DEV Community: yohann streibel

DevOps Rex 2025 : Retour sur deux jours de conférences

yohann streibel — Mon, 15 Dec 2025 10:38:52 +0000

10-11 décembre 2025 — Cité des Sciences, Paris

La 6ᵉ édition de DevOps Rex a rassemblé la communauté DevOps francophone pour deux jours de retours d'expérience 100% terrain. L'événement s'est tenu en parallèle du salon Open Source Experience, le rendez-vous européen des solutions open source. Les participants pouvaient ainsi alterner entre les conférences DevOps Rex et les stands de présentation des éditeurs de logiciels open source dans l'espace Solutions.

Programme des talks

Jour 1 — Mercredi 10 décembre

Horaire	Talk	Intervenant
10h10 - 10h30	Codeshift : Démarche DevSecOps chez les Ops de BPCE-IT	Julien Fouqueray, Clément Rochas (BPCE-IT)
10h30 - 11h00	Engineering Platform boostée à l'IA : ok mais pour quoi faire ?	Matthieu Vincent (Sopra Steria)
11h30 - 12h00	Comment nous avons mis en place la pratique DevSecOps chez Orange	Girija Saint-Ange, Cédric Olivier (Orange)
12h00 - 12h15	Confiance opérationnelle : quand Sécurité et Delivery co-conçoivent les modèles d'accès	Isabelle Kraemer (Datadog)
14h00 - 14h25	Keynote : La géopolitique du numérique	Ophélie Coelho (IRIS / CIS - CNRS)
14h25 - 14h55	Quitter AWS : une migration vers le cloud souverain (presque) sans douleur	Jérôme Galais (Kaliop)
14h55 - 15h25	Migration de la plateforme Data de Matmut sur le cloud S3NS	Pascal Deshayes (TerraOps), Jean-Jacques Mok (Matmut)

Jour 2 — Jeudi 11 décembre

Horaire	Talk	Intervenant
10h05 - 10h25	L'importance du contexte en IA x Infra : Votre infrastructure est un graphe	Roxane Fischer (Anyshift.io)
10h30 - 11h00	Agentic AI : Et si c'était l'IA qui faisait ta code review ?	Oussama Abai, Kenza Barnier (Les Filles & Les Garçons de la Tech)
11h30 - 12h00	Industrialiser un LLMaaS souverain : scalabilité, sécurité… et une IA qui aide à se créer elle-même	Alexandru Lata (Cloud Temple)
12h00 - 12h30	ChatBot/RAG 100% Souverain	Antoine Durand (Accure IT)
14h00 - 14h35	Unifier le delivery legacy et cloud-native : le défi DevOps d'iMSA	Nicolas Cazottes (iMSA)

Focus #1 : Quitter AWS — Migration cloud souverain (Kaliop)

Le coup de cœur de Yohann

Le contexte

Jérôme Galais (Technical Expert DevOps & Cloud chez Kaliop) a présenté l'accompagnement d'une entreprise en forte croissance sur une application de monitoring hébergée sur AWS. L'audit préalable révélait plusieurs problèmes :

Infrastructure AWS plus suffisamment optimisée
Plusieurs clusters Elasticsearch sur instances EC2
Utilisation d'AWS Kinesis pour la brique temps réel
Application Python utilisant beaucoup de ressources
Portabilité de code limitée
Empilement de dette technique dû à une forte croissance

Contrainte majeure : réduire les coûts de 50%.

Les chiffres de la plateforme

Métrique	Valeur
Utilisateurs	80 000
Clients actifs	22 000
Clés Redis	6 millions
Opérations/seconde	1 000
Bande passante moyenne	10 Go

La solution : Scaleway avec bare metal + services managés

L'équipe a migré d'AWS vers Scaleway, adoptant une architecture hybride combinant services managés et serveurs physiques (ElasticMetal) :

Services managés (Scaleway) : Load balancer, Kubernetes, Queues managées, Base de données, Stockage Objet

Serveurs physiques (ElasticMetal) : Rancher (downstream clusters) avec ElasticSearch et Kafka

L'utilisation de bare metal plutôt que des instances managées permet de bénéficier d'une bande passante de 10 Gb/s pour un coût 25% moins élevé.

Résultat

La migration a été réalisée en 4 mois avec une équipe de 3 personnes à temps plein, pour un coût projet d'environ une centaine de milliers d'euros.

Le gain financier est significatif : la facture mensuelle est passée de ~50 000 €/mois à ~20 000 €/mois, soit une réduction de plus de 50% des coûts d'hébergement.

