RUDDER - l'alternative open source à Puppet Enterprise

RUDDER est une solution professionnelle française, open source, et multi-plateforme, qui permet de gérer les configurations des systèmes dont la mission est critique. Basé sur le concept de Continuous Configuration, RUDDER incarne la fusion de la gestion de configuration et de l’audit en continu.

Dédié aux contraintes de la production, RUDDER s'est imposé comme une alternative open source légitime face aux solutions d'automatisation et de déploiement semi-propriétaires comme Puppet Enterprise.

RUDDER - solution de Continuous Configuration

Les problématiques de la production informatique ont en commun une chose ; elles s’expriment de manière ininterrompue et chronique. En un mot, elles sont continues :

Croissance continue

les parcs de machines sont sans cesse plus imposants, et leur croissance plus rapide que jamais.

Disponibilité continue

les services requièrent d’être accessibles et fiables en permanence par des utilisateurs globalisés, exigeants et versatiles.

Risque continu

avec la disponibilité permanente requise par les utilisateurs, l’exposition au risque devient elle-aussi continue.

Avec RUDDER : les changements en production peuvent être simulés individuellement avant d’être validés, puis vérifiés après être appliqués et, enfin, tracés et maintenus dans le temps grâce à un audit continu du SI. Les opérations sont ainsi effectuées de façon contrôlée et sécurisée, donnant aux équipes IT les clés pour réduire durablement les risques d’incident.

En pratique

Gérer le socle système

(distribuer des clés SSH, paramétrer le DNS, gérer les utilisateurs, paramétrer les permissions sur les dossiers et fichiers, lancer des tâches, gérer les certificats, etc.)

Installer, mettre à jour et configurer des middlewares et des applications

Serveur d'application, serveur web, hyperviseur, orchestrateur de conteneurs, base de données, application interne, etc.

Appliquer et vérifier en continu les politiques de sécurité

y compris pour des normes externes (ISO 27001, PCI-DSS, PSSI de l’ANSSI, etc.).

none
RUDDER n’est pas une solution de :
monitoring - même si la fonctionnalité d’audit des configurations en continu peut compléter une solution de monitoring, RUDDER n’a pas vocation à remplacer votre système de supervision. Elle peut aider à le déployer rapidement et s’assurer de son bon fonctionnement.
déploiement / intégration - RUDDER a pour objet les couches système et middleware. Ce socle a davantage une vocation de stabilité continue que les couches applicatives supérieures aux contraintes et finalités différentes. Des plugins permettent à RUDDER d'interagir au mieux avec ces solutions de déploiements.
gestion du réseau - du fait des OS clos propriétaires et spécifiques à chaque fabricant, RUDDER ne peut pas piloter les équipements réseaux.
fadeIn

A qui s’adresse RUDDER ?

En production, la principale contrainte et cause de complexité est l’hétérogénéité :
  • technique
    • des machines (machines physiques, VM, cloud, embarqué)
    • des systèmes (Linux, Windows, UNIX…)
  • humaine
    • des responsabilités des acteurs du SI (administrateur système, RSSI, ingénieur système, architecte…)
    • des domaines de prédilection et niveaux d’expertise des membres d’une même équipe
C’est pour pallier ces contraintes que RUDDER est :
  • multi-device (machines physiques, VM, cloud, embarqué)
  • multi-plateforme (Linux, Windows, AIX) avec abstraction des différences d’implémentation (l’agent se charge d’appliquer correctement les configurations selon l’OS)
  • multi-interface (web UI, CLI, API)
Ainsi, chaque métier de l'IT trouvera dans RUDDER une réponse à ses besoins, que ce soit
  • pour le Responsable qui souhaite visualiser l'état réel du parc sur des graphiques clairs et concis, pour s'assurer que la politique de sécurité est bien appliquée sur l'ensemble du parc,
  • pour l’Ingénieur qui doit construire une chaîne d'outils capables d’interagir entre eux grâce à l'API.
  • pour l’Administrateur qui configure les machines au quotidien via l'interface web de gestion qui ne nécessite jamais de devoir écrire du code, y compris pour les besoins métier les plus spécifiques, grâce à un éditeur de configuration en drag & drop.

