Please enable JavaScript.

Coggle requires JavaScript to display documents.

CloudComputing - Coggle Diagram

- - - - dim tech
        le cloud est un réseau mondial, sans frontières. Et prend toute sa puissance, toute sa valeur et son intérêt a partir de ce dim mondial
      - vision reglementaire
        les lois vont plus lentement que la techno et les donnes sont mondiales >> bonne chose
      - Cryptage
        proteger les donnes lors de lenvoi depuis le fournisseur
  - - - Politique d’authentification
        
        Authentification Unique SSO
        L’authentification unique (en anglais single sign-on ou SSO) permet à un utilisateur d’accéder à toutes ses applications avec un seul moyen d’authentification.
      - Politiques d'acces
        
        Modèle RBAC
        
        MT-RBAC:
        
        Administration
    - - Courtier en sécurité pour l’accès au Cloud (CASB)
        
        entre users , applicarions clouds pour surveiller toute activite et applique les poliques de sec ainsi qualarmer les admins des actions dongereuses
        peut etre deployer de 3 manieres
        
        Proxy inverse
        devant le service de cloud computing
        
        proxy Direct
        se trouve en face de l’utilisateur,
        
        mode API
        ’intégration directe du CASB et d’un service de Cloud. Cela vous permet de sécuriser le trafic géré et non gere
        
        Pilliers de la fonctionalite
        
        Protection contre les menaces
        
        Conformite
        
        Visiblite
        
        Sec des Donnes
  - - - le fait que plusieurs tenants/utilisateurs exécutent simultanément la même instance d'une application ou processus métier déployé sur un cloud > ce qui peut poser une faiie dacces dun utilisateur dentreprise A au apps dentreprise B
- - - - MultiTenant > Shared Cloud Storage Device
      - Single tenancy > Cloud Storage Device for each tenant
  - - - SOA
        
        SOA (Service Oriented Architecture) : Architecture orientée services - les applications sont des assemblages des services métiers et des services génériques.
        SaaS repose sur des SOA exploitant les services integrables (application cloud renommes mashup dans le SOA prend avantage des differents services integrants )
      - Muti-Tenant
        
        tenants separes ms sotorage partage
      - N-tiers: Multi-Tiers
        
        systeme de persistance
        
        serveur dauth / gestion d’identités
        
        serveur dapplication
        
        serveur dintegration
        
        Serveur de presentation
        
        La philosophie des architectures du Cloud Computing repose sur
        l’architecture 3-tiers (N-tiers).
        
        Serveur BD
        
        Serveur dApplication
        
        Client/Utilisateur
        
        L’architecture en N-tiers structuré en services < similaire au fonctionnement de PaaS
- - - - Kubernetes automatise plus efficacement la distribution et la planification des conteneurs d'applications dans un cluster.
      - Kubernetes Cluster
        
        Un cluster Kubernetes est constitué de deux types de ressources:
        
        Les nœuds sont les serveurs qui exécutent des applications.
        
        Chaque nœud est doté d’un Kubelet, qui est un agent permettant de gérer le nœud et de communiquer avec le maître Kubernetes. Le nœud doit également disposer d'outils permettant de gérer les opérations de conteneur, telles que Docker.
        
        Le maître coordonne le cluster.
        
        Processus de déploiement:
        
        lors de la deploiement des apps < on fait le maitre demarrer les conteneurs ainsi que la plannification de leurs excutioon sur les noeuds du cluster
        et on a API kubernetes pour la commmunication entre les noeuds, maitre, les les end users qui voulaient interagir directement avec le cluster
    - - Principe de fonctionnement
        
        libcontainer est une bibliothèque de bas niveau (driver) qui encapsule les fonctions essentielles à la virtualisation
        
        Elle s'appuie sur deux extensions du kernel Linux:
        
        Cgroups (Control Groups) permet de fragmenter les ressources d'un hôte
        
        Ils permettent de faire en sorte que des processus ne voient pas les ressources utilisées par d'autres processus ce qui qpporte lisolation a la creation des conteneurs
      - Docker permet créer, déployer et exécuter des conteneurs de manière efficace.
        Un conteneur enveloppe l’application d’un logiciel dans une boîte invisible avec tout ce dont il a besoin pour s’exécuter.
      - Docker se compose de:
        
        Docker Engine qui permet de créer le Host Docker sur une machine Linux (Docker daemon).
        
