Expérimentation informatique en nuage 10 Septembre 2013 1
1. Rappel du Catalogue de Service Initial 2. Architecture technique de la solution et FAQs 3. Modalités de déroulement de l expérimentation & calendrier 4. Tour de table 2
Expérimentation informatique en nuage Rappel de l offre de services initiale Offre de services initiale Machines virtuelles à la demande Environnements 3 tiers de non production Plateformes de développement Des options paramétrables Configuration des offres Niveaux de service Disponibilité / Sauvegarde L ensemble des services sera accessible directement sur un portail à l adresse www.gcloud.ader.gouv.fr 3
Catalogue de services pour l expérimentation informatique en nuage Offre 1 Machines virtuelles à la demande Détail de l offre de service Mise à disposition de machines virtuelles Accès administrateur/root sur les machines via RDP pour windows / SSH pour Linux Configuration de l offre Petit (C1) Moyen (C2) Grand (C3) Paramètres 1 CPU et 2 Go 98 net / mois 50 Go de disque dur 2 CPU et 4 Go 157 net / mois 50 Go de disque dur 4 CPU et 16 Go 344 net / mois 50 Go de disque dur Système d exploitation Windows 2008 R2 Linux Red Hat 6.2 Aucun Eligibilité Tous pour la première VM Souscripteur pour les suivantes Niveaux de service Bronze Souscription Souscription gratuite Fournisseurs DILA 4
Catalogue de services pour l expérimentation informatique en nuage Offre 2 Environnement de non-production Détail de l offre de service Mise à disposition d un environnement hors production basé sur une architecture 3 tiers: - Web (apache) - Serveur d application (au choix J2EE: Jboss/Tomcat ou PHP: Zend) - Base de données (au choix MySQL ou PostgreSQL) Compte administrateur base de données / serveur d application / serveur web Interface web d administration Accès SFTP / SSH Système d exploitation Linux Red Hat 6.2 Configuration de l offre Eligibilité Souscripteurs DILA Compact 2VM (C2: web + app, C2: bdd) 314 net / mois Taille du disque dur par défaut par VM: 50 Go Fournisseurs Etendu 3VM (C1: web, C2: app, C2: bdd) 412 net / mois Taille du disque dur par défaut par VM: 50 Go Bronze SA: Niveaux de service SGBD: Paramètres Tomcat MySQL Souscription PHP PostgreSQL Mise en œuvre: Xx HT à la souscription 5
Catalogue de services pour l expérimentation informatique en nuage Offre 3 Plateforme de développement Détail de l offre de service Mise à disposition d une plateforme de développement basée sur une solution logicielle open-source (solution logicielle à confirmer, exemple : Redmine) - Gestionnaire de documentation (wiki, fichiers) - Gestionnaire de code/version (Subversion) - Gestionnaire de ticket (requêtes, anomalies, fonctionnalités, tâches, etc.) - Gestion de planning (Gantt) Le nombre de projets et d utilisateurs est illimité, à paramétrer par le souscripteur Configuration de l offre Petit Grand Paramètres 98 net / mois incluant 10 Go d espace disque Eligibilité Souscripteurs Projets non-confidentiels 344 net / mois incluant 100 Go d espace disque Niveaux de service Bronze N/A Souscription Mise en œuvre: Xx HT à la souscription Fournisseurs DILA 6
Catalogue de services pour l expérimentation informatique en nuage Liste des options proposées Configuration complémentaire vcpu vcpu supplémentaire par VM 1,413 net 1 vcpu / jour RAM RAM supplémentaire par VM 0,284 net 1 Go / jour Espace Espace disque supplémentaire par VM 0,254 net les 10Go / jour Fonctionnalités Internet Service exposé sur internet Gratuit Nécessite une validation 1 12 3 vcpu 1 18 Go vram 72 1Go 128Go HDD 16To Sécurité / Disponibilité Sauvegarde Snapshot de VM 0,254 net / 10 Go / jour Services Suspension Suspension des services 0,254 net / 10 Go / jour 7
