OpenShift on VCD
Avant-propos : le besoin d’un OpenShift managé souverain
De nombreuses entreprises souhaitent moderniser leurs applications en adoptant des architectures conteneurisées, sans pour autant assumer la complexité d’exploitation d’une plateforme OpenShift complète.
Les offres de cloud public ne répondent pas toujours à ces exigences, notamment lorsque :
- les données doivent rester hébergées en France,
- la connectivité doit être maîtrisée (privée, hybride ou cloisonnée),
- les besoins de conformité, sécurité et traçabilité sont élevés,
- les applications nécessitent des performances garanties et isolées,
- le client souhaite garder la maîtrise de son cluster OpenShift tout en déléguant une partie de son exploitation.
Orange Business répond à ce besoin avec Cloud Avenue – OpenShift on VCD, un service de Managed OpenShift (Hypershift), hébergé sur l’infrastructure VMware Cloud Director (VCD) d’Orange Business.
Cette offre permet au client de disposer d’un cluster OpenShift complet, natif et administrable, tandis que le plan de contrôle est entièrement managé et sauvegardé par Orange Business.
Aperçu
OpenShift on VCD est une solution Managed OpenShift basée sur Red Hat OpenShift 4.x en mode Hypershift (Hosted Control Plane).
Chaque client dispose d’un cluster OpenShift dédié, déployé dans son tenant VCD (Virtual Data Center VMware).
Le modèle repose sur une architecture à responsabilité partagée :
| Composant | Opéré par Orange Business | Opéré par le client |
|---|---|---|
| Plan de contrôle (API, etcd, ingress, monitoring, certs) | ✅ | |
| Sauvegarde du plan de contrôle (Kasten) | ✅ | |
| Infrastructure VMware, NSX-T, stockage NFS | ✅ | |
| Cluster de données (workers) | ✅ (déploiement en Bêta) | ✅ (usage complet en GA) |
| Workloads, namespaces, projets | ✅ | |
| Sauvegarde des PVs / données applicatives | ✅ |
Le client garde un accès complet à son cluster (API, Console Web, CLI, OperatorHub, RBAC, etc.)
Orange Business gère la couche d’orchestration, de maintenance et de supervision de l’environnement.
Architecture et principes
L’offre repose sur une architecture modulaire et standardisée :
- Plan de contrôle Hypershift (HCP) : hébergé et géré dans la Service Zone Cloud Avenue,
- Clusters clients (Hosted Clusters) : déployés dans les tenants VCD,
- Interconnexion réseau : NSX-T + BGP/NAT,
- Stockage persistant : Local Storage Operator ou NFS NetApp Cloud Avenue,
- Sauvegarde : Kasten pour le control plane uniquement,
- DNS et certificats : modèle Bring Your Own Certificate (BYOC).
Cette approche combine :
- isolation totale par cluster client,
- gestion centralisée et automatisée du cycle de vie,
- flexibilité d’un accès root complet pour le client,
- souveraineté et conformité (hébergement 100 % France).
Localisation du service
Les clusters OpenShift on VCD sont hébergés dans les datacenters Orange Business de Val-de-Reuil et Chartres (France), au sein de la plateforme Cloud Avenue.
Le plan de contrôle (Service Zone) est opéré dans un environnement souverain et isolé, supervisé 24/7.
Plan de contrôle
Le plan de contrôle Hypershift (HCP) est entièrement géré par Orange Business et comprend :
- API Kubernetes et OpenShift,
- etcd, ingress, scheduler, controller-manager,
- Observabilité (Prometheus, Grafana, Alertmanager),
- Gestion automatisée des certificats TLS,
- Sauvegarde quotidienne de la base etcd via Veeam Kasten.
🟠 Remarques :
- Seule la base etcd (plan de contrôle) est sauvegardée par Orange Business.
- Les volumes persistants (PVs) et données applicatives sont sous la responsabilité du client.
Il peut utiliser Cloud Avenue S3 Storage pour sauvegarder ses workloads via Velero, Kasten, ou autre outil compatible.
Interface d’administration
Le client dispose d’un accès complet à son environnement OpenShift via :
- Console Web OpenShift : gestion complète des projets, routes, opérateurs, etc.
- API Kubernetes/OpenShift : intégration CI/CD, GitOps, IaC.
- CLI (
oc) : pour les administrateurs techniques.
Les accès sont fournis via URLs dédiées, par exemple :https://console.apps.<cluster>.<tenant>.kaas.cav
L’authentification est assurée via un provider OAuth dédié (SSO, LDAP, etc.), configurable selon les besoins du client.
Infrastructure sous-jacente (VCD)
Chaque cluster est hébergé dans un tenant VCD du client.
Ce tenant contient les ressources nécessaires au plan de données du cluster :
- Compute : VMs des workers OpenShift, dimensionnées selon le profil du cluster,
- Network : segment NSX-T isolé, interconnecté via BGP ou NAT,
- Storage : datastore VMware local ou NetApp NFS,
- Sécurité : isolation réseau et micro-segmentation NSX-T.
🟠 Contraintes techniques :
- Un client OpenShift on VCD ne peut pas héberger un autre HCP, car un Hosted Control Plane ne peut pas en gérer un second.
