Projet d'études M2 - Déployé

Infrastructure DevOps AudioProthèse+

Architecture DevOps complète pour un réseau de 50+ centres d'audioprothèse. Implémentation d'une infrastructure cloud sécurisée avec conformité RGPD, automatisation des déploiements et observabilité centralisée sur Azure.

Kubernetes Terraform GitLab CI Prometheus Azure

Vue d'ensemble

Contexte

AudioProthèse+ est un réseau de 50+ centres d'audioprothèse en France, gérant des données sensibles de patients et utilisant des équipements médicaux connectés. Face à l'augmentation des cybermenaces dans le secteur de la santé, l'entreprise souhaite moderniser son infrastructure tout en respectant les réglementations strictes (RGPD, normes médicales).

Le défi consistait à concevoir une infrastructure cloud sécurisée qui garantit la disponibilité des services pour tous les centres, assure la conformité réglementaire, et optimise les coûts d'exploitation via l'automatisation DevOps.

Objectifs

  • Infrastructure moderne : Cluster Kubernetes Azure (AKS) avec haute disponibilité
  • Sécurité renforcée : Gestion centralisée des secrets via HashiCorp Vault
  • Automatisation DevOps : Pipeline CI/CD GitLab avec tests sécurité intégrés
  • Observabilité complète : Stack Prometheus/Grafana/Loki pour monitoring proactif
  • Conformité RGPD : Chiffrement bout en bout et audit trail centralisé
  • GitOps natif : Déploiement continu via ArgoCD

Défis Techniques

  • Connectivité AKS ↔ Azure MySQL : Configuration précise des règles firewall et Network Security Groups
  • HTTPS multi-services : Certificats Let's Encrypt automatiques pour OpenMRS, Grafana, ArgoCD, Vault
  • Intégration secrets : Vault ↔ ArgoCD ↔ Monitoring avec injection automatique
  • Temps de démarrage OpenMRS : InitContainers pour pré-validation DB et correction permissions
  • Pipeline sécurisée : Tests SAST, Container Scanning, Secret Detection avec blocage automatique

📅 Timeline

Durée : 4 mois

Début : Septembre 2024

Fin : Janvier 2025

👥 Équipe

Mon rôle : DevOps Engineer - CI/CD & GitOps

Équipe : 3 spécialistes DevOps

Jordan : Infrastructure & Kubernetes

Rahman : Monitoring & Sécurité

Architecture

Architecture Cloud Native

L'infrastructure adopte une approche cloud-native basée sur Azure Kubernetes Service (AKS) avec quatre piliers fondamentaux :

🏗️ Infrastructure Cloud Azure

Cluster AKS, réseau sécurisé, Azure MySQL Flexible Server, Application Gateway WAF

⚙️ Orchestration Kubernetes

Traefik ingress, isolation par namespaces, déploiements haute disponibilité

📊 Observabilité

Stack Prometheus/Grafana/Loki/AlertManager avec notifications Discord

🔄 Chaîne DevOps

GitLab CI/CD, ArgoCD GitOps, HashiCorp Vault secrets management

Architecture détaillée AudioProthèse+

Infrastructure Azure

Composants déployés :

  • Azure Kubernetes Service : 3 nœuds Standard_B2s (2 vCPU, 4GB RAM)
  • Azure MySQL Flexible Server : B_Standard_B1ms avec 7 jours backup
  • Virtual Network : Segmentation sécurisée avec NSG
  • Azure Disk : Stockage persistant chiffré

Réseau sécurisé :

  • Pods Network : 10.244.0.0/16
  • Services Network : 10.0.0.0/16
  • Firewall rules restrictives MySQL
  • HTTPS obligatoire avec certificats Let's Encrypt

Sécurité & Conformité

DevSecOps intégré :

