Une image maître, qu'est-ce que c'est ?

Dans le secteur de l'audiovisuel, le terme « master copy », littéralement « copie maître », désigne la version finale d'un film ou d'un album, obtenue après retouches et mixage. Il s'agit de la forme parfaite et finalisée de l'œuvre.

Ce concept a été transposé à l'administration des systèmes informatiques sous le nom d'« image maître ». Dans ce contexte, une image maître est un instantané d'un système (serveur, environnement de bureau virtuel ou disque) qui a été configuré d'une façon précise et à partir duquel il est possible de déployer de nouvelles instances. Elle sert notamment à créer des systèmes pour la virtualisation des réseaux et on l'appelle aussi parfois image dorée ou machine virtuelle parente. Le terme « image de référence » est une autre désignation très courante de ce concept, qui illustre toute l'utilité de ces images maître : elles offrent en effet une base cohérente et fiable pour la configuration des systèmes, simplifiant ainsi leur maintenance tout au long du cycle de vie.

À la base, une image maître est une machine virtuelle spécialement configurée et lancée à partir d'un modèle. Dans les environnements virtuels, ces images offrent deux avantages majeurs, la simplicité et la cohérence. Avec une image prédéfinie servant de modèle, les administrateurs peuvent en effet déployer de façon cohérente des systèmes dont la configuration est parfaitement claire et connue à l'avance.

Par définition, un environnement de cloud computing est en quelque sorte un environnement virtuel à grande échelle. Les concepts et technologies sous-jacents sont très similaires, mais la gestion du matériel et l'expérience utilisateur diffèrent. Pour résumer, l'environnement cloud est bien plus volumineux. Il prend en charge le déploiement, la modification et la suppression rapide des instances, sans limites d'accès et d'utilisation des ressources.

Dans les environnements cloud, les images maître sont de précieux outils de gestion avec des capacités de mise à l'échelle qui permettent aux administrateurs de déployer un grand nombre d'instances, très rapidement tout en préservant la cohérence.

Le cloud computing crée des infrastructures plus complexes. Le maintien de la cohérence des systèmes (c'est-à-dire les environnements d'exploitation standard) est donc essentiel pour gérer les tâches d'administration courantes à grande échelle, telles que l'application des correctifs, la mise à niveau des paquets et l'octroi des accès aux services.

L'utilisation des images maître présente un intérêt à chaque étape du cycle de vie des systèmes.

• Accélération des déploiements : les images maître aident à réduire les temps de déploiement dans les environnements cloud, à l'aide de scripts et de processus automatisés ou dans des instances ad hoc.
• Diminution des erreurs humaines : selon l'IBM Cyber Security Intelligence Index, 95 % des failles de sécurité sont dues à des erreurs humaines, que ce soient des erreurs de configuration, des correctifs non appliqués ou un mauvais contrôle des accès. L'utilisation d'un modèle prédéfini et testé limite le risque d'erreur humaine à l'origine des vulnérabilités du système.
• Accélération de la gestion des correctifs et des mises à niveau : l'utilisation de modèles prédéfinis contribue à améliorer la visibilité et à renforcer la surveillance. En effet, il est possible d'identifier rapidement les systèmes qui nécessitent un correctif ou un paquet plus récent, ou encore ceux qui présentent une faille de sécurité. Cette approche permet également d'automatiser efficacement les processus, ce qui évite de mettre à jour chaque système individuellement, avec le risque d'en oublier certains ou de mal les configurer.
• Élimination des écarts de configuration : bien que le terme « écart de configuration » soit assez répandu, il continue de prêter à confusion. Par écart, il faut comprendre qu'un système s'est éloigné d'une configuration de référence idéale. Cet écart peut être causé par l'ajout ou la modification d'applications dans le système, par la modification des paramètres de sécurité, ou encore par la modification de la configuration entre le système du datacenter et le système de récupération. Sans référence, il est très difficile de savoir quand et comment les systèmes ont été modifiés, ce qui est pourtant essentiel pour assurer leur conformité avec les réglementations et les normes du secteur. Avec une image de référence, vous pouvez surveiller les écarts de configuration (Red Hat Insights offre cette possibilité pour les systèmes Red Hat® Enterprise Linux® et Red Hat OpenShift®).

