agsandrew - Fotolia
Seloger optimise son infrastructure avec Netscaler
Le groupe s’est tourné vers les équipements de Citrix pour améliorer la disponibilité, la supervision et la sécurité des sites Web qu’il édite.
C’est une équipe modeste qui est chargée de l’infrastructure supportant les sites Web du groupe Seloger. Alors pas question pour elle de s’encombrer d’équipements trop complexes et trop lourds à administrer. Et cela d’autant plus qu’il n’est pas question d’empêcher de venir les 4,5 à 5 millions de visiteurs uniques qui parcourent chaque mois les sites Web du groupe, générant 20 millions de visites, jusqu’à 5000 requêtes http par seconde, et 700 Mbps de bande passante.
La simplicité d’utilisation est donc l’un des critères qui ont conduit Anthony Godet, chef de projet Systèmes et Réseaux du groupe Seloger, à retenir Netscaler, de Citrix, au détriment des produits F5. Lors d’un atelier organisé aux Assises de la Sécurité, il explique ainsi qu’il utilisait auparavant des équilibreurs de charge (load balancer) ServerIron de Brocade. Mais ceux-ci avaient montré certaines limites : ils ne fonctionnaient que dans un mode dans lequel le serveur backend répond directement aux requêtes et il n’était donc pas possible d’optimiser ou compresser les flux. En outre, ces équilibreurs n’offraient pas de véritables capacités de supervision applicative : s’il était envisageable de vérifier qu’un serveur répondait, il n’est pas possible d’interroger par exemple chaque service Web hébergé par un même serveur. En outre, les équipements de Brocade déployés ne supportaient pas nativement le NAT.
Et c’était sans compter avec le besoin de surveiller l’état des clusters de Microsoft SQL Server ou encore celui de répondre aux demandes des métiers – par exemple, pour rediriger les URL de micro-sites vers les ressources d’hébergement de partenaires –, et de consolider la gestion des certificats SSL pour https. Enfin, le groupe Seloger voulait disposer d’un pare-feu pour applications Web (WAF) afin de pouvoir bloquer certaines attaques, comme celles procédant par injection SQL.
Sur la base de ces besoins, les équipes d’Anthony Godet se sont tournées vers Citrix et F5, dont ils ont voulu voir les équipements en conditions réelles, sur le trafic de production, afin d’aller au-delà des promesses des fiches techniques. Et cela notamment parce que le WAF peut s’avérer assez gourmand en ressources et affecter les performances, explique de chef de projet. Mais le coût et la qualité de l’accompagnement ont également fait pencher la balance en la faveur de Netscaler. Un ingénieur de Citrix est resté deux jours chez Seloger pour aider à la mise en place de la maquette. De là, Anthony Godet assure qu’il était en mesure d’exploiter l’équipement sans l’aide de son fournisseur. Les performances ont également joué, apparemment meilleures avec le WAF du côté de Citrix que de celui de F5.
L’éventail fonctionnel attendu était assuré, mais quelques surprises attendaient toutefois les équipes de Seloger. En particulier, avec les équipements de Brocade, les serveurs pouvaient directement enregistrer les adresses IP publiques des internautes. Mais Netscaler fonctionne en coupure. Une fonctionnalité optionnelle permet de transférer l’adresse IP de l’internaute vers les serveurs. Mais sa mise à profit nécessite une « petite » modification applicative « pas très lourde ». Une fois celle-ci réalisée, l’ensemble des sites Web de Seloger a été basculée en l’espace d’un mois avec, pour chacun, une indisponibilité très limitée.
Et c’est là la seconde surprise, bonne cette fois-ci : les équipements Netscaler peuvent être administrés en ligne de commande, via SSH. De quoi permettre à Anthony Godet de préparer chaque bascule puis de copier/coller les commandes de configuration nécessaires. Et ainsi de limiter le risque d’erreur de manipulation. Sans compter le gain de temps.
L’ensemble de l’infrastructure gagne en outre en sécurité. L’adoption des matériels Netscaler a permis de lancer un projet de segmentation du réseau par VLAN : chaque application est désormais isolée dans son propre réseau virtuel et les accès sont contrôlés avec une forte granularité.