, des différents acteurs à se coordonner dans le but créer des environnements flexibles et homogènes. Pourtant bon nombre des acteurs majeurs du marché ont signé le open cloud computing manifesto, une charte qui énonce la bonne conduite à suivre pour le développement d’un cloud ouvert et standardisé.

Les leaders du marché développent des fonctionnalités innovantes avec leurs propres standards. Ainsi ils captent et parviennent à garder leur clientèle. VMware parvient à faire de son API un standard en certifiant des cloud provider tiers. Cela permet de créer un éco système performant et très bien répartie géographiquement ce qui sera très important d’un point de vue légal.

Le projet Openstack devrait être le principal moteur de la standardisation du cloud. A la surprise générale de la communauté du cloud, VMware est devenu partenaire de ce projet au mois d’août 2012, alors que cette plateforme a été créée pour construire une alternative à vSphere qui tendait à devenir l’OS du cloud. VMware dispose d’une puissance financière et d’une force de développement importante en interne, mais aussi en externe grâce aux opérations d’achats de startup innovantes.

Ce qui montre que le marché du cloud et d’autant plus du cloud hybride en est à ses prémices, ce sont tous ces achats, fusions, partenariats et toutes les start up qui animent le



marché. Les différents acteurs tentent d’être les mieux placés au départ de la course au cloud hybride.

Bien entendu ces alliances et fusions favorisent les innovations. Les opérations menées par VMware durant l’été 2012, semblent justifier les tendances que j’ai décrites précédemment et laissent penser que le spécialiste américain de la virtualisation devrait maintenir, voire renforcer son leadership en se positionnant en pionnier du cloud hybride fédéré :

− Un peu plus d'un mois après le rachat de l’éditeur DynamicOps, fournisseur de solutions d'automatisation de cloud multi-hyperviseur. Ainsi VMware se positionne sur le marché des brokers.

− Le groupe américain s'est offert en juillet 2012, la startup Nicira spécialisée dans la virtualisation du réseau. Cet achat laisse imaginer que le réseau logiciel va être drastiquement amélioré dans un futur proche. Ou peut-être est-ce simplement un cadeau que VMware a voulu faire à son partenaire et compatriote Cisco, avec qui elle a décidé de renforcer sa collaboration au dernier VMWorld?

− Toujours en août 2012, Intel et VMware annoncent un partenariat qui vise à concentrer leurs efforts à fournir une plus grande sécurité pour les infrastructures virtualisées.

En l’espace d’un mois VMware a répondu aux trois principales problématiques que nous avons mentionnées jusqu’à présent (fédération, portabilité, sécurité).

Reste à déterminer comment cela va se traduire réellement au niveau de l’évolution de l’offre. Les partenariats entre les dinosaures du cloud ont également pour but de verrouiller le marché, pour conserver leur avance actuelle. Ces grands leaders sont sans doute montés dans le bon wagon. Cependant, ce sont bien souvent les avancées des solutions open source qui sont les locomotives du marché en obligeant les solutions propriétaires à innover ou à rendre leurs produits plus ouverts.

Choisir son fournisseur de cloud public Voici une liste des points à analyser pour choisir un fournisseur de cloud public. L’ordre n’a pas de signification particulière.

− Qualité, fonctionnalités de l’interface utilisateur, de la console de management, possibilité d’intégration avec son propre outil de gestion de cloud,

− Réputation du fournisseur, − Modèle de facturation, − Distribution des responsabilités, possibilité de signer un contrat, − Capacités de l’entreprise à agir, − Eco système des partenaires et communautés d’utilisateur, − Qualité de son support, − Rapport simplicité du service et richesse de services offerts,



− Etude du SLA et confrontation à son propre SLA, − Evaluation des performances, − Richesses des API, − Accès aux machines, − Comparaison du coup d’hébergement privé et public.

Les fournisseurs ne proposent que rarement de réels contrats négociés. Les SLA servent d’avantage à protéger le fournisseur. Ce sont des conditions générales auxquelles on doit se plier. La qualité du SLA peut-être un bon indicateur de du fournisseur et une base de négociation pour un potentiel contrat. Il doit être confronté au SLA en vigueur au DIT, pour cerner s’il devait y avoir une dégradation de service et si celle-ci est acceptable. Les définitions de pannes, de disponibilités de performances peuvent être différentes. Quelles sont les pénalités associées à ces pannes ? Comment sont implémentés les systèmes de sécurité ? Comment est assuré l’accès aux machines, quels sont les mécanismes d’authentifications ? sont des questions essentielles pour ne pas risquer de dégrader le service qui peut être offert avec l’actuel cloud privé.

Pour bâtir un cloud hybride il faut un réel partenaire avec qui on négocie un contrat. Cela a plus de chance de venir d’initiatives publiques, par les organisations universitaires ou gouvernementales. Pour l’hébergement d’informations sensibles la fédération d’infrastructures publiques nationales semble être le meilleur compromis.

Législation Le fournisseur d’infrastructure doit assurer la confidentialité, l’intégrité et l’authenticité des données tout en respectant la vie privée, les libertés individuelles en protégeant le stockage et le traitement des données personnelles. Les lois en vigueur ne prennent pas en compte la complexité liée aux technologies de l’information et doivent donc encore être adaptées. En la matière nous n’en sommes qu’au stade des tractations et des directives.

