Pulumi : Gérer son infra avec son langage de programmation préféré

Transcript

1. Ou comment gérer votre infrastructure avec votre langage préféré Alexis

   Fala - Deezer Idriss Neumann - Comwork Julien Briault - Deezer / Restos du Coeur

2. Disclaimer 1 🤯 Cette université a été préparée avant le

   drama d’Hashicorp et la Business Source Licence. @idriss_neumann/ @ju_hnny5

3. @idriss_neumann/ @ju_hnny5

4. @idriss_neumann/ @ju_hnny5 L’actualité …

5. https://www.youtube.com/watch?v=E_F71Niwq_8 @ju_hnny5

6. Disclaimer 2 😬 Aucun code Terraform ne sera maltraité. @ElFamosoKwak

7. ~#whoami Idriss Neumann CEO chez comwork.io SRE / Platform Engineer

   freelance OSS contributor (contributeur quickwit grafana ds, falcosidekick, etc) Créateur de cwcloud: solution DaaS et FaaS pour accélérer les déploiements gitops et serverless cloud.comwork.io @idriss_neumann

8. ~#whoami Julien Briault (ex) SecOps consultant chez IT/Infrastructure Manager (bénévole)

   aux Network Engineer / SRE chez Auteur principal sur blog.jbriault.fr #Networking #FOSS #Dev #Music @ju_hnny5

9. @ju_hnny5 Le cloud du Coeur

10. @ju_hnny5

11. @ju_hnny5

12. ~#whoami @ElFamosoKwak Alexis Fala Apprentice Infrastructure engineer / SRE chez

    Auteur à ses heures perdues sur deezer.io #SRE #Kube #PromptEngineer #Music

13. @idriss_neumann/ @ju_hnny5 @ElFamosoKwak

14. Merci @idriss_neumann/ @ju_hnny5 @ElFamosoKwak

15. Des questions ? Posez-les ici : 󰜼 https://slido.com 👀 #3847984

    @ju_hnny5

16. La parole est à vous ! Des questions ?

17. Le plan 1. Petit retour aux sources 2. Présentation des

    solutions historiques 3. Présentation de Pulumi 4. Comparaison avec Terraform (sans trash talk, promis) 😏 5. Pause (environ 20mn) 6. Démonstration live (d’abstraction) @ElFamosoKwak @idriss_neumann/ @ju_hnny5

18. Les objectif 1. Université de “découverte” 2. Partir avec le

    bagage nécessaire pour l’adopter 3. Cette université doit être un échange avant tout ! 4. Partir de Terraform 😉 @ElFamosoKwak @idriss_neumann/ @ju_hnny5

19. @ju_hnny5

20. Retour aux sources

21. Dev - Ops @ju_hnny5

22. Concilier les inconciliables ? 󰷻 @ElFamosoKwak

23. Silotisation des équipes 😶 @ElFamosoKwak

24. Délais de déploiement 😬 @ElFamosoKwak

25. Complexité croissante 🤓 @ju_hnny5

26. Agile + DevOps @ElFamosoKwak

27. DevOps ce n’est pas un métier @ElFamosoKwak

28. DevOps ? 🤩 1. Culture pour changement de culture organisationnelle

    2. Automation pour automatiser tout ce qui peut l’être (tâches répétitives, tests...) 3. Lean pour rationaliser un projet d’un bout à l’autre 4. Measurement pour mesurer un processus afin de pouvoir l’améliorer 5. Sharing pour le partage des mêmes objectifs par tous les acteurs d’un projet. @ElFamosoKwak

29. Pet vs Cattle 👀 @ju_hnny5 / @ElFamosoKwak

30. "Infra is hard..." @ju_hnny5

31. Infra as Code ? 👀 @ElFamosoKwak

32. L’infra as Code ? 👀 L’Infrastructure as Code (IaC) est

    une pratique qui consiste à gérer et à provisionner des infrastructures informatiques en utilisant des fichiers de définition. Source : https://shorturl.at/aeoqO @ElFamosoKwak