Plus qu'un simple réglage de quelques paramètres de configuration, la sécurisation des systèmes doit être une véritable stratégie. La sécurité est le résultat d'une multitude de choix concernant les processus et l'administration des systèmes. En créant des images de référence qui tiennent compte de vos pratiques et exigences en matière de sécurité, vous contribuez au maintien de la sécurité dans l'entreprise, même si elle utilise plusieurs environnements cloud et infrastructures.

Contrairement à une œuvre audiovisuelle, un système informatique n'est jamais « finalisé », d'où la nécessité de prendre en charge le cycle de vie complet des systèmes. Avec les images maître, cette approche suppose d'assurer la maintenance du catalogue d'images ainsi que des systèmes déployés à partir des modèles.

• Réservez un environnement virtuel à la création des images : si vous créez votre image de référence avec, par exemple, l'outil de création d'images Red Hat Enterprise Linux, il est vivement conseillé d'utiliser une machine virtuelle réservée à cet usage compte tenu des exigences de sécurité propres au système. 
• Définissez les rôles, les groupes et les services dans la configuration du système : le principal frein au déploiement cloud n'est pas le déploiement de nouvelles instances, mais la gestion des accès à ces instances par les utilisateurs et les services. Définissez les rôles et les groupes nécessaires à partir de la configuration de sécurité du système pendant le déploiement, de manière à rationaliser tout le processus d'authentification et d'autorisation.
• Effectuez des tests : prévoyez un contrôle qualité pour vérifier que la configuration respecte vos exigences, surtout en matière de sécurité et d'applications. Testez les performances des paquets, qui doivent être optimisés pour l'environnement cloud dans lequel vous les utiliserez.
• Mettez à jour les images lors de la publication de nouveaux paquets : un outil comme Image Builder simplifie considérablement la création et la modification des images. Toutefois, pour continuer à les protéger et à profiter de leurs capacités, il est important de les mettre à jour chaque fois qu'une nouvelle version des paquets est publiée.
• Surveillez les systèmes déployés : des services tels que Red Hat Insights vous offrent une bonne visibilité sur toute votre infrastructure, et en combinant plusieurs images de référence, vous pourrez plus facilement identifier les systèmes vulnérables, rédiger des playbooks d'automatisation et déceler les écarts de configuration dans vos systèmes.
• Définissez des processus de suppression pour les images et systèmes : créez des politiques explicites afin d'encadrer la mise à jour et la suppression des images du catalogue, et aussi pour gérer les systèmes suite à ces modifications.
• Créez des images distinctes selon l'objectif visé : identifiez les différents profils utilisés dans votre environnement et créez des images de référence spécifiques pour chacun d'eux. Il n'y a aucun intérêt à utiliser une image générique. Au contraire, plus vous créerez d'images personnalisées, plus vous vous rapprocherez de vos objectifs de performances ou de sécurité.

Le système d'exploitation Red Hat Enterprise Linux inclut un outil de création d'images personnalisées, Image Builder, accessible en local ou sous forme de service hébergé via Red Hat Hybrid Cloud Console. Le processus de création se décompose en quelques étapes simples durant lesquelles vous pouvez choisir vos paquets, définir la configuration et optimiser le système d'exploitation pour votre environnement cloud.

Dans le cadre de notre programme Cloud Access, nous offrons également aux entreprises la possibilité d'utiliser leurs souscriptions de produits auprès de fournisseurs de cloud public. Nous proposons ainsi des images préconçues et certifiées pour les clouds Amazon Web Services (AWS), Microsoft Azure et Google, compatibles avec nos principaux produits, notamment Red Hat Enterprise Linux et nos solutions de middleware et de stockage.

Enfin, notre catalogue d'images UBI (Universal Base Images) compile de nombreuses images de conteneurs OCI optimisées.