Les futures législations seront à surveiller, mais il ne faut pas les attendre. Des bonnes pratiques doivent être mises en place maintenant dans les organisations informatiques guidées uniquement par l’intérêt des utilisateurs. Les technologies évolueront plus vite que les lois et plus vite que les bonnes pratiques. Il faut donc anticiper et s’assurer que la politique mise en place au sein de l’organisation remplissent les objectifs de gouvernance et respecteront les futurs lois. Pour cela il est important de poser les questions suivantes :

− Où seront stockées les données ? − A quelle législation est soumis le prestataire ? − Quel droit lui est conféré sur les données ? − Quelle est le niveau de sécurité offert par le prestataire ? − A quelle loi suis-je soumis? Quelle est la politique de mon organisation ? Est-ce

compatible avec les réponses aux questions précédentes ?



La France est précurseur dans le domaine grâce à la CNIL (Commission Nationale de l’Informatique et des libertés). Des lois, déjà en vigueur, obligent à déclarer tout traitement de données personnelles et interdit le transfert des données hors de l’Union Européenne.

Une proposition de régulation a été formulée au niveau européen début 2012. Mais on ne doit pas s’attendre à les voir appliquer avant 2014.

La plupart des sociétés leaders sur le marché du cloud computing sont américaines. Le patriot act américain oblige ces sociétés à fournir toutes les informations dont elles disposent si la sécurité du pays est mise en cause. Cela biaise forcément toutes les légalisations qui peuvent être mise en place à travers le monde. Encore une fois, cela montre la nécessité d’accords communs, mondialement reconnus.

Les coûts Plus de dépenses d’exploitation moins d’investissements, sont les principaux effets attendus en termes de coût, offrant ainsi plus de flexibilité de gestion. Cependant cet objectif ne sera atteignable qu’une fois l’infrastructure opérationnelle et fiable. L’élément critique reste la transition.

Les technologies du cloud hybride seront très couteuses au départ. Les innovations permettant la fédération de cloud seront forcément facturées au prix fort puisqu’on se dirige vers un monopole technologique. Les autres coûts purement techniques seront les nouveaux logiciels de gestion d’infrastructure, les coûts du lien et des transferts de données entre le cloud privé et public et évidemment le coût d’hébergement chez un prestataire. La faisabilité technique ne sera pas la tâche la plus importante dans le processus de mise en place d’un cloud hybride : les coûts de transition vers l’hybride constituent une limite non négligeable.

Une organisation voulant étendre son infrastructure vers un fournisseur de services cloud externes devra mettre en place une stratégie rigoureuse. Ce qui risque le plus de rendre le coût du changement prohibitif ce sont ces bouleversements au niveau des métiers et de l’organisation du département informatique. La création d’un groupe de réflexion semble incontournable pour amorcer un tel projet. Il convient d’évaluer le coût engendré en termes de qualité de service offert à l’utilisateur (peut-être négatif ou positif) et de le comparer à l’investissement et aux économies potentielles sur les charges d’exploitation.

Plus le cloud devient hybride, plus on a besoin de management. C’est ce qui rend le coût de la transition difficilement chiffrable. La capacité à assumer seule une telle transition semble aussi limitée pour une organisation. Les métiers seront modifiés, il faudra être capable d’à la fois continuer de maintenir une infrastructure privé, de gérer un nombre croissant de prestataires ou partenaires. Sensibiliser les utilisateurs et le personnel aux risques et aux bonnes pratiques est indispensable au bon fonctionnement d’un cloud hybride et demeure le plus gros challenge, car cela nécessite d’exiger de chacun des compétences de plus en plus variées comme l’a montré la diversité des problématiques recensées précédemment. L’agilité des équipes sera à prendre en compte pour répartir adéquatement



les nouvelles responsabilités qu’apporte le concept de cloud hybride. Les technologies évoluent vite. Même trop vite, elles bouleversent la façon de concevoir l’IT, de gérer les infrastructures mais également celle d’organiser les services informatiques. Le changement sera un processus long qui ne doit pas être guidé par la technologie elle-même, mais par le type d’organisation, les services qu’elle propose les besoins des utilisateurs.



Conclusion

Les coûts engendrés par l’utilisation des technologies de cloud hybride ne seront justifiés qu’à condition qu’ils engendrent de réelles économies sur l’infrastructure privée (moins de ressources humaines, moins d’investissements, facilité d’administration, de maintenance) ou qu’ils offrent un niveau de service très supérieur à l’utilisateur. A l’heure actuelle, aucunes de ces conditions n’est pleinement respectées.

Il faudra être très vigilent à ne pas mettre en place une solution dans le seul but d’avoir une infrastructure à la pointe de la technologie. Ce sont les services que l’on veut rendre à l’utilisateur qui devra guider la stratégie d’évolution de l’infrastructure.

Les technologies sont loin de le permettre et le travail de gouvernance n’a pas encore commencé. La mise en place d’un cloud hybride nécessite une considération holistique et concertée des problématiques. Le cloud hybride sera plus facile à implémenter avec des partenaires partageant les mêmes intérêts. Mieux vaut l’appréhender comme une extension de cloud communautaire.

Grâce aux technologies de virtualisation et aux performances toujours croissantes des réseaux, l’IT tend à devenir une commodité au même titre que l’électricité. C’est donc un élément stratégique important pour la compétitivité des organisations. Nul doute que l’IT fera à l’avenir, l’objet d’accord à grande échelle que ce soit sur le marché mondial ou au niveau des autorités publiques.

Il faudra réunir tous les éléments cités pour tendre vers un cloud hybride flexible, optimisé et automatisé :



VM = Virtual Machine

Documents

EPFL - SI - DIT - EX 2012...EPFL - SI - DIT - EX Septembre 2012 Page | 1 En essayant de mettre en place un pilote de cloud hybride à partir d’une infrastructure privée VMware existante,