kwanchaift - stock.adobe.com
Avec Seekret, Datadog veut suivre à la trace les API et les services
Au début du mois d’août, Datadog a annoncé le rachat de Seekret, une acquisition qui sert une stratégie double visant l’intégration de l’observabilité des API et d’eBPF dans l’offre de l’éditeur.
Fondée à Tel-Aviv en 2020, la startup Seekret s’est spécialisée dans l’observabilité des API. Le jeune éditeur développe une solution disponible en bêta reposant sur le projet eBPF (extended Berkeley Packet Filter). Porté par la Fondation Linux, ce projet consiste à mettre en place un environnement sandbox au sein du kernel Linux, permettant d’exécuter des programmes légers, sans modifier le noyau du système d’exploitation. Ces programmes sont mis au profit de l’observabilité des applications, de la sécurité et du réseau.
Seekret a adapté cette technologie à la supervision des API. La startup israélienne a développé plusieurs fonctionnalités afin de découvrir automatiquement les API invoquées par un système, de cartographier leurs relations avec d’autres services et d’analyser le trafic entrant-sortant. À l’aide de ces métadonnées, la plateforme doit également pouvoir générer automatiquement des templates de tests et de la documentation.
En outre, Seekret trace les changements de versions des API. En corrélation avec les chaînes CI/CD, la startup propose une solution pour vérifier leur conformité par rapport aux exigences réglementaires, de production et de sécurité. La technologie de la startup est compatible avec le protocole REST et devra prochainement supporter gRPC et le protocole d’Apache Kafka.
Seekret ne terminera pas le développement de cette plateforme. Au début du mois d’août, Datadog a annoncé son acquisition pour un montant inconnu. Depuis sa création, la jeune pousse n’avait réuni qu’un fonds d’amorçage. Cette intervention précoce n’est pas une surprise : l’éditeur new-yorkais aux origines françaises préfère redévelopper les solutions qu’il acquiert, plutôt que de miser sur de simples intégrations.
Une meilleure observabilité des API
En l’occurrence, Datadog tente de résoudre un enjeu identifié il y a un an et demi.
Renaud BoutetSVP, Product Management, Datadog
« En soi, nous avions toutes les technologies pour superviser les API, mais nous n’avions pas de solution centralisée », relate Renaud Boutet, Senior Vice-President Product Management chez Datadog. « Actuellement, l’on peut monitorer les API à l’aide des synthétiques, des traces et des logs, mais les utilisateurs doivent trouver eux-mêmes leur “gold standard”. Nous avions une vision disparate de la notion d’API », ajoute-t-il.
C’est la première raison de ce rachat : les 25 collaborateurs en provenance de chez Seekret sont amenés à former l’équipe qui « rationnalisera » la notion d’API chez Datadog.
La technologie mise en place par Seekret permet non seulement de superviser les API internes, mais aussi d’observer le trafic des API publiques et externes, selon Renaud Boutet.
« Puisque les rythmes de développement sont de plus en plus rapides, beaucoup d’entreprises ne connaissent pas les API qu’elles utilisent et celles auxquelles elles sont exposées », affirme le responsable. « Tout d’abord, il s’agit de réaliser un inventaire en temps réel des interfaces de programmation, puis de notifier les réactions en chaîne si l’une d’entre elles tombe ».
Renaud BoutetSVP, Product Management, Datadog
Le SVP illustre ses propos en évoquant l’hypothétique dysfonctionnement de l’API de paiement d’un partenaire. « Avec les données à notre disposition et la technologie de Seekret, nous serons capables d’indiquer les services impactés par ce problème », anticipe-t-il.
Cette fonction d’inventaire d’API est susceptible de nourrir Service Catalog, un portail central censé réunir des informations (appartenance, SLO, latences, erreurs, performances, configurations, relations, etc.) sur tous les services d’une organisation.
« Nous sommes en train d’appliquer les principes de Service Catalog aux API. Cela permettra de servir différents usages : la fiabilité, la mesure des performances, et plus tard le maintien de la conformité, de la sécurité ou encore le suivi des coûts des API », prévoit Renaud Boutet.