33. L’infra as Code ? 👀 @ju_hnny5 L’Infrastructure as Code apporte

    plusieurs bénéfices … Source : https://shorturl.at/aeoqO

34. Versioning 🤓 @ju_hnny5

35. Facilite les audits @ju_hnny5

36. Retour arrière @ju_hnny5

37. Shadow IT 🧐 @ju_hnny5

38. Infrastructure (configuration) Management L’infra as Code ? 🙂 @ju_hnny5 Infrastructure

    Provisioning =/=

39. L’infra as Code ? 🙂 Stateful Stateless vs @ElFamosoKwak

40. L’infra as Code ? 🙂 @ju_hnny5 Imperative Declarative vs Procedural

    Structured Object-oriented Functional Logic

41. @ju_hnny5 Imperative Declarative vs Step by step instructions Declare and

    result Create a server Add a server Make this change 2 servers L’infra as Code ? 🙂

42. “Quand les devs veulent faire de l’ops” 😅 @ElFamosoKwak /

    @idriss_neumann

43. https://www.youtube.com/watch?v=aZvsplOAd7c @ju_hnny5 Infra : Donnez de l’autonomie à vos développeurs

    avec OctoDNS

44. On commence (réellement) ? 🚀

45. Solutions historiques 🤓 @ElFamosoKwak

46. @ju_hnny5

47. AWS CloudFormation @ju_hnny5 Quelques désavantages : 1. Complexité de la

    syntaxe 2. N’est lié qu’à AWS (obviously) 🤯 3. Limitation des modèles 4. Ressources orphelines a. Si une mise à jour de template n'inclut pas toutes les ressources existantes, certaines peuvent devenir "orphelines", c'est-à-dire qu'elles ne sont pas supprimées lors de la mise à jour, ce qui peut entraîner des coûts inattendus.

48. @ElFamosoKwak

49. Azure Bicep Quelques désavantages : 1. La courbe d’apprentissage 2.

    N’est lié qu’à Microsoft Azure 🤯 3. La maturité 4. Pas de “state” 5. Ecosystème et la communauté @ElFamosoKwak

50. @ju_hnny5

51. OpenStack Heat @ju_hnny5 Quelques désavantages : 1. La complexité au

    démarrage (lié principalement à la hiérarchie des valeurs en YAML) 😬

52. @idriss_neumann

53. Terraform Quelques désavantages : 1. La complexité au démarrage (lié

    principalement au DSL) 2. L’héritage de valeurs a. Le système de modules 😕 3. Lisible mais logique de dev difficilement applicable @idriss_neumann

54. @ju_hnny5 Turing Complete ? 😶

55. @ElFamosoKwak Le combat que tout oppose 😎

56. @ElFamosoKwak Le standard de facto 😏

57. @ju_hnny5 Le multi-envs ? +

58. Le multi-envs avec Terraform @ju_hnny5

59. Le travail concurrentiel avec Terraform ? @ju_hnny5 @ju_hnny5

60. @ElFamosoKwak / @idriss_neumann Le petit nouveau* 😎

61. Pulumi, Késako ? @ju_hnny5 • La première version stable est

    sortie le 3 septembre 2019. ◦ Projet très jeune par rapport à Terraform sorti en 2014 • Projet écrit en Go(lang) • Possède une communauté large et active 😊 • Beaucoup de tooling fournit directement par l’outil ◦ Vs Terraform où beaucoup d’améliorations sont apportées par des outils tiers (exemple Terragrunt) • Pour bien commencer : ◦ https://www.pulumi.com/docs/get-started/

62. Pulumi Installation 😏 @ElFamosoKwak Installation toute simple : curl -fsSL

    https://get.pulumi.com | sh Plus d’informations ici : - https://www.pulumi.com/docs/install/
63. None

64. @ju_hnny5 📄 Program • un ensemble de fichiers écrits dans

    le langage de programmation choisi*.

65. 📝 Project • un répertoire contenant un programme, avec des

    métadonnées, afin que Pulumi sache comment l'exécuter. @ju_hnny5

66. 󰜼 Stack • une instance de votre projet, chacune correspondant

    souvent à un environnement cloud différent. @ju_hnny5

67. Pulumi, Project structure ? @ju_hnny5

68. Pulumi, Késako ? @ju_hnny5

69. Pulumi, Késako ? @ju_hnny5

70. Pulumi, Késako ? @ElFamosoKwak Créer son premier projet très facilement,

    de manière accompagnée. Utiliser des “templates” pour aller encore plus vite !

