DevOps on Teddy Ferdinand

Pourquoi vous utilisez mal l'IAM d'AWS

Mon, 27 Jun 2022 06:00:31 +0000

Je travaille sur des environnements AWS depuis plus de 6 ans maintenant. Que ce soit en tant qu’Ops, architecte, ou architecte sécurité, il y toujours une constante que je constate autour de moi : l’IAM d’AWS est très souvent mal utilisé.

Dans ce billet, je vous propose de faire un petit tour d’horizon des raisons probables.

Parce que la doc vous indique de mettre du wildcard

La documentation est censée être le pilier sur lequel s’appuyer. Toutefois, force est d’admettre que la documentation d’AWS est loin d’être un exemple en ce qui concerne l’IAM.

Le jour où j'ai compris que je n'étais pas un (bon) développeur

Mon, 13 Dec 2021 06:30:00 +0000

Sur les réseaux sociaux, blog et autres publications, on parle très souvent de nos réussites (moi le premier). Aujourd’hui, j’ai décidé de vous parler d’un de mes “échecs” (notez les guillemets) récents : le jour où j’ai compris que je ne faisais pas du bon code.

Résumé d’un drame en trois actes.

Situation initiale : seul au monde

J’ai commencé chez mon client actuel (le groupe SeLoger) en octobre 2019. À ce moment, je remplace quelqu’un de mon ESN (WeScale) qui quitte ce client.

Travailler en public, ça s'apprend!

Mon, 06 Sep 2021 12:08:53 +0000

Comme beaucoup de gens, je suis parti quelques jours en vacances cet été. Pour me déplacer, j’ai utilisé le TGV.

J’ai été surpris du nombre de personnes que j’ai croisées dans mes trains qui travaillaient aux vues et au su de tous !

Aujourd’hui, j’ai donc décidé de vous parler des “bonnes pratiques” pour travailler en public de manière plus sûre.

Attention aux documents confidentiels !

Posé bien en évidence sur un siège, à côté d’un voyageur qui travaillait, j’ai pu voir un document sur lequel un filigrane “Confidentiel” ornait les pages. Bon, qu’on se le dise clairement, le document n’avait plus rien de confidentiel vu qu’il était partagé avec nombre de personnes inconnues.

API VS bibliothèques : comprendre l'intérêt

Mon, 21 Jun 2021 04:35:47 +0000

Lorsque l’on doit communiquer avec des services tiers, des APIs sont souvent mises en place pour simplifier l’échange d’information.

Très souvent, en parallèle de ces dernières, on peut trouver des SDK, fourni par l’éditeur ou bien en open source.

Aujourd’hui, nous allons voir pourquoi l’utilisation des SDK est souvent à préférer à celles des API au travers d’un exemple simple : AWS et son SDK Boto3.

Le choix d’AWS est arbitraire, tout autant que Boto3, simplement parce que ce sont des technologies que je maîtrise, mais cet exemple est transposable à beaucoup de fournisseurs et langages de programmations différents. Les codes indiqués dans ce billet n’ont pas été testés et sont simplement indiqués à titre d’illustration.

Cloudflare : configurer rapidement avec Terraform et Traefik

Mon, 19 Apr 2021 06:23:00 +0000

Depuis quelques semaines maintenant ce blog est derrière Cloudflare.

Bascule sur @Cloudflare, c’est fait! :) pic.twitter.com/pZyq0x6Juy

— Teddy FERDINAND (@TeddyFERDINAND1) March 16, 2021

Dans ce billet, je vais vous expliquer pourquoi et comment j’ai configuré Cloudflare devant Traefik.

Cloudflare : Pourquoi utiliser un CDN?

Cloudflare est avant tout un CDN, un Content Delivery Network. Le rôle d’un CDN est de réduire autant que possible la latence de réponse pour l’utilisateur final, en exploitant plusieurs points.

