Repenser les réseaux pour les architectures de Cloud hybride

Sommaire

1 – Le Cloud hybride : vers une intégration du SI et des réseaux
2 – Cloud ou ‘conteneurs’ : un impact direct sur le réseau
3 – L’option SD-WAN et les fonctions réseau virtualisées (NFV)
4 – La gestion des services et fonctions WAN partir d’un portail
5 – Un portail web client pour agencer ses liens WAN
6 – Les accès vers le Cloud public : l’atout des partenariats

_ _

1 – Le Cloud hybride : vers une intégration du SI et des réseaux

Le Cloud hybride s’inscrit dans un processus prévisible d’interconnexion et de convergence. A terme, si ce n’est pas déjà commencé, la plupart des entreprises créeront des liens entre leur informatique « classique » et une partie de leurs applications installées sur le Cloud, privé et/ou public.

Avec le contexte croissant de la mobilité et des applications SaaS (Sofware as-a-service, sur le Cloud), le système d’information des entreprises a vocation à devenir pluriel et réparti sur plusieurs localisations. L’ERP, la gestion de la production et diverses applications en ligne vont cohabiter, pour certaines au sein d’un datacenter administré par la DSI de l’entreprise, et d’autres, comme les ‘mobile apps’ ou la messagerie (Office 365) ou la gestion des clients (Salesforce), voire les RH (Workday ou SAP-SuccessFactors) sur le Cloud. Autant d’applications directement accessibles par tous leurs utilisateurs, y compris en mobilité.
Des protocoles de sécurité auront été mis en place pour assurer une étanchéité entre les accès externes et les consolidations internes. Le Cloud, étant en partie privé et en partie public, ne sera plus vu comme un élément extérieur, mais sera intégré de façon transparente dans l’architecture du SI.

Selon une étude d’IDC de 2015 (source), 83 % des entreprises interrogées, en Europe, déclarent s’organiser autour d’un Cloud hybride ou envisagent de le faire. Et 20% des entreprises hébergent déjà un nombre significatif de charges de travail (‘workloads’) dans un environnement de Cloud hybride.

Une étude de PAC intitulée « L’usage du Cloud Hybride en France » 2016,(Source) montre que l’informatique se construira de plus en plus « autour d’un système hybride entre l’existant et les différents types de Cloud ». L’étude constate que les entreprises vont dans cette direction, mais chacune à son rythme : « Cette transformation nécessite de prendre en compte l’intégration, la réglementation, la localisation des données, l’implication de prestataires de proximité, et des solutions bien adaptées aux métiers ».

Par Cloud hybride, PAC entend un service « qui permet des interactions entre des services Cloud (à la fois privés et publics) et le reste de l’informatique pour remplir différentes fonctions (workloads) au sein d’une même organisation ». L’étude révèle que pour 75% des entreprises, le Cloud est un support à la mobilité. Il peut répondre, d’une part, aux besoins d’agilité et de mobilité nécessaires à des directions métiers qui veulent s’adapter aux évolutions de leur environnement et, d’autre part, aux besoins et objectifs d’agilité, de qualité et d’efficacité de la direction informatique et de l’IT. Selon PAC, 25% des entreprises ont mis en place une vraie informatique hybride. Et 19% des répondants anticipent même, que d’ici deux ans, le Cloud Hybride sera une véritable stratégie d’entreprise.

2 – Cloud ou ‘conteneurs’ : un impact direct sur le réseau

Le déploiement du Cloud hybride bouscule le réseau de l’entreprise. L’option des ‘conteneurs’ précipite également la nécessité de conforter la connectivité. Intégration à haut débit et automatisation s’imposent.

« Un environnement de Cloud hybride implique une infrastructure de nouvelle génération. Elle doit intégrer au moins deux des trois modèles de prestations suivants : un datacenter et/ou un Cloud privé traditionnel, un Cloud privé géré et un Cloud public », constate le cabinet Gartner (Source). L’hybridation suppose également un provisionnement coordonné de la gestion et des services.

« En automatisant les tâches d’administration, en fournissant un accès en libre-service à l’infrastructure et aux applications et en renforçant considérablement l’évolutivité, la disponibilité et le taux d’utilisation des ressources IT, le Cloud hybride contribue à transformer l’IT traditionnelle en un modèle de services », ajoute le Gartner.

Le Cloud hybride est donc censé changer la donne : améliorer la flexibilité de l’entreprise et réduire ses délais de mise sur le marché, tout en diminuant les coûts opérationnels.

