Cloud Foundry est sans doute l'environnement le plus populaire sur la SAP Business Technology Platform. Lorsque les clients développent des applications à l'aide du cadre SAP Cloud Application Programming (CAP) pour étendre les solutions SAP S/4HANA et obtenir un « core » épuré, ils procèdent généralement au déploiement via Cloud Foundry.
Une fois que les applications déployées sur Cloud Foundry sont mises en production, elles deviennent essentielles à l'activité, ce qui rend indispensable la surveillance de ces applications et de la plateforme. La surveillance de Cloud Foundry est désormais une exigence incontournable pour les équipes opérationnelles SAP.
Qu'est-ce que Cloud Foundry et à quoi sert-il ?
Cloud Foundry est une plateforme open source pour applications cloud qui facilite l'exécution d'applications écrites dans n'importe quel langage sur n'importe quel cloud privé ou public. En temps normal, c'est un administrateur qui se charge d'installer et de configurer Cloud Foundry, mais SAP BTP fournit son environnement Cloud Foundry déjà configuré et prêt à l'emploi pour que les clients puissent y déployer leurs applications.
La possibilité d'exécuter des applications écrites dans n'importe quel langage est assurée par une combinaison de piles et buildpacks. Les piles contiennent les éléments clés d'un système d'exploitation, tandis que les buildpacks fournissent toutes les dépendances nécessaires au fonctionnement d'une application. Par exemple, une application Java pourrait être déployée avec la pile cflinuxfs4, qui fournit la distribution Linux Ubuntu 22.04 Jammy Jellyfish, en utilisant un buildpack Java qui fournit la JVM et les autres dépendances nécessaires à l'exécution d'applications Java.
Cloud Foundry vise à fournir une plateforme cloud rapide, sécurisée et innovante offrant une excellente expérience aux développeurs. Elle permet de gagner du temps et de réduire les coûts liés à la configuration et à la maintenance manuelles de l’infrastructure nécessaire à l’exécution des applications, afin que les développeurs puissent se concentrer sur la création de leurs applications, tandis que la plateforme gère les aspects complexes tels que la mise à l’échelle. Il n’est donc pas surprenant que SAP ait choisi d’intégrer Cloud Foundry parmi les environnements disponibles dans BTP.
Que dois-je surveiller dans Cloud Foundry ?
Cloud Foundry masque une grande partie des problèmes d'infrastructure qui constituent généralement le point de départ de l'observabilité, mais cela ne signifie pas pour autant qu'aucun incident ne se produit ou qu'il n'est pas nécessaire de le surveiller. Il existe plusieurs domaines clés à prendre en compte pour assurer le bon fonctionnement de Cloud Foundry.
Quotas
Les quotas constituent un sujet majeur dans l'administration de Cloud Foundry. Vous pouvez définir des quotas pour le CPU, la mémoire, les routes, les processus et les services, et les appliquer à l'ensemble d'une organisation Cloud Foundry ou à un espace au sein d'une organisation.
Les quotas sont utiles, voire indispensables pour garantir que les applications disposent des ressources nécessaires tout en maîtrisant les coûts. Cependant, ils peuvent aussi s'avérer impitoyables et empêcher le démarrage d'une application, ou son redémarrage après une maintenance, si cela devait entraîner le dépassement d'une des limites de quota configurées. Les quotas peuvent être à l'origine d'interruptions de service, mais ils permettent aussi de les éviter, et ces deux situations se produisent fréquemment.
La surveillance du processeur et de la mémoire n'est peut-être plus nécessaire au niveau de l'infrastructure, mais elle reste un élément essentiel de l'observabilité dans Cloud Foundry. Outre le fait d'éviter d'atteindre la limite de quota, le suivi régulier de l'utilisation des quotas est un élément important pour optimiser et dimensionner correctement votre environnement Cloud Foundry en vue d'une croissance future, tout en minimisant les coûts et l'empreinte carbone.
Problèmes d'exécution et disponibilité
Cloud Foundry est tellement éloigné du matériel nu par ses multiples niveaux d'abstraction que les problèmes informatiques classiques peuvent sembler impossibles à résoudre, mais en réalité, les applications Cloud Foundry ne sont que du code ordinaire s'exécutant dans des processus ordinaires sur des systèmes d'exploitation ordinaires, derrière toutes ces couches d'abstraction « cloud ».
Les applications génèrent des exceptions et il arrive parfois que des processus entiers plantent. Parfois, l'application semble fonctionner correctement, mais elle n'est tout simplement pas disponible ou ne fait pas ce qu'elle est censée faire. La surveillance des plantages de processus, des exceptions enregistrées et de la disponibilité de base est une fonctionnalité absolument essentielle de toute solution d'observabilité Cloud Foundry.
Étant donné que les applications, quel que soit leur langage de programmation, peuvent s'exécuter sur Cloud Foundry, la fonctionnalité de journalisation fournit des rapports très génériques sur les problèmes ; une interprétation plus approfondie, fondée sur la connaissance du langage spécifique, est donc nécessaire pour les comprendre et les résoudre. Si une plateforme d'observabilité peut se charger de cette interprétation à votre place, les équipes opérationnelles peuvent résoudre les problèmes plus rapidement.
Évolutivité et ressources
Cloud Foundry impose des limites d'utilisation de la mémoire et du processeur pour les instances de processus, et permet une mise à l'échelle automatique ou manuelle de ces instances afin de répondre aux fluctuations de la demande. Il est essentiel de surveiller l'utilisation lorsque celle-ci approche des limites et d'ajuster activement les limites configurées à la hausse ou à la baisse pour garantir des applications performantes à moindre coût.
