BreizhCamp 2025 - Comment transformons-nous les Restos du Coeur en Cloud Provider ? (Keynote)

Transcript

1. None

2. https://youtu.be/pccSZLjKfVo?si=i37eXU3V6biEiOki

3. Disclaimer 1 Nous n’avons pas transformés les Restos du Coeur

   en Cloud Provider

4. Disclaimer 2 Sorry pour le fran-glais

5. Disclaimer 3 On aime les acronymes RDC = Restos du

   Coeur République Démocratique du Congo Rez de chaussée

6. Julien Briault Uptime 27y Senior Network Engineer | SRE @

   Auteur @ Linux Pratique Responsable (bénévole) @ #3615 Ma vie @ju_hnny5 @jbriault.fr

7. @ju_hnny5

8. Il y a 39 ans …

9. “J’ai une petite idée comme ça (...) un resto qui

   aurait comme ambition, au départ, de distribuer deux ou trois milles couverts par jour.” @ju_hnny5

10. @ju_hnny5

11. Les Restos en quelques chiffres … 163 millions de repas

    servis (2023-2024) 112 Associations départementales 2348 Lieux d’accueil (centre de distribution, etc). 78 000 Bénévoles réguliers (dont 35 000 qui utilisent l’informatique au quotidien) + de 40 Applications fonctionnelles (Applications utilisées par les bénévoles au quotidien) @ju_hnny5

12. Le fonctionnement global des Restos @ju_hnny5

13. Le fonctionnement global des Restos Antenne/Association Nationale Délégations régionale Antennes/Associations

    Départementale Centres de distribution Maraudes Etc @ju_hnny5

14. Antenne/Association Nationale Délégations régionale Antennes/Associations Départementale Centres de distribution Maraudes

    Etc @ju_hnny5

15. Qu’est-ce qu’il m’a donné envie de rejoindre les Restos ?

    @ju_hnny5

16. La distribution alimentaire : Ce n’était pas pour moi. @ju_hnny5

17. Premiers constats à mon arrivée aux Restos @ju_hnny5

18. La solitude du début @ju_hnny5

19. De voir faire avec l’historique … @ju_hnny5

20. Le pc qui “traine dans un coin” @ju_hnny5

21. Le pc qui “traine dans un coin” Des sauvegardes ??

    ☠ De la redondance ?!? 💀 Y’a quoi là dessus ? 👀 Ça x112 ? (spoiler : presque) @ju_hnny5

22. Infra v0.1 : Le “DC aux WC” Oui, oui, c’est

    bien un WC … @ju_hnny5

23. @ju_hnny5

24. @ju_hnny5

25. “Pay as you go” “Payez au fur et à mesure”

26. Antenne/Association Nationale Délégations régionale Antennes/Associations Départementale Centres de distribution Maraudes

    Etc @ju_hnny5

27. Infra v1 : 2 vraies baies @ju_hnny5

28. None

29. @ju_hnny5

30. Infra v2 : Des nouveaux* serveurs 👀

31. C’est installé où ? 👀 @ju_hnny5

32. Chartres @ju_hnny5 Le premier DC des Restos (interne)

33. On y stock… de la nourriture et de la donnée…

34. Infra v2 : 3 baies 52U ?

35. On a commencé à construire …

36. Infra v2 : 3 baies 52U - Premier POP

37. Mais pourquoi ce projet ? @ju_hnny5

38. None

39. Association Nationale On aime vraiment (beaucoup) les acronymes 👀 @ju_hnny5

40. @ju_hnny5 Antenne/Association Nationale Délégations régionale Antennes/Associations Départementale Centres de distribution

    Maraudes Etc
41. None
42. None
43. None

44. @ju_hnny5

45. Nos objectifs - Une infrastructure ouverte et accessible (cloud?) -

    Une infrastructure fiable et de confiance - Que ça ne coûte (presque) rien - Être indépendant au maximum (sur l’hébergement de la donnée) - Une expertise partagée pour le bien commun

46. @ju_hnny5 Connecter ce beau monde

47. Le réseau 💀 • Réseau Out of band (OOB) •

    Réseau 1G (pour le management, provisionner les machines) • Réseau 10G 100G pour la production • V1 = 3 tier (L2) ◦ vxlan / vlan • V2 = Leaf/Spine/Super spine (Full L3) ◦ BGP EVPN + vxlan @ju_hnny5

48. @ju_hnny5

49. Règle 1 : Du code (presque partout) sur l’infra ?

    @ju_hnny5

50. IaaC ?

51. IaaC IaaC Infra As A Console Infra As A Code

    Avant Maintenant

52. Tout est code* … 📄 • Limiter le “Shadow IT”

    • Déploiements accélérés • Rollbacks facilités • Application des bonnes pratiques de sécurité (SAST/DAST) et de développement (linter, etc) dans nos pipelines (CI/CD) @ju_hnny5

