DEV Community: Sylvain METAYER

Notre retour (Build & Deploy) sur Devoxx France 2024

Sylvain METAYER — Thu, 30 May 2024 15:59:57 +0000

Après les retours de nos collègues, nous allons faire les notres sur la partie Build & Deploy de l'édition 2024 de Devoxx France.

Et comme chaque année, le moins que l'on puisse dire, c'est qu'il y avait du choix, avec plusieurs dizaines de conférences sur les façons de packager et déployer nos applications ! Sans plus attendre, voici les sujets qui nous ont marqué avec @cfarges et @jtama dans cette catégorie.

GatewayAPI, 10 ans de maturation pour une nouvelle API Kubernetes

Cette année Kévin Davin est venu nous parler de la Gateway API. <3

En effet, avec pas mal de recul, le constat est clair : la ressource Ingress n'est pas suffisante. Elle prend en charge trop de responsabilité, n'est pas suffisamment spécifique, laissant chacune de ses implémentations faire différent choix pour la même solution (manque de portabilité), et ne rend pas non plus suffisamment de service.

La Gateway API est orientée rôle avec plusieurs kinds:

La GatewayClass:: Pour le provider, celui qui connait le réseau
La Gateway :: Pour le cluster operator, celui qui connait le cluster 🤷
Les GRPCRoute / HTTPRoute:: Pour les développeurs, ceux qui connaissent les applications.

Chaque personne ayant ses compétences, ses connaissances, ses responsabilités, et ses kind.

Cette api va suffisamment loin pour empiéter largement sur une partie des services offerts par les service mesh (dont le traffic splitting).

Replay

Multi Kubernetes, Multi Régions, Au-secours !

Aurélien Moreau et Nicolas Lavacry présentent, au travers d'un REX avec pour exemple une entreprise fictive, les besoins de leur nouvelle entreprise : CASDAL. Cette dernière a en effet 2 marchés : un marché américain, et un français. Comment gérer l'hébergement de cette application ?

On découvre alors comment déployer un environnement Kubernetes sur plusieurs régions, et le besoin de créer plusieurs clusters pour assurer une latence faible, Kubernetes n'aimant en effet pas les latences si un continent sépare plusieurs noeuds. Leur démo, parfaitement maitrisée permet de nous montrer l'envers du décor et des outils/méthodes pour garantir qualité de service, latence faible et l'intégrité de nos données !

Replay

Notre dépendance à l'Open Source est effrayante. SLSA, SBOM et Sigstore à la rescousse

Cette conférence, très intéressante, nous montre à quel point nous dépendons de logiciels/dépendances tierces dans nos applications, sur lesquelles nous n'avons pas la main. Cela signifie-t-il pour autant qu'il faut les utiliser sans valider leur intégrité, pour éviter qu'un intermédiaire vienne injecter du code malveillant lors d'une étape de packaging de notre application ?

Abdellfetah Sghiouar nous présente alors des outils sur lesquels nous pouvons nous appuyer pour garantir la tracabilité de nos applications, tel que cosign pour signer nos images avant de les déployer dans notre cluster, ou encore SBOM pour lister tous les paquets utilisés dans notre application.

Replay

Au cœur de la ruche eBPF!

J'avais déjà entendu parler plusieurs fois d'eBPF, sans vraiment savoir ce dont il s'agissait. Cette conférence était donc l'opportunité pour moi de creuser un peu le sujet ! Bien que très technique, Mohammed Aboullaite a bien expliqué le fonctionnement d'un module du kernel et l'évolution d'eBPF. Je ne pense pas avoir l'usage dès demain d'écrire mon propre module kernel, mais je comprends mieux toute la "hype" autour de ça et la plus-value d'eBPF afin de pouvoir simplifier la distribution d'un nouveau module, tout en ayant des performances natives et en gardant la même sécurité.

