Une entreprise américaine de technologies de centres d’appels devait moderniser son infrastructure existante, gérée en interne, en une plateforme cloud sécurisée et DevOps./services/devops-servicesL’environnement du client devait permettre un déploiement logiciel rapide tout en garantissant la cohérence des exigences de gouvernance, de contrôle d’accès, d’observabilité et de conformité SOC 2 entre les environnements de développement, de production, de services partagés et les charges de travail sur site.
HDWEBSOFT a contribué à la conception et à la mise en œuvre d’une plateforme hybride connectant les clusters AWS EKS, les nœuds de centres de données sur site à Las Vegas et à Los Angeles, le déploiement GitOps, la gestion centralisée des identités et des secrets, l’automatisation CI/CD et la surveillance de la sécurité./services/cybersecurity) dans un modèle opérationnel auditable.
Contexte du projet
La plateforme du client gérait les opérations d’un centre d’appels où la fiabilité, la sécurité et la rapidité de service étaient primordiales. Avec la croissance de l’activité, l’infrastructure existante est devenue plus difficile à exploiter de manière cohérente, reflétant les risques liés à la planification, aux dépendances et aux opérations, courants lors de la [migration des charges de travail existantes](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/assess-perf.htmlLes équipes avaient besoin d’une méthode plus simple pour provisionner les environnements, contrôler les accès, déployer les charges de travail, surveiller les incidents et prouver que les modifications d’infrastructure étaient intentionnelles et traçables.
L’objectif de la modernisation ne se limitait pas à la migration des charges de travail vers le cloud. Il s’agissait de créer une plateforme robuste et reproductible capable de prendre en charge la migration des systèmes existants et la modernisation des serveurs autogérés./services/application-modernization-services), des opérations basées sur Kubernetes et une livraison conforme aux exigences sans ralentir les équipes d’ingénierie. Les besoins de contrôle SOC 2 ont façonné la conception de la plateforme dès le départ, notamment la journalisation centralisée, la gouvernance des identités, un étiquetage cohérent, des modifications d’infrastructure auditables et un accès traçable aux outils opérationnels.
Entretien avec les parties prenantes
« Ce projet a été complexe car l’environnement informatique existant ne disposait pas d’une documentation suffisamment fiable. Avant de pouvoir concevoir la stratégie de migration, nous avons dû examiner directement les serveurs, collecter des informations sur le système d’exploitation et les paquets, et identifier les services réellement nécessaires au fonctionnement des logiciels. »
— Duy Duong, Responsable DevOps chez HDWEBSOFT
Le travail d’analyse ne s’est pas limité à la lecture de schémas ou de notes de déploiement. L’équipe a inspecté les serveurs Linux existants, collecté les inventaires des paquets installés, examiné les services en cours d’exécution et cartographié les dépendances entre les composants d’infrastructure et le comportement des applications. Chaque paquet et service a dû être évalué avec soin : était-il nécessaire aux charges de travail de production, prenait-il en charge une dépendance opérationnelle ou engendrait-il des risques inutiles de maintenance et de sécurité ?
Cette enquête a permis de transformer un environnement autogéré et peu clair en un plan de migration que les équipes d’ingénierie, de sécurité et d’exploitation ont pu examiner. Elle a également réduit le risque de transférer des hypothèses non documentées vers la nouvelle plateforme cloud.
Fonctionnalités clés
Base de cloud hybride sécurisée
Plateforme utilisée : [AWS Organizations]/services/aws-amazon-web-servicesAfin de séparer la gestion, les services de plateforme partagés, le développement, la production et le stockage centralisé des journaux, l’équipe a pu maintenir des limites claires entre les comptes tout en répondant aux différents besoins opérationnels des environnements.
Les clusters Amazon EKS ont pris en charge le développement, la production et les services de plateforme partagés. Les charges de travail de développement utilisaient une stratégie de calcul optimisée en termes de coûts, tandis que la production s’appuyait sur une capacité stable à la demande avec mise à l’échelle automatique basée sur Karpenter. Les services partagés servaient de plateforme centrale pour les outils.
Le réseau a été conçu pour assurer une connectivité contrôlée entre AWS et les environnements sur site. La plateforme utilisait le réseau VPC, le peering, Direct Connect, les passerelles NAT, les journaux de flux et des référentiels de sécurité pour prendre en charge les charges de travail hybrides sur les nœuds AWS et les centres de données.
Gestion des identités, des accès et des secrets
Okta a servi de fournisseur d’identité central pour les outils d’ingénierie et de plateforme. Il fédérait les accès à AWS IAM Identity Center, GitHub, Grafana, Datadog, Vault, Rancher, Flux UI, Jenkins et les outils de sécurité des terminaux.
HashiCorp Vault assurait la gestion centralisée des secrets pour les ingénieurs, les pipelines CI/CD et les charges de travail Kubernetes. Vault fonctionnait en mode haute disponibilité sur la plateforme de services partagés EKS, tandis qu’External Secrets Operator synchronisait les secrets approuvés avec les espaces de noms des applications.