L’impact d’une migration vers les conteneurs

Parallèlement au Cloud, l’option d’une migration du SI vers une agrégation de « conteneurs », application par application, ne diminue pas la pression sur le réseau. Bien au contraire. « Les conteneurs augmentent considérablement le nombre d’instances. La facilité et la rapidité avec lesquelles on peut créer et supprimer des conteneurs impliquent un environnement encore plus flexible et dynamique que les instances d’hyperviseurs traditionnels », constate un analyste du Gartner. En clair, le réseau doit tenir le choc… grâce à une montée vers les très hauts débits.

SDN ou SDI : l’ère du ‘Software Defined’

Cloud ou conteneurs, cette nouvelle organisation du SI a tout intérêt à s’appuyer sur des solutions ‘Software Defined’. Le réseau ou l’infrastructure définis par logiciel (SDN ou SDI) se configurent de façon simple afin de prendre en charge l’administration de la plateforme serveurs et la virtualisation à la fois des services de données et des ressources matérielles sous-jacentes, inhérentes au réseau.  Cette option Software Defined permet une configuration plus « agile » et plus flexible des environnements Cloud. Et dans le cas de microservices bâtis avec des conteneurs, cela devient la norme pour de nombreuses opérations : la nouvelle architecture permet d’homogénéiser les applications, les plateformes et l’infrastructure virtuelle.

3- L’option SD-WAN et les fonctions réseau virtualisées (NFV)

La virtualisation du réseau ouvre la voie à une automatisation de certaines fonctions pour les accès distants, vers le Cloud comme vers d’autres sites en connexion permanente.

Les solutions ‘Software defined’ appliquées aux liens télécoms accélèrent la refonte des architectures réseaux. Elles ont l’avantage d’introduire des processus automatiques pour délivrer un calibrage optimal des liens WAN (Wide area network).

Selon le cabinet Gartner (2016, source), le SD-WAN se caractérise par quatre critères : la prise en charge de types d’accès disponibles pour la connexion des sites (Internet, VPN, MPLS, 3G/4G…) ; la sélection dynamique des liens WAN avec une répartition de charge entre les liaisons établies ; une interface simple à utiliser pour gérer toutes ces fonctions WAN ; et enfin une activation automatique des connexions vers des sites éloignées – agences, succursale, entrepôts…

D’autres services qui peuvent être automatisés, provenant de divers fournisseurs tierces-parties, peuvent venir s’y greffer : contrôleurs d’optimisation WAN, pare-feu de sécurité des accès, passerelles Web, etc.

« D’ici à la fin de 2019, estime le cabinet Gartner, 30% des entreprises utiliseront des produits SD-WAN dans toutes leurs succursales, contre moins de 1% aujourd’hui. » Le cabinet d’analystes constate également que plus de 70% des entreprises, en Europe, externalisent la gestion de leur WAN auprès d’un prestataire de services réseaux. 

Offres VPN IP et MPLS : le WAN en multi-options

Dans la plupart des grandes entreprises, le réseau WAN repose sur des offres VPN IP (Virtual Private Network sur protocole IP) avec des services MPLS  (Multi-Protocole Label Switching). Pour rappel, ceux-ci  permettant de prioriser certains flux (data, ERP, voix, vidéo…) en apportant des classes de services.
Le problème est que le coût des offres MPLS ne diminue guère. Et la flexibilité fait défaut.
C’est la raison pour laquelle des opérateurs, comme Colt, ont mis au point des alternatives qui apportent une flexibilité accrue et des économies immédiates, tout en assurant des hauts débits à la demande (les besoins étant en croissance de 20 à 30% chaque année, constate Gartner).

Le SD-WAN permet d’apporter de la bande passante à la demande, en agrégeant, de façon automatique, les liens disponibles quels qu’ils soient (Internet via ASDL, fibre, radio 4G…). C’est l’un des rôles des fonctions de virtualisation du réseau (VNF – ou NFV en anglais).

La réponse aux architectures Cloud

Cette solution apportant beaucoup de flexibilité répond bien aux architectures Cloud. A partir d’un portail web unique, le SD-WAN permet d’ouvrir de nouveaux liens « On Demand », immédiatement ou en quelques minutes, vers une succursale, un nouvel immeuble, un entrepôt – et d’adapter la bande passante quasi-instantanément et automatiquement en fonction des flux. 

Avec le SD-WAN, l’accès du WAN à l’Internet public n’est plus centralisé mais se rapproche de l’utilisateur. C’est un gage de réactivité et de souplesse, par exemple pour des flux d’applications Salesforce ou des solutions de communication unifiée, à partir d’Office 365 ou des Google Apps.

4 – La gestion des services et des fonctions WAN à partir d’un portail

Parmi d’autres services, la gestion de la sécurité est assurée sur tout le réseau par le SD-WAN : pare-feu, authentification forte, etc. Et le chiffrement des données est généralement automatisé.