À noter : la présentation de Jérôme Galais s'est distinguée par son aisance, son rythme soutenu et une touche d'humour bienvenue qui a rendu le retour d'expérience particulièrement agréable à suivre.

Ce retour d'expérience est détaillé dans un article dédié : Retour d’expérience : comment Plecto a migré sa plateforme cloud-to-cloud d’un hyperscaler vers Scaleway.

Focus #2 : ChatBot/RAG 100% Souverain (Accure IT)

Le coup de cœur d'Antonin

Le constat de départ

Antoine Durand, Architecte Data & Cloud chez Accure IT, a ouvert sa présentation sur un chiffre marquant : 70 à 88% des POC IA ne passent jamais en production (source : IDC/Lenovo & McKinsey 2025). La raison ? Manque d'industrialisation et ROI non démontré. Un constat qui illustre bien la "FOMO de l'IA" actuelle : cette peur de rater le train de l'intelligence artificielle qui pousse les organisations à lancer des projets sans toujours anticiper leur passage en production.

Le contexte client

Début 2025, un client dans les Énergies Renouvelables contacte Accure IT en exigeant la signature d'un NDA avant même d'entamer les discussions. L'enjeu : exploiter un immense pool de données non structurées (doc, docx, pdf, images, xls...) pour améliorer les process R&D (veille technologique, brevets) et le support (questions/réponses instantanées).

Contrainte absolue : 100% souverain, 100% français, sans exposition au Cloud Act ou Patriot Act. Exit donc les hyperscalers classiques (Azure, AWS, Google). Cela s'explique par le fait que leur propriété intellectuelle est leur coeur de métier.

L'approche technique

Accure IT a relevé le défi en mettant en production une v1 dès juillet 2025, hébergée sur Clever Cloud.

Stack technique :

Hosting PaaS : Clever Cloud (Docker + S3)
Frontend : StreamLit / Python
Base vectorielle : Postgres 17 + pgVector
Versionning : Heptapod (GitLab open source)
LLM : Mistral AI (Embed + AI) via API
Orchestration : Airflow 3

L'architecture repose sur un pipeline RAG classique : ingestion des documents, vectorisation, stockage dans une base de connaissances, puis interrogation via le chatbot connecté à Mistral AI.

Les axes du retour d'expérience

La présentation a couvert quatre dimensions clés : la gouvernance et souveraineté (faire du "made in France, hosted in France" à la pointe), la stack IA en production, les pratiques DevOps/DataOps pour la CI/CD et le cycle de vie de la data, et enfin le FinOps pour contenir les coûts tout en assurant le service.

Les tendances clés de l'édition 2025

IA intégrée au cycle DevOps — Sopra Steria a présenté sa vision "Agentic AI in the Software Delivery Lifecycle" avec des agents IA (Maia, heiDI, DEP.AI) intervenant à chaque étape : définition des requirements, user stories, architecture, tests, code review.

Souveraineté numérique — Plusieurs talks ont abordé les alternatives aux hyperscalers américains, que ce soit via bare metal ou cloud providers français comme Scaleway ou Clever Cloud.

Grilles de maturité DevSecOps — BPCE a partagé sa grille de maturité "à la Nutriscore" (ABCDE) pour mesurer et accompagner la progression des équipes sur 4 axes : Craft, CI, CD, Sécurité.

Attention à la dette Kubernetes — Message récurrent : mettre à jour régulièrement, ne pas tout containériser, refactoriser tôt pour éviter les "macroservices".

À retenir

DevOps Rex 2025 confirme la maturité de l'écosystème DevOps français. L'IA s'invite désormais à chaque étape du cycle, la souveraineté devient un critère de choix assumé, et les retours d'expérience partagés montrent des organisations qui n'hésitent plus à remettre en question leurs choix d'infrastructure.

Rendez-vous en 2026.

Pour vous donner envi de venir à de l'événement 2026, voici la playlist des vidéos de l'édition 2025 :

Vous pouvez nous retrouver sur les réseaux sociaux - LinkedIn Antonin Brugnot et Yohann Streibel - pour plus de retours et discussions autour des sujets DevOps !

🚀 SWAG : Le Reverse Proxy Docker qui va révolutionner votre homelab !

yohann streibel — Sun, 07 Dec 2025 08:14:22 +0000

Salut les dev ! 👋

Aujourd'hui, je vais vous parler d'un outil qui a littéralement transformé ma façon de gérer mes services web : SWAG (Secure Web Application Gateway). Si vous êtes dans le monde du homelab ou si vous déployez plusieurs services web, cet article va vous intéresser !