Replay

Le cauchemar des attaquants : une infrastructure sans secret

Thibault Lengagne nous montre comment s'appuyer sur Vault et Boundary afin de supprimer la plupart des mots de passes
de nos environnements tout en conservant une approche "Secure by design" et avoir une traçabilité complète des différents accès aux composants applicatifs.

Avec une architecture Zero-Credentials, on dispose d'un seul mot de passe par utilisateur qui permettra d’accéder à travers Boundary
à nos applications. L'association de Boundary et Vault permet de créer des identifiants temporaires et de garder une traçabilité complète des accès aussi bien en environnement de développement que jusqu'à la production.

Thibault nous montre une solution d'architecture et les bonnes pratiques associées à ces concepts. A travers plusieurs petites démo, on commence à avoir envie de déployer ça dans nos environnements après avoir vu la taille de l'équipe grandir.

Fini les rotations de mot de passe à n'en plus finir, on a un accès et le reste est géré par les politiques définies dans le code source de notre infrastructure.

Replay

Check-list ultime pour rendre vos app cloud native

Dans cette conférence Katia Himeur revient sur les différents contextes qui peuvent nous amener à déplacer nos applications sur le "cloud".

Elle nous rappelle que la définition du "cloud" peut être vastement différente suivant nos interlocuteurs. La complexité, la pléthore de solutions disponibles (plus de 2000 outils disponibles chez la CNCF par exemple) et la diversité des fournisseurs doivent être pris en compte lors d'un projet cloud, que ce soit pour une nouvelle application
ou le portage d'un existant.

Entre la méthodologie et le REX, la conférence de Katia est une mine d'informations et d'inspiration sur la manière d'aborder ce type de projet.

Les points présentés se situent autant au niveau de la technique que de l'humain, avec l'onboarding des équipes et la conduite du changement. Les principaux points durs de ces projets sont pris en compte, serait-ce la recette ultime ?

Replay

Le mot de la fin

Merci à @onepoint pour nous permettre de participer chaque année à ce moment privilégié !
N'hésitez pas à aller regarder les autres articles publiés par nos collègues sur les autres thèmes !

Retrouvez notre série d'articles sur Devoxx :

DevoxxFR 2023

Sylvain METAYER — Thu, 27 Apr 2023 07:49:39 +0000

Nous sommes (re)venus à DevoxxFR pour cette 11ème édition, et il y avait du choix ! Avec en moyenne 8 conférences/tool-in-action en parallèle, il y en a pour tous les goûts ! Ça tombe bien, ayant tous des préférences différentes, nous avons pu couvrir un bon nombre des conférences sur différents thèmes : front, IA, CI/CD, Kubernetes...

Pour les moments où il y a trop de choix sur un même créneau, il est toujours possible de compter sur la chaine Youtube de Devoxx. En effet, la quasi-totalité des talks sont déjà disponibles en replay !

Parmi ce que nous avons eu l'occasion de voir, voici notre top 5 !

Top 5

1^er dans nos ❤️ "Alice au pays d’OpenTelemetry"

Il s'agit d'un REX de la mise en place de l'observabilité dans un projet avec plusieurs briques logicielles. Après une présentation des concepts de l'observabilité, d'OpenTelemetry, @jtama nous présente de façon itérative son expérience et les obstacles rencontrés, afin de dompter ce "collecteur magique" et d'unifier nos logs, traces et métriques.

Replay Youtube
Lien vers les slides
Lien du CFP

Comprendre et utiliser les modèles de langage d'IA

Cette université de 3h présentée par Sébastien Collet permet de découvrir les modèles de Machine Learning et Deep Learning, leur fonctionnements et limites ainsi que les évolutions des dernières années.

Un focus est également fait sur les modèles de langages prédictifs, ce qui permet de comprendre pourquoi les modèles tel que ChatGPT ont les biais qui ont été relevés récemment (hallucinations, toxicité...).

Si vous souhaitez un cours complet, vulgarisé et abordable, avec un historique des modèles d'IA, ce talk est pour vous !

