Ces derniers jours j'ai eu plusieurs discussions concernant les services à développer dans le #datacentre dit de l'UNIF (@unif). En réalité un datacentre public communautaire – avec des collectivités et autres organismes publics —, en Île-de-France, labellisé enseignement supérieur et recherche par le ministère #ESR du moment, dans lequel je participe à installer des établissements supérieurs.
J'ai envie de faire participer qui voudra à la réflexion en vous en parlant un peu ici.
1er sujet. Devons nous proposer des instances de #GitLab hébergées par l'#UNIF au datacentre pour les établissements #ESR ? On pourrait fournir des services comme des runners pour vos CI/CD. Dans le master dont je m'occupais, on en était très friands.
En community edition ou avec une licence. Sachant qu'il y a des tarifs spéciaux pour les universités françaises, en cours de révision pour 2025.
Rappelons que GitLab ça n'est pas que du code, c'est aussi un bel outil de gestion de projet.
deuxième sujet.
Nous allons certainement proposer des l'hébergement de machines virtuelles et de clusters #Kubernetes, pour nos membres. Il faudra notamment choisir entre plusieurs hyperviseurs. En partant de zéro, comment faire simple, si possible libre, pas trop cher et facile à administrer ?
Pour le moment, on a du #proxmox et du #ceph. Est-ce que cela vaut le coup de monter en technicité avec d'autres hyperviseurs ou vaut-il mieux s'investir dans l'administration k8s sur nos VM ?
Troisième sujet la sécurité. Nos établissements apprécient les prix que nous avons négocié pour eux sur les Palo Alto. https://unif.fr/cybersecurite/
Ces firewalls périmétriques nextgen sont pratiques, en particulier, quand ils interviennent entre Internet et nos usagers.
Certains établissements déjà équipés en Palo dans le datacentre y remontent tout le trafic vers Internet. On y intercepte par exemple une résolution DNS vers un domaine malveillant, même si le serveur de nom est externe.…
Depuis 2021 l'UNIF propose des marchés mutualisés. En 2023, l'UNIF a noué un partenariat avec Palo Alto et avec Orange Cyber Défense pour faire bénéficier d'une offre complète, les établissements membres de l'UNIF qui le souhaitaient. Cette offre consiste en un support 24/7 et la totalité des licences sur les [...]
Est-ce vraiment intéressant lorsque le trafic des usagers n'est pas remonté dans le datacentre. J'imagine que la base de signatures de trafic malveillant permet de détecter une VM compromise (command and control, cryptominer etc.). Mais est-ce dans ce cas la meilleure solution et doit-on la proposer sur des équipements mutualisés.
Faut-il plutôt s'atteler à mieux outiller la défense en profondeur notamment en prévision de NIS2 et quel place cela laisse à la mutualisation ? Les compétences ?
Dernier sujet : la mal-nommée intelligence artificielle générative.
Plus précisément, les grands modèles de langages (LLM) et RAG (récupération-génération documentaire) dans un contexte ESR. On est en train de mettre en place infrastructures et services avec une objectivation de l'impact environnemental.
L'UNIF est pour le moment juste en soutien pour le montage, l'hébergement et sur les mesures de l'impact.
Est-ce qu'un service de #RAG spécifique à l'ESR vous semble pertinent/nécessaire ?
Question bonus. Des messages de 500 caractères pour une instance d'universitaires cela rend l'exercice d'écriture difficile.
On augmente la taille sur universites.social ? La limite est à 666 sur piaille.
@pierre Pour parler juste pour ma paroisse : on est en Palo et on filtre tous nos trafics (inter-VLAN clients-clients + clients-serveurs + serveurs-serveurs ainsi que en entrée/sortie avec internet).
Depuis quelques années l’enjeu de sécurité s’est très fortement déplacés du domaine serveur vers le domaine poste de travail et les techno embarquées dans les firewalls modernes apportent des avancées bienvenues.
1/2
@patpro Merci, c'était mon intuition. D'autant que l'argument le plus intéressant pour les Palo est que nous avons un pack de licences assez étendu dans le prix de base, et en l'occurrence il y a plein de choses non nécessaires en DC.
Tu as un avis sur des produits de sécurité mesh comme les Aruba Pensendo ou la security Fabric de Fortinet ? Intuitivement ça amène des moyens de calcul pour la sécu près des flux mais il manque sans doute l'équivalent dans les nœuds mêmes des hyperviseurs.
@patpro qui permettent de mener le travail dans les nœuds de mon hyperviseur (là #proxmox) comme dans certains équipements réseau.
Par exemple, je pourrais avoir envie de faire des règles pour lier quantitativement l'émission d'un trafic rsyslog auth vers ma VM de logs à l'existence de sessions ssh ou d'accès direct web (type novnc) par l'hyperviseur. Je suppose que du nextgen saurait un peu faire ça, mais je n'en suis même pas sûr. Peut-être aussi que ça n'en vaut pas le coup et qu'il vaut…
@patpro mieux investir du temps dans la gestion des accès d'administration. Mais un langage généraliste permettait de faire du firewall stateful sans demander une énorme technicité existait pour ce genre de cas, je serai ravi de l'essayer (sans empiler avec quoi que soit d'autre).
Et sinon juste pour tester #pouetradio :
https://www.youtube.com/watch?v=2AYM3G8GSyk
Pierre Boudes
Admins de universites.social
patpro