Il s’agit d’établir une « vision de bout en bout » de ces interfaces et des systèmes qui les entourent, là où les plateformes de gestion d’API tels Apigee, Mulesoft ou Axway « n’ont pas accès aux données des services et infrastructures sous-jacents », d’après le responsable. « Avec nos services APM et RUM, nous sommes aussi capables d’observer qui utilise ces interfaces, ce qui n’est pas forcément évident avec une plateforme d’API Management ».
D’autant que les API deviennent aux yeux de certaines équipes IT le reflet des fonctionnalités qu’elles proposent à leurs usagers. « Par exemple, des acteurs de la santé ou des assureurs sont des pourvoyeurs de services par API », illustre Renaud Boutet.
Datadog se donne neuf mois à un an pour proposer cette observabilité complète des API. Ce qui ne l’empêchera pas, comme à son habitude, de déployer progressivement des solutions reprenant les technologies de Seekret. « Nous allons effectuer plusieurs lancements successifs, mais je suis assez lucide quant au temps nécessaire à la maturité et à l’adoption massive de la solution », indique le responsable.
Renaud BoutetSVP, Product Management, Datadog
Un coup de pouce pour Universal Service Monitoring
Améliorer l’observabilité des API n’est pas le seul objectif de Datadog avec ce rachat. Les efforts de Seekret autour d’eBPF doivent aider à renforcer Universal Service Monitoring (USM). Cette solution disponible en bêta privée vise à fournir une « visibilité universelle » des signaux clés (golden signals, en VO) d’une pile technologique « sans avoir à instrumenter le code ».
En clair, après une configuration initiale de l’agent Datadog, des tags, des infrastructures et des conteneurs – à condition que les systèmes d’exploitation déployés reposent sur la bonne version du kernel Linux (4.4 et plus) – les SRE obtiennent les données attendues sans écrire de code. Ils peuvent incorporer les informations obtenues dans des vues APM, dans des suivis des déploiements, dans des tableaux de bord consacrés aux SLO (objectifs de niveau de service) ou encore s’en servir pour créer des alertes.
Pour ce faire, l’agent Datadog analyse déjà les messages HTTP(S) en provenance de la couche réseau du noyau Linux instrumentée avec eBPF. « À partir d’un OS, nous détectons les processus ou les conteneurs, nous les listons, les nommons et les lions automatiquement à des services connus. Nous pouvons observer les flux de communications entrant-sortant entre les services, et récupérer les métriques RED (Requêtes, Erreurs, Latences en français) », précise Renaud Boutet. Toutefois, l’éditeur doit encore prendre en charge différents protocoles réseau, notamment ceux utilisés pour obtenir des flux sécurisés.
Si cette approche permet d’accélérer le suivi des services qui composent une architecture applicative, elle ne donne pas autant de détails que l’instrumentation du code applicatif. « Sans les librairies dans le code, nous ne sommes plus capables de donner d’information sur ce qu’il se passe dans le service. Ce n’est pas grave : l’on peut détecter le service, sa santé, puis utiliser les logs ou les traces pour aider à le réparer ».
Une partie des équipes de Seekret participeront à l’enrichissement d’USM et œuvreront non plus seulement à observer les échanges entre les services, mais à analyser leur nature. « Il y a quelque chose qui nous a beaucoup impressionnés chez Seekret, c’est qu’ils sont capables de détecter des séquences d’appel API : cela permet d’indiquer quand et comment les interfaces sont utilisées pour activer des fonctions critiques », évoque le responsable produit. « Cela intéresse beaucoup nos clients pour tester et éprouver certains cas d’usage ».
Si eBPF est l’objet d’investissement de la part de spécialistes de l’observabilité, dont Datadog, Splunk (via le rachat de Flowmill) et New Relic (après la reprise de Pixie), il n’en demeure pas moins que la technologie est naissante. Les solutions commerciales établies sur cette approche – complexe à développer – émergent véritablement depuis un an.