1- Objectifs

Le RACI ci-dessous détaille le partage des responsabilités entre predicloud, OVH et le client pour nos services de gestion d’infrastructure Kubernetes.

Rôles
R : Est en charge de la Réalisation du processus
A : Est Approbateur de la réalisation du processus
C : Est Consulté pendant le processus
I : est Informé des résultats du processus

2- Mise à disposition du service

2.1 infrastructure physique chez OVH (serveurs et options)

La première étape est d’avoir les serveurs physiques qui vont permettre à Predicloud d’installer Kubernetes et tout ce qui permet de le faire fonctionner. Predicloud conseille sur la gamme des serveurs physiques à commander qui seront achetés et payés par le Client. Le client délégue la gestion technique à Predicloud qui prend en charge toute l’installation.

Activité	Client	OVHCloud	Predicloud
Choisir la localisation des serveurs dédiés	C I		R A
Dimensionner les serveurs dédiés en fonction des besoins	C I		R A
Choisir les options en fonction des besoins et fournir le lien de ce qu’il faut commander.	C I		R A
Commander les serveurs et les options sous l’interface OVH	R A		I
Payer chaque mois les serveurs et le coût de mise à disposition. Pour faciliter le support on conseille de prendre les serveurs sans engagement	R A
Produire, acheminer, livrer et maintenir les machines physiques et les bâtiments d’hébergement	I	R A	I
Installer et configurer les briques fonctionnelles internes au serveur dédié nécessaires au maintien en conditions opérationnelles et au maintien en conditions de sécurité (firmware, BIOS, BMC, IPMI…)		R A
Déployer la configuration réseau initiale sur les équipements (IP)	I	R A	I
Ajouter les serveurs livrés dans le la couche réseau Vrack	R A		C I
Déléguer à Predicloud la gestion technique des serveurs (mettre Predicloud en contact technique)	R A		C I

A la fin de cette phase, les serveurs sont disponibles et accessibles pour que nous puissions les configurer

2.2- Installation de l’OS, Kubernetes et CEPH avec tous les outils dont la sauvegarde et le monitoring

Activité	Client	Predicloud
Décider des versions de l’OS, CEPH, de Kubernetes à utiliser	I	R A
Détenir les licences et droits d’utilisation pour les OS utilisés sur les serveurs	I	R A
Installer et configurer les serveurs : OS, CEPH, Kubernetes, stockage	I	R A
Installer le serveur de backup, mettre en place tous les scripts de backup	I	R A
Installer le monitoring de toute la couche Kubernetes, ceph, OS	I	R A
Configurer la couche réseau Vrack avec les différents sous réseau		R A

A la fin de cette phase, il est possible de deployer une application après adaptation de la CICD existante ou en la faisant.

2.3 Intégration continue et modification

Activité	Client	Predicloud
Fournir un accès à Gitlab à Predicloud	R A	I
Concevoir les applications exécutées sur le cluster Kubernetes de manière Stateless et ne pas stocker de données persistantes importantes en local	R A
Si l’application n’est pas Stateless, proposer des solutions pour la rendre Stateless ou partager les données : Session dans redis ou utilisation des ceph fs pour partage de données	I C	R A
Adaptation du code pour le rendre compatible avec Kubernetes si besoin	R A	I
Créer le fichier YAML de configuration permettant de déployer l’application via la CICD	I C	R A
Fournir les images de l’application Client et les maintenir	R A	I C
Détenir les licences et droits d’utilisation pour les images utilisés	R A
Démarrer les logiciels conteneurisés	R A
Vérifier que les logiciels conteneurisés sont bien démarrés		R A
Fournir les données aux conteneurs	R A
Modifier la configuration par défaut du réseau de manière à sécuriser les connexions internes et externes au cluster Kubernetes (Ingress en SSL…)	C	R A
Pour les accès externes du cluster par le Client, fournir les IPS à filtrer	R A	C
Mettre en place les règles de filtrage HTTPS ou TCP via la CICD fournie	R A	C
Sécurisation de la communication : chiffrer les communications		R A
Maintenance quotidienne de la CICD et petite modification	R A	I C
Modification suite à changement d’architecture logicielle – en mode projet	I C	R A
Adapter la configuration du service après sa livraison initiale(Kubernetes..) en fonction des besoins appréciatifs		R A
Migrer les données sysèmes des clients : récopie à l’identique des données précédentes	I	R A
Migrer des données avec adaptation applicatives	R A	I