        Conteneur : Image exécutable d’un environnement complet incluant code, librairies, outils et configuration;
        
        Image : template de conteneur en read-only contenant un systeme de base et une application.
        
        Docker Hub: un annuaire et un centre de stockage des images
        réutilisables.
        
        Dockerfile : fichier texte de description d’une image;
        
        toute ligne dans dockerfile est une layer >
        FROM node:12 >
        WORKDIR /app (Working Dir)
        qui permet de modifier le répertoire courant. La commande
        COPY package*.json ./ (copy les packages utilises)
        RUN npm install
        permet d'installer le package du projet Node.js.
        COPY . .
        ENV PORT=8080
        EXPOSE 8080
        permet d'indiquer le port sur lequel votre application écoute.
        CMD [ "npm", "start" ]
        
        Docker Compose : fichier texte (yaml) de description d’un ensemble de conteneurs.
        
        Docker Compose va vous permettre d'orchestrer vos conteneurs, et ainsi de simplifier les déploiements sur de multiples environnements.et repose sure YAML pour decrire larchitecture
        
        docker-compose up -d
        permet de démarrer l'ensemble des conteneurs en arrière-plan ;
        docker compose ps
        voir le status de l'ensemble de votre stack ;
        docker compose logs -f --tail 5
        stack logs
        docker compose stop
        arreter les services dune stack
        docker-compose down
        detruire les ressources dune stacl
        docker-compose config
        valider la syntace de votre fichier YAML docker-compose.yml
        
        services > (specified for each diffrent container)
        
        image > image source
        build > dockerfile source pour creer limage
        volume > pts de montage entre host et conteneurs
        restart > comportment du conteneur en cas darret
        environment
        depends_on > conteneur depend dun autre conteneur
        ports > ports disponibles entre machien host et conteneur
        
        Docker Machine : Outil de déploiement des hôtes Docker sur différentes plateformes (Mac, Windows)
        
        Orchestrateur : gère un pool de ressources serveurs ( Swarm,
        Kubernetes, Mesos, Rancher...)
        
        Registry : Dépôt privé d’images Docker
        
        Un client Docker qui peut se trouver dans n'importe quelle autre
        machine et qui est connecté à Docker Engine via différents connecteurs exposés par dockerd (Socket, REST, API, etc...)
        
        Le développeur crée un fichier Dockerfile contenant les commandes que docker va exécuter pour construire une image docker de cette app
        
        cmmands
        
        docker build
        docker push image >> docker hub
        docker pull image
        docker run image
        
        Docker Compose
- - - - bon fonctionnment dun system de tel que les utilisateurs puissent acceder aux informations et ressources
    - - consiste à garantir que seules les personnes autorisées puissent accéder aux ressources. (mdp)
    - - consiste à garantir que le contenu d'une information ne soit pas
        modifié.
        integrite des donnes > permet de détecter les modifications
        partielles ou intégrales des données entre expéditeur et récepteur.
        integrite de flux > qu'une transmission de
        données est unique, (fonctions de hashage)
    - - garantir que seules les utilisateurs autorisées aient le droit d'accéder aux ressources échangées.
        Des données > protection cotre divulgation
        des flux > cacher l'existence de communications
        entre deux entités ainsi que la fréquence de ces communications.
    - - assurer que l'expéditeur et le récepteur sont bien les entités qui ont respectivement envoyé ou reçu le message.
        La non répudiation à l'origine :
        La non répudiation à l'arrivée
  - - - Attackes
        
        Types d’attaques
        
        les attaques de déni de service
        envoyer des milliers de messages sur un serveur (par exemple : le Web) en provenance de plusieurs stations différentes.
        