1. Rappel du Catalogue de Service 2. Architecture technique de la solution et FAQs 3. Modalités de déroulement de l expérimentation & calendrier 4. Tour de table 8
Sécurité Opérations Accès Expérimentation informatique en nuage Principes généraux de l architecture des services Cloisonnement au niveau des services: chaque service dispose d un contrat d interface standard Tous les clients du G-Cloud partagent les mêmes ressources réseaux, calcul et stockage Accès à partir d un nom de domaine unique et personnalisé : (une IP unique par service, même multi-vm) : Internet: monservice.gcloud.gouv.fr Ader: monservice.gcloud.ader.gouv.fr Architecture d opérations: (à la disposition du souscripteur via le portail) Interface de gestion : arrêt / démarrage, modification de ressources, suppression du service Supervision de base ON / OFF du service, pas de supervision de bout en bout Export des VM d un service au format OVF Sauvegarde: / Restauration par snapshot Sécurité Les flux retours non-ouverts sur ADER seront à ouvrir par le souscripteur si nécessaire Mot de passe par défaut, pas de paramétrage possible ou clef SSH Les flux définis dans les contrats d interface des services sont gérés uniquement par la DILA Les firewalls locaux sont administrables et permettent de restreindre les flux si besoin Les mises à jours de sécurité sont à effectuer par le souscripteur. Un raccord WSUS ou Red Hat Network est fourni par la DILA et préconfiguré au niveau des services 9
Principes de cloisonnement par service Zone de confiance : service / vcdni Toutes les organisations partagent les mêmes pools d adresses IP publics ADER et Internet Chaque service sait dissocier son trafic Internet de son trafic ADER, les deux réseaux étant séparés Chaque service ne consomme qu une IP ADER et /ou Internet et dispose de son propre réseau privé 10
Architecture générale des services Architecture logique Topologie 2 : vcdni Service 1 VM Service multi VM Les contrats d interface sont gérés par le fournisseur cloud et sont définis lors de la conception du service: Interface ADER : Firewall dédié en charge du contrat d interface avec les autres services sur ADER via de la translation de port (D-NAT: Destination Network Address Translation) Interface Internet: Firewall dédié en charge du contrat d interface avec les autres services sur Internet (D-NAT) Interface Administration: Firewall dédié qui n autorise que les flux sortants vers les serveurs d administration DILA (S-NAT: Source Network Address Translation) Les VM disposent d une IP fixe sur les réseaux privés internes au service (ADER et Administration) Pas de risque d IP dupliquée sur les réseaux partagés 11
Architecture du service 1 : Machine virtuelle avec ou sans OS Blueprint Flux entrant ADER* Source Destination SSH (tcp/22) Entité origine VM1 RDP (tcp/3389) Entité origine VM1 SNMP (udp/161) Entité origine VM1 Any Any VM1 * Sous réserve de conformité avec la politique de sécurité ADER. Voir en annexe Flux entrant Internet Source Destination HTTP (tcp/80) Any VM1 HTTPS (tcp/443) Any VM1 Service de VM nues ou avec OS avec un compte administrateur Possibilité de mettre à jour via un RHN ou WSUS local Accès au port console via le portail de self-service uniquement Users root / administrator Stack logicielle Version Red Hat Enterprise Linux (64 bits) 6.2 Windows Server 64bits 2008 R2 12
Architecture du service 2 : Environnement 3 tiers de non production Blueprint Flux entrant ADER* Source Destination SSH (tcp/22) Entité origine VM1 SNMP (udp/161) Entité origine VM1 HTTP (tcp/80) Any VM1 HTTPS (tcp/443) Any VM1 HTTP (tcp/8080) Entité origine VM2 MySQL (tcp/3306) Entité origine VM3 PostgreSQL (tcp/5432) Entité origine VM3 Flux entrant Internet Source Destination HTTP (tcp/80) Any VM1 HTTPS (tcp/443) Any VM1 13 Environnements 3 tiers de non-production: - Interface web d administration spécifique (arrêt / relance de serveur applicatif) Users root admin deploy * Sous réserve de conformité avec la politique de sécurité ADER Stack logicielle Version Red Hat Enterprise Linux (64 bits) 6.2 PostgreSQL 9.2 MySQL 5.6 Tomcat 7.0.4.1 PHP 5.3 Apache 2.4.4