La plateforme utilisait également les rôles IAM pour les comptes de service afin d’octroyer des autorisations AWS précises aux charges de travail Kubernetes. Cela réduisait le besoin d’identifiants généraux et simplifiait l’audit des accès aux charges de travail.
Déploiement d’applications GitOps
FluxCD gérait la réconciliation continue à partir de Git. La plateforme utilisait des dépendances de kustomisation par couches, permettant ainsi de déployer l’infrastructure, les secrets, les applications, l’observabilité et les composants de sécurité de manière contrôlée.
Flux Image Toolkit automatisait les mises à jour des balises d’image pour certains services. Cela permettait aux équipes de réduire les étapes de publication manuelles tout en garantissant que le comportement de déploiement soit lié aux modifications du contrôle de version validées.
Les services principaux de la plateforme incluaient l’ingress, l’automatisation DNS, la gestion des certificats, la mise à l’échelle automatique, la prise en charge de WebRTC TURN, l’observabilité et la gestion multi-cluster. Ensemble, ces services ont offert aux équipes applicatives un cheminement cohérent du code à l’exécution.
CI/CD et expérience développeur
GitHub Actions utilisait des runners auto-hébergés sur la plateforme de services partagés EKS. La capacité des runners pouvait évoluer en fonction de la demande, y compris une capacité ponctuelle pour une exécution optimisée en termes de coûts.
Les workflows OpenTofu prenaient en charge la planification et l’application des opérations pour chaque pile d’infrastructure. Les commentaires de planification des demandes d’extraction, la détection des dérives planifiées et les secrets de pipeline stockés dans Vault ont permis de rendre les modifications d’infrastructure plus visibles et maîtrisées.
Jenkins assurait l’orchestration centralisée des builds, tandis que Nexus gérait le stockage des artefacts. Cela a permis à la plateforme de prendre en charge à la fois la livraison cloud-native moderne et les processus de build existants lors de la modernisation.
Observabilité et opérations de sécurité
La pile d’observabilité combinait Grafana, Loki, Alloy, Datadog et des workflows d’alerte. Les ingénieurs bénéficiaient ainsi d’une vue plus claire des couches d’infrastructure cloud, Kubernetes et hybrides.
La protection des terminaux CrowdStrike Falcon était déployée sur les clusters EKS, tandis qu’AWS GuardDuty ajoutait la détection des menaces côté cloud. Ces contrôles ont permis au client de renforcer sa sécurité tout en respectant les exigences de conformité SOC 2.
Défis techniques
Coordination de plusieurs couches d’automatisation
La plateforme reposait sur l’infrastructure en tant que code, GitOps, la gestion de la configuration, l’intégration continue et le déploiement continu (CI/CD), la gestion des secrets et l’automatisation de la sécurité. Ces couches devaient fonctionner ensemble sur plusieurs dépôts sans créer de dépendances cachées ni d’ambiguïtés de propriété.
Gouvernance de plusieurs environnements à grande échelle
Les environnements de développement, de production, de services partagés, de journalisation centralisée et les comptes d’administration avaient chacun des besoins différents. Le défi consistait à maintenir la cohérence des règles d’accès, d’étiquetage, de contrôle réseau, de journalisation et de déploiement sans rendre la plateforme trop rigide pour les équipes d’ingénierie.
Gestion des opérations de cloud hybride
La modernisation comprenait des charges de travail à la fois sur AWS et dans les centres de données sur site. La prise en charge d’EKS, de Proxmox, des clusters gérés par Rancher et des modèles opérationnels existants a nécessité une intégration soignée entre le réseau cloud et les autres environnements./services/cloud-software-development-services), identité, déploiement et surveillance.
Réduction des écarts de documentation et d’inventaire
Les systèmes existants engendrent souvent des écarts entre la documentation et la réalité. Le client avait besoin de définitions sauvegardées avec Git, de contrôles automatisés et d’un provisionnement reproductible pour que la plateforme reste compréhensible malgré les évolutions.
Équilibre entre coût, fiabilité et stabilité
L’équipe devait optimiser les coûts de calcul sans compromettre la fiabilité de la production. Cela nécessitait une stratégie de capacité pragmatique pour les charges de travail ponctuelles, la capacité de production à la demande, les règles de mise à l’échelle automatique et les mesures de protection opérationnelles.
Conformité SOC 2 dans un contexte d’évolution rapide
La plateforme devait répondre aux exigences de conformité SOC 2.https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2/Tout en permettant aux équipes de déployer rapidement, la traçabilité et la gouvernance des modifications d’infrastructure, des flux d’accès, de l’utilisation des secrets et des événements opérationnels étaient essentielles. La plateforme nécessitait également des points de preuve cohérents pour les audits, notamment l’historique des modifications, les enregistrements de contrôle d’accès, les journaux centralisés et les résultats de la détection des écarts.