53. Tout est code … 📄 @ju_hnny5 https://www.youtube.com/watch?v=IAwu-WCN6Nw

54. Déploiement des enregistrements DNS @ju_hnny5

55. Règle 2 : La sécurité au coeur du projet @ju_hnny5

56. Pas de connexion directe sur les machines 👀 @ju_hnny5

57. 2 règles importantes : • Les évolutions de configuration des

    machines sont appliquées via de la CI|CD • En cas de besoin, il est possible de se connecter via : Pas de connexion directe sur les machines ? @ju_hnny5

58. • Vérifier l’application du benchmark CIS • Alerter sur les

    connexions hors heures ouvrées • Alerter en cas de CVE >= 7.0 sur Slack/Teams Un SIEM/XDR ? 👀 @ju_hnny5

59. Règle 3 : Infrastructure immuable @ju_hnny5

60. @ju_hnny5 + = 🩷

61. Tout n’est pas immuable @ju_hnny5

62. • Déploiement des noeuds muables ◦ Déploiement des agents* via

    cloud-init • Gérer le cycle de vie du serveur ◦ Gérer le serveur physique comme une VM ◦ Redéployer facilement si besoin • Création des enregistrements DNS dédiés à l’administration MaaS en renfort ! 🦾 @ju_hnny5

63. @ju_hnny5 Pour maintenir une base commune

64. - Campagnes de patch management totalement automatisées 👀 : Un

    parc up-to-date ! @ju_hnny5

65. Règle 4 : Le déploiement de configuration

66. • Stockage des roles et collections dans Gitlab • Chaque

    applicatif séparé possède son dépôt Git qui lui est dédié ◦ Exemple : ▪ Ansible/Collections/rudder ▪ Ansible/Playbooks/rudder-provisioning • Chaque déploiement est réalisé via la CI (Gitlab Runner) ◦ Les runners sont éphémères, sont créés dans Kubernetes en fonction du besoin. : Déploiement de configuration @StephaneTrognon

67. Règle 5 : Le partage @ju_hnny5

68. • “Share Session” ◦ Format de 15/30 mn sur un

    sujet précis qui est record ◦ Vient en complément de la documentation • Tout doit être documenté ◦ Exemple : “run books” en cas de pépin sur l’infra ▪ Stack déployée = obligatoirement documentée ◦ Pas de rétention d’information ▪ On est pas éternel • Construction commune sans oublier les objectifs Le partage @ju_hnny5

69. Parlons de Cloud maintenant @ju_hnny5

70. Under-undercloud Sous le capot @ju_hnny5

71. None

72. Kube… pourquoi ? • Faciliter les déploiements et la mise

    à l’échelle des éléments de “l’undercloud”* • Gestion “as code” + • Astreinte friendly 🩷 @ju_hnny5

73. Kube… pourquoi ? @ju_hnny5

74. Blue/Green pattern @ju_hnny5

75. Le véritable “undercloud” Le moteur @ju_hnny5

76. @ju_hnny5

77. Quoi ?! OpenStack en 2025 ?! @ju_hnny5

78. Context-Driven Development : penser avant de coder

79. Algo de Feynman 1. Écrire le problème 2. Réfléchir 3.

    Écrire la solution https://ploum.net/2024-06-05-complexite-simplicite.html

80. @ju_hnny5

81. @ju_hnny5 MOCHE Utilisé dans l’underlay

82. OpenStack from scratch (via Ansible) @ju_hnny5 • Horrible à maintenir

    (montées de versions) • Python 3 … (Cc les dépendances) • Ça ne scale pas des masses …

83. OpenStack + Kubernetes (underlay) @ju_hnny5

84. @ju_hnny5 OpenStack et les micro-services

85. @ju_hnny5

86. Overlay ≠ Underlay @ju_hnny5 Ce que les gens voient vs

    Ce que nous voyons

87. Overlay ≠ Underlay @ju_hnny5 Ce que les gens utilisent vs

    Ce que nous maintenons

88. OpenStack ? • Les antennes départementales peuvent déployer leur service

    sur l’infrastructure de manière transparente • L’antenne nationale a à sa disposition des ressources qui peuvent se mettre à l’échelle à moindre coût @ju_hnny5
89. None

