KubeCON : Veeam positionne Kasten en leader du backup Kubernetes

Le champion de la sauvegarde des serveurs veut aussi être numéro 1 sur les containers. Le logiciel K10 atteint l’objectif de simplifier, mais se penche surtout les besoins de l’IT.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : STORAGE: Storage 32 : Kubernetes, le nouveau terrain de jeu du stockage

Kasten sera-t-il à Kubernetes ce que Veeam est aux machines virtuelles, à savoir le numéro 1 de la sauvegarde spécialement conçue pour les conteneurs ? Principal sponsor de KubeCON – le salon dédié à l’écosystème Kubernetes qui se tenait la semaine dernière à Valence – Kasten appartient à Veeam depuis fin 2020 et s’acharne depuis à prouver que son logiciel K10 bat à plates coutures toutes les autres solutions de backup pour containers. Ce que Veeam avait aussi fait il y a dix ans avec les machines virtuelles.

« Veeam a racheté Kasten, car leur stratégie était exactement la même que celle de Veeam il y a 15 ans : ne pas se contenter de créer une copie brute des logiciels et de leurs données tels qu’ils sont chargés en mémoire ; créer plutôt une copie logique, qui prend en compte la manière de fonctionner d’une application », argumente Tom Leyden (en photo), le directeur marketing de Kasten. Selon lui, cette approche logique est le seul moyen pour restaurer une application ailleurs, sur un site de secours ou en cloud, à partir d’une infrastructure qui n’a rien à voir avec celle d’origine.

« Les entreprises peuvent utiliser notre produit pour générer des copies fonctionnelles de leurs applications qui serviront d’épreuves de tests : pour les développeurs, pour les gens de la sécurité, pour la DSI. »
Tom LeydenDirecteur marketing, Kasten

« L’intérêt de Kasten, tout comme celui des solutions Veeam, va de fait bien au-delà de la simple sauvegarde. Les entreprises peuvent utiliser notre produit pour générer des copies fonctionnelles de leurs applications qui serviront d’épreuves de tests : pour les développeurs, pour les gens de la sécurité, pour la DSI. On peut même ainsi générer une application-bis qui a vocation à évoluer différemment de l’originale », ajoute-t-il.  

Un fonctionnement propre à Kubernetes

La présence de Kasten à KubeCON servait accessoirement à dévoiler une toute nouvelle version 5.0 de K10 qui embarque à présent un outil pour détecter les ransomwares avant d’effectuer les sauvegardes. Pour autant, c’est plus le principe même du logiciel qui a attiré les visiteurs sur le stand de l’éditeur.

Parmi eux, l’analyste Max Mortillo, du cabinet d’études GigaOm, est convaincu des avantages de Kasten. « Avant toute chose, il faut préciser que si des logiciels comme Kasten sont nécessaires, c’est parce que les entreprises se servent de Kubernetes afin d’exécuter en containers des applications conçues pour des machines virtuelles. En théorie, les containers sont volatiles : toutes les cinq minutes en moyenne, les instances sont détruites avec leurs données et on repart sur une instance vierge. Mais, en pratique, on met dans les containers des applications qui modifient des fichiers ou des bases de données SQL, qu’on ne veut pas perdre. »

Selon le détail de la version 5.0 de K10, des fonctions ont d’ailleurs été ajoutées pour pouvoir restaurer des bases de données SQL aux formats Microsoft SQL Server et PostgreSQL.

« Les solutions de sauvegarde classiques vont répliquer ce qu’il y a au niveau d’une VM, c’est-à-dire tout un cluster Kubernetes. Cela ne fonctionne pas, car une application au format container est morcelée en une certaine collection d’instances, potentiellement exécutées sur des clusters Kubernetes séparés, avec des données qui sont encore hébergées ailleurs. Une solution de sauvegarde pour Kubernetes doit donc savoir quels containers et quelles données correspondent à une application, les réunir, puis les sauvegarder ensemble avec le manifeste Kubernetes qui décrit l’agencement des containers », explique l’analyste.

Kasten n’est pas le seul à savoir faire cela. Le logiciel de sauvegarde Open source de base pour Kubernetes s’appelle Velero. « Le problème de Velero est qu’il est bien trop complexe à utiliser. À l’opposé, Kasten prend en compte toutes les subtilités avec beaucoup de simplicité. Par exemple, il permet de créer des règles par applications, qui sauvegarderont plus régulièrement les seuls containers mis à jour, ou qui reconfigureront des restaurations pour mieux prendre en compte les caractéristiques d’une infrastructure cible. »

Un outillage riche, mais très orienté IT

« Les développeurs peuvent programmer l’automatisation des sauvegardes, les utilisateurs peuvent restaurer eux-mêmes certaines données, les administrateurs peuvent répliquer l’application ailleurs. »
Un démonstrateur sur le stand Kasten

Max Mortillo estime que le concurrent le plus sérieux de Kasten est Commvault – déjà compétiteur de Veeam sur les serveurs physiques et virtuels. Un démonstrateur sur le stand de Kasten argumente que K10 serait mieux outillé : « nous proposons une interface graphique manipulable par plusieurs typologies d’utilisateurs. Les développeurs peuvent programmer l’automatisation des sauvegardes, les utilisateurs peuvent restaurer eux-mêmes certaines données, les administrateurs peuvent répliquer l’application ailleurs. Et chacun a ses propres droits d’accès. »

En filigrane, LeMagIT constate surtout que si Kubernetes est censé être dédié aux DevOPS – des développeurs qui savent aussi taper eux-mêmes des lignes de commande pour déployer leurs applications et vérifier que l’infrastructure sous-jacente fonctionne comme prévu – Kasten n’oublie pas de faire la part belle aux profils administrateurs du SI. En preuve, justement, cette nouvelle faculté d’analyser les applications en amont de la sauvegarde à la recherche de malwares. Elle consiste surtout à comparer les routages réseau avec la liste des droits d’accès attribués par le service IT.

« Les DevOps… Vous savez, ils ne tombent pas du ciel. Ce sont des collaborateurs qui ont généralement travaillé sur le SI avant. En réalité, nos interlocuteurs dans les entreprises sont souvent des ingénieurs IT qui veulent gagner de l’indépendance par rapport à la DSI. Et cela convient très bien à tout le monde : les DSI nous disent qu’elles sont heureuses que les équipes de développement s’occupent elles-mêmes de leurs sauvegardes », commente Tom Leyden.

La nouvelle fonction d’analyse en amont des ransomwares fait écho à une autre fonction de cybersécurité apparue l’année dernière, avec la version 4.0 de K10. Il s’agissait alors de rendre des sauvegardes immuables, c’est-à-dire impossibles à effacer – par l’entreprise, comme par des cyberassaillants – jusqu’à une date donnée.

Désormais, K10 analyse les accès déclarés dans les manifestes de Kubernetes, en particulier le système d’authentification RBAC qui limite les routages réseau selon le niveau de privilèges de l’application à un instant T. Selon la présentation du démonstrateur de Kasten sur le stand de l’éditeur, K10 v5.0 met en exergue les droits d’accès qui n’ont pas lieu d’être dans une application, en suggérant qu’une opération malveillante les aurait activés. LeMagIT croit comprendre qu’il pourrait tout autant s’agir d’une négligence.

Parmi les autres nouveautés, citons l’affichage des licences en production et la possibilité de renseigner des informations de conformité. Deux sujets propres aux DSI.  

Pour approfondir sur Backup

Close