Le poste d’ingénieur réseau a pour but d’administrer et d’exploiter une infrastructure réseau dans sa globalité afin de répondre aux besoins d’une entreprise.
Il doit maintenir une qualité de service optimale et suivre l’évolution et la direction de l’entreprise. L’ingénieur réseau est aussi amené à créer de nouvelles infrastructures répondant à un besoin particulier tout en ayant connaissance des contraintes.
Lorsque l’on parle d’infrastructure ou d’architecture réseau, il s’agit d’équipements physiques ou virtuels qui permettent d’interconnecter les différents serveurs/collaborateurs. Ces équipements sont des Switchs, Routers, Firewalls, Loadbalancers ou encore Access Point et ont chacun leur utilité :
Le Switch va permettre une connectivité entre les serveurs d’un Datacenter mais aussi entre les collaborateurs connectés sur des points d’accès Wifi
Le Router permet d’interconnecter les différents réseaux de l’entreprise avec des protocoles de routages
Le Firewall permet de rajouter une couche de sécurité avec des règles de filtrage des flux entrants et sortants de cet équipement, il possède aussi le rôle de routeur
Le Loadbalancer est un équipement à part entière, il permet de répartir la charge sur d’autres équipements
Le NetOps, à la différence de l’ingénieur réseau classique, possède une dimension plus transverse, son but est d’automatiser au maximum son travail. Il doit avoir les compétences pour l’installation et l’implémentation d’outils lui permettant d’améliorer la qualité de son travail et son suivi. Ces outils sont qualifiés de DevOps, il utilise GitHub ou GitLab pour stocker son code, ses scripts, des systèmes de CI/CD pour exécuter ses tâches de manière manuelle via des scripts sur la plateforme ou bien avec un scheduler (de manière automatique), des outils CMDB avec des APIs à disposition pour stocker les données réseau du SI et ses documentations (NetBox, xWiki ..).
Pour administrer ces différents équipements il est nécessaire d’avoir des outils adaptés, que ce soient des consoles de management pour administrer les firewalls, des plateformes de CICD, des APIs, etc…
Les missions du NetOps
Pour comprendre précisément les missions qui sont menées par le NetOps nous allons utiliser des exemples d’actions répandues :
Les ouvertures de flux sont un travail récurrent dans un premier temps et permettent de se familiariser avec l’infrastructure implantée, cela consiste à rajouter des règles de filtrages sur les firewalls, et à modifier le système de routage dans certains cas, pour qu’une source accède à une ressource particulière. Pour cela il faut un accès aux consoles de management des équipements, connaitre le système de filtrage et ses normes utilisées pour la gestion des règles, connaitre l’infrastructure et par où passe le Traffic, connaitre le routage global de l’infrastructure. Le but est d’aller coder la règle qui permettrait d’accepter le Traffic demandé grâce à sa source, sa destination et le protocole/port utilisé. Ceux sont des actions manuelles de base mais pour ce genre de tâches récurrentes, le NetOps est amené à implémenter une solution capable d’effectuer le codage à sa place, pour cela il doit travailler avec les APIs des différents équipements. Il doit aussi développer certains outils pour récupérer des informations et aller pousser ses modifications sur les équipements réseau du SI.
La gestion d’incident réseau est une mission de haute priorité, dans une entreprise où le business repose sur le SI, elle est même cruciale. Ici le but est de maîtriser, de connaître son infrastructure pour pouvoir déceler rapidement des incidents et les traiter. Il est nécessaire de connaître les subtilités de l’architecture au niveau des protocoles, du filtrage, du routage, mais cela ne peut se faire sans système de supervision, de remontée d’alertes et logs, d’observabilité sur l’infrastructure. Dans la gestion d’incident tout est centré sur la communication et l’échange d’information. De cette façon NetOps a la possibilité d’automatiser l’envoi de mail d’incident réseau lorsque certaines alertes lui sont remontées, automatiser l’envoi de la communication interne à l’entreprise et des mails d’intervention sur la production, créer des dashboards accessibles à tous avec la santé de l’infrastructure.
La création de nouvelles infrastructures est récurrente, c’est ce qu’on appelle des phases de Build. Cela peut prendre la forme de l’installation d’un nouveau cluster firewall pour un nouveau besoin, ce qui nécessite la création de nouvelle interconnexion sur les équipements existants, le routage qui va être réalisé. Ou bien encore simplement la création d’un nouveau réseau. Pour ce genre d’action le NetOps a la possibilité d’automatiser afin de gagner du temps et sécuriser les actions de modification. Lors de la création d’un nouveau réseau il faut déployer le vlan utilisé dans ce qu’on appelle la “fabric” (ensemble des Switchs de niveau 2), il est possible avec des outils comme Ansible d’appliquer des modifications sur le parc complet de Switch.
Le NetOps doit souvent s’occuper d’architectures dites WAN, les interconnexions vers internet, partenaires directs, entre différents Datacenters etc. Ces interconnexions utilisent dans la majorité des cas des protocoles de routage dynamique complexes qu’il faut maîtriser. Ces architectures sont mutualisées, portent de grosses interconnexions, un problème de QoS ou de routage a un impact fort sur le service délivré. Grâce à certains outils comme Netbox et GitLab CICD, le NetOps peut stocker l’ensemble des routes à annoncer en BGP dans un fichier de sa NOCMD et l’utiliser dans ses déploiements automatisés via une CICD pour mettre à jour les annonces ses Routers.
Tableau de synthèse :
Ingénieur réseau
NetOps
Ouverture de flux manuel, action sur chaque équipement réseau
Automatisation via un formulaire et accès aux APIs des constructeurs pour pousser les modifications
Envoi de mails d’incident manuellement, vérification des logs / alertes
Envoi de mails automatiques pour certaines alertes impactant le business via une CICD et trigger, centralisation des logs / alertes dans un dashboard mutualisé
Ajout d’interfaces ou de vlans manuellement sur chaque équipements
Utilisation d’un outil de gestion de configuration pour se faire (Ansible..)
Documentation stockée indépendamment du code
Documentation embarquée avec le code (Git)
Centralisation des configurations non existante (en local, fichier excel recensant les modifs…)
Les configurations sont stockées dans l’outil central de gestion de configuration et/ou dans le repository de code.
Conclusion :
Le NetOps est l’évolution de l’ingénieur réseau classique, il sait travailler avec les nouveaux outils qui composeront les SI de demain. L’automatisation et la quête de la réduction du TTM (Time To Market) des services qu’il propose sont sa priorité. Son but est de gagner du temps sur ses actions journalières et de les sécuriser pour éviter des impacts sur le business du SI.