90. @ju_hnny5

91. Présence Nationale 3 régions - Chartres - Marseille - Paris

92. @ju_hnny5 Un très grand nombre de sites

93. @ju_hnny5 Overlay Underlay Du DNS as a Service

94. @ju_hnny5 Gérer ses secrets

95. @ju_hnny5 Overlay Underlay Du Storage as a Service

96. @ju_hnny5 Overlay Underlay De la DB as a Service

97. aucoeurdu. cloud @ju_hnny5

98. AuCoeurDu.Cloud @ju_hnny5

99. Au Coeur Du. Cloud @ju_hnny5

100. console. aucoeurdu. cloud <service> .<region>. aucoeurdu. clou d Point d’entrée

     unique : Accès aux services cloud de manière régionalisée : @ju_hnny5

101. Une console unique

102. doc.aucoeurdu. cloud Documentation accessible : @ju_hnny5

103. Hyper-convergence Pour un max de puissance dans le moins d’espace

     possible @ju_hnny5

104. Architecture classique 📄 Hyperviseur A Hyperviseur B Hyperviseur C Hyperviseur

     D Stockage A Stockage B Stockage C Stockage D @ju_hnny5

105. Architecture Hyper-convergée 📄 Hyperviseur A + Stockage Hyperviseur B +

     Stockage Hyperviseur C + Stockage Hyperviseur D + Stockage @ju_hnny5

106. @ju_hnny5 L’hyper-convergence ? • Matériel : PowerEdge R730xd ◦ Hyperviseur

     (KVM) + Ceph embarqué (OSDs en façade) ◦ Noeuds : ▪ Bi-Xeon (32 coeurs) ▪ 512 -> 1k RAM ▪ x10 OSDs (entre 2 et 4TO /disque) ▪ Réseau 10G 100G • Ceph-mon, manager, dashboard sont embarqués dans Kubernetes

107. Une gestion de l’énergie particulière @ju_hnny5

108. @ju_hnny5 Laisser les serveurs allumés ? • Contrat à la

     consommation ◦ Plus je consomme, plus je paie • Allumer/éteindre de manière totalement automatisée

109. https://www.youtube.com/watch?v=tFmAX9CBmNY

110. + = 🩷 @ju_hnny5

111. @ju_hnny5 OpenBareMetal

112. Kube-ception ? @ju_hnny5

113. @ju_hnny5

114. @ju_hnny5 Underlay Overlay Ça tourne dans des vms

115. @ju_hnny5 Ici pour être plus exact !

116. Fournir du service fiablement @ju_hnny5

117. Surveillance et observabilité 1. Toute application déployée se doit d’être

     observée 2. Les alertes doivent être configurées 3. Les alertes doivent avoir en relation : a. La documentation “runbook” b. Les graphiques

118. La source de vérité

119. Une seule source de vérité ? • V1 : Spreadsheet

     pour stocker les informations • V2 : Inventaire de Rudder + Ansible + OctoDNS @ju_hnny5

120. @ju_hnny5 CMDB Configuration Management Database

121. @ju_hnny5 V3

122. @ju_hnny5

123. + Open Source = 🩷 @ju_hnny5 https://github.com/infra-rdc

124. None

125. Les services @ju_hnny5

126. @ju_hnny5 *Environ 1,5 millions de repas distribués en plus.

127. *Environ 6 millions de repas distribués en plus. Sondes de

     température @ju_hnny5

128. Context • Projet né à l’AD28 comme un autre projet

     en lien* • La supervision + alerting des chambres froides ◦ ça coûte cher, très cher (coût /an) ◦ différent d’une AD à une autre @ju_hnny5

129. Pour faire simple • Les sondes envoient les données dans

     le “Cloud” des Restos • Rétention d’un an • Données distribuées et sauvegardées @ju_hnny5

130. https://www.youtube.com/watch?v=bzLtWjUj2k0 De l’AD28 à l’industrialisation : Historique et v1 du

     projet

131. @ju_hnny5 *Environ 700 k de repas distribués en plus.

132. @ju_hnny5

133. Pour + de 15 000 postes de travail @ju_hnny5

134. Linux du Coeur • Besoin de stockage pour : ◦

     La mise à disposition des images ISO ◦ L’accès aux majs (repo geo-localisés) • Besoin d’outillage pour build les images ◦ CI/CD Gitlab @ju_hnny5

135. Linux du Coeur • L’outillage pour le dépannage (Open Source)

     • La mise à disposition de packages customs ◦ Système de “GPO” pour Linux ◦ Déploiement de nouvelles apps @ju_hnny5

136. Un remplaçant à WeTransfer*

137. CoeurCode

138. @ju_hnny5 *Environ 12 millions de repas distribués en plus. +30

     autres services

139. @ju_hnny5 Quelques chiffres pour terminer 📝 • Environ : ◦

     900 VMs (éphémères pour la plupart) ◦ 500 Pods (monte jusqu’à 700) ◦ 80 serveurs/AZ (allumés en fonction du besoin) • 11 personnes actives sur le projet (on recrute 󰗞) • Plusieurs millions d’euros économisés (et donc de repas distribués) • Une vingtaine d’entreprises partenaires
140. None

141. On a besoin de vous ! @ju_hnny5

142. None

143. @ju_hnny5

144. Merci pour votre écoute