Sauvegarder... un sujet (très) complexe

Tue, 30 Mar 2021 17:23:11 +0000

Dernièrement, j’ai beaucoup évoqué le sujet des sauvegardes sur mon blog, notamment à cause de l’incendie OVH et une indisponibilité de mon serveur, billets que vous pouvez retrouver ici :

Comment mon serveur est revenu rapidement en ligne

Dernièrement, j’ai rencontré plusieurs soucis sur mon serveur dédié qui héberge(entre autres) ce blog. Aujourd’hui, je vous propose de voir comment j’ai réussi à remettre rapidementmon serveur en ligne, en le réinstallant intégralement, et en changeant d’OS. Un drame en 3 actesDurant la nuit, à…

Teddy FERDINAND

OVH brûle, Internet hurle

Le 10 mars au matin, un incendie se déclarait dans un datacenter d’OVH, àStrasbourg. Cet incendie a eu un énorme impact, brulant un datacenter au complet, et enendommageant un autre. Voici donc mon analyse à chaud de la situation et de la réaction sur les réseauxsociaux. Petit rappel : OVH c’e…

Teddy FERDINAND

Aujourd’hui, je vous propose de parler des sauvegardes, et de comprendre pourquoi c’est un domaine qui demande de l’expertise et du recul pour choisir le format le plus adapté.

Comment mon serveur est revenu rapidement en ligne

Mon, 22 Mar 2021 04:20:10 +0000

Dernièrement, j’ai rencontré plusieurs soucis sur mon serveur dédié qui héberge (entre autres) ce blog.

Aujourd’hui, je vous propose de voir comment j’ai réussi à remettre rapidement mon serveur en ligne, en le réinstallant intégralement, et en changeant d’OS.

Un drame en 3 actes

Durant la nuit, à 2h du matin le 8, mon serveur a redémarré suite à un kernel panic. Arbre qui cache souvent la forêt, le kernel panic est une erreur grave que le système n’a pas réussi à empêcher et qui a eu trop d’impact pour qu’il maintienne sa stabilité. Pour les amateurs de Windows, nous pourrions comparer ça à un écran bleu (BSOD).

Mon métier de Cloud Security Architect

Mon, 15 Mar 2021 06:53:09 +0000

Pour faire écho aux articles récents de Damy.R, et mcorbin, je me suis dit qu’il serait sympa que je vous explique en quoi consistait mon métier :

À la découverte du métier de consultant cloud et DevOps

Envie de découvrir le quotidien d’un consultant cloud et DevOps ?

Damy.R

(mcorbin.fr): Le métier de développeur Cloud

(mcorbin.fr)

En effet les métiers de l’IT sont très nombreux, et il est parfois compliqué de comprendre ce qui se cache derrière nos étiquettes.

Pour une posture efficace de la sécurité

Mon, 01 Feb 2021 06:00:00 +0000

Je travaille dans le domaine de l’IT depuis plus de 10 ans maintenant et j’ai côtoyé pas mal d’équipes “sécurité” au sein des entreprises dans lesquelles je suis passé. Je suis moi-même un “security guy” (Cloud Security Architect) depuis un peu plus d’un an.

Durant ces années, j’ai souvent constaté une posture bloquante des équipes sécurité, parfois même déconnectées du terrain, conduisant de fait à des ralentissements et tensions dans les projets.

Cyberpunk 2077 : Analyse d'un échec de l'agilité

Thu, 24 Dec 2020 11:46:37 +0000

Le 10 décembre dernier est sorti l’un des jeux les plus attendus de l’année : Cyberpunk 2077.

Personnellement, je prends beaucoup de plaisir à y jouer, mais ce n’est pas le cas pour tout le monde.

Avec un regard extérieur de professionnel de l’IT, je vous propose de voir aujourd’hui les “loupés” qu’il y a eu, d’après moi dans ce projet, et comment certaines erreurs auraient pues être évitées. Cet article n’a pas pour but de parler du jeu en lui-même, mais plutôt de l’aspect organisationnel et technique.

Obtenir des clés temporaires pour le CLI AWS, c'est possible!

