Radware a identifié 5 erreurs courantes qui peuvent survenir lors de la virtualisation des applications métier d’un datacenter et propose plusieurs moyens d’y remédier :

1. Consolider les serveurs sans garantir l’isolement des défaillances au niveau de la couche ADC

Un avantage de la virtualisation du datacenter réside dans la capacité à consolider plusieurs serveurs physiques en un nombre réduit de serveurs, exécutant chacun plusieurs instances d’applications virtuelles, chaque instance présentant une tolérance aux pannes et un isolement des ressources informatiques.

Alors que le processus de consolidation peut s’avérer relativement standard, il devient plus complexe en cas d’existence de plusieurs ADC (Application Delivery Controller) au sein du datacenter, chacun assurant des services de distribution pour différentes applications. De ce fait, la consolidation de l’infrastructure des serveurs implique également celle de la couche ADC.

Si la solution pour consolider la couche ADC peut sembler a priori simple (réduire le nombre des ADC qui gèrent chacun plusieurs applications), un problème inhérent se pose : la garantie de l’isolement des défaillances au niveau de la couche ADC. Sans isolement complet des défaillances, un incident d’un seul ADC peut entraîner une rupture de continuité de service de plusieurs applications.

Pour établir un projet de consolidation des ADC, il est donc recommandé de choisir une solution qui assure un isolement complet des défaillances et une réservation des ressources au niveau de la couche ADC.

2. Virtualiser les applications stratégiques en négligeant les effets d’un environnement partagé

Pour virtualiser les applications métier d’une entreprise, certaines DSI peuvent choisir de traiter les applications stratégiques et non stratégiques de la même manière, à savoir utiliser une seule infrastructure de virtualisation pour les deux. Bien que cette méthode puisse s’avérer plus simple pour gérer toutes les applications résidant sur la même infrastructure, elle crée des problèmes potentiels pour les applications clés, notamment en termes de qualité de service.

La migration d’une application d’un serveur physique dédié vers une infrastructure virtuelle partagée peut nuire à ses performances car plusieurs applications se concurrencent alors pour les ressources du même serveur physique. Ce cas de figure est tolérable pour des applications non stratégiques, mais pas pour celles qui sont stratégiques.

Pour éviter cette dégradation, les DSI doivent veiller à installer une solution ADC en amont des applications virtualisées. L’utilisation des fonctions d’accélération applicative de l’ADC (compression, mise en cache, multiplexage TCP, etc.) permet d’assurer les performances des applications, les utilisateurs bénéficiant alors du niveau de service requis.

3. Automatiser l’infrastructure virtuelle sans l’aligner sur la logique de distribution du trafic au sein du datacenter

La virtualisation des serveurs crée une seule infrastructure consolidée qui permet de déployer plusieurs ressources à la volée. L’ajout et le retrait de machine virtuelle devient donc facile et rapide. Alors que la mise en place d’un nouveau serveur dans un environnement classique peut prendre plusieurs semaines, seules quelques minutes sont nécessaires pour le même serveur dans un environnement virtuel.

Une solution ADC garantit la disponibilité et les performances des applications virtuelles, mais les administrateurs réseau doivent en permanence adapter sa configuration en fonction des modifications opérées au niveau de la couche de virtualisation. Il peut s’agir d’ajouter ou de retirer une machine virtuelle d’un cluster d’applications virtuelles, par exemple. Si l’actualisation permanente de la configuration d’un ADC n’est pas assurée, il existe un risque de nette dégradation de la disponibilité et des performances de l’application.

Pour assurer une adéquation permanente entre l’infrastructure virtuelle et l’ADC, il est recommandé de mettre en œuvre une solution ADC capable de superviser à la fois cette infrastructure et l’ADC, en synchronisant automatiquement la configuration de l’ADC en cas de modification de l’infrastructure virtuelle. Ce, afin de garantir que l’ADC continuera à distribuer le trafic aux applications, même en cas d’arrivée de nouveaux serveurs.
En outre, la solution doit également évoluer à la demande au rythme des applications : en cas de mise en place de nouveaux serveurs d’applications pour gérer un trafic utilisateur accru, l’ADC doit s’adapter.

4. Planifier une solution multi-datacenter sans bénéficier d’une solution de répartition de charge globale

L’adoption de la virtualisation des serveurs facilite pour les DSI la conception d’un plan de reprise d’activité du datacenter, mais également le déploiement d’applications dans des datacenters distribués ou le transfert d’applications entre plusieurs datacenters. En effet, il n’est plus nécessaire d’installer un nouveau serveur physique, car l’infrastructure de serveurs existante peut être utilisée pour un plus grand nombre applications.

Pour les applications déployées au sein de plusieurs datacenters, une des exigences essentielles est de garantir l’exécution complète de chaque transaction. Pour y parvenir, une transaction utilisateur doit toujours être dirigée vers un site disponible qui connaît l’identité de l’utilisateur et le statut de la transaction.

L’utilisation d’un ADC assurant la redirection du trafic global (GSLB) permet d’éviter des problèmes tels que les variations de trafic (pics et pointes) et les éventuelles défaillances d’applications ou du réseau. Les utilisateurs sont dirigés vers le site présentant la meilleure qualité de service.
Lors du choix d’un ADC, les DSI doivent donc vérifier qu’il assure à la fois l’exécution des transactions et qu’il offre des temps de réponse rapides, tout en optimisant totalement les ressources serveurs réparties globalement entre plusieurs datacenters en fonction de la persistance des applications/transactions, la disponibilité du contenu, la charge et la proximité.

5. Concevoir un environnement virtualisé en négligeant les risques de sécurité potentiels

L’un des principaux avantages de la virtualisation des serveurs est que les serveurs virtuels partagent une infrastructure physique commune.

Toutefois, cela constitue également un point faible car un incident au niveau de l’infrastructure physique aura des répercussions sur toutes les applications hébergées (les serveurs virtuelles). Par exemple, des attaques DoS (déni de service) peuvent cibler la carte réseau d’un serveur physique, ce qui l’empêche de transmettre le trafic légitime aux applications hébergées, impliquant des interruptions au niveau applicatif.

En outre, si l’infrastructure virtualisée permet un auto-dimensionnement, une attaque DoS visant une application peut provoquer sa croissance continue pour traiter le pseudo-trafic accru, et engendrer une hausse des coûts d’exploitation.

Pour éviter de tels scénarios, les DSI doivent mettre en place un dispositif de prévention en temps réel des attaques réseau qui permette de protéger totalement l’infrastructure virtualisée contre les menaces réseau connues et nouvelles. Ce dispositif doit également être capable de détecter et de parer en temps réel de nouvelles attaques réseau (attaques « zéro-minute », DoS/DDoS ou de détournement d’applications) sans nécessiter une intervention manuelle et sans bloquer le trafic utilisateur légitime.

Pour conclure, lors de la conception d’une architecture de serveurs virtuels, les DSI doivent veiller à ne pas négliger les questions de disponibilité, de performances, d’adéquation et de sécurité qui découlent de la virtualisation des applications et de l’utilisation d’un environnement physique partagé.