Architecture technique

Techniquement, RUDDER fonctionne sur un modèle d'état cible que l'on souhaite atteindre ou maintenir : l'agent déployé sur chaque machine fonctionne en mode pull et récupère sa configuration auprès du serveur central et l'applique ensuite en continu de manière autonome.
none
Cette vérification continue est possible car l'agent est léger (10 à 20 Mo de RAM) et très rapide (écrit en C, il peut appliquer une centaine de règles sur une machine en moins de 10 secondes). Grâce à ce modèle RUDDER est sécurisé, résilient aux problématiques de réseau, et capable de gérer plus de 10 000 machines avec une seule installation.
none
Il est bien évidemment possible de paramétrer RUDDER en mode “ audit only ” afin de visualiser les écarts de conformité sans pousser de modification. Les utilisateurs apprécient particulièrement cette fonctionnalité lors d’une première installation de RUDDER sur un nouveau parc ou pour la mise en place d’un nouveau type de configuration.

L’interface est un client léger développé en Scala, langage lui aussi choisi pour sa robustesse et sa rapidité.

ROI

Pourquoi investir dans le Continuous Configuration avec RUDDER ?


Pour 3 raisons essentielles :

1. Économie : on constate tout d’abord un gain de temps lié à l’automatisation des tâches et leur maintien en conformité autonome. Plus le parc est vaste, plus les bénéfices sont importants, et pourtant, dès quelques dizaines de machines, les résultats sont déjà significatifs. Voici un exemple réel chez un de nos clients avec un petit parc de seulement 36 serveurs :
none
2. Fiabilité : l’homogénéisation des configurations, leur application automatique et continue, et la visualisation de la conformité via les dashboards de RUDDER permettent une véritable maîtrise du SI, dans son ensemble comme avec la plus grande finesse. Une meilleure fiabilité ce sont des risques mieux maîtrisés, et ainsi moins d’incidents et moins de ressources mobilisées pour les résoudre.

3. Création de valeur : d’une part les ressources économisées peuvent être investies sur des projets à plus forte valeur ajoutée que le récurrent répétitif ; d’autre part le gain de fiabilité lié à l’automatisation améliore la qualité de service et avec elle la délivrabilité des projets, l’image de marque, et le time to market.

Références

Depuis sa sortie en 2012, RUDDER a su trouver sa place au sein de production larges et/ou critiques comme celles de :
none
none
none
none
none
none
none
Grâce à ces nombreux succès, RUDDER a été reconnu par le célèbre analyste Forrester comme un des acteurs majeurs du secteur de l’automatisation de l’infrastructure.


Cas d'usage :

Fiabilisation d’un parc hétérogène à haute criticité.
  • Parc : 4 000 VM sur systèmes AIX et Linux.
  • Utilisation : RUDDER est utilisé quotidiennement par l'ensemble de l'équipe informatique de production qui déploie et vérifie en continu l'ensemble des configurations système du parc.
Automatisation d’un parc industriel à forte volumétrie.
  • Parc : +10 000 serveurs sous Linux (physique et cloud).
  • Utilisation : Gestion des configurations système à la fois en datacenter mais aussi en usine sur différents sites du globe.
Maintien en conformité d’un parc soumis à la norme ISO 27001.
  • Parc : 800 serveurs Linux et Windows.
  • Utilisation : Gestion du système de génération et de distribution des firmwares et logiciels industriels.

