Pourquoi nous utilisons NixOS pour propulser notre infrastructure cloud
Un regard en coulisses sur les raisons pour lesquelles Alplink a choisi NixOS plutot que les distributions Linux traditionnelles pour gerer son infrastructure cloud europeenne. Reproductibilite, mises a jour atomiques, securite et benefices pour nos clients.
Lorsque nous avons commence a construire Alplink, nous avions une question fondamentale a resoudre : quel systeme d'exploitation peut-on confier pour executer une infrastructure de production destinee a des entreprises europeennes soucieuses de souverainete des donnees, de securite et de fiabilite ?
Nous avons evalue les candidats habituels -- Ubuntu, Debian, CentOS, Alpine. Ce sont tous des choix solides utilises par des milliers d'entreprises. Mais nous retombions toujours sur les memes problemes : derive de configuration, deploiements non reproductibles, angoisse des mises a jour et le decalage "ça marche sur ma machine" entre le developpement et la production.
Puis nous avons decouvert NixOS, et cela a change notre façon de penser l'infrastructure.
Qu'est-ce que NixOS ?
NixOS est une distribution Linux construite sur le gestionnaire de paquets Nix. Contrairement aux distributions traditionnelles ou l'on installe des paquets et edite des fichiers de configuration de maniere imperative (apt install, puis editer /etc/something.conf), NixOS adopte une approche declarative : vous decrivez l'integralite de votre systeme dans un seul fichier de configuration, et NixOS le construit.
{ config, pkgs, ... }:
{
services.nginx.enable = true;
services.postgresql.enable = true;
services.postgresql.package = pkgs.postgresql_16;
networking.firewall.allowedTCPPorts = [ 80 443 ];
security.acme.acceptTerms = true;
security.acme.defaults.email = "admin@example.com";
}
Cette configuration n'est pas un script qui execute des commandes. C'est une specification de l'etat souhaite du systeme. NixOS la lit et construit l'ensemble du systeme d'exploitation -- noyau, paquets, services, utilisateurs, regles de pare-feu -- a partir de cette source unique de verite.
Pourquoi c'est important pour nos clients
1. Deploiements reproductibles
Chaque serveur que nous deployons est construit a partir de la meme configuration NixOS. Il n'y a pas de derive entre les machines, pas de "ce serveur a un paquet supplementaire installe parce que quelqu'un a debogue quelque chose il y a six mois." Si notre configuration indique PostgreSQL 16 avec ces parametres, c'est exactement ce que chaque serveur execute.
Cela signifie que lorsque nous deployons votre instance Odoo, votre site WordPress ou votre application sur mesure, l'environnement est identique a chaque fois. Pas de surprises.
2. Mises a jour atomiques et retours en arriere
Les mises a jour Linux traditionnelles sont stressantes. Vous lancez apt upgrade, les paquets se mettent a jour un par un, et si quelque chose casse en cours de route, vous vous retrouvez avec un systeme partiellement mis a jour.
Les mises a jour NixOS sont atomiques. Le systeme construit entierement la nouvelle configuration, puis bascule dessus en une seule operation. Si la nouvelle configuration echoue, l'ancienne est toujours la -- intacte. Revenir en arriere est aussi simple que de selectionner la generation precedente au demarrage.
Nous avons effectue des retours en arriere de systemes de production en moins de 30 secondes. Essayez de faire ça avec une distribution traditionnelle.
3. Securite par l'immutabilite
Les systemes NixOS sont fonctionnellement immuables. Vous ne pouvez pas vous connecter en SSH a un serveur et faire un apt install -- les modifications doivent passer par la configuration. Cela elimine toute une categorie de risques de securite :
- Pas de derive de configuration -- le systeme en cours d'execution correspond toujours a la configuration declaree
- Pas de shadow IT sur les serveurs -- personne ne peut installer de logiciel non autorise
- Piste d'audit complete -- chaque modification est un commit Git dans notre depot de configuration
- Correctifs de securite reproductibles -- lorsqu'une CVE est publiee, nous mettons a jour la configuration une fois et reconstruisons tous les serveurs concernes
4. L'infrastructure as code, pour de vrai
De nombreuses entreprises pretendent faire de l'"infrastructure as code" mais conservent des etapes manuelles, des ajustements non documentes et des connaissances tribales sur la configuration reelle des serveurs. Avec NixOS, la configuration est l'infrastructure. Il n'y a pas de decalage entre la documentation et la realite.