Mon, 12 Oct 2020 05:21:00 +0000

Lorsque l’on veut utiliser le CLI AWS pour piloter ses ressources en ligne de commande, la solution la plus simple est de passer par des access keys. Ces clés APIs, gérées par AWS permettent de s’authentifier simplement en passant par un utilisateur IAM.

Toutefois, quand on veut centraliser en dehors d’AWS ses utilisateurs, la tâche se gâte ! Aujourd’hui, je vais vous expliquer comment j’ai mis en place une gestion de credentials AWS temporaires avec une fédération externe à AWS, et pourquoi.

Scanner les vulnérabilités de son site web

Thu, 24 Sep 2020 14:03:35 +0000

Héberger un site web est quelque chose de normal de nos jours. Je ne connais pas beaucoup d’entreprises qui n’ont pas de site Internet.

Toutefois, cette ouverture sur le monde est aussi une porte d’entrée pour les pirates !

Aujourd’hui, je vous propose de découvrir (ou revoir) deux outils vous permettant de renforcer la sécurité de vos applications.

Sécuriser son site site web, pourquoi?

Retrouvez la suite de ce billet sur le blog de WeScale!

Créer un cluster Kubernetes local avec Vagrant

Sun, 13 Sep 2020 10:17:22 +0000

Tester Kubernetes est assez facile grâce à des solutions telles que Minikube.

Toutefois, lorsqu’on souhaite tester des fonctionnalités propres à du cluster, comme de l’équilibrage de charge ou de la bascule, ce n’est plus forcément adapté.

Il est possible de monter son infrastructure Kubernetes sur des serveurs, ou en exploitant des services managés chez un fournisseur cloud (Kapsule chez Scaleway, AKS chez Azure, GKE chez GCP ou EKS chez AWS par exemple).

AWS IAM : Entre rêve et cauchemar

Sat, 15 Aug 2020 06:51:26 +0000

J’utilise professionnellement AWS depuis plus de 4 ans maintenant.

Pour faire un peu mon vieux, lorsque j’ai commencé sur AWS, les services et fonctionnalités suivantes n’existaient pas :

Les ALB/NLB
ACM
ElasticSearch Service
Les lambda dans les VPC ou avec durée supérieure à 5 minutes
ECS/EKS/ECR

Durant ces 4 années, j’ai eu l’occasion de faire beaucoup d’IAM, indispensable pour déployer des solutions sécurisées sur Amazon.

IAM et least privilege

Le service IAM (Identity and Access Management) est le service d’AWS qui définit les utilisateurs ou rôles ainsi que les permissions qui leur sont associées.

Transformez votre pipeline AWS DevSecOps en bunker - Partie 1

Thu, 18 Jun 2020 15:16:01 +0000

Ce billet a été co-écrit par Victor Grenu. Qui travaille en tant que Cloud Architect

Introduction

Dans cette série, nous parlerons de l’émergence du mouvement DevSecOps, et plus particulièrement, quels sont les avantages de l’introduction d’une approche DevSecOps sur vos pipelines CI/CD existants.

Pipeline CI/CD

Pour vous donner un peu de contexte, vous trouverez dans le diagramme ci-dessous un pipeline standard de CI/CD.

DevSecQuoi?

Le DevSecOps pourraient être définies comme un passage d’une équipe centrale de sécurité interne à l’inclusion de pratiques de sécurité dans les équipes DevOps existantes : DevSecOps

Accélérez le test de vos fonctions lambda avec Docker

Mon, 27 Apr 2020 06:00:00 +0000

Lambda est un outil AWS très puissant. L’exécution de scripts en mode serverless permet de réduire drastiquement les coûts et la complexité d’avoir à gérer une infrastructure scalable, néanmoins, tester directement ses fonctions sur Lambda peut parfois être frustrant, car nécessitant des allers retours entre le poste de développement et l’environnement AWS.

Il existe des fonctionnalités de tests intégrées au toolkit AWS pour les éditeurs les plus populaires (pour Microsoft Visual Studio Code / PyCharm, par exemple), néanmoins, cela restreint les éditeurs possibles et créé une adhérence que l’on ne souhaite pas particulièrement.