Table des matières

Mais qu'est-ce que SWAG exactement ?
Pourquoi SWAG plutôt qu'autre chose ?
Notre architecture cible
Configuration réseau et DNS (étape cruciale !)
- 4.1 Configuration chez votre provider (exemple Free)
- 4.2 Configuration DuckDNS
- 4.3 Vérification IP publique
- 4.4 Test de connectivité
Installation avec Docker Compose
Configuration étape par étape
- 6.1 Préparation des variables d'environnement
- 6.2 Configuration DuckDNS automatique
- 6.3 Premiers pas après démarrage
- 6.4 Structure des dossiers créés
Ajouter nos premiers services
- 7.1 Service 1 : Home Assistant
- 7.2 Configuration du proxy dans SWAG
- 7.3 Test de votre configuration
Troubleshooting réseau
Tips et bonnes pratiques
- 9.1 Réseau Docker dédié
- 9.2 Gestion des logs
- 9.3 Test de configuration
- 9.4 Wildcard certificates
Sécurisation avec Authelia (bonus)
Résultat final
Debugging courant
Conclusion
Pour aller plus loin

🤔 Mais qu'est-ce que SWAG exactement ?

SWAG, c'est un reverse proxy tout-en-un basé sur nginx qui gère automatiquement vos certificats SSL Let's Encrypt. En gros, c'est votre portier numérique qui :

🔒 Sécurise automatiquement vos services avec des certificats SSL
🌐 Expose vos services Docker sur des sous-domaines propres
🛡️ Protège vos applications avec une authentification centralisée
📋 Gère tout ça avec de la configuration simple

💭 Pourquoi SWAG plutôt qu'autre chose ?

Avant SWAG, j'utilisais nginx classique avec certbot... Quelle galère ! 😅 Entre les renouvellements de certificats qui plantent, les configs nginx à maintenir manuellement, et la gestion des domaines, c'était un vrai casse-tête.

SWAG résout tout ça d'un coup :

Certificats wildcard automatiques
Configs pré-faites pour les services populaires
Intégration native avec Docker
Support de l'authentification (Authelia, OAuth, etc.)

🏗️ Notre architecture cible

Imaginons qu'on veuille exposer plusieurs services :

Un Home Assistant sur homeassistant.mondomaine.fr
Un serveur de fichiers sur files.mondomaine.fr
Une interface d'administration sur admin.mondomaine.fr

Avec SWAG, tout passe par un seul point d'entrée sécurisé !

🌐 Configuration réseau et DNS (étape cruciale !)

Avant de plonger dans Docker, il faut préparer le terrain côté réseau. C'est souvent l'étape que les débutants oublient ! 😅

1. Configuration chez votre provider (exemple Free)

Chez Free, il faut :

Se connecter à l'interface Freebox : http://mafreebox.freebox.fr
Aller dans "Paramètres de la Freebox" > "Gestion des ports"
Créer une redirection de port :
- Port externe : 443 (HTTPS)
- Port interne : 443
- IP destination : IP locale de votre serveur (ex: 192.168.1.100)
- Protocole : TCP
Optionnel : Port 80 pour les redirections HTTP vers HTTPS :
- Port externe : 80
- Port interne : 80
- IP destination : 192.168.1.100

💡 Tip sécurité : Au lieu d'exposer directement les ports 80/443, vous pouvez utiliser des ports custom (ex: 8443) et faire la redirection. Plus sécurisé !

2. Configuration DuckDNS

DuckDNS, c'est le DNS dynamique gratuit parfait pour les homelabs !

Inscription sur duckdns.org
Créer votre domaine : monhomelab.duckdns.org
Noter votre token (on en aura besoin dans Docker)

💡 Alternative DNS providers : DuckDNS n'est pas obligatoire ! SWAG supporte plein d'autres providers :

Gratuits :

DuckDNS (duckdns) - Le plus simple pour débuter

FreeDNS (freedns) - Autre alternative gratuite

No-IP (noip) - Service populaire avec version gratuite

Payants (mais plus pro) :