  • Pipeline sécurisée : SAST, Container Scanning, Secret Detection
  • Gestion secrets : HashiCorp Vault avec rotation automatique
  • Chiffrement : TLS 1.2 end-to-end, Azure Disk encryption
  • RBAC : Permissions granulaires par namespace

Conformité RGPD :

  • Données en France Central exclusivement
  • Audit trail centralisé via Loki
  • Traçabilité complète des accès
  • Procédures de suppression documentées

Technologies

Stack Technique Complète

🏗️ Infrastructure as Code

  • Terraform : Provisioning Azure (AKS, MySQL, VNet)
  • Ansible : Configuration Kubernetes (6 rôles développés)
  • Azure CLI : Intégration services Azure

🔄 CI/CD & GitOps

  • GitLab CI/CD : Pipeline 7 stages avec tests sécurité
  • ArgoCD : GitOps avec sync automatique
  • Kustomize : Gestion des manifestes Kubernetes
  • Helm : Package manager Kubernetes

📊 Observabilité

  • Prometheus : Collecte métriques (50+ métriques)
  • Grafana : Dashboards et visualisation
  • Loki + Promtail : Centralisation logs
  • AlertManager : Notifications Discord intelligentes

🔐 Sécurité

  • HashiCorp Vault : Gestion centralisée secrets
  • cert-manager : Certificats SSL automatiques
  • Traefik : Ingress Controller avec TLS termination
  • GitLab Security : SAST, Container Scanning

Justifications Techniques

Azure Kubernetes Service : Service managé intégré à l'écosystème Azure avec haute disponibilité nécessaire au secteur médical. Réduction de la complexité opérationnelle et SLA 99.99%.

Solutions open source : Prometheus, Grafana, ArgoCD, Vault pour maîtriser les coûts et éviter le vendor lock-in. Communauté active et documentation exhaustive.

Infrastructure as Code : Terraform (provisioning Azure) + Ansible (configuration Kubernetes) garantissent la reproductibilité et la traçabilité des déploiements.

Approche GitOps : ArgoCD avec synchronisation automatique assure la convergence vers l'état désiré défini dans Git, avec rollback rapide en cas de problème.

Pipeline sécurisée : Tests de sécurité intégrés (SAST, Container Scanning) appliquent les principes DevSecOps avec blocage automatique des déploiements vulnérables.

Résultats & Impact

Métriques de Performance

99.727%
SLA Kubernetes API
< 2 min
Temps détection incident
15-20 min
Déploiement complet
50+
Métriques surveillées
7 stages
Pipeline CI/CD
100%
Services HTTPS

Impact & Bénéfices

Pour AudioProthèse+ :

  • Modernisation infrastructure : Migration vers une architecture cloud native scalable
  • Réduction MTTR : Détection proactive des incidents en moins de 2 minutes
  • Conformité renforcée : Audit trail centralisé et chiffrement bout en bout
  • Optimisation coûts : Monitoring des ressources Azure en temps réel
  • Sécurité proactive : Tests automatisés dans la pipeline CI/CD

Valeur technique :

  • Architecture DevOps complète reproductible via IaC
  • GitOps natif avec traçabilité complète des déploiements
  • Observabilité centralisée pour 50+ centres médicaux
  • Pipeline sécurisée avec principes DevSecOps

Apprentissages Clés

Techniques :

  • Intégration Azure : Maîtrise des services managés (AKS, MySQL Flexible Server)
  • Pipeline avancée : Orchestration complexe avec 7 stages et tests sécurité
  • GitOps architecture : Séparation infrastructure/application avec ArgoCD
  • Secrets management : Intégration Vault ↔ Kubernetes native

Méthodologiques :

  • DevSecOps : Intégration sécurité dès le développement
  • Infrastructure as Code : Terraform + Ansible pour reproductibilité
  • Observabilité : Monitoring proactif vs réactif
  • Conformité : Contraintes RGPD intégrées dès la conception
Projet précédent Windows Setup Automation
Projet suivant CLI d'Authentification Golang