Missions quotidiennes d’un·e DevOps / Platform Engineer

CI/CD, clusters, déploiements, environnements, supervision & SLA, incidents & PRA/PCA, sécurité (IAM/Zero-Trust), supply-chain.

CI/CD & GitOps Kubernetes / Swarm IaC & Releases SLI/SLO & MTTR IAM & Audits Artefacts & SBOM

Cheat-sheet — Tâche → Outils → Livrables → KPIs → Owner

Tâche	Outils	Livrables	KPIs	Owner
Pipelines CI/CD	GitHub/GitLab CI, Jenkins	YAML pipeline, caches, gates	Lead-time < 48h, échec < 10%	Dev + Platform
Clusters	K8s, Helm, ArgoCD/Flux	Manifests, charts, RBAC	Uptime SLO, erreurs < 2%	SRE/Platform
Déploiements	Helm, Argo Rollouts, Ansible	Playbooks, runbooks release	Rollback < 10 min	Dev + SRE
Environnements	GitOps, feature flags	Promotion dev→staging→prod	Drift = 0, parité staging	Platform
Supervision & SLA	OTel, Prom/Loki, Grafana	Dash SLO, règles d’alertes	Brut < 2%, MTTR < 60m	SRE
Incidents & PRA	PagerDuty, Jira, Runbooks	Post-mortems, tests DR	Time-to-tri < 10m	On-call
Sécurité	Vault/SOPS/KMS, OPA	Policies, SBOM signés	Fuites = 0, rotation > 95%	SecOps + Platform

Cadence type : daily standup (10′), tri alertes (2×/j), revue changements (hebdo), revue SLO (mensuelle), test PRA (trimestriel).

Bonnes pratiques

Trunk-based + PRs petites (< 300 lignes), checks obligatoires.
Tests rapides/parallèles, cache dépendances, flakies en quarantaine.
Gates : lint, SAST/DAST, SBOM signé, licence policy.
Artefacts immuables (images signées), inventaire & rétention.
OIDC runners → cloud (zéro clés longues durées).

Snippets

# GitHub Actions (extrait)
name: ci
on: [push, pull_request]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - run: pip install -r req.txt
      - run: pytest -q

# Jenkinsfile (extrait)
pipeline {
  agent any
  options { timestamps(); timeout(time:30, unit:'MINUTES') }
  stages {
    stage('Test'){ steps{ sh 'pytest -q' } }
    stage('SBOM'){ steps{ sh 'syft . -o json > sbom.json' } }
  }
}

KPIs & anti-patterns

KPIs : lead-time < 48h, fréquence (quotidienne/hebdo), échec < 10%, MTTR < 60m.
Anti-patterns : CI lente, jobs séquentiels, logs secrets, absence d’inventaire.
Livrables : pipeline.yml, matrice tests, politique rollback.

Ops quotidiens

Gestion RBAC/Namespaces, quotas/limites, PodSecurity.
Nodes/cordon/drain, autoscaling (HPA/VPA/Cluster-autoscaler).
Ingress/Service mesh, certs TLS, policies réseau.
Backups etcd/manifests, upgrades contrôlés.

Snippets

# Quotas (extrait)
apiVersion: v1
kind: ResourceQuota
spec: { hard: { cpu: "8", memory: "32Gi", pods: "200" } }

# NetworkPolicy (deny-all)
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
spec: { podSelector: {}, policyTypes: ["Ingress","Egress"] }

# Helm upgrade (ex.)
helm upgrade --install app ./chart -f values-prod.yaml

KPIs & risques

Uptime cluster, saturation (CPU/RAM), p95 latence ingress.
Drift = 0 (GitOps), error rate < 2%, temps de réparation nœud < 30m.
Risques : images non signées, privileged, secrets en clair.

Patterns

Modules Terraform versionnés, remote state, verrous.
Ansible idempotent, inventaires par env, handlers.
Helm charts testés, values par env, Argo Rollouts pour canary.

Extraits

# Ansible (extrait)
- hosts: web
  become: true
  tasks:
    - apt: {name: nginx, state: present}

# Terraform (extrait VPC)
module "vpc" { source="terraform-aws-modules/vpc/aws"; name="core"; cidr="10.0.0.0/16" }

# Rollout (extrait)
apiVersion: argoproj.io/v1alpha1
kind: Rollout
spec: { strategy: { canary: { steps: [{setWeight:25},{pause:{duration:300}}] } } }

KPIs & anti-patterns

Temps déploiement < 10m, taux rollback < 10%.
Anti-patterns : états Terraform locaux, secrets en clair, images :latest.
Livrables : playbooks, modules, chart Helm & runbook release.