Architecture du service 3 : Plateforme de développement Blueprint Flux entrant ADER* Source Destination SSH (tcp/22) Entité origine VM1 SNMP (udp/161) Entité origine VM1 HTTP (tcp/80) Any VM1 HTTPS (tcp/443) Any VM1 Flux entrant Internet Source Destination HTTP (tcp/80) Any VM1 HTTPS (tcp/443) Any VM1 Plateforme de développement: - Interface web d administration spécifique au service (export de données, logs, ) Users user Stack logicielle Version Red Hat Enterprise Linux (64 bits) 6.2 Redmine 2.3.1 Subversion 1.8.0 Submin 2.1.2 14 * Sous réserve de conformité avec la politique de sécurité ADER
1. Rappel du Catalogue de Service 2. Architecture technique de la solution et FAQs 3. Modalités de déroulement de l expérimentation & calendrier 4. Tour de table 15
Ouverture du portail de self-service Le portail de self-service sera accessible uniquement via ADER à partir du 28 octobre 2013 sur l URL suivante: https://portail.gcloud.ader.gouv.fr/ Une page d information avec les questions fréquemment posées sera disponible sur la page principale http://www.gcloud.ader.gouv.fr 16
Trois profils de connexion au portail de self-service Connexion portail Services de démonstration Commande de services Invité anonyme Permettant d accéder au portail via ADER et de visionner l interface et les prix des services Invité nommé Souscripteur Permet de souscrire aux services avec un quota individuel de 2 VM et dans une durée limitée. Une inscription est nécessaire. Permet de souscrire à l ensemble des services une fois les informations de facturation renseignées L accès au portail de self-service exposé sur ADER sera ouvert à tous via le compte invité anonyme Les comptes invités nommés seront distribués dans la limite des capacités disponibles Des entités faisant partie intégrante du PoC pourront déclarer des profils «souscripteurs» individuels 17
Modalités d inscription pour les différents comptes utilisateurs Invité Anonyme: Disponible à tous Accessible que sur ADER Interface utilisateur, avec affichage du prix Aucune ressources affectée, les demandes ne pourront aboutir Profil attendu: toute personne intéressée par le portail de self-service: chef de projet, architecte, administrateur, exploitant Invité nommé: Disponibilité de ressources individuelles : 2 VM maximum à répartir sur les 3 services Expiration automatiques des VM au bout de 5 jours Nécessite d avoir un email en gouv.fr Les inscriptions sont à faire via le portail : http://www.gcloud.ader.gouv.fr Profil attendu: utilisateur technique, chef de projet, architecte Souscripteur: Accepter les conditions générales d utilisation du services (opt-in électronique sur le portail) L inscription est soumise à validation auprès de l organisation d origine Les données de facturation doivent être pré-rempli Nécessite d avoir un email en gouv.fr Inscription par le portail : http://www.gcloud.ader.gouv.fr Profil attendu: utilisateur technique, chef de projet, architecte 18
Modalités d inscription pour les organisations Conditions préalables au niveau de l entité Pas de limitation sur le nombre d utilisateurs Identification d une ou plusieurs personnes en charge d inscrire les utilisateurs Identification d un ou plusieurs valideurs pour un groupe de souscripteurs Communication des données de facturation (voir annexes) Attendus Revue et contribution aux conventions de services Participation aux tests de validation des workflow et de la facturation Chargé des inscriptions Valideur des demandes opérationnels Souscripteur Actions: Faire acte de candidature à gcloud@dila.gouv.fr en précisant les cas d usage déjà envisagés Envoyer une première version du fichier Excel d inscription de l entité avec les trois rôles pour le 18 octobre à l adresse gcloud@dila.gouv.fr 19
