🏗️ IaaS – Infrastructure as a Service (Cloud)

1.1 Vue d’ensemble – IaaS (Infrastructure as a Service)

Définition

IaaS (Infrastructure as a Service) = mise à disposition à la demande d’infrastructures IT virtualisées (compute, storage, réseau) via API / portail, facturées à l’usage.

Serveurs virtuels ou bare-metal (CPU, RAM, disque).
Stockage blocs / objets / fichiers.
Réseau virtuel (VPC, firewall, load balancer, VPN, …).

L’entreprise ne gère plus le hardware, mais reste responsable des OS, middlewares, applications et données.

Caractéristiques

Self-service via portail ou API.
Elasticité : scale-up / scale-out en quelques minutes.
Modèle pay-as-you-go (OPEX) vs CAPEX sur datacenter interne.
Automatisation forte possible (infra as code, CI/CD).

Empilement des modèles

Niveau	Responsable	IaaS
Data	Client	Modélisation, sécurité, backups logique.
Apps / Runtime	Client	Django, Java, Node, etc.
OS / VM	Client	Patch, durcissement, config.
Hyperviseur, HW, DC	Provider	Compute, storage, réseau physiques.

Comparaison rapide

IaaS : tu gères OS + runtime + app.
PaaS : le provider gère le runtime (ex. App Engine, Heroku).
SaaS : tu consommes directement l’application (Salesforce, O365…).

IaaS est le niveau le plus proche de l’infra “classique”, donc le plus flexible… mais aussi celui qui demande le plus d’expertise d’exploitation.

Historique simplifié

Années 2000 : naissance d’AWS EC2 / S3 → pionnier IaaS.
2010+ : Azure, GCP, puis OVHcloud, DigitalOcean, etc.
2020+ : montée du multi-cloud, clouds souverains, edge.

Tendances actuelles

Convergence IaaS + PaaS + serverless.
Managed services (DBaaS, caches, queuing…).
Modèle hybride on-prem + cloud public.
Pression FinOps : maîtrise de la facture cloud.

Bénéfices

Agilité (en quelques minutes, un environnement complet).
Elasticité (auto-scaling, adaptation aux pics).
Capital minimal : plus besoin d’acheter des baies / serveurs.
Accès à des services avancés (GPU, réseaux globaux, etc.).

Limites / risques

Complexité d’architecture & d’exploitation.
Risque de coûts explosifs sans gouvernance.
Dépendance au provider (lock-in, services spécifiques).
Contraintes règlementaires (données sensibles, pays, etc.).

1.2 Architecture type d’une plateforme IaaS

Schéma logique

Clients / Utilisateurs
        │
        ▼
  Load Balancers (L7/L4)
        │
        ▼
  Subnets privés (VM, containers)
        │
        ├── Block Storage (disques VM)
        ├── Object Storage (backup, assets)
        └── Managed Services (DBaaS, cache, MQ, ...)

Composants clés

Compute : VMs / bare-metal / auto-scaling groups.
Storage : disques, NAS, objet (S3-like).
Réseau : VPC, VPN, peering, firewall, WAF.
Gestion : APIs, console, IAM, billing, logs.

Régions

Zone géographique (ex : eu-west-1, france-central…).
Redondance électrique / réseau au sein de la région.
Choix selon : latence, lois locales, proximité utilisateurs.

Availability Zones (AZ)

Datacenters indépendants au sein d’une même région.
Design HA : répartir les instances sur plusieurs AZ.
Les services managés (DBaaS, etc.) gèrent souvent la multi-AZ pour toi.

Couches techniques (simplifiées)

Couche	Description
DC / Power	Racks, alimentation, refroidissement.
Réseau physique	Switches, fabric, uplinks internet.
Hyperviseur	KVM/Xen/Hyper-V pour VM, ou bare-metal management.
Control plane	API, scheduler, orchestration ressources.

Vu côté client (dev / ops)

Ne voit que les APIs, portails, CLI.
Abstrait de la réalité physique (mais doit la comprendre conceptuellement).
Peut construire sa propre couche PaaS / Kubernetes / services au-dessus de l’IaaS.

