shocky - Fotolia
Kubernetes : les enjeux de son adoption pour le secteur public
L’avenir des systèmes d’information de l’Urssaf et du ministère de l’Intérieur se joue sur une combinaison : OpenStack et Kubernetes. Un choix qui relance les réflexions autour de l’open source et de son support au sein des services publics.
Indépendance par rapport aux équipementiers et aux éditeurs, transparence au regard de la sphère publique, attrait auprès des développeurs… Voilà quelques-uns des bénéfices de l’open source listés par Jean-Baptiste Courouble, DSI de l’Urssaf Caisse nationale, et Éric Tiquet, sous-directeur de l’innovation et de la transformation numérique à la Direction du numérique du ministère de l’Intérieur (DNUM, à ne pas confondre avec la DINUM, la Direction Interministérielle du Numérique), lors d’une table ronde organisée par Red Hat France.
Les deux responsables citent plusieurs réussites.
« Lorsque vous êtes soumis au marché public et que vous êtes liés à un éditeur, c’est un peu compliqué d’en sortir. C’est l’une des raisons qui nous ont poussés à adopter des solutions open source il y a 20 ans », raconte Jean-Baptiste Courouble. « Nous avions des appétences dans nos équipes et c’est au même moment que LAMP (Linux, Apache, MySQL, PHP), les technologies open source pour déployer des serveurs Web, sont devenus très populaires ».
De l’open source communautaire à l’open source d’entreprise
Si au départ, il s’agissait de propulser de nouvelles applications Web, les technologies open source ont petit à petit remplacé des socles autrefois propriétaires.
Par exemple, « près de 90 % du parc » de serveurs de l’Urssaf exécutent une distribution Linux, tandis que le service public termine la migration de ses bases de données relationnelles Oracle vers PostgreSQL.
« Les 25 millions de bulletins de salaire que nous recevons chaque mois sont supportés par des bases de données PostgreSQL », assure le DSI. « Je pense que nous avons fait la preuve par le stress et la performance que les solutions open source sont viables dans nos environnements ».
En matière d’adoption des solutions libres, la Gendarmerie nationale, qui pour rappel est rattachée au ministère de l’Intérieur depuis 2008, a déployé son propre système d’exploitation, nommé GendBuntu. Celui-ci est basé sur Debian et Ubuntu. L’opération de migration a véritablement commencé au début des années 2010. En 2019, ce sont près de 77 000 postes de travail qui étaient équipés de GendBuntu, soit 90 % du parc. « C’était un choix stratégique d’y aller, et d’y aller massivement », rappelle Éric Tiquet. « Eux-mêmes [certains gendarmes] contribuent au développement de Debian ».
Il est bon de noter que la Gendarmerie nationale fait figure d’exception. Si la Police nationale propose l’accès à Linux, c’est Windows qui y est majoritairement déployé, tout comme au sein de l’Urssaf ou du ministère de l’Éducation.
Ces années d’expérience ont fait naître une conviction chez les responsables de ces grands SI publics. « Il est nécessaire de se faire accompagner : il ne faut pas se retrouver trop au front par rapport à ces logiciels open source », note Jean-Baptiste Courouble.
« En 20 ans, nous avons acquis de la confiance. Historiquement, nous étions sur les souches open source communautaires, non supportées, de type CentOS pour la partie Linux, ou encore du PostgreSQL natif. Nous nous sommes rendu compte que nous n’avions pas la capacité de supporter ces composants. Nous l’avons fait avec nos ESN partenaires, puis avec les éditeurs, comme Red Hat », poursuit-il.
Kubernetes à l’origine d’une « transformation »
C’est avec la même approche que la DSI de l’Urssaf-CN entrevoit le recours à Kubernetes. Dès 2017, elle a entamé le déploiement d’une infrastructure IaaS privée établie sur OpenStack. Ce projet est en cours d’industrialisation. Il débouchera sur une mise en production cette année. Par-dessus OpenStack, l’Urssaf se prépare à déployer la distribution d’OpenShift supportée par Red Hat.
« Compte tenu du virage cloud que nous sommes en train de prendre, il devenait indispensable de se faire aider », justifie Jean-Baptiste Courouble. « Nous avions besoin de support et d’accompagnement ».