        les attaques de répudiation
        s’illustrent par la tentative de donner des informations erronées ou de nier une transaction ou un évènement qui a lieu
        
        les attaques de modification
        modification de reseau / systemes >> systemes defaillant ou ralentissment du reseau
        
        les attaques d’accès
        
        Les attaques d’accès représentent les tentatives d’accès au système par une personne non autorisée. Ainsi la confidentialité des données est mise en cause.
        Sniffing / social engineering / Bruteforce / SQLi...
    - - Contrôle d’accès
        
        modeles de controle dacces
        
        TBAC
        
        MAC
        
        Mandatory Access control
        un modele de controle d'accès dans lequel les ressources sont attribuées à des niveaux hiérarchiques de sécurité.
        sujet < niv dhabilitation / objet < niv de classification
        si nivH > nivC >> alors sujet aura acces a cet objet
        nivC [public/sec/confidentiel/topSec]
        
        TMAC
        
        DAC
        
        Discretionary Access Control < les droits d'accès à un fichier sont définis et modifiables de manière autonome et indépendante par l'utilisateur propriétaire de ce fichier / ex ACL
        
        OrBAC
        
        ABAC
        
        ABAC Attribute BAC
        définie comme étant une fonction booléenne qui prend en paramètres les attributs de u, o et e et retourne true ou false. Elle retourne true si l'utilisateur u est autorisé à effectuer l'action a sur l'objet o. Sinon, cette fonction retourne false.
        
        RBAC
        
        Role Based Access Control
        RBAC permet de modéliser les fonctions métiers ainsi que les
        autorisations d'accès à des ressources d'une organisation donnée;
        
        Un mécanisme de contrôle d'accès est un composant d'un système informatique qui permet d'assurer le contrôle l'accès aux ressources.
    - - filtrage de communications
- - - - Hyperviseurs de type 1
        
        Un hyperviseur de Type 1, sexecute directement sur le hardware
        
        considérée comme outil de contrôle de
        système d’exploitations qui sont exécutés au-dessus du matériel.
        Exemples : Xen, Oracle VM, ESX Server de Vmware.
      - Hyperviseurs de type 2
        
        Un hyperviseur de Type 2 est un logiciel qui s’exécute à l’intérieur d’un autre système d’exploitation >> . Un OS guest s’exécutera donc en troisième niveau au-dessus du matériel.>> pas de conscience detre vertualise
        Vmware, Vbox, ...
    - - La paravirtualisation (Paravirtualization)
        
        Pas de host OS mais un kernel tres leger dun OS host est utilise
        hypervizer met a disposition une API au Guest OSs pour acceder directement au hardware ainsi les modifier pour etre capable de sexecuter sur le Ring 0 ce qui fait de ces Guests conscients detre virtualises et modifie elles meme les iinstruction avant detre envoyer au hardware >> performance (unlile fullV in which B Translation the one responsible for this by the in the host OS )
        guests kernels doivnet communiquer avec lAPI met par hpz et seuls guests modifies peuvent etre paravirtualise
        
        Drivers paravirtualises
        développés par VMware ont conscience de la couche de virtualisation, ils communiquent plus facilement avec lhyoerVz
      - La virtualisation assistée au niveau matériel
        
        au lieu de mettre lOS dans un autre Ring fullV ou modifier le kernel des Guests paraV >> des processeurs introduisent un nouveau distrib de nivs > niv ROOT (Ring<0) et niv normal (0>3)
        niv ROOT accede directement au materiel ce qui permet de recevoir diretement des instrctions du Guest OS >> performance et moins de translation binaire
      - La virtualisation complète (Full Virtualization)
        
        os hote + logiciel de virtualisation >> plusieurs guest OSs croit tourner sur materiel (pas modifier pour etre vertualise) >> solution peu satisfance en perfermance + echange entre machines se font via TCP/IP > utlisant un buffer pour emuler les cartes res vertuels sur une seule carte reelle
        Vmware player / vmware workstation / KVM
        
        Translation Binaire (1988) [travial supp sur le CPU + faut que host et guest OS soit de meme archi]
        permet de placer lhypervizer en en R0 + deplacer les OS au R1 en leur donnant une peivelege sup a ceux des apps R3
        La translation binaire modifie certaines instructions de Guest OS pour acceder au hardware / avant de les envoyer pour traitement aux processeurs physiques. >> ce qui ne necessite pas les guest OSs etre modifier pour etre utilise comme machine virtuel
      - Isolateurs
        
        Un isolateur est un logiciel permettant d’isoler l’exécution des
        applications dans ce qui sont appelés des contextes, ou bien zones d’exécution.
        
