Des choix d’architecture sont à faire s’il y a lieu pour les systèmes locaux, mobiles, distants. Ils concernent les SI dont l'entreprise est propriétaire, et plus généralement ceux pour lesquels elle prend des décisions sur les architectures à mettre en place. Ils portent sur les équipements matériels, les objets connectés, leurs fonctions, les informations qu'ils stockent, leur nombre, leurs modalités de communication, d'interfonctionnement, la sécurité du système. Ils sont complétés par des choix relatifs aux réseaux locaux, à l'architecture logicielle, traités dans les sections suivantes.
Ils sont faits sur la base de la définition de l’architecture d’ensemble des SI.
Des choix associés sont aussi à faire s'il y a lieu sur l'environnement des systèmes : alimentation en électricité, refroidissement, protection physique...
Les principaux types d'équipements matériels, d’objets utilisés pour la construction des SI locaux, mobiles, distants, sont des ordinateurs, des mémoires, des infrastructures convergées, des équipements de réseau terminaux, des équipements associant des éléments numériques à des éléments d'autres natures, des objets connectés. Ce sont des équipements autonomes, ou des périphériques. Ils permettent ou non l'installation de logiciels complémentaires.
Ces équipements sont standard dans la quasi-totalité des cas. De très grandes entreprises achètent des composants matériels standard et construisent sur mesure leurs serveurs elles-mêmes, ou les font construire.
Pour les équipements associant des éléments numériques à d'autres natures d'éléments, les objets connectés, les choix relatifs au numérique sont un des aspects du choix.
Équipements permettant l’accès
Les systèmes locaux, mobiles, incluent toujours un ou plusieurs équipements comportant des fonctions d’accès par des utilisateurs, des capteurs, des actionneurs, permettant les entrées/sorties d’informations, les commandes des systèmes (par exemple des micro-ordinateurs, des téléphones mobiles, des tablettes, des systèmes de mesure, des machines-outils).
Des équipements de réseau terminaux sont à installer pour l'accès à certains réseaux : téléphones fixes, mobiles, PABX...
Les systèmes distants comportent parfois des équipements de cette nature pour les exploitants.
Ces équipements comportent en général d’autres fonctions numériques. Leur nature dépend de la répartition éventuelle des fonctions du SI entre plusieurs types d'équipements. Des fonctions d’identification, d’authentification, de contrôle d'accès, sont implantées si nécessaire, ainsi que des fonctions de communication numérique, d’interopérabilité.
Le nombre des équipements est parfois défini dans les caractéristiques attendues du système : par exemple nombre de postes de travail sur un site, équipement industriel des usines.
Ordinateurs collectifs
1) Des ordinateurs collectifs sont souvent mis à la disposition de plusieurs utilisateurs, machines, systèmes, pour réaliser des fonctions arithmétiques et logiques, stocker des informations. On utilise à cette fin un seul ordinateur de capacité suffisante, ou plusieurs ordinateurs de capacité plus réduite, organisés en cluster ("grappe") ou en "grille" (grid computing). Les traitements sont exécutés uniquement sur l'ordinateur qui a reçu la demande, ou répartis entre plusieurs ordinateurs.
La capacité de ces ordinateurs s’exprime en vitesse des processeurs, en parallélisme, en taille mémoire, en rapidité des connexions internes.
Le prix d’un ordinateur multiprocesseur est beaucoup plus élevé que celui de plusieurs ordinateurs monoprocesseurs de même puissance totale. Du point de vue des performances, l’exécution de traitements sur plusieurs ordinateurs est mal adaptée à l’exploitation de logiciels comportant beaucoup de mises à jour de bases de données. Elle ajoute des délais de communication entre ordinateurs parfois prohibitifs. La disponibilité des clusters, des grilles est beaucoup plus forte que celle des ordinateurs uniques de puissance équivalente : un ordinateur multiprocesseur unique constitue un single point of failure (SPOF).
Si les traitements à réaliser sont indépendants, sur des ensembles d’informations indépendants, ou en consultation seulement, répartir les traitements entre plusieurs micro-ordinateurs permet de limiter les coûts d’investissement, d’augmenter la sécurité (peu d’impact de l’arrêt d’un ordinateur). L’impact sur les coûts d’exploitation est moins évident : l’augmentation du nombre d’ordinateurs à exploiter nécessite une automatisation forte. Ce type de solution est utilisé par exemple par Google pour la mise à disposition de son moteur de recherche. Les demandes de traitement sont à répartir entre les ordinateurs. La répartition du trafic est fixe ou variable selon la disponibilité des machines (load balancing).
