AWS : peu transparent pour ses utilisateurs

Les clients d’AWS ont encore des difficultés dans la résolutions de problèmes liés notamment à la sécurité et à la gestion du réseau. En cause, le manque de transparence d’Amazon.

Bien que les services cloud d’Amazon Web Services dominent largement le marché des services cloud Paas et Iaas, comme nous l’indiquait la semaine dernière le cabinet Synergy Research Group, certains utilisateurs estiment qu’il reste encore certains problèmes critiques à résoudre au sein de la vaste infrastructure en nuage de l’Américain. C’est l’une des conclusions à retenir d’une discussion entre utilisateurs qui s’est déroulée la semaine dernière. Au coeur de débats, le réseau et les mécanismes de sécurité d’AWS, deux écueils qui apparaissent comme des problèmes à résoudre en priorité par les clients. C’est du moins le point de vue de ces utilisateurs qui disposent de plus de 1 000 instances hébergées sur AWS.
 

La disponibilité des services d’AWS n’apparait étonnament pas comme l’une des principales faiblesses chez ces utilisateurs chevronnés, pour qui les pannes dans le cloud, généralement très médiatisées, ne sont pas les plus handicapantes. Ce week-end, par exemple, l’infrastructure EC2, et particulièrement le service de stockage EBS, a connu une interruption de services de 4 heures dans son datacenter en Virginie du nord - comme l’indique le tableau de bord AWS -, paralysant certaines start-up nord-américaines, comme Vine ou encore le service photo Instagram.

Security Group : une gestion des règles difficile

Pour les participants à ce débat, ces problèmes sont plutôt liés à une incohérence de certains processus. «Ils ont mis en place des Security Group et il s’avère que cela est vraiment contre-productif», soutient Barry Jaspan, senior architecte chez Acquia, une société spécialisée dans le support sur Drupal, un CMS Open Source. La société propose également des formules hébergées du CMS.

«Si un utilisateur change un paramètre d’un Security Group pour, par exemple, y inclure une nouvelle instance, il se voit confronté à une période de transition pendant laquelle toutes les règles de ses groupes sont coupées, assure Jaspan, y compris les machines qui ne sont pas celles actuellement déployées. Ainsi, si deux machines sont actives et opérationnelles, la connexion entre elles se trouve perdue pendant une période d’environ 1 minute.»
Un autre utilisateur pointe quant à lui du doigt la complexité de conserver intactes les règles des Security Group entre plusieurs datacenters. «Si vous basculez vers un lien différent, cela modifie les règles de ces groupes, et si vous n’avez pas géré cela correctement, vous vous retrouvez avec un autre problème à prendre en compte», affirme Craig Tracer, responsable au sein de la start-up HubSpot, spécialisée dans les applications marketing.

Pour un autre intervenant, Virtual Private Cloud (VPC) et Elastic Block Store (EBS) s’avèrent également problématiques. «Ils forcent les utilisateurs à passer à Virtual Private Cloud, là où vous avez à gérer vos propres paramètres réseau, vos propres plages d’adresses IP internes et externes... alors que si je suis chez AWS, c’est que je ne souhaite pas toucher au réseau», lance Joey Imbasciano, ingénieur Cloud chez Stackdriver (monitoring de services cloud).

La société Extreme Reach, qui stocke un pétaoctet de données sur S3 et EBS s’est heurtée quant à elle à la limite de stockage de 20 teraoctets d’EBS, soutient Mark Annati, vice président de l'IT pour ce spécialiste du marketing qui souhaiterait évidemment que le plafond de cette limite soit relevé. Annati a également dû batailler sur le terrain du réseau : ayant mis en place des règles très strictes sur ses firewalls, Extreme Reach a du fournir des blocks d’adresses IP de l’emplacement de stockage dans S3 afin que le trafic en provenance de ces emplacements soient autorisés par les firewalls. «Des informations difficiles à obtenir d’Amazon» confie-t-il.

Demande de davantage d’ouverture

Plus globalement d’ailleurs, un des points évoqués est qu’il est difficile d’obtenir d’Amazon des informations sur le fonctionnement des systèmes, reconnaissent les participants. Amazon peut être très frileux à donner des détails sur ses systèmes car les utilisateurs pourraient éventuellement développer leur infrastructure en se basant sur des hypothèses qu’ils n’auraient pas prises en compte. Une modification du backend par AWS pourrait alors affecter la configuration de l’utilisateur.
 

«Sauf qu’en ne nous expliquant pas le fonctionnement des systèmes, nous ne pouvons pas travailler à résoudre les problèmes», lance Barry Jaspan (Acquia). Lui et son équipe ont passé beaucoup de temps à tenter obtenir d’AWS une explication du fonctionnement des règles de Security group et pourquoi les machines perdaient alors leur inter-connexion. «Et pas seulement : quels sont les mécanismes qui régissent EBS, que se passe-t-il lorsque vous lancez une machine et comment sont gérés les différents statuts, de l’attente à l’activation, d’un statut dit suspendu à de nouveau actif. Qu’est ce que cela veut dire ? Ils ne veulent pas nous le dire», explique Jaspan. «La chose la plus importante que nous leur avons demandé n’est pas technique, mais d’ordre culturel.» ajoute-t-il. «Amazon a une culture du secret.»
Il existe des options Open Source sur le marché, telles que CloudStack et OpenStack, qui offrent davantage de transparence quant au fonctionnement des services, même si ces options ne sont finalement pas aussi mûres qu’AWS.
AWS n’a pas souhaité commenter.

Traduit et adapté de l’anglais par la rédaction.

Pour approfondir sur IaaS