L'integralite de la configuration de notre infrastructure reside dans un depot Git. Chaque modification est examinee, testee et versionnee. Si un client demande "quel logiciel exact fonctionne sur mon serveur ?", nous pouvons lui indiquer le commit exact.
Comment NixOS se compare aux approches traditionnelles
| Aspect | Traditionnel (Ubuntu/Debian) | NixOS |
|---|---|---|
| Configuration | Imperative (editer des fichiers, executer des commandes) | Declarative (decrire l'etat souhaite) |
| Mises a jour | Sur place, peuvent echouer partiellement | Atomiques, tout ou rien |
| Retour en arriere | Manuel, souvent impossible | Integre, instantane |
| Reproductibilite | Au mieux avec Ansible/Puppet | Garantie par conception |
| Detection de derive | Necessite des outils externes | Impossible par architecture |
| Piste d'audit | Depend de la discipline | Automatique (Git + Nix store) |
Les compromis
Nous croyons en la transparence, voici donc ce que NixOS nous coute :
- Courbe d'apprentissage plus raide -- Nix possede son propre langage fonctionnel. Notre equipe a investi un temps considerable pour l'apprendre. C'est du temps que nos clients n'ont pas a consacrer.
- Communaute plus restreinte -- NixOS a une communaute passionnee mais plus petite que celle d'Ubuntu ou Debian. Trouver des reponses necessite parfois de creuser plus profondement.
- Modele mental different -- Les ingenieurs habitues a l'administration Linux imperative doivent reeduquer leurs reflexes. On ne repare pas un serveur NixOS en se connectant en SSH et en editant des fichiers.
Nous considerons ces compromis comme justifies car nos clients beneficient des avantages (reproductibilite, securite, fiabilite) sans en supporter les couts (apprendre Nix, maintenir les configurations).
Exemple concret : deployer la pile Odoo d'un client
Voici une version simplifiee de la façon dont nous deployons l'instance Odoo d'un client :
{ config, pkgs, ... }:
{
services.odoo = {
enable = true;
package = pkgs.odoo17;
domain = "erp.customer-company.eu";
settings = {
dbfilter = "^customer_prodquot;;
proxy_mode = true;
list_db = false;
};
};
services.postgresql = {
enable = true;
package = pkgs.postgresql_16;
settings = {
shared_buffers = "2GB";
effective_cache_size = "6GB";
};
};
services.nginx.virtualHosts."erp.customer-company.eu" = {
enableACME = true;
forceSSL = true;
};
services.backup.postgresql = {
enable = true;
schedule = "daily";
retention = 30;
};
}
Ce seul fichier definit la pile complete : Odoo, PostgreSQL, Nginx avec SSL automatique et des sauvegardes quotidiennes avec une retention de 30 jours. Il est versionne, revise par les pairs et reproductible. Si nous devons migrer le client vers un nouveau materiel, nous appliquons la meme configuration et obtenons un systeme identique.
Pourquoi nous vous racontons tout cela
La plupart des hebergeurs traitent leur infrastructure comme une boite noire. Nous pensons que c'est une erreur.
Lorsque vous confiez vos donnees d'entreprise a un fournisseur, vous meritez de savoir comment il opere. Nous utilisons NixOS parce qu'il nous offre -- et par extension, a nos clients -- des garanties que l'infrastructure traditionnelle ne peut pas egaler : reproductibilite, auditabilite et la capacite de prouver exactement ce qui tourne sur votre serveur a tout moment.
C'est particulierement important pour les entreprises europeennes soumises au RGPD et aux reglementations sectorielles. Lorsqu'un auditeur demande "comment assurez-vous des configurations de securite coherentes sur tous les serveurs ?", nous ne lui montrons pas un runbook en esperant qu'il a ete suivi. Nous lui montrons la configuration NixOS et l'historique Git.
Vous voulez voir ça en action ?
Alplink gere une infrastructure cloud europeenne entierement administree sous NixOS. Que vous ayez besoin d'hebergement pour Odoo, WordPress ou des applications sur mesure, chaque deploiement beneficie de builds reproductibles, de mises a jour atomiques et des garanties de securite qu'offre une infrastructure declarative. Vos donnees restent en Europe, votre infrastructure est auditable, et vous n'avez jamais a vous soucier de derive de configuration ou de mises a jour ratees. Decouvrez ce qu'Alplink peut faire pour votre entreprise.