RUDDER vs Puppet - En résumé

1) Côté opérationnel

A] Conformité en continu

RUDDER se distingue de Puppet sur 2 axes :
  • fonctionnel
  • technique

D’un point de vue fonctionnel, ça se traduit en premier lieu par une vérification en continu de la conformité, avec remédiation automatique → Puppet a récemment raccroché les wagons sur ce point, mais il reste 2 différences avec RUDDER : l’une se trouve au point suivant ; l’autre est le mode “ audit “ qui permet à RUDDER d’auditer un parc sur la base de l’état cible visé sans pour autant faire la moindre modification. Ce mode audit peut être défini pour l’ensemble de RUDDER, comme pour une sous-partie des machines gérées et/ou seulement certaines règles.

Techniquement, ce qui permet cette vérification continue, c’est avant tout :
  • l’agent en C plutôt qu’en Ruby comme sur Puppet → il est du coup plus léger (10 à 20 Mo de RAM) et plus rapide (il peut appliquer une centaine de règles sur une machine en moins de 10 secondes). RUDDER est ainsi capable de fonctionner sur des machines aux capacités restreintes sans perturber leur fonctionner là où l’ampleur et les performances de la stack Ruby ne facilitent pas la gestion continue des matériels historiques et/ou embarqués.
  • une architecture distribuée → les agents récupèrent leur configuration auprès du serveur central (ou de serveurs relais), pour répartir la charge ce qui permet à un seul serveur RUDDER de gérer plus de 10 000 agents.


    • B] Une solution d’équipe vs un outil d’expert

    En parallèle de cette orientation conformité en continu, RUDDER a été conçu pour être utilisé pour l’intégralité d’une équipe IT, et pas seulement un expert en infra-as-code.

    Fonctionnellement ça se traduit par :
    • une interface web de gestion avec templates inclus et éditeur drag & drop (là où l’interface de Puppet ne permet que de la consultation d’information, et de créer des configurations depuis l’interface sans avoir à développer.) Bien entendu, l’interface n’est pas imposée, il est possible d'écrire du code directement.
    • un workflow de validation des changements qui permet de laisser la main à un junior, un nouveau membre de l’équipe, un développeur, etc. sur certains sujets / agent seulement, et avec une double validation d’un pair avant application.
    • la possibilité d’exporter des rapports de conformité en PDF pour un auditeur, un client, son RSSI, etc.)
    Du coup RUDDER s’adresse aussi bien :
    • au Responsable qui souhaite visualiser l'état réel du parc sur des graphiques clairs et concis, pour s'assurer que la politique de sécurité est bien appliquée sur l'ensemble du parc,
    • pour l’Ingénieur qui doit construire une chaîne d'outils capables d’interagir entre eux grâce à l'API.
    • pour l’Administrateur qui configure les machines au quotidien via l'interface web de gestion qui ne nécessite jamais de devoir écrire du code, y compris pour les besoins métier les plus spécifiques, grâce à un éditeur de configuration en drag & drop.

    2) Côté business

    Enfin, en marge du côté opérationnel, RUDDER se distingue aussi par son modèle économique plus proche de l’esprit du Logiciel Libre que du modèle à deux vitesse Open Core vs Enterprise et ses effets pervers. RUDDER n’existe qu’en version libre. Des fonctionnalités à destination des très grosses structures et/ou spécifiques à des cas d’utilisation moins courants, sont disponibles dans des plugins payants.

    Les fonctions centrales de RUDDER comme l’interface de gestion et l’éditeur en drag-&-drop ne seront jamais rendues payantes, là où l’interface de Puppet est propriétaire.

    Et maintenant ?

    En visioconférence ou directement dans vos locaux si vous êtes en Île-de-France, nous vous proposons une démonstration live de 15 minutes afin que vous puissiez rapidement évaluer si RUDDER est le bon outil pour solutionner vos problématiques actuelles.

    Demander une démo

    Pendant que nous répondons à votre message, profitez-en pour consulter la liste des fonctionnalités de RUDDER.

    Voir les fonctionnalités

    RUDDER

    © RUDDER (Normation) 2019 Mentions légales | Cookies et données personnelles