- Un Hosted Cluster supporte jusqu’à 50 workers maximum.
Stockage persistant
Deux types de stockage sont disponibles pour les workloads OpenShift :
1. Stockage local (via OpenShift Local Storage Operator)
- Persistance sur les disques attachés aux workers.
- Idéal pour environnements de test, CI/CD ou workloads stateless.
- Performant, sans dépendance réseau.
- Non sauvegardé par le service provider.
2. Stockage NFS Cloud Avenue (via NetApp SVM)
- Monté depuis un T0 Premium via le Shared Storage Portal.
- Fournit un espace de stockage partagé, durable et haute performance.
- Idéal pour les environnements de production et workloads stateful.
- Option gérée par Orange Business (raccordement, SVM, quota).
Exposition réseau et Load Balancer
L’offre OpenShift on VCD utilise MetalLB pour exposer les services et routes applicatives.
Caractéristiques :
- Attribution d’adresses IP internes à la zone de service,
- Pas d’adresse IP publique directe en Layer 2,
- Possibilité d’exposition via NAT sur la passerelle du tenant VCD,
- Intégration possible avec ExternalDNS,
- Support HTTPS/TLS natif pour les routes OpenShift.
Ce modèle garantit isolation, sécurité et flexibilité de publication.
DNS et certificats
Chaque client gère son propre domaine et ses certificats selon un modèle Bring Your Own Certificate (BYOC) :
- DNS interne ou public au choix,
- ExternalDNS optionnel pour l’automatisation des enregistrements,
- Certificat wildcard possible,
- Aucun certificat fourni par Orange Business pour les workloads applicatifs,
- Les certificats du plan de contrôle sont gérés et renouvelés automatiquement par le service provider.
Sauvegarde et restauration
- Orange Business sauvegarde uniquement le plan de contrôle (etcd) via Veeam Kasten.
- Le client est responsable de la sauvegarde des PVs, images et données applicatives.
Il peut utiliser l’offre S3 Cloud Avenue ou tout backend compatible (MinIO, AWS S3, etc.).
Ce découpage garantit la reprise d’activité du cluster sans interférer avec la gouvernance des données client.
Dimensionnement et évolutivité
Trois profils standard sont proposés :
| Profil | Taille | Description | Usage |
|---|---|---|---|
| Starter | 3 workers | Petit environnement, tests | Dev / POC |
| Standard | 5–7 workers | Environnement de pré-production | Pré-prod |
| Enterprise | 10–50 workers | Production haute disponibilité | Production |
- Scale-out horizontal possible à chaud (ajout de workers via VCD).
- Scale-up vertical (CPU/RAM) supporté sur chaque worker.
Maintenance et supervision
Orange Business assure la supervision et la maintenance du plan de contrôle :
- Correctifs et mises à jour OpenShift (mineures & patchs de sécurité),
- Gestion des certificats et du cycle de vie des composants,
- Monitoring 24/7, alerting, métrologie via Prometheus/Grafana,
- Opérations planifiées avec notification préalable.
Les workloads clients ne sont pas interrompus lors des maintenances standard.
Services additionnels
- Service Zone Access : interconnexion sécurisée avec les environnements Cloud Avenue.
- NetApp NFS T0 Premium : stockage réseau haute performance.
- Cloud Avenue S3 Storage : sauvegarde applicative autonome.
Tarification et support
La facturation est mensuelle et dépend du type de cluster, du stockage choisi et des options souscrites.elle est basée sur le nombre de pack de 4 vCPU utilisés par les Worker Node alloués à un cluster OpenShift (cf. Fiche tarifaire Cloud Avenue).
Le support comprend :
- Supervision et maintenance du plan de contrôle,
- Support L2/L3 24/7 via Cloud Avenue Support,
- Support Red Hat Premium inclus.
Comment commander
Pour initier la création d’un cluster, le client envoie une demande à l’adresse gps.cavcaas@orange.com, en précisant le nom du tenant VCD (hébergeant les Worker Nodes), le nom du cluster souhaité (pour identifier les ressources associées au projet) et la VIP Ingress à utiliser (pour gérer les points d’entrée du trafic externe).
Une fois le cluster provisionné et validé, le client reçoit un email de confirmation de mise en service incluant la méthode d’accès au portail OpenShift, la VIP pour l’exposition des applications, ainsi que l’URL de l’API d’accès au cluster.Un compte administrateur chiffré est également transmis en toute sécurité, et le cluster est alors prêt à accueillir les workloads applicatifs.
En résumé
| Élément | Détail |
|---|---|
| Type de service | Managed OpenShift (Hypershift-based) |
| Accès client | Complet (API, Console, CLI) |
| Hébergement | VMware Cloud Director / Datacenters Orange (France) |
| Stockage | LocalStorage Operator ou NFS NetApp |
| Load Balancer | MetalLB (NAT, sans IP publique directe) |
| DNS / Certificats | Bring Your Own Certificate (BYOC) |
| Sauvegarde | Kasten (control plane uniquement) |
| Backup workloads | Client side (Cloud Avenue S3, etc.) |
| Max nodes | 50 workers par cluster |
| Support | 24/7 – Orange Business + Red Hat |
| Responsabilités | Control plane : OB / Workloads : Client |