âïž Cloud Architect & Engineering
Du design d'infrastructure résiliente à l'optimisation des coûts : les piliers techniques.
RĂŽle & PĂ©rimĂštre
Différence Architect vs Engineer, IaaS/PaaS/SaaS.
Stratégie & Migration
Les 6R, Landing Zones, Multi-account strategy.
Architecture & Patterns
HA/DR, RĂ©gions/AZ, Microservices vs Monolithe.
FinOps & Coûts
ModĂšles de pricing, Spot, Tagging policy.
IaC & Outils
Terraform, Ansible, Pulumi, GitOps.
Sécurité (CloudSec)
Shared Responsibility, IAM, KMS, Compliance.
Fondamentaux & RĂŽles
Service Models (Pizza as a Service)
| ModÚle | Vous gérez | Provider gÚre | Exemple |
|---|---|---|---|
| On-Prem | Tout (Data Center Ă App) | Rien | Vos serveurs |
| IaaS | OS, Runtime, Data, App | Virtu, Serveurs, RĂ©seau | EC2, Azure VM |
| PaaS | Data, App | OS + tout le dessous | RDS, App Service |
| SaaS | Configuration | Tout (Logiciel inclus) | Gmail, Salesforce |
Architect vs Engineer
Cloud Architect
Vision haut niveau (HLD)
Vision haut niveau (HLD)
- Dessine les diagrammes d'architecture.
- Définit la stratégie de gouvernance.
- Choisit les services (SQL vs NoSQL).
- Parle aux stakeholders (coûts/risques).
Cloud Engineer
Implémentation (LLD)
Implémentation (LLD)
- Ăcrit le code Terraform/Bicep.
- Configure les réseaux (VPC, Subnets).
- Met en place les pipelines CI/CD.
- GĂšre le monitoring et le troubleshooting.
Stratégie & Migration
Cadre méthodologique AWS pour classer les applications lors d'une migration.
| Stratégie | AKA | Description | Effort | Valeur Cloud |
|---|---|---|---|---|
| Rehost | Lift & Shift | DĂ©placer les VM telles quelles sans changement. | Faible | Faible |
| Replatform | Lift & Tinker | Optimisation légÚre (ex: VM DB vers RDS). | Moyen | Moyenne |
| Refactor | Re-architect | RĂ©Ă©criture Cloud-Native (Serverless/Microservices). | ĂlevĂ© | Maximal |
| Repurchase | Drop & Shop | Remplacer par un SaaS (ex: CRM maison â Salesforce). | Variable | ĂlevĂ©e |
| Retain | - | Garder sur site (latence, légal, legacy). | Nul | Nulle |
| Retire | - | Ăteindre les applications inutiles. | Nul | Ăconomie |
Architecture Multi-Comptes (AWS Control Tower / Azure Management Groups)
Ne jamais tout mettre dans un seul compte "Prod". L'isolation est la clé de la sécurité.
- Security Account : Centralise les logs (CloudTrail), GuardDuty, Audit. AccĂšs ultra-restreint.
- Network Account : Transit Gateway, VPN, Direct Connect. Hub central du réseau.
- Sandbox : Pour que les devs testent sans casser la Prod et avec un budget capé.
Patterns de connectivité
- VPN Site-to-Site : Tunnel chiffré sur internet. Rapide à monter, bande passante instable.
- Direct Connect / ExpressRoute : Fibre dédiée privée. Latence faible, débit garanti, cher.
- Transit Gateway : Routeur cloud central pour connecter des centaines de VPC et l'On-Prem.
Architecture & RĂ©silience
L'objectif est d'Ă©liminer les SPOF (Single Point of Failure).
Si AZ A brûle, le Load Balancer redirige tout le trafic vers AZ B. L'utilisateur ne voit rien.
Stratégies de reprise aprÚs sinistre (RPO / RTO)
| Stratégie | Concept | RTO (Temps de reprise) | Coût |
|---|---|---|---|
| Backup & Restore | On restaure les sauvegardes sur une infra neuve. | Heures / Jours | $ |
| Pilot Light | Les données sont répliquées, les serveurs éteints. On allume en cas de crash. | Minutes / Heures | $$ |
| Warm Standby | Version réduite de la prod tourne en permanence ailleurs. On scale en cas de crash. | Minutes | $$$ |
| Multi-Site (Active/Active) | La prod tourne sur 2 régions en simultané. Zero downtime. | Proche de 0 | $$$$$ |
FinOps : Gestion des Coûts
# Terraform Tagging Policy Example
resource "aws_resourcegroups_group" "project_alpha" {
  name = "project-alpha"
  resource_query {
    query = <    { "TagFilters": [ { "Key": "CostCenter", "Values": ["CC-123"] } ] }
    JSON
  }
}
resource "aws_resourcegroups_group" "project_alpha" {
  name = "project-alpha"
  resource_query {
    query = <
    JSON
  }
}
| ModĂšle d'Achat | Description | Ăconomie Potentielle |
|---|---|---|
| On-Demand | Payer Ă la seconde. Le plus cher. | Base (0%) |
| Reserved Instances (RI) | Engagement sur 1 ou 3 ans sur un type de machine précis. | -40% à -60% |
| Savings Plans | Engagement sur une dépense horaire ($/h). Plus flexible que RI. | -30% à -50% |
| Spot Instances | EnchĂšre sur la capacitĂ© inutilisĂ©e. Peut ĂȘtre interrompu (2 min prĂ©avis). | -70% Ă -90% |
Infrastructure as Code
L'infrastructure n'est plus cliquée manuellement, elle est codée, versionnée (Git) et déployée via CI/CD.
Outils Principaux
- Terraform / OpenTofu : Le standard de l'industrie. DĂ©claratif. Multi-cloud.
- Ansible : Gestion de configuration (install nginx, update OS).
- Pulumi : IaC avec de vrais langages (Python, TS).
- Crossplane : GĂ©rer l'infra cloud depuis Kubernetes.
Snippet Terraform (AWS S3)
resource "aws_s3_bucket" "logs" {
  bucket = "my-app-logs-prod"
  tags = {
    Environment = "Prod"
    ManagedBy = "Terraform"
  }
}
resource "aws_s3_bucket_public_access_block" "block" {
  bucket = aws_s3_bucket.logs.id
  block_public_acls = true
}
  bucket = "my-app-logs-prod"
  tags = {
    Environment = "Prod"
    ManagedBy = "Terraform"
  }
}
resource "aws_s3_bucket_public_access_block" "block" {
  bucket = aws_s3_bucket.logs.id
  block_public_acls = true
}
Cloud Security Posture
ModÚle de Responsabilité Partagée
CLIENT (Vous)
Sécurité "IN" the Cloud
Données Client
IAM (Utilisateurs/Droits)
Chiffrement (KMS)
OS & Firewall (Security Groups)
Sécurité "IN" the Cloud
Données Client
IAM (Utilisateurs/Droits)
Chiffrement (KMS)
OS & Firewall (Security Groups)
PROVIDER (AWS/Azure)
Sécurité "OF" the Cloud
Datacenters (Physique)
RĂ©seau Global / CĂąbles
Hyperviseur (Virtualisation)
Sécurité "OF" the Cloud
Datacenters (Physique)
RĂ©seau Global / CĂąbles
Hyperviseur (Virtualisation)