Séparer les environnements de développement, de test et de production, et réduire de moitié les coûts d’infrastructure par la même occasion ? C’est possible grâce au logiciel.
Joe Baguley, vice-président et directeur technique de VMware pour l’EMEA
Que ce soit dans le monde professionnel ou pour notre civilisation, la sécurité est depuis toujours une nécessité. Pas de château fort, pas de communauté. Pas d’alarmes, pas de bijoux. Pas de sécurité périmétrique, fuite de données assurée. Le concept est assez simple.
En ce qui concerne le monde réel, la question a quasiment été réglée ; en revanche, la réussite des entreprises dépendant de plus en plus de leur capacité à fournir le plus vite possible des applications aux utilisateurs, l’étendue et la complexité des systèmes d’information a changé les paramètres et le rôle de la sécurité. Les plateformes de gestion du réseau et de la sécurité telles que VMware NSX ne servent plus uniquement d’agents de protection : elles sous-tendent également le développement d’applications sur une multitude d’environnements. Désormais, l’approche logicielle est la seule solution pour connecter les applications et données sur l’ensemble du réseau (du data center à la périphérie en passant par le Cloud). Selon le Gartner, d’ici 2022, près de 50 % des données générées par des organisations seront créées et traitées en dehors d’un data center centralisé traditionnel ou du Cloud.
La modernisation du data center actuelle repose sur la virtualisation du réseau et de la sécurité, un processus entièrement piloté par logiciel. Nombreuses sont les applications potentielles de VMware NSX offrant des retours considérables sur le plan opérationnel et financier, sans perturber le trafic ou le réseau existants.
Le ROI est important lorsque la virtualisation du réseau (NSX) est utilisée pour séparer logiquement les différents niveaux au sein des environnements de développement, de test, de préproduction et de production. Ce cas d’application permet de réduire de moitié les dépenses d’investissement des déploiements clients ; et c’est sans compter les avantages opérationnels.
Consultant et architecte principal de solutions pour la division Information Application Services (IAS) au quartier général de l’Armée britannique, Neil Symons se souvient de l’époque où son équipe se débrouillait sans NSX. Ils s’appuyaient sur un système de développement et de test autonome ainsi que sur un système de production et de préproduction avec des équilibreurs de charge et des pare-feu partagés et coûteux ; les outils de gestion centralisée des mises en production, de collaboration ou de gestion des anomalies et des tests déployés devaient donc être isolés des différentes instances. Cette situation générait des frais de licences et matériels considérables, et constituait un véritable cauchemar en matière de gestion et de configuration.
Avec NSX, l’Armée britannique dispose désormais d’un environnement unique du développement à la production grâce à une approche essentiellement pilotée par logiciel. Le service informatique a ainsi pu éliminer les éléments superflus de ses dépenses d’investissement et réduire considérablement les ressources d’administration et licences nécessaires.
« La séparation logique obtenue grâce aux technologies SDDC de VMware a apporté des bénéfices considérables à l’Armée britannique. Nous avons été en mesure de révolutionner l’ensemble de notre pipeline de livraison d’applications, tout cela avec cohérence et en supprimant la duplication des logiciels nécessaires pour soutenir une architecture cloisonnée. Tout cela nous a permis d’accélérer nos processus et de renforcer notre sécurité, tout en réduisant nos coûts et en augmentant notre rendement. »
La séparation logique, qu’est-ce que c’est et à quoi sert-elle ?
Le gros problème de beaucoup d’organisations est d’avoir séparé de nombreux éléments de leur pile d’infrastructure pour limiter les risques liés au développement de nouvelles applications. Elles utilisent des séparations physiques entre leurs travaux de développement, de test, de préproduction et de production pour éviter qu’un problème survenant à une étape donnée ait des répercussions à un autre niveau. En effet, une organisation qui souhaite introduire un nouveau service ou une nouvelle application ne voudra pour rien au monde effectuer des changements susceptibles d’impliquer le moindre risque ou d’affecter des services existants. La solution passe ainsi d’une étape à l’autre – du développement à la production – une fois les jalons acceptés atteints. Cependant, chaque étape nécessite un « silo » différent, ainsi que ses propres ressources matérielles, réseau, de calcul, de stockage et de sécurité.
Cette approche paraît très archaïque, laborieuse et coûteuse étant donné que le data center logiciel a déjà virtualisé ces environnements.
Aujourd’hui, nous sommes en mesure d’utiliser la couche d’abstraction pour fournir aux organisations le modèle de mise en production des trois environnements. Mais au lieu de dépenser de l’argent pour les séparer en silos physiques, il est possible de le faire plus efficacement et à moindre coût via un logiciel. Première étape : créer une abstraction logicielle du réseau, avant de l’isoler et d’y ajouter la sécurité. Plus besoin de ségrégation physique ; tout tourne autour d’une séparation « logique » opérée via logiciel. Chacun de ces trois environnements est bien isolé, mais géré avec les mêmes outils de contrôle opérationnel.
Pourquoi est-ce important ? La première raison est la réduction massive du nombre d’équipements réseau et de sécurité, de pare-feu physiques, de commutateurs et d’équilibreurs de charge. En d’autres termes, moins de matériel à acheter, et plus de fonds disponibles pour les faire tourner et les gérer.
L’approche logicielle permet d’optimiser considérablement l’utilisation des ressources de calcul. En préproduction, il arrive parfois que l’on fournisse une énorme capacité pour faire face à des pics d’activité de développement, et que celle-ci reste inutilisée 80 % du temps. En revanche, via logiciel, on peut limiter le nombre de plateformes de calcul et les dépenses qui vont avec, et réduire ainsi les dépenses de fonctionnement en gérant moins de serveurs.
Récemment, un client VMware est parvenu à réduire de moitié ses dépenses d’investissement en déployant NSX pour effectuer sa séparation logique. Et ce n’est pas un cas isolé.
Le logiciel est tout simplement plus élastique, et offre une grande flexibilité pour gérer librement les différents niveaux des environnements de développement, en particulier dans le cas d’un besoin ponctuel d’un environnement de test. Et il est bien sûr possible d’en étendre l’utilisation avant de revenir à un état normal.
Pour finir, un mot sur la sécurité. Chaque workload peut avoir sa propre politique de mise en œuvre, ce qui permet de profiter des bienfaits de la micro-segmentation, qui elle-même tire parti de la virtualisation du réseau pour segmenter les environnements autour de frontières logiques (applications et autres cadres réglementaires).
N’oublions pas les avantages de l’« isolation native », qui permet de créer des réseaux dans la surcouche qui sont transparents pour le réseau dans la sous-couche, et donc d’avoir des adresses IP qui se chevauchent. Lorsqu’une nouvelle application ou un nouveau service passe entre les trois environnements de développement et de production, il/elle conserve la même adresse IP. Cela n’a rien d’anodin : plus besoin de réattribuer une adresse IP à une application passant d’un Cloud à l’autre ou migrant vers un autre data center. La communication entre les différents niveaux est explicitement autorisée, constituant un gain de temps considérable et permettant de s’éviter un énorme casse-tête.
L’utilisation de NSX pour la séparation logique produit donc des résultats financiers et opérationnels authentiques. Tout cela – faut-il le répéter – grâce au logiciel.