3. Utilisation du service

3.1 Opération

3.1.1 Opérations quotidiennes

Activité	Client	OVHcloud	Predicloud
Assurer l’accessibilité des Serveurs Dédiés sur le réseau et la connexion réseau interdatacenter	I	R A	I
Développer les applicatifs installés sur l’infrastructure Kubernetes	R A
Décider d’ajouter / supprimer une option sur le Serveur Dédié, demander le remplacement d’un matériel défectueux sur le Serveur Dédié	I		R A
Adapter la configuration de l’OS aux ressources matérielles en présence			R A
Gérer l’accessibilité et le bon fonctionnement du service Kubernetes Managé			R A
Gérer l’accessibilité et le bon fonctionnement du système sur lequel tourne l’application installé			RA
Gérer l’accessibilité et le bon fonctionnement de l’application (bug applicatif)	R A
Déployer une politique de backups sur les données traitées	I		R A

3.1.2. Gestion des accès

Activité	Client	OVHcloud	Predicloud
Gérer les accès et la politique de sécurité de l’applicatif (comment on s’authentifie sur l’application, filtrage sur les ingress)	R A
Gérer les accès physiques et logiques des équipes OVHcloud aux infrastructures	I	R A
Gérer l’accès aux ressources gérées par le service Kubernetes Managé (via la CICD ou le Client à la main)	R A		I C
Gérer l’accès aux Infrastructures pour faire l’administration par Predicloud			R A
Accès au API Kubernetes en lecture ecriture			R A
Accès au API Kubernetes en lecture sur demande avec Filtrage	R A		C I

3.1.3. Monitoring

Activité	Client	Predicloud
Supervision des serveurs/Node : mémoire, CPU, nombre de pods par node, mise à jour de sécurité, matériel…)	I	R A
Supervision des PODs : consommation mémoire, CPU, redémarrage)	I	R A
Supervision de CEPH ( espace disque, disponibilité, répartition )	I	R A
Supervision des Backups (réalisation, consistance)	I	R A
Surveiller le Système d’Information client déployé via le service Kubernetes Managé via les logs applicatifs mis à disposition	R A	C
Traiter et acquitter les alarmes provenant des dispositifs managés		R A
Conserver les logs du système d’information des serveurs : accès serveurs, commandes passées		R A
Conserver logs applicatifs suivant place disponible		R A

3.1.4. Stockage

Activité	Client	Predicloud
Créer, modifier, contrôler, restaurer, supprimer les jobs de backups		R A
Gérer le contenu hébergé sur les infrastructures	R A
Assurer la continuité et la durabilité des données	R A
Réaliser la maintenance des dispositifs de stockage et de sauvegarde fournis		R A
Chiffrer les données sensibles du SI dans le cluster Kubernetes soit par l’applicatif soit via les mécanismes fournis pour chiffrer le S3 (Vault)	R A	C
Chiffrer les archives sur les serveurs de sauvegarde		R A

3.1.5. Connectivité

Activité	Client	OVHcloud	PREDICLOUD
Assurer le fonctionnement des systèmes automatiques de gestion du réseau (architecture, mise en oeuvre, maintenance logicielle et matérielle pour les réseaux publics et privés déployés, IP primaire du serveur dédié)	I	R A	I
Acheter un range d’IP chez OVH	R A		C
Gérer le plan d’adressage IP	I		R A
Déployer une architecture sécurisée en fonction des besoins (HA Proxy, WAF, protocoles sécurisés, possibilité de filtrage etc)			R A
Gerer le filtrage et la connectivité des élements gérés par Predicloud : API K8S, SSH			R A
Gérer la connectivité à son applicatif avec filtrage sur tout ce qui est ouvert sur l’exteéieur	R A		C
Adapter les regles de filtrage à appliquer ou les appliquer dans la CICD	R A
Fournir un accès logique sécurisée et le matériel aux administrateurs de Predicloud pour l’administration			R A
Gérer le traffic inter Node et inter pod			R A
Gestion les certificats TLS avec Let’s encrypt			R A
Modification DNS	R A		I C