Sécurité Analyse de risque en cours Conduite dans le respect des normes ou travaux en cours (Ebios, ISO 27017, travaux de l ANSSI) Deux périmètres: Revue de l architecture virtualisée DILA Revue de l architecture Cloud Finalisée en décembre 2013 avec la formalisation d un plan d actions en janvier 2014 Homologations: Portail de self-service Cluster de ressources hébergeant les services instanciés Ces homologations pourront être produites pour les clients désirant eux-mêmes homologuer leurs services hébergés dans le Cloud 20
Conventions de services Deux conventions Convention cadre entre la DISIC et la DILA qui mandate: La DILA comme un hébergeur du G-Cloud Convention appliquée entre la DILA et l entité cliente Définit les niveaux de services Les modèles de conventions ainsi que les conditions générales d utilisation du service à la DILA seront mis à disposition en ligne sur ADER sur une plateforme permettant les commentaires collaboratifs Ouvert en consultation à tous Revue demandée aux ministères participant à l expérimentation Les prix des services seront disponibles à l ouverture du portail 21
Attendus et limites de l expérimentation Attendus de l expérimentation Retour et satisfaction utilisateur Identification et correction des bugs Suggestions d amélioration et d étoffement de l offre de services Tests d intégration dans les ministères et détermination de cas d usages Soutien à la démarche DISIC: Définition d abaques et de métriques en préparation d un passage à l échelle Limites de l expérimentation Limitation de capacité du PoC à 100 VM Portail de self-service en anglais dans un premier temps Niveaux de services bronze uniquement Recommandation Pas de production 22
Calendrier et prochaines étapes Ouverture des services : 28 octobre 2013 Fin de l expérimentation : 25 avril 2014 A la fin de l expérimentation, les deux voies suivantes sont envisagées: Poursuivre l utilisation des services souscrits ; les services deviendront payants Arrêter les services souscrits ; un export au format OVF sera fourni. Les services seront archivés pour une durée de 1 mois avant suppression définitive. A noter: les licences logicielles (Windows, RHEL), restent la propriété de la DILA Point de contact G-Cloud : gcloud@dila.gouv.fr 23
1. Rappel du Catalogue de Service 2. Architecture technique de la solution et FAQs 3. Modalités de déroulement de l expérimentation & calendrier 4. Tour de table 24
25 ANNEXE
Détails des ressources pour les différents services Unité d Œuvre Description du Service Paramêtrage des VMs Paramêtrage du Service Service Description Nb. VM OS Logiciel UO CPU RAM Disque Bail d'execution Bail de stockage Nom Description Service 1 VM nue avec OS 1 RHEL Windows Server vcpu : 2,5 GHz vram : 2 Go 1 Disque système 40 Go 1 Disque appl : 10 Go Min :1vCPU Max : 12vCPU Min : 2vRAM Max : 96vRAM Min : 10Go Max : 1To illimité illimité Nom du service Description du service Service 2 Environnement de non production 2 ou 3 RHEL Apach Httpd Jboss,tomcat, PHP MySQL, Postgres vcpu : 2,5 GHz vram : 2 Go 1 Disque système 40 Go 1 Disque appl : 10 Go Min :1vCPU Max : 12vCPU Min : 2vRAM Max : 96vRAM Min : 10Go Max : 1To illimité illimité Nom du service Description du service Service 3 Plateforme de développement 1 RHEL Redmine Subversion vcpu : 2,5 GHz vram : 2 Go 1 Disque système 40 Go 1 Disque appl : 10 Go Min :1vCPU Max : 12vCPU Min : 2vRAM Max : 96vRAM Min : 10Go Max : 1To illimité illimité Nom du service Description du service 26