1.3 Principaux providers IaaS & critères de choix

Panorama (non exhaustif)

Provider	Spécificités
AWS	Leader historique, catalogue très riche, écosystème énorme.
Azure	Intégration forte Microsoft / AD / Windows.
GCP	Data / ML très avancés, réseau performant.
OVHcloud / Scaleway	Acteurs européens, offres IaaS & bare-metal.
On-prem (OpenStack, VMware, Proxmox…)	Cloud privé géré en interne ou par infogérance.

Critères de choix

Localisation des données / conformité (RGPD, souveraineté).
Catalogue de services ( DB, IA, analytics, IoT…).
Prix & modèle financier (capacité réservée, prix outbound, etc.).
Écosystème, support, partenaires, marketplace.
Verrouillage potentiel (services propriétaires vs open standards).

1.4 Cas d’usage typiques IaaS

Lift & Shift

Reprise quasi à l’identique de VMs on-prem → cloud.
Permet de sortir rapidement d’un datacenter, ou d’un fournisseur.
Souvent première étape avant refactor / modernisation.

DRP / PRA cloud

Site de reprise d’activité sur IaaS (réplication de VMs / données).
Automatisation de la bascule en cas de sinistre.

HPC, Big Data, IA

Accès à des GPUs / instances très puissantes ponctuellement.
Clusters éphémères (Spark, Dask, Ray…) pour calcul intense.
Stockage objet pour data lakes / training sets.

Labs & sandboxes

Environnements de test créés / détruits à la volée via IaC.
Plateformes de formation (DevOps, Kubernetes, DBA, etc.).

2.1 Réseau IaaS – VPC, Subnets, Sécurité & Exposition

VPC / Virtual Network

Segment réseau isolé, avec range IP défini.
Subnets publics (NAT, LB) / privés (backends, DB, batchs).
Peering entre VPC, VPN avec on-prem, Direct Connect / ExpressRoute.

# Ex. Terraform (VPC AWS simplifié)
resource "aws_vpc" "main" {
  cidr_block           = "10.0.0.0/16"
  enable_dns_support   = true
  enable_dns_hostnames = true
  tags = { Name = "ideo-lab-vpc" }
}

Contrôles d’accès

Security Groups : firewall “stateful” liés aux instances.
Network ACLs : liste de contrôle plus bas niveau (stateless).
WAF / reverse proxy pour la couche applicative.

Design classique : rien d’exposé directement, tout passe via des LB en front, WAF, voire un API Gateway pour les microservices.

2.2 Storage IaaS – Block, Object, File

Block storage

Volumes attachés à une VM (EBS, Managed Disks, Persistent Disk…).
Utilisé pour OS, DB, applications qui veulent du bloc.
Performances : IOPS, throughput, provisionning, SSD vs HDD.

Object & File

Object : buckets S3-like, idéal pour backups, assets, data lake.
File : NFS géré (EFS, Azure Files…), pour partager un FS simple.
Choix guidé par : taille, patterns d’accès, besoin POSIX ou non.

2.3 Compute IaaS – Types d’instances & patterns

Types d’instances

Généralistes : équilibre CPU/RAM pour apps web.
CPU-optimised : calcul intensif (batch, encodage vidéo...).
Memory-optimised : bases de données, caches in-memory.
GPU : IA/ML, rendu 3D, HPC.

Modèles d’achat

On-demand : flexible, mais plus cher.
Reserved / Savings plans : engagement de durée pour réduire les coûts.
Spot / preemptible : très économique mais interruptible.

Pattern classique : mélange on-demand (critique), reserved (steady-state), spot (batch / tolérant à l’interruption).

3.1 Sécurité IaaS & Shared Responsibility Model

Shared responsibility

Le provider sécurise le cloud : DC, hyperviseur, réseau physique.
Tu sécurises ce que tu déploies dans le cloud : OS, apps, données.
IAM = point central (comptes, rôles, permissions, MFA).

Bonnes pratiques

Principe du moindre privilège (roles finement définis).
Pas de clés d’accès exposées (repos Git, scripts…).
Utilisation de services de secrets management (Vault, Secret Manager, KMS…).
Logs centralisés (CloudTrail-like, logs firewall, WAF) + alerting.