71. Demo (x3) ! @ElFamosoKwak

72. Démo : Créons notre premier projet ! @ju_hnny5

73. Démo : Créer une première instance sur GCP (avec Python)

    et comparer avec Terraform @ju_hnny5 / @ElFamosoKwak

74. Démo : Jouons avec les templates ! @ju_hnny5

75. Pulumi, le stockage de l’état ? 😊 @ElFamosoKwak • Par

    défaut, sur Terraform, l’état est stocké dans le fichier terraform.tfstate (localement) • Dans Pulumi, par défaut, le fichier d’état est stocké dans la Cloud Console.

76. Pulumi, le stockage de l’état ? 😊 @ju_hnny5 • Possible

    de stocker les fichiers d’état dans un bucket type S3 ou GCS. ⚠ Si vous ne définissez pas un mot de passe à votre stack (à l’init), les identifiants stockés dans le fichier de state seront accessible avec la clé de la stack, soit : “”.

77. Démo : Jouons avec l’état ! @ju_hnny5

78. La parole est à vous ! Des questions ?

79. L’Infrastructure as Code, bah… c’est du code ! @ElFamosoKwak

80. Infra as Code : Apprendre de nouveau langages ? @ElFamosoKwak

81. DevXP @ju_hnny5

82. DevXP : Les langages supportés 😍 A l’inverse de Terraform

    qui propose d’utiliser son DSL, Pulumi propose un SDK permettant d’utiliser plusieurs langages comme : @ju_hnny5 / @idriss_neumann

83. Démo : Créer des ressources (avec YAML) @ju_hnny5

84. DevXP : Les langages supportés 😏 https://marketsplash.com/tutorials/pulumi/pulumi-rust/ @ju_hnny5

85. DevXP : Les langages supportés 😏 https://marketsplash.com/tutorials/pulumi/pulumi-rust/ @ju_hnny5

86. None

87. DevXP : Les langages supportés 😏 https://marketsplash.com/tutorials/pulumi/pulumi-rust/ @ju_hnny5

88. DevXP : Le code 🤩 Terraform HCL Pulumi Python resource

    "openstack_compute_instance_v2" "basic" { name = "basic" image_name = "Ubuntu Server 22.04" flavor_name = "m1.small" key_pair = "jbriault" security_groups = ["default"] network { name = "tenant_network" } } instance = openstack.compute.Instance("basic", flavor_name="m1.small", image_name="Ubuntu Server 22.04", key_pair="jbriault", security_groups=["default"], networks=[{"name": "tenant_network"}], ) @ElFamosoKwak

89. DevXP : Les langages supportés 🤓 Des ressources intéressantes :

    - https://www.pulumi.com/docs/concepts/vs/terraform/ - https://www.youtube.com/watch?v=PqAP4BunQZU @ju_hnny5

90. DevXP : L’outillage 󰜼 Utiliser son environnement de dev préféré

    1. Pas besoin d’IDE ou de plugin spécifique pour Pulumi @ju_hnny5 / @idriss_neumann

91. DevXP : L’outillage Source : https://shorturl.at/nHSV7 @ju_hnny5 / @idriss_neumann

92. DevXP : L’outillage Mode pour de la CICD (via l’option

    –non-interactive) directement intégré à la CLI Pulumi @ju_hnny5

93. On est en 2024 … 🦾 @ElFamosoKwak

94. DevXP : De l’IA 🦾 @ju_hnny5 @ElFamosoKwak

95. La modularité 😎 @ju_hnny5

96. DevXP : La modularité 😎 1. Vous pouvez organiser votre

    code en modules réutilisables, ce qui facilite la création et la gestion de configurations d'infrastructure complexes. 2. Vous pouvez facilement découper votre code sous forme de modules ou non (à l’inverse de Terraform qui n’offre qu’un système de modules). 3. Pas besoin d’outil comme terragrunt pour hériter de valeurs. @ju_hnny5