L'un des domaines dans lesquels Cloud Foundry accorde une certaine souplesse à une application est celui de l'utilisation ponctuelle du processeur au-delà d'une limite définie quota de CPU, ce que l'on appelle un pic. À terme, Cloud Foundry commencera à identifier les « mauvaises » applications qui utilisent systématiquement trop de CPU et à les limiter. La limitation intervient également lorsque la capacité CPU disponible est insuffisante pour toutes les applications. Il est essentiel de surveiller le temps pendant lequel les applications dépassent leur quota de CPU afin de s'assurer qu'elles ne soient pas limitées et qu'elles fonctionnent correctement pour les utilisateurs.
Problèmes liés au déploiement et à la compilation
Le déploiement ou la mise à jour d'une application sur Cloud Foundry s'effectue souvent à l'aide d'une seule commande, mais cela déclenche un processus complexe comportant de nombreuses étapes. À partir du moment où le développeur exécute cf push sur sa ligne de commande : tout d'abord, une application est créée, puis les fichiers sont mis à jour dans le stockage pour la compilation, l'application est préparée, un droplet est créé et stocké, et enfin l'application peut être lancée et son état de fonctionnement vérifié.
À chaque étape, des problèmes peuvent survenir. La plateforme Cloud Foundry rend compte de l'état des droplets, des builds et des applications en phase de préproduction ou d'exécution. Il s'agit là de points essentiels à surveiller, car tout problème pourrait signifier que l'application se trouve dans un état différent de celui prévu par le développeur. Dans le pire des cas, une application pourrait devenir totalement indisponible pour les utilisateurs à la suite de problèmes liés au démarrage, à l'arrêt, à la compilation ou à la mise en préproduction.
Sécurité technique
Les produits SAP dans le cloud en général, et SAP BTP en particulier, font sortir les équipes opérationnelles SAP du périmètre du pare-feu de l'entreprise, souvent pour la première fois. Les applications SAP ont toujours fonctionné au sein d'une partie bien protégée du réseau de l'entreprise, mais les applications cloud se trouvent sur l'Internet public et sont soumises par défaut à un modèle de sécurité « zero-trust ».
Cloud Foundry propose des groupes de sécurité permettant de définir les accès réseau autorisés pour les applications ; ceux-ci doivent être configurés conformément aux bonnes pratiques générales (autoriser l'accès au DNS, bloquer l'accès aux services de gestion du cloud) ainsi qu'aux politiques et configurations propres à l'organisation. La surveillance des problèmes de configuration garantit que les applications communiquent entre elles quand elles le doivent, et non quand elles ne le doivent pas.
La consultation des journaux d'audit de sécurité n'a jamais vraiment été facultative, mais elle est sans aucun doute obligatoire dans tout environnement de cloud public ; tout écart par rapport à la configuration de référence ou toute menace potentielle doit faire l'objet d'une enquête. Il peut s'agir d'une simple défaillance, comme un système d'intégration mal configuré qui entraîne à lui seul une perturbation des activités, ou bien d'un attaquant.
Conformité
La conformité relève d'un aspect légèrement différent de la sécurité, puisqu'elle porte sur des questions telles que les contrôles d'audit de la mise en œuvre et la séparation des tâches. Cloud Foundry propose des rôles pour les administrateurs et les développeurs, et il est tout aussi important de vérifier que ceux-ci sont correctement configurés que de contrôler les autorisations dans un système S/4HANA en production.
Malheureusement, de nombreux déploiements Cloud Foundry s'apparentent aujourd'hui à un Far West. Cette technologie étant relativement nouvelle dans l'univers SAP, les applications sont développées sur Cloud Foundry soit pour valider un concept innovant, soit dans le cadre d'un projet d'implémentation S/4HANA particulièrement complexe. Dans les deux cas, le temps et les compétences disponibles sont mis à rude épreuve, et la mise en service est considérée comme une priorité absolue par rapport à la configuration nécessaire pour assurer la conformité.
Les auditeurs rattrapent désormais leur retard, et la pratique courante consistant à déployer des applications depuis l'ordinateur portable d'un développeur vers les environnements de production dans le cadre du BTP ne sera bientôt plus possible dans les grandes entreprises. Une configuration correcte du CI/CD offre aux applications un parcours de mise en production similaire à celui des transports SAP ; par conséquent, la vérification des autorisations des utilisateurs de Cloud Foundry, visant à s'assurer que personne ne puisse développer des applications et les déployer en production, devient un contrôle de surveillance essentiel.
Alors, comment puis-je surveiller l'ensemble du système dans Cloud Foundry ?
Bien entendu, ce blog Avantra va vous recommander la fonctionnalité de surveillance Cloud Foundry disponible depuis la version 25 d'Avantra.
Avantra 25 permet la détection entièrement automatique de tous les répertoires et sous-comptes, ainsi que de l'environnement et des services d'un compte global SAP BTP, après la saisie d'une seule clé API dans un seul sous-compte. La détection et la configuration s'effectuent de manière entièrement automatique, avec un minimum d'intervention de la part de l'administrateur.
Lorsqu'un environnement Cloud Foundry est identifié, tous les espaces et toutes les applications sont détectés, et les contrôles de surveillance correspondant à tous les éléments mentionnés dans cet article sont configurés automatiquement, y compris plus de vingt contrôles standard et cinq contrôles personnalisés pour chaque application et chaque environnement.
Avantra est la principale plateforme d'observabilité destinée aux équipes d'exploitation SAP ; depuis plus de vingt ans, elle offre à nos clients une visibilité entièrement automatisée et conviviale sur leurs environnements SAP. L'extension de sa couverture à des services BTP essentiels tels que Cloud Foundry permet désormais d'observer et de gérer les processus métier SAP modernes dans le cloud à partir d'une plateforme unique et intégrée.
Discutez avec l'un de nos experts SAP dès aujourd'hui pour en savoir plus.