3.2 IaaS & DevOps – Infrastructure as Code, CI/CD & GitOps

Outils fréquents

Terraform / Pulumi : provisioning multi-cloud.
Ansible : config OS / middlewares.
CloudFormation / ARM / Bicep : natifs providers.

Exemple Terraform (VM simple)

resource "aws_instance" "web" {
  ami           = "ami-123456"
  instance_type = "t3.micro"
  subnet_id     = aws_subnet.private.id
  tags = {
    Name = "ideo-lab-web"
  }
}

CI/CD orienté infra

Pipeline qui exécute terraform plan/apply sur merge.
Validation de policy (OPA / Sentinel) avant déploiement.
Tests d’intégration automatiques post-provisionning.

Environnements

Stacks par env : dev, stage, prod avec variables dédiées.
Possibilité de créer des env éphémères par feature branch.

GitOps appliqué à l’IaaS

Le dépôt Git décrit la vérité de l’infra.
Tout changement passe par PR, review, pipeline.
Trace complète des évolutions (audit Git).

Gouvernance

Standards de naming, tags (env, owner, cost-center...).
Modèles réutilisables : modules Terraform, blueprints.
Contrôle des privilèges sur les comptes cloud.

3.3 Coûts IaaS & FinOps – Maîtriser la facture cloud

Principales sources de coûts

Instances compute (24/7 vs burst, taille choisie).
Disques (taille provisionnée, IOPS, snapshots stockés).
Stockage objet (volume, classes de stockage, durées).
Trafic sortant (egress internet, inter-régions).

Levers d’optimisation

Extinction / downscale des env non prod hors horaires.
Usage de réservations / plans pour workloads stables.
Choix de classes de stockage archive pour données froides.
Réduction des “zombies” (volumes orphelins, IP inutilisées…).
Tagging systématique pour savoir qui consomme quoi.

4.1 Stratégies de migration vers l’IaaS

6 “R” (classiques)

Rehost (lift & shift).
Replatform (petits changements, ex : DB managée).
Refactor (re-architecture profonde, microservices…).
Retire (supprimer ce qui ne sert plus).
Retain (ne pas migrer pour l’instant).
Replace (changer de solution, ex : SaaS).

Approche pratique

Cartographier le SI (applis, dépendances, data flows).
Prioriser : quick wins vs blocs complexes.
Planifier par vagues, avec critères de succès mesurables.
Pilotage via un “cloud landing zone” bien définie (réseau, IAM, sécurité…).

4.2 Pièges & Anti-patterns IaaS à éviter

Classiques

Reproduire 1:1 le datacenter on-prem dans le cloud.
Pas de tagging → impossible de comprendre la facture.
Pas de séparation d’environnements / comptes.
Tout mettre en public subnet avec SSH ouvert au monde…

Organisationnels

Absence de gouvernance (IAM, comptes, budgets).
Shadow IT : projets cloud non maîtrisés dans des comptes perso.
Pas de formation des équipes ops & sécurité au modèle cloud.

4.3 Cheat-sheet IaaS – Rappels rapides

Mots-clés

IaaS = compute + storage + network as-a-service.
Régions / AZ, VPC, IAM, LB, volumes, buckets.
Infra as Code (Terraform, Pulumi, Ansible).
FinOps, tagging, reserved / spot instances.
Shared responsibility model.

Checklist design IaaS

Réseau : VPC, subnets, VPN, règles de sécurité.
Identité : IAM, rôles, MFA, comptes séparés.
Logs : activés partout, centralisés, retenus.
Coûts : budgets, alertes, tags, revue régulière.
Automatisation : IaC + CI/CD pour l’infra.

🏗️ IaaS – Infrastructure as a Service (Cloud)

Vue d’ensemble IaaS

Architecture type

Providers & comparatif

Cas d’usage IaaS

Réseau & isolation

Storage IaaS

Compute & types d’instances

Sécurité & responsabilités

IaaS & DevOps / IaC

Coûts & FinOps

Stratégies de migration

Pièges & anti-patterns

Cheat-sheet IaaS