Cloudflare (cloudflare) - Excellent, rapide et pas cher

OVH (ovh) - Provider français

Gandi (gandi) - Interface simple

Route53 (route53) - AWS, très fiable

DigitalOcean (digitalocean) - Simple à utiliser

Namecheap (namecheap) - Bon rapport qualité/prix

Configuration type pour Cloudflare :
environment:
  - URL=mondomaine.com
  - VALIDATION=dns
  - DNSPLUGIN=cloudflare
  - EMAIL=votre-email@example.com
  - CLOUDFLARETOKEN=votre-api-token-cloudflare
La liste complète est dispo dans la doc SWAG ! 📚

3. Vérification IP publique

Votre DuckDNS doit pointer vers votre IP publique :

# Vérifier votre IP publique
curl ifconfig.me

# Vérifier que DuckDNS pointe bien dessus
nslookup monhomelab.duckdns.org

Si les IPs correspondent, c'est bon ! 🎯

4. Test de connectivité

Avant même de démarrer SWAG, testez que le port forwarding fonctionne :

# Sur votre serveur local, démarrez un serveur web simple
python3 -m http.server 8080

# Depuis l'extérieur, testez avec votre domaine
curl http://monhomelab.duckdns.org:8080

Si ça marche, vous êtes prêts pour SWAG !

📦 Installation avec Docker Compose

Première étape : créer notre docker-compose.yml pour SWAG.

version: "3.8"

networks:
  web-proxy:
    external: false

services:
  swag:
    image: lscr.io/linuxserver/swag:latest
    container_name: swag
    cap_add:
      - NET_ADMIN
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Paris
      - URL=monhomelab.duckdns.org  # Votre domaine DuckDNS
      - VALIDATION=duckdns          # Validation via DuckDNS
      - DUCKDNSTOKEN=12345678-1234-1234-1234-123456789012  # Votre token DuckDNS
      - SUBDOMAINS=wildcard         # Permet *.monhomelab.duckdns.org
      - EMAIL=votre-email@example.com
      - ONLY_SUBDOMAINS=false       # Important pour que le domaine principal marche
    volumes:
      - ./swag/data:/config
    ports:
      - "80:80"     # HTTP (redirections vers HTTPS)
      - "443:443"   # HTTPS (vos services sécurisés)
    networks:
      - web-proxy
    restart: unless-stopped

🔧 Configuration étape par étape

1. Préparation des variables d'environnement

Les variables importantes à comprendre :

URL : Votre domaine complet (DuckDNS, Cloudflare, ou autre provider)
VALIDATION=duckdns : Type de validation selon votre provider (voir liste ci-dessus)
SUBDOMAINS=wildcard : Génère un certificat pour tous vos sous-domaines
DUCKDNSTOKEN : Token/API key de votre provider DNS
ONLY_SUBDOMAINS=false : Permet d'utiliser le domaine principal aussi

💭 Pourquoi DuckDNS dans cet exemple ? C'est gratuit et ultra simple pour débuter ! Mais si vous avez déjà un domaine chez Cloudflare/OVH/Gandi, utilisez-le directement.

2. Configuration DuckDNS automatique

SWAG va automatiquement :

Mettre à jour votre IP sur DuckDNS
Valider votre domaine via l'API DuckDNS
Générer le certificat wildcard
Renouveler automatiquement tout ça !

C'est la magie de cette combo SWAG + DuckDNS ! ✨

3. Premiers pas après démarrage

# Démarrer SWAG
docker-compose up -d swag

# Vérifier les logs
docker logs swag

# Vous devriez voir quelque chose comme :
# "Server ready"
# "Certificate renewal successful"

4. Structure des dossiers créés

Après le premier démarrage, SWAG crée cette structure :

swag/data/
├── nginx/
│   ├── nginx.conf
│   ├── site-confs/
│   └── proxy-confs/     # ← Les configs de nos services !
├── keys/
│   └── letsencrypt/     # ← Nos certificats SSL
└── log/

🎯 Ajouter nos premiers services

Service 1 : Home Assistant

Créons notre service Home Assistant dans le même réseau :

# Ajout dans docker-compose.yml
  homeassistant:
    image: homeassistant/home-assistant:stable
    container_name: homeassistant
    environment:
      - TZ=Europe/Paris
    volumes:
      - ./homeassistant/data:/config
    networks:
      - web-proxy
    ports:
      - "8123:8123"  # Optionnel, pour accès direct local
    restart: unless-stopped

Configuration du proxy dans SWAG

Créer le fichier : swag/data/nginx/proxy-confs/homeassistant.subdomain.conf

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name homeassistant.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 0;

    location / {
        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app homeassistant;
        set $upstream_port 8123;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;
    }

    # Support des WebSockets (important pour Home Assistant !)
    location /api/websocket {
        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app homeassistant;
        set $upstream_port 8123;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

Test de votre configuration

Une fois tout configuré, testez vos URLs :

✅ https://monhomelab.duckdns.org → Page par défaut SWAG
✅ https://homeassistant.monhomelab.duckdns.org → Votre Home Assistant
✅ Certificat SSL valide et wildcard !