Si les traitements à réaliser sont interdépendants, s’ils utilisent, en particulier en mise à jour, le même ensemble de bases de données, la solution de base le plus souvent choisie consiste à les réaliser sur un ordinateur unique.
Une variante de la deuxième solution est de distinguer la réalisation des fonctions arithmétiques et logiques et la gestion des données, et à utiliser des ordinateurs différents, par exemple plusieurs serveurs d’application et un serveur de bases de données. Les serveurs d’application fonctionnent en parallèle et interopèrent avec le serveur de bases de données. Ce type de solution est robuste, il permet d’augmenter la capacité sans recourir à des ordinateurs de grande puissance. Il est un peu plus complexe, et susceptible d’entraîner une dégradation des performances.
Le choix de plusieurs ordinateurs susceptibles de traiter les mêmes demandes permet de disposer de solutions redondantes, plus sûres en cas de panne (possibilité de bascule automatique sur un ordinateur qui fonctionne). Les solutions sont « actif/actif » ou « actif/passif », selon que tous les ordinateurs fonctionnent en permanence, ou qu’une partie des ordinateurs n’est mise en fonctionnement qu’en cas de défaillance d’un ordinateur du système.
2) Il est possible de réduire le nombre, la taille des ordinateurs nécessaires, en utilisant des fonctions de virtualisation, de conteneurisation, qui permettent de faire fonctionner plusieurs environnements informatiques différents sur un même ordinateur.
Les logiciels et leur environnement d'exécution sont susceptibles d'être regroupés dans des conteneurs, exploitables sur n'importe quelle machine à partir de l'OS hôte de la machine. Cette technologie est dans la suite de la virtualisation. Elle est plus souple, plus économique en ressources. Les conteneurs utilisent l'OS hôte par l'intermédiaire d'un logiciel de gestion du cycle de vie des conteneurs, tel que Docker.
Les fonctions d'infrastructure de bureau virtuelle (VDI - virtual desktop infrastructure) permettent à l'utilisateur d'exploiter son environnement de bureau personnel (fichiers, paramètres...) à partir d'un poste de travail quelconque. Les logiciels, les données sont gérées par un serveur central, qui télécharge les éléments nécessaires sur le poste de travail appelant.
3) Dans les systèmes locaux, des serveurs sont utilisés pour offrir aux équipements d'accès des services de partage de fichiers, d'imprimantes, d'accès au réseau...
Dans les usines, des plateformes d'intermédiation technique sont parfois utilisées pour faire communiquer et interopérer des machines-outils, héberger des applications industrielles, et pour les faire communiquer avec les autres SI de l’entreprise.
4) Sur un même site, s’il y a lieu, des systèmes ou des environnements séparés sont mis en place pour :
– les utilisateurs externes et internes ;
– des clients externes différents ;
– les utilisateurs finals et les professionnels du numérique ;
– plus généralement pour des systèmes, des environnements qu’il est souhaitable de réserver à certaines catégories d’utilisateurs.
Cela permet plus d’indépendance du fonctionnement, l’utilisation de paramétrages spécifiques, de versions différentes des logiciels, de l'environnement.
Les fonctions d’ingénierie, de déploiement (reprise des données, formation…) sont en général installées sur des systèmes, des environnements dédiés.
Les fonctions pour l'ingénierie, la maintenance numériques, le déploiement, sont implantées de préférence sur des systèmes, des environnements dédiés aux professionnels du numérique. Cette solution évite de troubler le fonctionnement des systèmes opérationnels des utilisateurs finals. Des procédures de transport contrôlé entre ces systèmes, vers les systèmes des utilisateurs finals, sont à mettre en place.
Dans les grands projets, chaque équipe souhaite disposer de ses environnements de travail, pour les gérer en fonction de son plan de travail, maîtriser leur disponibilité, leurs performances, en être seule responsable.
Le nombre des systèmes « outils » théoriquement nécessaires est parfois considérable. Par ailleurs, les besoins de capacité sont parfois également considérables. Des arbitrages sont à faire pour tenir compte au mieux des besoins et des contraintes techniques et économiques. Un choix classique correspond à la mise en place de systèmes de développement (pour le paramétrage), d’intégration, de formation, de pré-production, de production.