3.1.6. Gestion

Activité	Client	OVH Cloud	Predicloud
Assurer la sécurité des infrastructures de gestion (API, Accès des administateurs Predicloud)			R A
Assurer la sécurité des accès à l’application via par exemple les interfaces d’admin des bases de données	R A
Assurer la sécurité des OS, Kubernetes installés			R A
Assurer la sécurité des images déployées pour l’application dont la mise à jour des images	R A
Gérer la sécurité des données déposées par le Client dans CEPH			R A
Gérer la sécurité physique des équipements et infrastructures hébergés chez OVHcloud	I	R A
Fournir l’inventaire des services services mis en œuvre dans le projet Managed Kubernetes	I		R A
Gérer les risques relatifs à l’infrastructure mise à disposition dans le cadre de Managed Kubernetes	I		R A
Gérer les risques relatifs au SI hébergé géré par le service Managed Kubernetes	R A		I
Maintenir en conditions opérationnelles et de sécurité l’applicatif hébergé	R A

3.1.7. Continuité d’activité

Activité	Client	Predicloud
Gérer les systèmes de gestion automatiques / manuel de l’infrastructure mise à disposition comme sortir des noeuds du cluster	I	R A
Déployer la politique de continuité d’activité sur le service Kubernetes managé		R A
Maintenir un plan de continuité d’activité et de reprise d’activité pour le SI hébergé	R A
Réaliser des tests périodiques de restauration du SI géré	R A

3.2. Gestion des évènements

3.2.1. Incidents

Activité	Client	OVHcloud	Predicloud
Remplacer les éléments matériels défectueux du Serveur Dédié	I	R A	C I
Traiter les incidents matériels et réseau (tickets et contacts téléphoniques)	I	R A	C I
Restaurer les sauvegardes	C I		R A
Gérer et notifier les incidents détectés sur les infrastructures managées du service Managed Kubernetes en cas d’impact avéré pour le client	I C		R A
Intervenir sur un incident affectant le service Managed Kubernetes ou le CEPH			R A
Notifier sur un incident sur le service Managed Kubernetes en passant par le service de support (Discord, téléphone …)	R A		I
Intervenir sur un bug logiciel affectant le SI géré	R A		I C

3.2.2. Changements

Activité	Client	Predicloud
Planifier les changements demandés par le client	R A	R I
Appliquer les mises à jour nécessaires en fonction de la politique de mise à jour définie sur les serveurs (OS), CEPH	I	R A
Déployer les mises à jour et maintenances nécessaires sur le service Kubernetes managé	I	R A
Déployer de nouvelles versions logicielles ou de nouveaux Clients	R A
Déployer les mises à jour nécessaires sur les conteneurs managés	R A
Demander la modification des ressources allouées à l’application	R A	I
Ajout de ressource au cluster Kubernetes via la commande de nouveaux noeuds à OVH	R A	I C
Réaliser les modifications de ressources allouées demandées par le client	R I	R A
Ajuster l’application en fonction des besoins en ressources (via CICD)	R A

4. Réversion

4.1. Modèle de réversibilité

Activité	Client	OVHcloud	Predicloud
Planifier les opérations de réversibilité	R A
Choisir les infrastructures de repli	R A
Utiliser les Accès pour exporter les données du cluster et du backup	R A
Créer et déployer le plan de réversibilité du SI géré	R A
Réaliser la suppression des environnements et données sur demande Client	I		R A
Demande de résiliation des serveurs physiques	R A	I	I

4.2. Récupération des données

Activité	Client	Predicloud
Gérer les opérations de réversibilité	R A
Migrer / transférer les données	R A

5. Fin de service

5.1. Destruction des configurations

Activité	Client	Predicloud
Rompre le contrat de fourniture de service	R A	I
Décommissionner les configurations associées au client		R A

5.2. Destruction des données

L’infrastructure est dédiée au client y compris la sauvegarde et le stockage. Une fois le service résilié, les serveurs résiliés chez OVH, Predicloud n’a plus aucun accès aux données Client. Lors de la résiliation d’un serveur les activités ce dessous sont réalisées par OVH.

Activité	Client	OVH Cloud
Opérer la destruction sécurisée des données sur les supports de stockage une fois les serveurs résiliés par le Client		R A
Détruire les supports de stockage arrivés en fin de vie ou sur lesquels le processus de destruction sécurisé génère des erreurs		R A
Fournir une attestation de destruction (sur demande)	I	R A