{"id":1525,"date":"2014-02-08T13:50:17","date_gmt":"2014-02-08T12:50:17","guid":{"rendered":"http:\/\/www.laurentbourrelly.com\/blog\/?p=1525"},"modified":"2014-02-08T13:50:17","modified_gmt":"2014-02-08T12:50:17","slug":"petite-lecon-de-sysadmin-a-la-cnil","status":"publish","type":"post","link":"https:\/\/www.laurentbourrelly.com\/blog\/1525.php","title":{"rendered":"Petite le\u00e7on de sysadmin \u00e0 la CNIL"},"content":{"rendered":"

\"404-erreur-cnil\"<\/a>Quand Goliath s’attaque \u00e0 David, \u00e7a fait mal.<\/p>\n

En pointant en message en page d’accueil du moteur vers le site de la CNIL, qui vient de condamner Google \u00e0 une modeste amende de 150 000 euros (une micro paille pour ce g\u00e9ant qui r\u00e9alise 200 milliards de chiffre d’affaires par an), Google a abattu par un d\u00e9ni de service non intentionnel l’institution fran\u00e7aise r\u00e9gissant les r\u00e8gles informatiques et libert\u00e9.<\/p>\n

CNIL DDoS by Google<\/h1>\n

\"cnil-google\"<\/a><\/p>\n

Le message a eu son effet \u00a0: le site de la CNIL est tomb\u00e9, en quelques secondes, sous la masse de trafic qui s’est abattue sur le site . C’est une action bien \u00e9videmment involontaire de la part de Google, mais le coup aurait pu \u00eatre \u00e9vit\u00e9 si les responsables techniques de la CNIL avaient pris quelques pr\u00e9cautions.<\/p>\n

\"cnil-google-2\"<\/a>
\nSource images \u00a0: Korben<\/a><\/p>\n

En parlant de ma propre exp\u00e9rience, subissant tous les jours des trafic de +100 000 connect\u00e9s en simultan\u00e9, voici quelques-unes des recommandations que je peux \u00a0sugg\u00e9rer \u00e0 la CNIL :<\/p>\n

– Du Reverse Proxying et toujours du\u00a0 Reverse Proxying\u00a0 !<\/p>\n

Un serveur Web passe une bonne partie de son temps CPU \u00e0 g\u00e9rer l\u2019acquittement des connections Web (TCP). Le soulager de cette t\u00e2che augmente sa capacit\u00e9 de mont\u00e9e en charge.<\/p>\n

– Si le code ne tient pas la charge… Alors le cache\u00a0 !<\/p>\n

– Apr\u00e8s du profiling\u00a0\u00a0 (identifications des goulets d’\u00e9tranglement), et si les refontes de code sont trop lourdes, il faut mettre le site en cache. Pas le choix.<\/p>\n

Diff\u00e9rentes m\u00e9thodes s’offrent \u00e0 vous\u00a0 :<\/p>\n

    \n
  1. Le Reverse Proxy Cache\u00a0 : l’application doit discuter avec le reverse proxy cache pour savoir quand d\u00e9livrer les pages aux internautes. A savoir\u00a0 : s’ils sont authentifi\u00e9s ou non authentifi\u00e9s.
    \nSi ce n’est pas possible alors seuls les objets statiques (images, css, js) devront \u00eatre mis en cache.<\/li>\n
  2. Une m\u00e9thode \u00ab\u00a0vieille \u00e9cole\u00a0\u00bb mais n\u00e9anmoins redoutable\u00a0 :\u00a0 la g\u00e9n\u00e9ration des pages statiques ou de blocs de pages statiques. Ce seul point aurait sans doute \u00e9vit\u00e9 au site de la CNIL de \u00a0\u00ab\u00a0tomber\u00a0\u00bb.<\/li>\n
  3. S\u00e9parez la partie de l’interpr\u00e9tation du code de la partie du serveur Web.Concr\u00e8tement\u00a0 : il ne faut pas de modules PHP int\u00e9gr\u00e9s dans Apache. Pr\u00e9f\u00e9rez un serveur d\u2019interpr\u00e9tation PHP et un Serveur Web distinct.<\/li>\n
  4. Choisissez et benchez vos serveur Web.Par exemple Nginx a une architecture logicielle \u00e9prouv\u00e9e, et est \u00ab\u00a0 reverse proxyfiable\u00a0 \u00bb derri\u00e8re un \u00e9quipement r\u00e9seau supportant 100 000 connect\u00e9s.<\/li>\n
  5. Renforcez les bases de donn\u00e9es, via du clustering (r\u00e9plication active \u2013 active) et mettez en place de la r\u00e9partition de charge sur ces bases de donn\u00e9es. Mais d’un point de vue d’architecture Web \u00ab\u00a0 philosophique\u00a0 \u00bb c’est un peu sortir le char d’assaut pour tuer le lapin blanc dans le champ\u00a0 !La mise en cache de requ\u00eates SQL (via du NoSQL ou\u00a0 de l’allocation de m\u00e9moire aux index) est une option \u00e0 regarder de tr\u00e8s tr\u00e8s pr\u00eat.<\/li>\n
  6. Le choix du hardware reste fondamental.Un serveur de sauvegarde avec 36 To n’a pas la m\u00eame vocation qu’un serveur frontal web avec ses 20 cores et ses 256 Go de RAM.<\/li>\n<\/ol>\n

    Bref, en synth\u00e8se, vous l’aurez compris, il est imp\u00e9ratif de revoir int\u00e9gralement l’architecture Web. Sans n\u00e9cessairement r\u00e9aliser une modifications du code du site Web.<\/p>\n

    A savoir aussi que certains clouds s\u2019effondrent tr\u00e8s rapidement d\u00e8s que \u00e7a chauffe sur le net.<\/p>\n

    Messieurs, Mesdames, les responsables techniques de la CNIL, j’esp\u00e8re que ces quelques lignes vous apporteront du \u00ab\u00a0uptime\u00a0\u00bb.<\/p>\n

    Pierre-Alain – Administrateur Syst\u00e8me ooworx.com<\/a><\/p>\n

    NDLR : Pierre-Alain est mon sysadmin sur divers projets, dont du e-commerce et je vous le recommande chaudement. Il n’y en pas plus d’une poign\u00e9e d’aussi balaises que lui sur le territoire fran\u00e7ais.<\/em><\/p>\n

    Edit : le spinoff de Qwant<\/a> est tout simplement d\u00e9licieux.<\/p>\n

    \"qwant-cnil\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    Quand Goliath s’attaque \u00e0 David, \u00e7a fait mal. En pointant en message en page d’accueil du moteur vers le site de la CNIL, qui vient de condamner Google \u00e0 une modeste amende de 150 000 euros (une micro paille pour ce g\u00e9ant qui r\u00e9alise 200 milliards de chiffre d’affaires par an), Google a abattu par […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[6],"tags":[],"class_list":["post-1525","post","type-post","status-publish","format-standard","hentry","category-internet"],"_links":{"self":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/posts\/1525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/comments?post=1525"}],"version-history":[{"count":0,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/posts\/1525\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/media?parent=1525"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/categories?post=1525"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentbourrelly.com\/blog\/wp-json\/wp\/v2\/tags?post=1525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}