Replay Youtube
Slides
Dépôt Github
Lien du CFP

Une Architecture GitOps from scratch : Gitlab, Ansible, Terraform, Kubernetes et AWS

Avec cette université de 3 heures, Loïc Ortola et Aurélien Moreau de Takima, nous propose une plongée dans la mise en place d'un cluster Kubernetes via de l'Infrastructure as code.

L'utilisation de chaque outil est justifiée par son rôle. Le talk développe petit à petit la mise en place d'une infrastructure complexe, multi-cluster en partant du provisionning de l'infrastructure jusqu'au déploiement continue des applications dans une approche 100% Gitops.

Replay Youtube
Lien du dépôt Gitlab
Lien du CFP

Géopolitique de la data

Avec cette keynote de 20 minutes, Benjamin Bayart co-fondateur de la quadrature du net, nous décrit à travers différents exemples et vulgarisations, ce qu'est la Géopolitique de la data et comment la réglementation européenne a évolué sur la protection des données personnelles.

Il clôture son discours en passant le message que tout ingénieur informatique fait de la géopolitique de la data.

Replay Youtube
Lien du CFP

Démystifions les composants internes de Kubernetes

L'objectif de ce talk est de démontrer que Kubernetes n'est pas "un outil automagique" mais qu'il se base sur des briques logicielles individuellement "simple" mais qui assemblées font la robustesse de Kubernetes.

Au travers d'une démonstration live, Denis Germain nous présente les différentes briques composant Kubernetes et leur utilité pour finalement arriver sur une application déployée sur un cluster "fait main" !

Si vous souhaitez savoir ce qui se cache derrière un "kubectl apply -f mon-deploiement.yaml" ou que vous souhaitez comprendre comment les composants "etcd", "api-server", "controller-manager", "scheduler", "kubelet", "containerd" ou "CNI" fonctionnent ensemble, ce talk est pour vous !

Replay Youtube
Slides
Github contenant la démo
Lien du CFP

SELECT 'amazing_features' FROM "postgresql"

Dans ce Tools in action, Kevin Davin nous propose la (re)découverte de features méconnues ou oubliées de postgresql.

Entre les performances, les sucres syntaxiques et les bonnes pratiques, Kevin nous montre la vaste boite à outil dont dispose postgres pour aider le développeur à proposer des applications plus performantes et maintenables.

Il nous présente aussi quelques mauvaises pratiques qui sont pourtant monnaie courante lorsque l'on aborde ce SGBD d'un oeil novice.

Que vous utilisiez ou non postgres, ce talk vous montrera ses super pouvoirs et vous invite à l'essayer.

Replay Youtube
Slides
Dépôt Gitlab
Lien du CFP

Pour finir

DevoxxFR, c'est 3 jours de conférences, voyez ça comme un marathon, pas un sprint ! Planifiez votre programme, et prévoyez des temps de pause, pour faire un tour sur les nombreux stands de produits/logiciels que nous utilisons tous les jours (ou que nous avons eu l'occasion de découvrir), qui sont là pour recueillir des retours d'expérience et propositions d'améliorations !

Pour faciliter vos prises de notes, nous avons également développé un petit outil pour générer automatiquement vos templates de notes en fonction de vos favoris. Le dépôt Github

Écrit à 10 mains avec les fabuleux @cfrezier @cfarges @jtama et @florianallainmat !

On en profite pour faire passer un grand merci à onepoint pour l'organisation de ces 3 jours au top !

Merci ! 😊

How do you convince clients that security is not an option?

Sylvain METAYER — Thu, 30 Jan 2020 21:26:37 +0000

Hello everybody,

Today at work, I've been facing an issue :

Client want a way to reset user's password for a web application. Classic.

For context, their is already a mechanism for every users to reset their password by receiving an unique link by mail.

