Pourquoi est-il important de bien gérer ses serveurs ?
Les serveurs constituent le tronc principal d'une architecture logicielle dans le cloud. Même si ces dernières années ont vu émerger de nombreuses solutions d'hébergement serverless (type PaaS), rester maître de son architecture permet d'en maitriser l'indépendance, les coûts ainsi que les impacts.
Or, un serveur mal géré vous expose à de nombreux risques de sécurité, à des pertes de données, à des indisponibilités applicatives et à de l'insatisfaction client. Or, dans un monde où l'ensemble des logiciels métier que nous utilisons quotidiennement pour accomplir nos tâches professionnelles, sont hébergés dans le cloud, exposer ses utilisateurs à de tels risques revient à jouer avec le feu. Il est donc primordial de ne pas négliger l'administration système des serveurs, au risque de connaître d'importantes pertes financières ainsi que de perdre la confiance de ses clients.
Quels sont les stratégies à mettre en place ?
La gestion d'un serveur, et à fortiori d'un ensemble de serveurs, doit bien évidemment répondre à de forts impératifs de sécurité. Outre les mesures classiques, telles que restreindre les connexions SSH avec des paires de clefs asymétriques et utiliser des mots de passe forts, plusieurs autres mesures permettent de limiter les risques liés à la sécurité informatique.
En premier lieu, la mise en place de techniques de conteneurisation des applications permet de limiter fortement la portée des potentielles failles de sécurité de celles-ci. Ensuite, la mise en place d'un système de surveillance des échecs de connexion, conjugué à un pare-feu permet de réduire le risque de connexions indésirables, d'éviter les attaques par force brute et de réduire la charge réseau.
Ensuite, il convient évidemment de mettre en place des stratégies de sauvegarde et de réplication adaptées. En effet, en cas de panne ou d'accident, cela permet de garantir une continuité des services en évitant les pertes de données, mais cela permet aussi de gérer les fortes charges qui peuvent survenir ponctuellement.
Enfin, des méthodes de surveillance et d'alerte doivent permettre de garder un œil sur l'infrastructure et d'agir pro-activement pour éviter les problèmes avant qu'ils ne surviennent.
Comment en réduire les impacts ?
Il est aisé de comprendre que la mise en œuvre de toutes ces stratégies ont un impact non négligeable, d'une part sur la consommation énergétique, mais aussi les performances, surtout si l'on souhaite utiliser du matériel à faibles ressources, comme cela est notre cas, afin de limiter l'impact environnemental de notre SI.
Chez Caudex, nous avons mis en place plusieurs outils alternatifs aux solutions les plus courantes, permettant de limiter l'impact de la maintenance sur les resources. En voici une sélection non exhaustive :
- Debian, une alternative à Windows Server. On ne présente plus une des stars des distributions Linux dont la robustesse et la longévité ont fait la renommée. Mais en plus de ces qualités, Debian est une distribution assez minimaliste qui fonctionne sans problème sur des configurations matérielles limitées, sans trop en impacter les ressources.
- Alpine linux une alternative pour les applications conteneurisées. La plupart des logiciels conteneurisés proposent aujourd'hui des images alternatives basées sur Alpine Linux. Lorsque ces images sont disponibles, il est avantageux de les utiliser, car cette distribution minimaliste permet de limiter drastiquement la taille des images, et donc les ressources nécessaires en termes de stockage et de réseau.
- reaction, une alternative à fail2ban. Fail2ban est le logiciel de référence pour la surveillance des échecs de connexion, il fonctionne très bien, mais possède l'inconvénient d'être écrit en Python, un langage interpreté très gourmand en ressources. Reaction, quant à lui est un logiciel écrit en Rust, un langage parmi les plus performants disponibles à ce jour, surtout en matière d'expressions régulières, ce qui constitue le cœur de ces logiciels.
- RClone, et PgBackRest des alternatives à AWS CLI pour la sauvegarde des données. Même sans avoir recours aux services d'Amazon (AWS), La plupart des autres fournisseurs de stockage proposent aujourd'hui une API compatible AWS pour le stockage et la synchronisation d'objets dans le cloud. Si la solution la plus simple pour sauvegarder des données via de tels API est d'utiliser le client officiel AWS, celui-ci est malheureusement écrit en langage Python, ce qui compromet largement ses performances. PgBackRest est écrit en langage C et RClone en Go, deux langages compilés bien plus performants qui ont un impact bien inférieur sur les ressources.
- nginx une alternative à Apache HTTP. Si ces deux logiciels de reverse-proxy sont écrits dans le même langage (le C), nginx est basé sur une architecture asynchrone, ce qui est particulièrement efficace dans ce type d'applications, comme en témoignent de nombreux benchmarks, et ce, particulièrement sur des petites configurations.
- PostgreSQL une alternative à MySql. Ces deux bases de donnés dont toutes les deux libres, populaires et performantes. Néanmoins, une récente étude a mis en évidence l'avantage que possède PostgreSQL sur son concurrent en termes de performances. D'autre part, PostgreSQL est fonctionnellement beaucoup plus riche et permet de réaliser un plus grand nombre d'opérations directement en base de données, ce qui permet de réduire efficacement la charge applicative et ainsi d'augmenter la disponibilité.
- OpenObserve une alternative à Grafana. Grafana est une puissante solution d'alerte et de surveillance qui permet de centraliser les logs, mais qui souffre de lenteurs et qui demande énormément d'espace de stockage. OpenObserve, pour sa part, est doté d'une excellente réactivité, compresse les logs très efficacement, ce qui limite énormément le besoin en espace de stockage et est écrit en langage Rust, nécessitant ainsi très peu de resources pour fonctionner.
- GoAccess une alternative à Google Analytics. Même si Google Analytics n'est pas vraiment un outil d'administration système, la plupart des sites utilisent cet outil pour effectuer des statistiques de visites, ce qui permet également d'avoir un aperçu de la charge du serveur. Or depuis la mise en œuvre des règles européennes relatives à la protection des données personnelles (le RGPD), Google Analytics n'est plus en mesure de collecter efficacement les statistiques de visites puisque les utilisateurs peuvent choisir de désactiver les cookies. GoAccess quant à lui n'utilise pas de cookies pour quantifier les visites, mais se base sur l'analyse des journaux d'accès du serveur HTTP (nginx dans notre cas), ce qui nous assure de comptabiliser l'intégralité des visites. D'autre part, GoAccess est écrit en langage C, un des langages les plus performants et économes en ressources. Enfin, il propose une mise à jour en temps réel des statistiques de visite, il n'a donc pas grand-chose à envier à Google Analytics.
Intéressé par notre démarche ?
L'architecture des applications cloud, la gestion de serveurs, leur maintenance opérationnelle, ainsi que les leviers pour en réduire l'impact environnemental peuvent sembler difficiles à mettre en œuvre.
Chez Caudex, nous mettons notre expertise au service de vos projets pour vous proposer des prestations de gestion de projet, d'architecture et de maintenance en accord avec vos valeurs. Contactez-nous pour obtenir un devis.