IT industrielle : Nigay gagne en agilité grâce à la virtualisation
Le champion des caramels français souhaite inclure ses automates dans les simulations de son ERP et dans les sauvegardes de ses applications. Mais encore fallait-il éviter d’affaiblir leur sécurité.
Chez Nigay, un industriel de l’agroalimentaire implanté à Feurs (42) depuis 160 ans, tout est minuté. Les chaînes de production, qui produisent 65.000 tonnes de caramels par an ne tolèrent que dix minutes de panne. Au-delà les vannes qui injectent les litres de liquides dans des fours sous pression cèderaient. Bien entendu, des sécurités manuelles existent, mais la bonne marche des automates dépend au premier chef de l’informatique industrielle et mieux vaut qu’elle ne déraille pas.
Du côté des quais d’expédition, les camions défilent pour livrer, là, des centaines de kilos de poudres par semaine aux géants de l’agroalimentaire - ils s’en serviront dans la préparation des crèmes dessert qui portent leur marque – ou encore, là, des fûts de caramels aromatisés aux boulangers qui en ont besoin pour confectionner leurs pâtisseries.
Ici, l’interruption de service ne doit pas durer plus de 40 minutes. Le risque que l’on veut à tout prix éviter est l’impossibilité d’imprimer les bons de livraison. Cette tâche incombe à l’informatique administrative, en l’occurrence un ERP de SAP qui menace de s’emballer à tout bout de champ, tellement le rythme est soutenu.
L’informatique, toujours, anime les clients légers des personnels de production, comme les applications des commerciaux et des financiers.
Retrouvez les points clés de cette étude de cas au format PDF
Comment Nigay a inclus ses automates à son ERP
L’enjeu : tout mixer pour gagner en efficacité mais sans impacter la sécurité
« Mon travail consiste à sécuriser tout cela tout en améliorant sans cesse le confort des utilisateurs », commente Faouzi Sefsaf, le responsable du SI chez Nigay. « Et dès 2016, j’ai acquis la certitude que nous gagnerions tous en efficacité si nous pouvions rassembler notre informatique industrielle et notre informatique administrative. Au niveau des métiers, il y a par exemple la perspective de mettre les données de nos automates dans notre ERP, pour simuler des scénarios de production et ainsi devenir plus réactifs », dit-il, en mentionnant des exigences toujours plus importantes de la part des clients.
Faouzi SefsafResponsable SI, Nigay
« Au niveau de la DSI, cela présentait aussi l’opportunité de simplifier la supervision et la sauvegarde des systèmes. L’enjeu est d’être plus serein sur la maintenance afin de pouvoir concentrer nos efforts sur de nouveaux projets. »
Problème, les fournisseurs de Faouzi Sefsaf accueillent assez froidement ce projet de rapprocher les informatiques. « On nous a mis en garde contre des problèmes de sécurité, les failles sans conséquence des postes utilisateurs pouvant devenir graves si elles contaminaient nos systèmes industriels. Ils étaient également inquiets de la latence que pouvait engendrer les machines virtuelles applicatives et qui pourraient nuire à la précision de nos automates », se souvient-il.
Se fournir chez VMware pour la virtualisation des serveurs, du stockage et des réseaux
Faouzi Sefsaf et son équipe ont donc mené des études de faisabilité et lancé un appel d’offres le plus rigoureusement possible. Au départ, le SI de Nigay se compose de deux salles informatiques, redondantes et éloignées de 300 mètres l’une de l’autre. Dans chacune, des serveurs VMware avec des machines virtuelles et un SAN virtualisé par Datacore, exécutent les applications administratives ; ils cotoient des serveurs physiques qui, eux, pilotent les automates industriels. Virtualiser les serveurs industriels est une évidence et ce n’est pas vraiment ce qui pose problème.
« Notre premier objectif était surtout de virtualiser le réseau. De sorte à pouvoir mener des tests sur des copies des serveurs industriels qui conservent leurs adresses IP d’origine. Envoyer des ordres à un appareil d’après son IP fixe est une contrainte de l’informatique industrielle », explique Faouzi Sefsaf.
« Le second point était de virtualiser aussi le stockage des serveurs industriels afin que les deux salles fonctionnent en mode actif-actif, avec des données qui se synchronisent entre les deux. Malgré tous nos essais, le SAN virtuel en place ne permettait de le faire qu’entre les VMs applicatives, bous voulions trouver une solution qui s’intègre mieux », poursuit-il.
« Après avoir évalué plusieurs technologies, nous nous sommes rendus compte que la meilleure solution était de prendre tous nos composants chez VMware : de l’ESXi pour virtualiser les serveurs, du vSAN pour le stockage et, enfin, du NSX pour le réseau. »
« L’intérêt d’un tel déploiement est que tous les modules se mettent tous à jour en même temps, ce qui simplifie l’administration, et que nous pouvons pousser très loin la précision de nos règles de sécurité. En particulier, donc, créer des environnements de tests avec les mêmes IP que les environnements de production, sans que cela ne crée de conflit ni n’impacte la sécurité. »
Une seule informatique, mais segmentée
Entre la commande et la migration finale, il se passera neuf mois. Et pour cause : l’équipe de Faouzi Sefsaf décide de migrer chaque application après l’autre, en partant de la moins critique jusqu’à celle dont dépendent les automates.