However, he wants a way to choose the user's password when they ask to reset their password on support center (over phone)

Client argue that some of its clients, not tech people, have trouble using this mechanism or that email is not a reliable way to reset password (delay, possible loss of email when sending it, user unable to access their mailbox...). He also add that its clients have money and when something is wrong and they can't access their account, he want to provide them a way to allow an immediate login.

From my perspective, this involve some downsides :

The probability that the user will change its password after getting one is close to 0. Or, as client said, if they are not tech people, they will always call support center asking for another password reset.
This will overload support center and will make them less available for real requests.
User password is no longer known by the user himself/herself. At least both admin/support center and user know it now. I'm attached to user's privacy, so this is a big one for me. I would not like to use a system where an admin can change my password as he'd like (of course, an admin can always change a password if he access database, run a custom script on server or whatever but this should not be a feature)
If for any reason, a bug allow to run this unauthenticated, all users' account are compromised. This could not be possible if this feature was not asking to be implemented.

One alternative could be to generate a link for a one-time login and give them to the client, so they can log in and change their password (exactly the pattern of initial password reset, except we don't send it by mail) but as I said, support center is made over the phone, and asking an user to enter a 64 char random string to log in is not very convenient and will certainly lead to typo errors.

Also, as I said :

"He also add that its clients have money and when something is wrong and they can't access their account, he want to provide a way to allow an immediate connection."

From my perspective, this is because its user's have money that security should not be an option and we should reduce risk their private data from being accessible. Not the opposite.

Am I the only one wondering why this request ? What do you think about it ? Is there an alternative I could provide to my client ? Or at least others argument to convince him that this is not a good idea?

Or at the opposite, is this request perfectly fine and I am being too much paranoid ?

Thanks a lot for reading, I'm looking forward to read your answers ! Apologize my English, I'm not a native speaker.

I wrote a small email aliases manager

Sylvain METAYER — Tue, 28 Jan 2020 13:06:22 +0000

This article is a translation of my french article. You can find the original translation here : https://sylvainmetayer.fr/projet/email-alias-manager/.

The idea

Tired of spam ? Of giving up on your email on every service you sign up for ? Email aliases are coming to save you !

From an idea of Adrien Chinour, I decided to create a small email aliases manager. The goal is to quickly generate aliases when you sign up on a new site so you can avoid filling your real address. So, when you see that the website you signed up to is sending you too much email, delete the alias and voila, no more undesirable emails !

I manage my domains (and the associated mailboxes) with Gandi, so I took a look how I could interact with their API to manage my aliases.

I used Angular and Netlify serverless functions (written in NodeJS) so I could call the Gandi API from there.

The idea is simple : log in with a password, predefined in the environnements variables of Netlify, get a JWT token signed with a secret known only from serverless functions and then we can consider that you're logged in ! Because I do not need to manage multiple users, this is fine to me.

Once you're authenticated, serverless function take care of loading domains list, mailboxes and when you're on the screen below, you can add and remove aliases of each mailbox.

What's next

In the case where Gandi client would like to manage their aliases by using this project, I tried to integrate oauth2, so I could authenticate myself against Gandi provider. This also helped me to better understand oauth2. To test this locally, I used the oauth2 mock by the AXA group

Sadly, Gandi v5 API is still in beta and the authentication provider does not allow to interact with domains and mailboxes.

If their is requests for, I might integrate others email providers so others can manage their aliases if their are not using Gandi as registrar.

Until this is available, I leave my current work on a dedicated branch and will work on it when this is available.

As a workaround, I added a button to deploy on netlify with one click for those wishing to use this little project. People need to generate their own API key from their Gandi account and fill a few environnments variable.

Parameter	Comment
GANDI_API_KEY	Gandi API key
JWT_SECRET	A random string to use as JWT secret.
LOGIN_PASSWORD	A password for the login screen
GANDI_API_HOST	Gandi API root : `api.gandi.net`
GANDI_API_VERSION	Gandi API version : `/v5`

JWT secret can be generated with the following command.

cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1

Sources are available on Github

Don't hesitate to give feedback on this little project !