        la conteneurisation
        
        consiste à créer de petits environnements Linux dans un OS Linux, isolant ainsi cet environnement de l’OS hôte mais pas du noyau Linux.
        Enveloppe permettant de packager une application avec juste ce dont elle a besoin pour fonctionner;
      - x86 offrent quatre nevs de privileges Ring 0(kernel) > 3(user)
    - - KVM
        
        built in to linux > option to add vertualization when we install the system
        Kernel-based Virtual Machine turns Linux kernel into a hypervisor. A part of Red Hat Virtualization suite, it was merged into the Linux kernel mainline in kernel version 2.6.20.
      - VMware ESX
        
        VMware ESXi is a bare-metal hypervisor that installs directly onto a physical server and helps organizations consolidate their hardware. VMware’s virtualization technologies enable the creation and provisioning of virtual machines (VMs), so organizations can modernize their infrastructure to deliver and manage new and legacy applications.
      - XEN
        
        type1 Hyper ? Directement dessus du hardware mais dessus du os dans la machine - paravirtualization means that para guest must be oprimized to run Xen > Speed
        It’s a bare-metal virtualization platform with enterprise-grade features that can easily handle workloads, combined OS, and networking configurations. XenServer delivers application performance for x86 workloads in Intel and AMD environments.
      - Hyper-V
        
        Hyper-V runs directly on the host computer hardware. For Windows users, a clear advantage is the close connection to the operating system. This can also mean a more cost-effective solution because Hyper-V is often included for free with Windows, and it is relatively simple. Even beginners can benefit from virtualization via Hyper-V.
      - OpenVZ
      - LXC
    - - Virtualisation de stockage
        
        Architectures de stockage
        
        SAN (Storage Area Network)
        
        Protocoles de stockage SAN
        Le transit des donnes sur le reseau SAN
        
        iSCSI (Internet Small Computer System Interface)
        
        iSCSI est un protocole de stockage en réseau basé sur le protocole IP destiné à relier les installations de stockage de données.
        Le protocole iSCSI encapsule des commandes SCSI dans des paquets TCP, puis les transmet sur le réseau Ethernet aux périphériques de stockage.
        
        Fibre Channel
        
        Fibre Channel est un autre protocole de stockage correspondant à la couche de transport sous-jacente que les SAN utilisent pour transmettre des données.
        
        les machines virtuelles sont stockées sur la baie de stockage et sont accessibles par plusieurs serveurs. > se différencie des autres systèmes de stockage par un accès aux disques en
        mode bloc.
        
        Direct Attached Storage (DAS)
        Esp de stockage de serveurs non dynamique / si panne de serv > aucun serveur pourra acceder au VMs jusquau sa redemarrage
        
        Gestion du stockage
        
        Le Datastore
        représentation virtuelle des ressources de stockage où sont stockées les machines virtuelles.
        
        Accès aux données par la machine virtuelle
        quand une VM communique avex son vmdk > elle envoie les commandes SCSI (Small Computer System Interface) > Le Driver du Guest OS communique a son tounrne avec avec son controleur SCSI qui transmet ces commandes au Vmkernel qui localise le fichier (qui correspond au vmdk virual disk) dans le Datastore et lemplecement des blocs a modifier
        
        établit ainsi une couche de virtualisation entre les serveurs d’applications et le matériel de stockage existants afin que les applications n’aient plus besoin de savoir sur quels disques,
        partitions ou sous-systèmes de stockage résident leurs données
        (High Availability : HA (lance par le systeme) )> detecter la panne et tous les VMs vers une autre hote fonctionnnel
        Vmotion (lance par ladmin) > migrer automatiquement des donnes vers une autre machine
        VMs ne sont accessible que par le serveur ms its sont directement reliés par une interface SCSI (Small Computer System Interface), SATA (Serial Advanced Technology Attachment) ou Serial Attached SCSI (SAS).
      - Vertualisation de
        Hardware
        Network Memory
        Software
        Data
        Desktop
    - - Le cloisonnement >> les Os ont un fonctionnment independants
      - La transparence >> etre vertualise ne change rien au fonctionnement dOS / apps ce qui implique la compatibilite des apps