🔧 Troubleshooting réseau

Problème : "Site inaccessible depuis l'extérieur"

Vérifiez votre IP publique :

# Sur votre serveur
curl ifconfig.me

# Doit correspondre à :
nslookup monhomelab.duckdns.org

Testez le port forwarding :

# Depuis l'extérieur (4G par exemple)
telnet monhomelab.duckdns.org 443

Vérifiez les logs SWAG :

docker logs swag | grep -i "certificate\|error\|duckdns"

Problème : "DuckDNS validation failed"

Vérifiez votre token DuckDNS :

# Test manuel de l'API DuckDNS
curl "https://www.duckdns.org/update?domains=monhomelab&token=VOTRE_TOKEN&ip="

Doit retourner "OK" si le token est bon.

Problème : "Certificat non généré"

Souvent c'est un souci de timing. DuckDNS peut mettre quelques minutes à propager :

# Redémarrez SWAG après quelques minutes
docker restart swag

# Surveillez les logs
docker logs -f swag

🔥 Tips et bonnes pratiques

1. Réseau Docker dédié

Créez toujours un réseau dédié pour vos services web :

# Créer le réseau manuellement
docker network create web-proxy

# Ou le définir comme external dans docker-compose
networks:
  web-proxy:
    external: true

2. Gestion des logs

Surveillez les logs pour déboguer :

# Logs SWAG en temps réel
docker logs -f swag

# Logs nginx spécifiques
docker exec swag tail -f /config/log/nginx/error.log

3. Test de configuration

Avant de redémarrer, testez toujours :

# Test de la config nginx
docker exec swag nginx -t

# Rechargement à chaud (si test OK)
docker exec swag nginx -s reload

4. Wildcard certificates

Avec les certificats wildcard, vous pouvez ajouter autant de sous-domaines que vous voulez sans renouveler le certificat !

🛡️ Sécurisation avec Authelia (bonus)

Pour aller plus loin, on peut ajouter une authentification centralisée :

# Service Authelia
  authelia:
    image: authelia/authelia:latest
    container_name: authelia
    volumes:
      - ./authelia/data:/config
    networks:
      - web-proxy
    environment:
      - TZ=Europe/Paris
    restart: unless-stopped

Et dans notre config nginx, on ajoute :

# En haut du fichier de config de service
include /config/nginx/authelia-server.conf;

# Dans la location /
include /config/nginx/authelia-location.conf;

🎯 Résultat final

Une fois tout configuré, vous avez :

✅ https://homeassistant.monhomelab.duckdns.org - Sécurisé avec SSL

✅ https://files.monhomelab.duckdns.org - Protégé par authentification

✅ https://admin.monhomelab.duckdns.org - Accessible uniquement pour les admins

Le tout avec un seul certificat wildcard qui se renouvelle automatiquement !

🐛 Debugging courant

Problème : "502 Bad Gateway"

# Vérifier que le service target existe
docker ps | grep nom-du-service

# Vérifier la résolution DNS interne
docker exec swag nslookup nom-du-service

Problème : Certificat non généré

# Vérifier les logs de génération
docker logs swag | grep -i "certificate\|error\|duckdns"

# Tester manuellement DuckDNS
curl "https://www.duckdns.org/update?domains=VOTRE_DOMAINE&token=VOTRE_TOKEN&ip="

Problème : WebSockets qui ne passent pas

Ajoutez toujours ces headers dans vos configs :

proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_cache_bypass $http_upgrade;

🎉 Conclusion

SWAG a vraiment simplifié ma vie de homelabber ! En quelques fichiers de config, j'ai :

Des certificats SSL automatiques
Des sous-domaines propres pour tous mes services
Une authentification centralisée
Une maintenance quasi nulle

Si vous hésitez encore à passer le cap, foncez ! C'est un investissement en temps qui se rentabilise très vite.

🔗 Pour aller plus loin

Et vous, vous utilisez quoi comme reverse proxy ? Dites-moi en commentaire ! 💬

docker #nginx #ssl #homelab #reverseproxy #swag #letsencrypt #devops