Les facteurs à prendre en compte sont les coûts d’investissement, de fonctionnement de ces systèmes, la charge machine, les capacités de stockage nécessaires, le mode d’utilisation spécifique de certains environnements (des environnements dits « bac à sable » sont réinitialisés régulièrement), la responsabilité des différents systèmes.
Les opérateurs de télécommunications ont parfois des plateformes d’essai très importantes avec des équipements de constructeurs différents, aux différentes générations, permettant de tester l’interopérabilité des équipements, des logiciels de fournisseurs différents.
Des environnements de simulation d'incidents de sécurité (cyber-range) sont mis en place.
Mémoires numériques
1) Les informations numériques sont stockées sur des supports intégrés à certains équipements, comme les ordinateurs (disques durs, semi-conducteurs (SSD)), ou sur des supports externes : batteries de disques durs, bandes magnétiques... La première solution est utilisable tant que les volumes le permettent. Pour les ordinateurs, il est possible de stocker des bases de données en mémoire centrale (in-memory).
Les informations stockées sont ou non réparties, répliquées.
Pour les informations permanentes des entreprises, les réseaux de disques durs permettent de fournir des capacités de stockage central aussi importantes que nécessaire.
Des stockages répartis et redondants d'informations (RAID, mirroring) sont réalisables en local. Le RAID est toujours essentiel. Différents niveaux sont à choisir (RAID1 à RAID6).
Les unités de disques durs sont dédiées à un ordinateur (connexion de type DAS) ou mises en réseau (connexions de type SAN ou NAS). Les informations communes à plusieurs équipements du SI sont obligatoirement stockées sur un support accessible par un réseau local.
Les architectures SAN présentent de nombreux avantages : partage efficace des données, réduction du volume disque nécessaire, centralisation des sauvegardes, rationalisation de l'administration des équipements.
Les NAS montent en puissance, avec l'amélioration de leurs performances.
La technologie des bibliothèques virtuelles (VTL) permet d'optimiser les sauvegardes sur bande magnétique.
2) Des fonctions de mémoire virtuelle sont utilisables. Elles permettent d’augmenter (apparemment) la taille de la mémoire centrale en utilisant une extension sur un autre support (par exemple un disque dur).
3) Pour l’archivage numérique, des fonctions techniques spécifiques sont à prévoir, portant notamment sur la prévention de l'obsolescence technique, la gestion de l'évolution dans le temps des formats de stockage.
4) Les informations stockées sont générales ou spécifiques à un domaine d'utilisation. Des fonctions de stockage, de lecture/écriture sont installées. Elles sont toujours exécutées au moins en partie par l'équipement sur lequel les données sont stockées.
Pour le big data, on utilise des architectures de stockage adaptées aux volumes à traiter.
La blockchain est une technologie (architecture, logiciels...) de stockage des données et de gestion des transactions, permettant un stockage sécurisé, et accessible de façon transparente à toutes les parties aux transactions.
C’est une base de données distribuée. La chaîne de ses mises à jour est protégée contre la modification, la falsification. Elle est gérée selon des protocoles décentralisés. Des utilisations privatives sont développées.
Avantages : sécurité des enregistrements, de l'horodatage, pas de possibilité de les modifier, architecture déconcentrée, pas de tiers de confiance, simplification des relations entre les organisations. Inconvénients : à optimiser, à intégrer dans les applications opérationnelles, capacité limitée, coût élevé par transaction.
Infrastructures convergées
Les infrastructures convergées intègrent de façon optimisée des éléments matériels et logiciels tels que serveurs, mémoires, équipements de réseau, logiciels de gestion associés pour l'infrastructure, l'automatisation et l'orchestration. Cette intégration est plus ou moins forte. On parle d'hyperconvergence. Ces équipements permettent de simplifier les architectures, leur exploitation, d'améliorer les performances et de réduire les coûts.
Haute disponibilité
Certains des choix précédents (clusters, architectures RAID…) contribuent à la haute disponibilité. Des équipements à tolérance aux pannes, à fiabilité renforcée (notamment par la redondance de certains éléments) sont parfois utilisés.