What books will you recommand to learn more about automation ?

Sylvain METAYER — Tue, 11 Dec 2018 09:33:24 +0000

I'm seeking resources for my report that will try to answer the following problematic : "How automation can reduce humans errors during the lifetime of an application ?"

This will talk about automated tests, automated deployments and everything that will allow to minimize mistakes during development.

Thanks by advance for your recommendations ! :)

Released my first Gem : FontAwesome SVG

Sylvain METAYER — Fri, 30 Nov 2018 00:00:00 +0000

Disclaimer: This is my first post in English and it is not my native language. If I've made grammatical mistakes, please kindly tell me how to improve, so I can be better next time !

You can find the french version of this article on my website : https://sylvainmetayer.fr/projet/jekyll-gem-svg-fontawesome/

Need

I wanted to use FontAwesome on my personal website without integrating the whole library and without downside performance. Also, I didn't wanted to use Javascript to display icons.

I've looked for a way to include only the used icon, without placing them one by one, but didn't find any things that suited my need. That's how I've came to create my first jekyll plugin

The documentation is clear enough and helped me a lot.

Realisation

I only want to show icons, so I created 2 Liquid Tags, with parameters.

My first tag get the icon type (regular, solid or brand) and the icon name I want to use. With that, I generate the according svg markup.

Then, I have to generate the svg definition of the icon inside the page.

To do so, I add the icon name and type to the jekyll page metadata, in a simple array.

And with my second tag, I get all of the icons used, per page, and generated the SVG definitions. This mean if a page doesn't use icons, nothing is generated :)

I've first did this with the _plugins directory, because it was easier to debug. When it was working, I decided to package it in a Gem, so it will be available for everyone, if it come to be useful for someone :)

Creating a Gem is easy, the Bundler guide being very helpful.

I've tried to follow Ruby conventions, but as I'm not familiar with this language, I'm open to every suggestions to improve it.

I've release the first version, and now, I've got to fully test it and handle potential errors (missing icons, ...), that are for now.... Handled in a optimistic way :(

Usage

You can use the gem this way.

When you want to print a icon, use the following tag (this one generate the Twitter icon)

{% fa_svg fab.fa-twitter %}

Now, you have to generate the SVG definitions of all your used icons, in every page.

It must be defined only once, in a common part of all your pages (a footer layout is a good choice)

{% fa_svg_generate %}

Then, enjoy your icons :)

As this liquid tag is not on dev.to, nothing is rendered here. You can checkout how it look here

Links

If you want to check out the code, it's on Github here.

To download the Gem, it's over here !

Thanks a lot for reading !

DEV Community: Sylvain METAYER

Notre retour (Build & Deploy) sur Devoxx France 2024

GatewayAPI, 10 ans de maturation pour une nouvelle API Kubernetes

Multi Kubernetes, Multi Régions, Au-secours !

Notre dépendance à l'Open Source est effrayante. SLSA, SBOM et Sigstore à la rescousse

Au cœur de la ruche eBPF!

Le cauchemar des attaquants : une infrastructure sans secret

Check-list ultime pour rendre vos app cloud native

Le mot de la fin

DevoxxFR 2023

Top 5

1er dans nos ❤️ "Alice au pays d’OpenTelemetry"

Comprendre et utiliser les modèles de langage d'IA

Une Architecture GitOps from scratch : Gitlab, Ansible, Terraform, Kubernetes et AWS

Géopolitique de la data

Démystifions les composants internes de Kubernetes

SELECT 'amazing_features' FROM "postgresql"

Pour finir

How do you convince clients that security is not an option?

I wrote a small email aliases manager

The idea

What's next

What books will you recommand to learn more about automation ?

Released my first Gem : FontAwesome SVG

Need

Realisation

Usage

Links

1^er dans nos ❤️ "Alice au pays d’OpenTelemetry"