La difficulté de la mise en place du DevOps dans une entreprise

Mon, 13 Jan 2020 08:17:36 +0000

“DevOps”, ce mot, on ne peut plus voir une offre d’emploi dans l’IT à des postes d’infrastructure ou développement sans qu’il soit évoqué. De nombreuses entreprises prennent le virage du DevOps, les idées et les notions se mélangent, la cible est souvent floue, alors que les objectifs sont limpides, conduire cette transformation est donc loin d’être une tâche aisée.

Cet article est écrit en collaboration avec Pierre Galdon, ami ingénieur SysOps avec qui j’ai travaillé durant plusieurs années.

Petit guide de migration de Traefik 1 à Traefik 2

Mon, 06 Jan 2020 06:03:56 +0000

Mise à jour le 16/12/2021

Ce contenu a été mis à jour le 16/12/2021 pour pointer vers la version 2.5.5 de Traefik Proxy et Kubernetes 1.20

J’ai récemment migré le front de ce blog de Traefik 1 à Traefik 2, et le moins que l’on puisse dire, c’est que ce n’est pas une partie de plaisir.

Mon cas d’usage de Traefik

J’utilise Traefik en tant que load balancer/reverse proxy front dans une infrastructure Kubernetes. Mon utilisation est très basique. En fonction de certains chemin et/ou domaine, je redirige vers des pods distincts. Dans le cas ci dessous, je vais considérer que je n’ai qu’un pod, ce blog. Je gère aussi mes certificats avec Traefik via Let’s Encrypt.

Comprendre le succès du modèle "Serverless"

Thu, 19 Dec 2019 12:30:30 +0000

Quiconque à déjà fait de l’infrastructure sur un provider cloud a déjà entendu parler du modèle serverless, derrière ce nom se cache en réalité beaucoup d’aspects. Petit tour d’horizon…

Le modèle serverless : Evolution logique des containers ?

Depuis maintenant plusieurs années, on parle de containers. Révolution de ces 5 dernières années, les containers (et les orchestrateurs) ont profondément changé l’approche de l’infrastructure, permettant de déployer de plus en plus simplement et rapidement des applications composées de microservices. Je ne vais pas parler de cette évolution ici.

Terraform VS CloudFormation : Quel outil pour déployer sur AWS?

Fri, 13 Dec 2019 11:00:00 +0000

Terraform ou CloudFormation, les deux outils sont souvent mis en opposition, demandant au DevOps de trancher et choisir un outil ou l’autre. Pourtant, de mon point de vue, ces deux outils n’adressent pas forcément les même besoins.

Se poser la question de son besoin exact

Avant de savoir vers quel outil aller, il est important de savoir quel est le besoin exact qu’on doit adresser:

Est-ce que je veux déployer uniquement sur AWS?
Est-ce que je dois m’interfacer avec des outils (notament CI/CD) déjà existants?
Est-ce que je veux héberger moi-même la solution de déploiement ou dépendre d’un service managé?
Est-ce que j’utilise déjà d’autres outils de l’écosystème HashiCorp (Nomad, Packer, Consul ou Vault par exemple)?

En effet, avec ces questions on peut déjà cibler plus facilement l’outil que l’on souhaite utiliser.

Le "chaos day", un outil pour rapprocher Devs et Ops ?

Tue, 09 Jul 2019 07:50:10 +0000

Je suis chez mon employeur actuel depuis plusieurs années, et je constate comme chez d’autres employeurs, que des clivages existent malheureusement entre développeurs (Devs) et ingénieurs de production (Ops).

Un rôle différent au sein de l’IT

Peut-on vraiment en vouloir à des gens dont le métier, la formation, les attentes et les objectifs sont différent d’avoir des difficultés à se comprendre ?

Attention, je ne jete la pierre d’aucun des deux côtés, mais force est d’admettre que les rôles des deux parties ne sont pas les mêmes, quand bien même dev et ops sont complémentaires pour avoir une production efficace et performante, tout en étant innovant.