Toutes les fonctionnalités ‘réseau’ s’activent comme des applications que l’on lancerait à partir d’un smartphone. C’est finalement la promesse des offres SD-WAN ‘On Demand’, où les fonctions réseau sont regroupées dans une console unique (CPE), sur un portail web, alors que, jusqu’ici, il fallait paramétrer et activer une application dédiée et spécialisée pour chacune (chemins de routage, pare-feu, répartiteur de charge, etc.). C’est la concrétisation de la virtualisation appliquée au réseau, ou Virtualisation des fonctions réseau (NFV en anglais).

Chez Colt, cette concentration sur une console unique repose sur un serveur x86 tout à fait générique. Elle fonctionne sous Linux avec la marque Advantech). Mais il existe d’autres configurations équivalentes sur le marché. Les débits disponibles vont de 10 Mbits/s à 1 Gbits/s pour des serveurs ‘desktops’ standard (8 Go de RAM, 4 cœurs Atom, SSD 64, etc.).

Les différentes fonctions réseaux / télécoms s’exécutent en tant qu’applications logicielles sur ce serveur. Ce dernier constitue l’une des chevilles ouvrières de l’automatisation et de l’orchestration entre les différentes fonctions.

Les multiples avantages du SD-WAN

Les avantages du SD-WAN sont multiples : il permet de créer un réseau virtuel indépendant des infrastructures. Ce réseau peut tirer profit à la fois de la qualité et de la performance de liens MPLS ainsi que du prix de liens Internet économiques.

Le second avantage est de pouvoir router les flux métiers en fonction de critères prédéfinis. Par exemple, il est possible de paramétrer les usages critiques d’une entreprise, comme les ERP ou le CRM Cloud, sur les infrastructures qui présentent des garanties de performance et de qualité. A l’inverse, il est possible de router les flux moins critiques, comme la consultation web, sur des infrastructures moins coûteuses.

Routage dynamique

Le dernier avantage du SD-WAN ‘On Demand’ est de pouvoir réagir instantanément et automatiquement à des dégradations de services : par exemple, en routant de nouveau les flux vers des liens disponibles et plus adaptés à l’usage. Avec le routage dynamique, les données sont acheminées en fonction de paramètres prédéfinis, tels que la latence, la perte de paquets, la gigue, etc.). Pour la sûreté du dispositif, le fonctionnement s’effectue en mode actif/ actif : deux liaisons peuvent être utilisées simultanément, l’une pouvant secourir l’autre.

Tous ces atouts permettent de réduire l’usage des liens MPLS, plus onéreux. L’entreprise parvient à optimiser ses coûts d’infrastructure tout en conservant une qualité de service et en renforçant sa sécurité.

5 – Un portail web client pour agencer ses liens WAN

Un serveur, connecté à des équipements CPE, permet de configurer sur un portail web les fonctionnalités ‘On Demand’ appliquées aux liens WAN. Tous types d’équipements de connectivité sont ainsi paramétrables, un à un ou par sous-groupes.

Avec le ‘Software defined network’ (SDN), le réseau s’administre à partir d’une console unique, sur un portail web. Cette console s’appuie généralement sur des équipements CPE (Customer premises equipment) installé par l’opérateur dans l’entreprise. Le dispositif présente un avantage : il reconnaît, en auto-découverte, les applications qui circulent sur le réseau. A titre indicatif, chez Colt, le système est capable d’identifier plus de 2 300 types d’applications.

Les CPE sont en grande partie préconfigurés par défaut. Toutes les fonctions NFV (Network function virtualization) sont orchestrées selon les besoins du client, telles qu’elles ont été saisies sur le portail client de façon explicite : par exemple, l’application Saleforce est paramétrée sur le Cloud pour tels ou tels sites, Office 365 pour tels autres sites, du DevOps sur Amazon AWS, etc.

Avec l’automatisation de la connectivité, beaucoup d’entreprises choisissent de privilégier la qualité de service, mais aussi de faire des économies. La configuration par console à distance permet de définir que telle ou telle application sur liaison louée (a priori coûteuse) peut être « basculée » sur Internet pour telle période ou de façon définitive.

SLA sur de simples liens Internet

Le dispositif permet une centralisation des règles pour des liens vers des sites multiples.  A noter que les opérateurs leaders sont aujourd’hui capables de proposer des offres WAN avec qualité de service (ou SLA, Service level agreements) sur de simples liens Internet synchronisés, en complément des offres de réseaux virtuels (VPN IP) qui, eux, garantissent une bande passante stable.

Pour l’entreprise, c’est la garantie d’un service d’assistance professionnel paramétrable 24h sur 24, sur 5 ou 6 ou 7 jours par semaine. Cette qualité de service est notamment assurée par le fait que lorsqu’un lien est défectueux, le trafic bascule vers un autre lien – ce qu’un opérateur comme Colt appelle une « configuration résiliente ».