Solutions
Séparation claire des responsabilités
HDWEBSOFT a permis de séparer les responsabilités de la plateforme entre les différentes couches : infrastructure, secrets, charges de travail, observabilité et sécurité. Des contrats d’intégration documentés ont facilité la compréhension, par les équipes, du système responsable de chaque étape du flux de livraison.
Infrastructure modulaire en tant que code
Les piles OpenTofu étaient organisées autour de limites d’état isolées et de contrôles d’intégration continue automatisés. Les commentaires sur les plans des demandes de fusion ont aidé les relecteurs à comprendre les modifications d’infrastructure avant approbation, tandis que la détection des écarts planifiée a mis en évidence les différences entre l’infrastructure déclarée et l’infrastructure réelle.
Réconciliation GitOps par couches
FluxCD était organisé avec des dépendances explicites entre les couches de la plateforme. Cela a réduit les risques liés au déploiement et simplifié la récupération, car les modifications pouvaient être examinées, appliquées, annulées et suivies via Git.
Gouvernance unifiée des identités et des accès
La fédération Okta SSO a offert aux ingénieurs et aux opérateurs un modèle d’accès centralisé pour l’ensemble des outils cloud et de la plateforme. AWS IAM Identity Center, Vault, GitHub, Grafana, Datadog, Rancher, Jenkins et d’autres systèmes ont ainsi pu adopter un modèle d’identité plus cohérent.
Conception d’une plateforme Kubernetes optimisée en termes de coûts
Karpenter a permis à la plateforme d’adapter sa capacité de calcul aux besoins des charges de travail. Les environnements de développement ont pu bénéficier d’une capacité optimisée en termes de coûts, tandis que la production a pu respecter les exigences de fiabilité.
Pipelines CI/CD basés sur Vault
Les workflows CI/CD ont utilisé l’authentification Vault pour les opérations sensibles des pipelines. Ceci a permis de sécuriser le déploiement de l’infrastructure sans exposer de secrets importants et persistants aux systèmes de construction.
Résultats commerciaux
Déploiement plus sûr et plus rapide
Les plans OpenTofu validés par les demandes d’extraction, la réconciliation GitOps et la détection automatisée des dérives ont rendu les modifications d’infrastructure plus réfléchies et traçables. Les ingénieurs pouvaient reproduire les environnements à partir de Git, revenir en arrière dans le système de contrôle de version et diagnostiquer les problèmes grâce à un historique des modifications plus clair.
Sécurité renforcée et conformité SOC 2
L’authentification unique centralisée (SSO), le contrôle d’accès à AWS, la gestion des secrets basée sur Vault, la protection des terminaux, la journalisation centralisée, la surveillance de la sécurité et les enregistrements d’infrastructure stockés dans Git ont permis à la plateforme de répondre aux exigences de conformité SOC 2 tout en facilitant les activités d’ingénierie quotidiennes.
Maîtrise des coûts sans compromis sur la fiabilité
Karpenter et les stratégies de capacité spécifiques à chaque environnement ont permis au client d’optimiser l’utilisation des ressources de calcul. Les charges de travail de développement pouvaient bénéficier d’une infrastructure optimisée en termes de coûts, tandis que les charges de travail de production conservaient la stabilité nécessaire aux opérations du centre d’appels.
Observabilité et réponse aux incidents améliorées
Grafana, Loki, Alloy, Datadog, GuardDuty et les alertes de sécurité des terminaux ont offert aux équipes une meilleure visibilité opérationnelle sur l’infrastructure cloud et hybride. Cela a permis à l’équipe de mieux détecter, analyser et résoudre les problèmes de la plateforme.
Plateforme modernisée
Ce projet a permis de créer une base plus solide pour la migration de l’infrastructure existante, la modernisation des serveurs autogérés, les opérations cloud et l’automatisation future des processus DevOps. Au lieu de s’appuyer sur des processus opérationnels déconnectés, le client a bénéficié d’un modèle de plateforme mieux contrôlé pour la sécurité de son centre d’appels.
Conclusion
Ce [projet de modernisation DevOps](/services/devops-servicesHDWEBSOFT a aidé une entreprise américaine de technologies pour centres d’appels à migrer d’une infrastructure traditionnelle autogérée vers une plateforme cloud hybride sécurisée. En combinant AWS, Kubernetes, GitOps, la gestion centralisée des identités et des secrets, l’observabilité, les contrôles de sécurité et une gouvernance de plateforme axée sur la conformité, HDWEBSOFT a permis de mettre en place un modèle de déploiement plus rapide, plus auditable et conforme aux exigences SOC 2.
Si votre équipe modernise une infrastructure existante ou prépare une plateforme cloud sécurisée pour un déploiement conforme aux audits, découvrez les services DevOps de HDWEBSOFT./services/devops-services) ou contactez-nous pour discuter de la feuille de route appropriée pour la plateforme.
Découvrez du contenu connexe
Découvrez d’autres études de cas, services, secteurs et expertises régionales associés.