Jean-Baptiste CouroubleDSI, Urssaf Caisse nationale
« Ce n’est pas seulement une transformation technologique. Cela entraîne des transformations dans l’ensemble de la DSI, par rapport à nos partenaires, concernant la manière de développer des applications, même de mettre en place des modèles de livraisons logiciels différents. C’est pour cela que nous avons besoin de nous faire aider d’un certain nombre d’acteurs ».
Le ministère de l’Intérieur est en train de déployer une architecture similaire. Dans le cadre de la doctrine « cloud au centre », le cloud interne interministériel est décliné en deux offres IaaS. D’un côté, la DGFIP propose Nubo pour « l’hébergement de données sensibles » (2 000 machines virtuelles, 100 produits en juillet 2021). De l’autre, l’offre π (Pi, plus de 10 000 VM en 2022) est opérée par le ministère de l’Intérieur et doit permettre l’hébergement de données à diffusion restreinte. Tout comme Nubo et le cloud privé de l’Urssaf-CN, Pi s’appuie sur OpenStack.
Une troisième offre est en cours de développement : Pi Cloud Native.
« Pour faire évoluer notre cloud, nous avons fait le choix de Kubernetes en étant accompagnés d’un éditeur. Notre code source qui encapsule cette solution est libre pour des soucis de partage de connaissances et de transparence », explique Éric Tiquet.
Plus précisément, la sous-direction de l’Architecture et des Infrastructures Techniques (SDAIT) a été accompagnée par Red Hat pour adopter la PaaS OpenShift, après la migration de la distribution HPE Helion vers « un OpenStack deuxième génération ».
Eric Tiquet justifie lui aussi le recours au service de Red Hat afin de faire face à la complexité de Kubernetes et son évolution rapide, qui s’accompagne – pour la DNUM – de la mise en place d’une démarche DevSecOps.
Concernant l’adoption d’OpenShift, le sous-directeur évoque davantage un travail en cours. Une offre d’emploi postée par la SDAIT démontre que le ministère de l’Intérieur espérait recruter à la fin de l’année 2022 (pour une prise de poste au premier semestre 2023) un « expert cloud ». Cet architecte devait avoir des connaissances en OpenStack et OpenShift pour renforcer le Bureau « Architecture et Cohérence des Infrastructures ». La documentation en direction des développeurs est en cours d’élaboration.
La DNUM donne déjà accès à des clusters OpenShift infogérés. Suivant la criticité des données et des applications, elle autorise aux développeurs des déploiements de leurs applications en mode hybride ou sur des « clouds externes ». Cela veut dire en principe que les développeurs rattachés au ministère de l’Intérieur peuvent utiliser au besoin d’autres distributions de Kubernetes.
« Rester maître de son destin »
« Notre devoir, c’est de garder les options futures ouvertes », indique Éric Tiquet. « Il faut prendre les choix les plus opportuns à un moment donné […], mais il faut rendre le système le plus découplé possible en prévision des évolutions technologiques ».
Eric TiquetSous-directeur de l’innovation et de la transformation numérique, DNUM
Les clouds externes sont souverains et sont accessibles pour des sujets « d’innovation ». « Nous utilisons les services d’OVHcloud, d’Outscale ou encore de Scaleway. Nous ne le faisons pas autant que ces fournisseurs le souhaiteraient, mais c’est à noter », signale-t-il.
L’Urssaf-CN, plus avancé dans l’adoption de Kubernetes, exploite de temps à autre les services des clouds publics américains selon un modèle de « zones d’éligibilité ». « Parfois, cela a du sens d’utiliser les services managés d’AWS ou d’Azure pour des sujets d’innovations », déclare Jean-Baptiste Courouble. « En revanche, si les données sont hypersensibles, le déploiement se fera forcément on premise ».
Pour le DSI de l’Urssaf Caisse nationale, tout l’enjeu est de « rester maître de son destin », que ce soit face aux éditeurs ou face aux fournisseurs de cloud. « Il faut en permanence trouver un équilibre pour conserver une forme de réversibilité », conseille-t-il.