97. Démo : La modularité au sein d’un projet Pulumi @ju_hnny5

98. La parole est à vous ! Des questions ?

99. Une couche d’abstraction 👀 @ElFamosoKwak

100. DevXP : Une couche d’abstraction 󰷻 Pulumi permet d’utiliser les

     mécanismes de chaque langage. Ainsi il est aisé d’apporter de l’abstraction sur certains éléments de son infrastructure. 🤯 @ElFamosoKwak

101. DevXP : Une couche d’abstraction https://github.com/juhnny5/pulumi-fortigate-example @ju_hnny5 # TCP port

     range myport: type: "TCP" # or UDP/SCTP port_range: "223-332" visibility: "enable" category: "General" ssh_port: type: "TCP" port_range: "22-22" visibility: "enable" category: "General" Exemple, créer des objets sur un pare-feu FortiGate : for key, value in content_services.items(): if value['type'] == 'TCP': serviced = forti.FirewallServiceCustom( key, app_service_type="disable", category="General", check_reset_range="default", color=0, helper="auto", iprange="0.0.0.0", name=key, protocol="TCP/UDP/SCTP", protocol_number=6, proxy="disable", tcp_halfclose_timer=0, tcp_halfopen_timer=0, tcp_portrange=value['port_range'], tcp_timewait_timer=0, udp_idle_timer=0, visibility=value['visibility'], ) elif value['type'] == 'UDP': serviced = forti.FirewallServiceCustom( key, app_service_type="disable", category="General", check_reset_range="default", color=0, helper="auto", iprange="0.0.0.0", name=key, protocol="TCP/UDP/SCTP", protocol_number=6, proxy="disable", udp_halfclose_timer=0, udp_halfopen_timer=0, udp_portrange=value['port_range'], udp_timewait_timer=0, udp_idle_timer=0, visibility=value['visibility'], ) elif value['type'] == 'SCTP': serviced = forti.FirewallServiceCustom( key, app_service_type="disable", category="General", check_reset_range="default", color=0, helper="auto", iprange="0.0.0.0", name=key, protocol="TCP/UDP/SCTP", protocol_number=6, proxy="disable", sctp_halfclose_timer=0, sctp_halfopen_timer=0, sctp_portrange=value['port_range'],

102. Démo : Créer des ressources en apportant une couche d’abstraction

     (avec Python) @ju_hnny5

103. La CLI 😯 @ElFamosoKwak

104. La CLI : pulumi Une seule ligne de commande pour

     tout contrôler. 🤩 Verbes différents de ceux de Terraform. • Liste disponible ici : https://www.pulumi.com/docs/concepts/vs/terraform/terminolo gy/#commands @ElFamosoKwak

105. La CLI : pulumi @ju_hnny5

106. La CLI : pulumi Exemples Afficher les modifications à apporter

     : pulumi preview terraform plan Appliquer les modifications : pulumi update terraform apply Détruire les ressources : pulumi destroy terraform destroy @ju_hnny5

107. La CLI : Une migration facilitée @ju_hnny5 Une commande :

     pulumi convert \ –from terraform \ –language python \ –out pulumi Disponibles depuis la version v3.71.0.

108. Démo : Convertir du code Terraform en Pulumi @ju_hnny5

109. La CLI : Une migration facilitée Migrer ses ressources :

     pulumi import --from terraform ./terraform.tfstate Quelques ressources pour aider à la migration : - Migration Hub - https://www.pulumi.com/blog/migration-hub/ - https://www.pulumi.com/migrate/ @ju_hnny5

110. Démo : Migrer ses ressources Terraform vers Pulumi @ju_hnny5

111. La parole est à vous ! Des questions ?

112. Pulumi Cloud Console • Gestion de l’état de déploiement et

     des secrets dans Pulumi Cloud par défaut. 🤯 • Permet l’exécution à distance des déploiements. • S’intègre avec votre CI/CD. 🤩 https://www.pulumi.com/docs/pulumi-cloud/self-hosted/components/console/ @ElFamosoKwak

113. Pulumi Cloud Console • Gestion des politiques/contrôles d’accès. 🫡 •

     Gestion concurrentielle (à plusieurs/en parallèle) du travail (bye bye (run)Atlantis 󰗞) https://www.pulumi.com/docs/pulumi-cloud/self-hosted/components/console/ @ju_hnny5