Niveaux de services Période de service Bronze 8H-19H Lundi au vendredi Disponibilité annuelle 95 % Garantie de temps d intervention : Anomalie bloquante (taux de respect) 4 H (98 %) Anomalie majeure (taux de respect) 8 H (95%) Anomalie mineure (taux de respect) 2 Jrs (90 %) Délai de prévenance pour maintenances planifiées 10 jrs PDMA (en cas de sinistre) 1 jrs DIMA (en cas de sinistre) Best effort Point de sauvegarde (nb. maxi de point de restauration) 1 27
Fichier d inscription pour les souscripteurs Nom Prénom Organisation Service Fonction Téléphone Email Role Inscripteur Fichier à compléter: Gcloud-Inscription-v0_01.xlsx (le fichier sera également disponible sur http://www.gcloud.ader.gouv.fr ) Les informations demandées sont: Nom Prénom Organisation Service Fonction Téléphone Email Roles Inscripteur Valideur Souscripteur (par défaut) Nom du valideur Centre de coûts (à compléter ultérieurement) Optionnel : L onglet des réseaux est à compléter pour les adresses sources sur ADER uniquement 28
Données de facturation Fournisseur : 10 caractères (exemple : 1700002288) Service exécutant (en charge du traitement de la commande et de la facture) : 10 caractères (exemple : CSPSPM0075) Centre de cout (service bénéficiaire de la dépense) : 10 caractères (exemple : SPMDSI0075) Domaine d activité (comptable en charge) : 4 caractères (exemple : 0740) Le numéro de SIRET: 14 caractères (exemple: 732 829 320 00074) Numéro de convention/commande : 10 caractères (une fois la convention signée et la commande passée) 29
Expérimentation informatique en nuage Modalités : circuits de validation Inscription Toute personne ayant une adresse mél en.gouv.fr et un poste connecté à ADER pourra accéder au portail et faire une demande d inscription. Une personne désignée par ministère, préalablement identifiée, sera en charge de valider l inscription Accès au portail Demande de paramètres de connexion Validation ministère OK Notification des paramètres KO Justification du refus. 30
Expérimentation informatique en nuage Modalités : circuits de validation Souscription d un service Il n y aura pas de limitation à la souscription de services pour les personnes inscrites Connexion au portail Choix du service Configuration du service Choix du niveau de service. Notification du refus Calcul de la tarification KO KO Installation technique OK Validation du fournisseur OK Validation ministère OK Acceptation de l offre KO Validation automatique en cas de requête standard Notification de la validation Mise à disposition du service 31
Expérimentation informatique en nuage Modalités : circuits de validation Modification d un service souscrit Il n y aura pas de limitation à la modification des services Connexion au portail Choix du service Modification du service Notification du refus Calcul de la nouvelle tarification KO KO. Modification de l installation technique OK Validation du fournisseur OK Validation ministère OK Acceptation de l offre KO Validation automatique en cas de requête standard Notification de la validation Mise à disposition du service 32
Expérimentation informatique en nuage Modalités : Facturation Facturation Pendant la durée de l expérimentation, les services sont gratuits Cependant, le processus de facturation sera simulé (deux cycles de facturation trimestriels sont prévus pendant l expérimentation). 33
Flux ouverts par défaut sur ADER Citrix_ICA (TCP/1494) FTP (TCP/21) (TCP/20) HTTP (TCP/80) HTTPS (TCP/443) SMTP (TCP/25), SNMP (TCP/161, TCP/162) sqlnet1, sqlnet2-1521 (TCP/1521) SSH, (TCP/22) TCP/150, Oracle SQLNET TCP/66, TCP/990 (FTP over SLL), UDP_Port_1494, UDP_Port_150, UDP_Port_1521, UDP_Port_1604, UDP_Port_66, UDP_Port_80. 34