Délais très raccourcis pour les déploiements

Grâce à ces solutions pilotées à partir d’une console unique, le déploiement de la connectivité Cloud devient beaucoup plus rapide. Là où parfois, il fallait  plusieurs jours, voire plusieurs semaines pour souscrire des abonnements afin de réserver des liens, il suffit de cliquer sur un bouton et la commande peut s’exécuter quasi-instantanément, en quelques minutes ou en quelques heures si une vérification technique ou technico-commerciale doit être opérée préalablement (cas d’une validation avec un ou plusieurs opérateurs partenaires ou opérateurs d’infrastructure sur certaines destinations, régions ou pays).

6 – Accès vers le Cloud public : l’atout des partenariats

Certains opérateurs télécoms ont bien anticipé le succès des applications SaaS. Des partenariats et des co-développements ouvrent la voie à une  connectivité  ‘multi-cloud’.

Chez certains opérateurs télécoms de dimension internationale, le virage vers le Cloud s’est traduit par le déploiement d‘une infrastructure de réseau intelligent.

OBS (Orange Business Services), suite à un partenariat avec RedHat, a annoncé, pour son offre SD-WAN, un partenariat avec Riverbed. D’ici à la fin 2017, la technologie SteelConnect sera intégrée à l’offre de réseau hybride de l’opérateur, pour apporter des fonctions réseau virtualisées VNF (NFV, en anglais) sur des « Universal CPE », qui, là aussi, remplaceront les équipements de routage traditionnels.

Chez Colt, il s’agit de l’offre ‘IQ Network‘, déjà active. Celle-ci apporte les fonctionnalités réseaux de type ‘Software defined’. Mais pour aller plus loin, Colt, à travers son offre de portail ‘On Demand’, propose à ses clients grands comptes et PME de se connecter directement, via son réseau, aux ressources du Cloud public Azure (Microsoft) ou AWS (Amazon). Un partenariat a permis de développer des interfaces ou passerelles directes bien sécurisées. La connectivité est gérée et assurée en temps réel, grâce à des points d’accès (POP) spécifiques. Les services ‘On Demand’ permettent de paramétrer les accès de façon optimale, via le protocole Ethernet sur le réseau Colt IQ. Les clients gardent le contrôle via le portail déjà mentionné plus haut. Ils contournent les processus de livraison et gagnent sur les délais de livraison. Les exigences de bande passante peuvent être définies en temps réel et la facturation peut être opérée dynamiquement : l’entreprise peut choisir un tarif à l’heure ou sur des durées de contrat classique, un an, deux ans ou plus.

Ces services ont l’avantage d’être disponible en région comme à l’international (dont 23 pays en Europe, dans le cas de Colt).

Les opérateurs télécoms se sont organisés pour installer des points d’agrégation auprès de POP réseaux au plus près des Cloud publics, tels qu’Azure ou AWS, ce qui garantit une bonne connectivité vers ces fournisseurs d’applications SaaS.

Colt a retenu le contrôleur Blue Planet de Cyan (rachété par Ciena), qui supporte une ‘suite’ d’orchestration opérant le provisioning des fonctions de connexion sur le réseau. Cet outil exécute le ‘delivery’ classique en mode manuel ou automatique. Des interfaces API [interfaces programmatiques] spécifiques ont permis de l’intégrer sur le portail ‘On Demand’ de Colt.

 [[cf. schéma ci-contre :    Le principe de la suite d’orchestration Blue Planet ]]

Pour les accès télécoms ou SD-WAN, Colt a retenu un partenaire principal, Versa, pour sa plateforme Cloud IP avec routage, pare-feu et prévention des intrusions (de la couche 3 à la couche 7). A noter que tous ces développements s’appuient sur des méthodes « agiles » (sur la base du programme Novitas’ chez Colt), inspiré de la démarche DevOps.

Mentionnons, enfin, l’initiative de Juniper Networks, qui propose Contrail, sa solution d’orchestration de services dans les environnements Cloud, complétée par Contrail JumpStart pour faciliter le déploiement et la solution SDN Contrail Networking. Cette dernière améliore la gestion des services d’accès au Cloud, tout en permettant de combiner la connectivité entre réseaux publics et privés.

En résumé, les principaux atouts des solutions Software Defined dans le contexte des accès Cloud, concerne la garantie de qualité de service, avec des redondances de liens ainsi que des basculements automatiques et pré-paramétrés d’un chemin à un autre,  des économies très substantielles du fait du choix des liaisons les moins coûteuses, en réservant par exemple les liens MPLS uniquement au seul trafic prioritaire des applications critiques, et uniquement lorsque celles-ci sont effectivement actives.