114. Pulumi Cloud Console @ju_hnny5

115. Pulumi Cloud Console @ju_hnny5

116. Demo ! @ju_hnny5

117. @ju_hnny5 Pulumi ESC (Environment, Secrets and Configuration)

118. Pulumi ESC • Permet aux équipes d'agréger des secrets et

     des configurations provenant de nombreuses sources, de gérer des collections hiérarchiques de configurations et de secrets ("environnements"), et de consommer ces configurations et secrets à partir d'une variété de services d'infrastructure et d'application différents. • Peut fonctionner avec mais aussi sans Pulumi. https://www.pulumi.com/docs/esc/get-started/ @ju_hnny5

119. Terraform Bridge @ju_hnny5

120. Pulumi Terraform Bridge Exemple : https://github.com/juhnny5/pulumi-maas-python @ju_hnny5 Adapter n’importe quel

     provider Terraform (construit à l’aide du Terraform Plugin SDK) en provider Pulumi. Les providers Terraform font des opérations CRUD*, il est donc “facile” de les transposer en provider Pulumi. *Create, Read, Update, Delete

121. Pulumi Terraform Bridge https://github.com/pulumi/pulumi-tf-provider-boilerplate @ju_hnny5

122. Automation API @idriss_neumann

123. Pulumi Automation API : Intégrations et workflows automatisés @idriss_neumann

124. Community @ElFamosoKwak

125. Community @ju_hnny5 • https://slack.pulumi.com/ • https://github.com/pulumi • https://twitter.com/PulumiCorp • Calendrier

     des conférences / Meetup : https://docs.google.com/sprea dsheets/d/1TXphpxOOJN87ptH 39JdSv32nzoTpBmhE2HhOGUA E4yw/edit

126. La parole est à vous ! Des questions ?

127. The cons @ElFamosoKwak

128. Pulumi, the cons Le Pulumi Terraform Bridge 😏 - Peut

     poser quelques complications très rapidement (souvent liées au provider source) @ju_hnny5

129. Pulumi, the cons Sans définition de guide lines, ça devient

     vite le bordel : - Pas directement lié à l’outil mais à la manière de développer - Favoriser les projets bien structurés - Conviendra mieux aux développeurs au démarrage qu’à un Ops (qui ne fait quasiment pas de dev) @ju_hnny5

130. Pulumi, the cons La documentation - Très bien réalisée mais

     manque d’exemples - Peu de ressources si on compare à Terraform @ElFamosoKwak

131. Pulumi, the cons Le nombre de providers😕 @ElFamosoKwak Environ 4000

     (sur la Registry) Environ 160 (sur la Registry)

132. Pulumi, the cons @ju_hnny5 Ne pas oublier le bridge !

     😜 Le nombre de providers😕

133. La parole est à vous ! Des questions ?

134. Le “DaaS” @idriss_neumann

135. Démo : Convertir son IaC en API et en véritable

     produit @idriss_neumann

136. Le “DaaS” avec Pulumi et cwcloud “DaaS” pour “Deployment as

     a service” Transforme l’IaC/gitops en API et service, ce qui permet de considérablement accélérer sa mise en place Grâce à la capacité d'abstraction fournie par chaque langage, rends plus facile la création d’API et CLI agnostiques @idriss_neumann

137. La parole est à vous ! Des questions ?

138. @idriss_neumann Démo : Suite de l’IaC en tant que produit

     (partie 1)

139. @idriss_neumann Instant pub pause !

140. @idriss_neumann

141. @idriss_neumann

142. Le “DaaS” avec Pulumi et cwcloud @idriss_neumann

143. Démo : Suite de l’IaC en tant que produit (partie

     2) @idriss_neumann

144. La parole est à vous ! Des questions ?

145. None

146. @idriss_neumann / @ju_hnny5 / @ElFamosoKwak Laissez-nous un feedback !

147. @idriss_neumann / @ju_hnny5 / @ElFamosoKwak Comme nous sommes gentils, le

     code est ici …

148. & Q A

149. Thank you @idriss_neumann/ @ju_hnny5 / @ElFamosoKwak