Bonnes pratiques

GitOps : état cible en Git, promotion par PR, contrôle de drift.
Feature flags (progressive delivery), migrations DB réversibles.
Données de test anonymisées, seeding reproductible.

Snippets

# Application ArgoCD (prod)
spec: { source:{path:"overlays/prod"}, destination:{namespace:"app"}, syncPolicy:{ automated:{prune:true,selfHeal:true} } }

# Example flag (pseudo):
if FEATURE_X:
  run_new_path()
else:
  run_legacy()

KPIs & risques

Drift = 0, parité staging ≈ prod (config/ressources).
Risque : données prod répliquées en clair; atténuation : anonymisation & accès restreint.
Lead-time promotion < 24h, rollback < 10 min.

Pratiques clés

Définir SLI/SLO par criticité (or/argent/bronze), budgets d’erreur mensuels.
Alertes sur symptômes (latence p95, taux erreurs) avec runbooks.
Dashboards Golden Signals, revues SLO mensuelles.

Exemples

# PromQL (latence p95)
histogram_quantile(0.95, sum(rate(http_request_duration_seconds_bucket[5m])) by (le, service))

# PrometheusRule (extrait)
expr: rate(http_requests_errors_total[5m]) / rate(http_requests_total[5m]) > 0.02
for: 10m
labels: {severity:"page"}

KPIs & coûts

Uptime (SLO), latence p95, erreur < 2% ; bruit alertes < 2%.
Budget observabilité : rétention multi-niveaux, sampling traces.
Livrables : modèles SLO, tableaux de bord & règles d’alertes versionnées.

Processus

Détection → tri (< 10 min) → mitigation → RCA → actions.
Runbooks reliés aux alertes; “game days” trimestriels.
PRA/PCA : RPO/RTO définis, tests DR (restore, failover).

Templates

# Post-mortem (squelette)
Résumé | Impact | Timeline | RCA (5 whys)
Actions (owner, due) | Lessons | Prévention

# Plan DR (extrait)
RPO: 15m | RTO: 60m
Playbook: backup verify → restore → cutover
Contacts: on-call, DBA, réseau

KPIs & guardrails

Time-to-tri < 10 min, MTTR < 60 min (svc critique), actions soldées > 90% à J+30.
Backups vérifiés, restauration testée, evidence-as-code (tickets/logs).
Anti-patterns : blâme, décisions en DM, runbooks obsolètes.

Contrôles

IAM least-privilege, MFA, rotation < 90 j, comptes perso (pas partagés).
Zero-Trust : identité (OIDC), authz policy-as-code (OPA/Conftest).
Supply-chain : SBOM, signatures (cosign), scans (SAST/DAST/IaC).

Exemples

# OPA Gate (extrait)
package k8s.admission
deny[msg] { input.kind.kind=="Deployment"
  not input.spec.template.spec.securityContext.runAsNonRoot
  msg:="Pods doivent tourner en non-root" }

# SOPS (extrait)
sops:
  kms: ["arn:aws:kms:..."]
  encrypted_regex: '^(data|stringData)$'

KPIs & audits

Fuites secrets = 0, % rotation clés > 95%, images non signées = 0.
Evidence-as-code : PR, journaux immuables, rapports scans versionnés.
Anti-patterns : clés permanentes dans CI, secrets en variables d’environnement non scellées.

Bonnes pratiques

Registry privé (GHCR/Harbor), rétention & nettoyage, no :latest.
SBOM (syft) + signatures (cosign), politiques d’images.
Provenance (SLSA-like), attestations, scans réguliers.

Snippets

# Générer SBOM + signer
syft . -o json > sbom.json
cosign sign --key cosign.key ghcr.io/acme/checkout:1.2.3

# Policy admission (pseudo)
deny if image not signed AND not from registry allowlist

KPIs

% images signées = 100%, vuln crit. non corrigées = 0 en prod.
Temps de promotion artefact < 15 min, drift images = 0.

Missions quotidiennes d’un·e DevOps / Platform Engineer

Cheat-sheet — Tâche → Outils → Livrables → KPIs → Owner

1. Pipelines CI/CD

2. Clusters K8s/Swarm

3. Déploiements automatisés

4. Environnements & promotion

5. Supervision & SLA

6. Incidents & PRA/PCA

7. Sécurité opérationnelle

8. Artefacts & supply-chain