Exploitation, ingénierie, maintenance des équipements
Les fonctions nécessaires d’exploitation, d’ingénierie, de maintenance des équipements (paramétrage, téléchargement, de pilotage, surveillance…), sont installées sur les équipements concernés. Elles doivent parfois être accessibles à distance à partir de systèmes d’exploitation centrale.
Les systèmes sont installés dans des locaux de l'entreprise présentant pour certains types d'équipements les caractéristiques techniques nécessaires (alimentation électrique, climatisation...), ou sont hébergés par des prestataires de services. Des choix sont à faire sur les niveaux de protection (contrôle d’accès aux locaux, alimentation électrique…)..
1) Les équipements matériels constituant un système local, mobile ou distant, sont reliés entre eux par un réseau local numérique privé (LAN), filaire ou sans fil, ou par des liaisons point à point. Les fonctions de communication nécessaires sont installées.
La mise en réseau local des équipements installés sur un même site est souhaitable, voire nécessaire, si leurs fonctions ont des liens fréquents entre elles (par exemple, échange d’informations, demandes de services) et si elle est techniquement possible.
Elle permet de faire communiquer les équipements en local, de mettre des ressources en commun, comme les disques durs, les accès aux réseaux de télécommunications numériques. Elle permet des communications locales plus rapides, moins coûteuses, plus d’autonomie. Elle est à exclure si des raisons d’architecture imposent de séparer les systèmes. Des systèmes isolés sont mis en place par exemple pour certaines fonctions : salles de marché, pilotage des usines, systèmes pour les professionnels du numérique...
Il en est de même pour les équipements, dispositifs installés sur les aéronefs, les bateaux…
2) Des protocoles de communication sont à choisir pour les réseaux LAN.
Aux niveaux OSI 1 et 2, le protocole le plus utilisé pour les réseaux filaires est Ethernet. La norme la plus utilisée pour les liaisons sans fil est Wi-Fi (variante sans fil d’Ethernet). Les niveaux de protocoles Ethernet choisis dépendent des débits attendus.
Aux niveaux OSI 3 et 4, les données sont transmises dans les réseaux LAN le plus souvent sur la base du protocole TCP/IP.
La mise en place de clusters, de grilles d’ordinateurs nécessite des réseaux LAN à hautes performances, permettant des débits élevés et des latences réduites. Les solutions techniques à choisir sont par exemple Giga-Ethernet, Myrinet.
En ce qui concerne les réseaux LAN de baies de disques, pour les SAN (storage area network), des protocoles d’échange en mode bloc tels que Fibre Channel ou iSCSI sont utilisés. Pour les NAS (network access storage), des protocoles d’échange en mode fichier tels que CIFS ou NFS sont utilisés.
3) Des choix sont à faire sur l'architecture des réseaux LAN (cf. ci-après).
L'exécution de certaines fonctions par un SI nécessite parfois l'interfonctionnement de plusieurs équipements, l'accès à des données réparties, communes. Des protocoles d'interfonctionnement, des fonctions de pilotage, des middleware, sont à mettre en œuvre pour rendre possible, ou faciliter ces opérations.
1) Des choix sont à faire sur l'installation des fonctions de sécurité sur les différents équipements matériels d'un système : antivirus, contrôle d'accès, de l'utilisation des équipements, de détection des menaces sur les postes de travail, signature numérique, chiffrement/déchiffrement, pare-feu, détection des intrusions, contre-mesures.
Pour les systèmes connectés à des réseaux externes, les fonctions de sécurité sont susceptibles d’être exécutées sur des équipements dédiés (par exemple serveurs d’authentification, d’autorisation, pare-feu, proxys).
Les pare-feux (firewalls), logiciels ou serveurs dédiés, installés aux limites du système, permettent de contrôler les communications échangées entre un SI et l’extérieur. Ce type de solution augmente la sécurité du système, en dégradant parfois les performances.
Les fonctions d'antivirus, de détection des intrusions, de contre-mesure, sont susceptibles a priori d'être installées sur tous les équipements.
Les équipements terminaux incluent parfois des fonctions de filtrage des communications (anti-spam, blocage des fenêtres surgissantes...).
2) Certains des choix d'architecture présentés ci-dessus contribuent à la sécurité du SI (RAID, répartition des traitements entre plusieurs ordinateurs...).
3) Des mémoires numériques sont à prévoir pour les sauvegardes des informations.
Aucun commentaire:
Enregistrer un commentaire