« A chaque étape, nous mesurions les temps de réponse pour vérifier qu’ils correspondaient à nos attentes. Wonderware, l’éditeur de nos solutions industrielles, et Erec Technologies, notre intégrateur, nous ont accompagnés tout au long de ce processus. Sur leurs conseils, nous avons remplacé notre cœur de réseau par de l’Ethernet 10 Gbits/s pour avoir la certitude qu’aucun temps de latence ne perturberait la bonne marche de notre usine », raconte le responsable du SI.
Pour incarner son nouveau SI, Nigay remplace aussi ses serveurs vieillissants – six ans d’âge pour ceux de l’informatique administrative et sept ans pour ceux de l’informatique industrielle – par des modèles Dell EMC R730.
Dans chaque salle, deux serveurs avec du stockage Full-Flash sont installés sous VMware vSAN Streched Cluster afin d’exécuter la partie administrative. Cette version du logiciel de VMware assure que les deux salles fonctionnent en mode actif-actif, c’est-à-dire qu’elles se répartissent les charges de travail.
On trouve également dans chacune des salles, un serveur avec du stockage hybride sous VMware vSphere Remote Office Branch Office pour exécuter les VMs qui pilotent la chaîne de production. Cette version permet d’inclure l’informatique industrielle dans les règles communes du déploiement VMware tout en considérant qu’il s’agit d’un sous réseau étanche. Les deux salles ne sont pas actives-actives, mais redondantes afin de basculer sur la seconde si la première rencontre un problème.
« Nous aurions pu avoir dans chaque salle un seul cluster de trois serveurs avec des VMs qui s’exécutent sur l’un ou l’autre des nœuds selon leur disponibilité. Nous ne l’avons néanmoins pas fait car nos automates nécessitent un câblage à part ; il aurait été trop compliqué et trop cher de câbler nos automates sur tous les serveurs », indique Faouzi Sefsaf.
Le premier bénéfice de cette solution est que, grâce à la fonction VMware vMotion de migration automatique des VMs, elle a évité de devoir arrêter les serveurs pour passer les applications des anciens aux nouveaux équipements. Ce détail est très important pour Nigay car son usine tourne 24 heures sur 24, 6 jours sur 7. « L’usine ferme uniquement entre 8h00 et 20H00 le dimanche. La seule fois où nous avons profité de ce créneau, ce fut pour installer le nouveau switch cœur de réseau. »
Faouzi Sefsaf se souvient de n’avoir rencontré qu’un seul problème lors de la migration : l’imprimante qui sort les étiquettes ne fonctionnait plus. « C’est un problème majeur pour la production mais mineur sur le plan technique. En fait, dans notre ambition de créer de nouveaux segments logiques, nous avions juste connecté cette imprimante sur le mauvais réseau. L’incident a été résolu en à peine 45 minutes. »
Un réseau sécurisé grâce à la facilité de le segmenter
La nouvelle installation est en place depuis 2018. Outre avoir permis d’atteindre l’objectif initial de déployer des VMs d’appoint pour les tests et englobé l’informatique industrielle dans les règles de sauvegarde, elle a surtout laissé le champ libre à Nigay pour perfectionner son informatique tout en la gardant extrêmement sécurisée.
Faouzi SefsafResponsable SI, Nigay
« Nous sommes passés de cinq ou six VLAN à une vingtaine aujourd’hui ! La solution de VMware nous a permis de décliner à l’envi les segments réseau étanches : les postes des opérateurs ont leur réseau, tout comme les douchettes Android qui lisent les étiquettes ou les équipements Wifi, lesquels sont désormais séparés des appareils Wifi de nos visiteurs, de plus en plus nombreux. »
« Et ce n’est pas fini : nous allons bientôt séparer aussi les flux de nouveaux appareils photos Android que nous utilisons à présent pour remonter encore plus d’informations de production dans notre ERP, ainsi que les flux d’un nouvel extranet que nous sommes en train de mettre en place pour nos clients. Il faut dire que les possibilités sont telles qu’elles ont suscité une très grande réactivité de la part de l'équipe IT », se réjouit Faouzi Sefsaf.
Pour le reste, Faouzi Sefsaf se félicite de l’ergonomie de l’environnement VMware au quotidien. Il cite le monitoring qui vérifie tout seul la santé des volumes vSAN, ou encore l’application simple de règles NSX qui permettent d’attribuer des droits d’accès aux utilisateurs par segment réseau.
« Cette fonction en particulier était auparavant très compliquée à réaliser. Ici, nous avons pu facilement mettre en place un système où des partenaires s’authentifient sur une URL pour venir récupérer des documentations techniques sur notre SharePoint, lequel est par ailleurs connecté à notre nouveau CRM. »
« Le résultat pratique est qu’en plus d’avoir une informatique industrielle plus agile et toujours autant sécurisée, nous avons pu déployer un socle applicatif avec une richesse sans précédent », conclut-il.