Pour répondre à tes interrogation complémentaire: - on a pu tout automatiser sauf la génération de la clé permettant à l'Appliance de join le WAN à l'initialisation - Quand je suis arrivé sur le projet la phase commerciale été terminée donc je n'ai malheureusement pas eu accès à ces éléments - De mémoire seule la partie firewall à un niveau basique L4 avait été activé. pas de problème de perf remontée. On avait pu interdire des sites de communiquer entre elle (par exemple la région chinoise azure ne devait communiquer qu'avec son pendant chez AWS). - Le client avait fait le choix d'un "full managé" ce qui fait qu'il n'avait pas accès aux interfaces d'admin
Désolé si le retour n'est pas très avancé. Le jeudi 17 juillet 2025 à 09:50, Thierry DELABUS <[email protected]> a écrit : > Hello Raphaël, > > Merci pour ton retour, c’est super utile d’avoir ce genre d’expérience > concrète, surtout sur la partie IaC et automatisation — c’est justement un > point critique vu le volume de sites concernés. > > Je retiens notamment la galère sur l’automatisation du déploiement et les > limitations liées à la plateforme sous-jacente pour la haute dispo. C’est > clair que plusieurs minutes de coupure en cas de bascule, ça peut vite > devenir bloquant selon les usages. > > Quelques questions complémentaires si tu as le temps : > > - > > Vous aviez pu aller jusqu’à un déploiement 100% automatisé via IaC au final ? > Ou il restait une partie manuelle ? > > - > > Est-ce que vous aviez comparé le coût de Cato vs d'autres solutions du marché > ? Je serais preneur d’un ordre de grandeur en termes de licences, appliances, > support, etc. (même à la louche). > > - > > Côté fonctionnalités, vous aviez activé certaines briques de sécurité > intégrées (firewalling, segmentation, inspection TLS, etc.) ? Si oui, comment > ça s’est passé en termes de perfs et de paramétrage ? > > - > > Et enfin, vous aviez réussi à donner un peu d’autonomie au client pour la > gestion quotidienne (ajout de VLAN, politiques, monitoring), ou ça restait > assez opaque côté admin ? > > Merci encore pour ton retour, c’est vraiment le genre de retours terrain > qu’on ne trouve pas dans les plaquettes commerciales :) > > À+ > Thierry > > On Wed, Jul 16, 2025 at 8:07 PM Raphaël Géhin <[email protected]> wrote: > >> Hello, >> >> Il y a deux ans j'ai contribué au déploiement d'une solution basé sur CATO >> network avec une topologie full mesh. Une partie des équipements étaient des >> Appliances virtualisées déployées sur des hyperscalers (Azure, AWS) et du >> VMWARE on premise. Je peux te faire un retour sur la partie automatisation >> du déploiement et de la première configuration (utile si tu as 400 à 500 >> sites). Je n'ai pas trouvé la chose très aisé et la documentation était >> clairement orienté manuel. Il y a fallu faire un peu de reverse ingeniering >> pour trouver une solution pour déployer en IAC. Coté haute dispo le >> mécanisme de bascule dépendait énormément de la plateforme sous jacente. Sur >> Azure par exemple, cela se faisait par rattachement automatique d'une >> interface d'une Appliance à une autre. Résultat, il fallait parfois attendre >> plusieurs minutes pour que le lien soit de nouveau UP (le temps que >> l'opération de rattachement se fasse). Cela avait particulièrement déçu >> notre client. >> >> Bien sur en deux ans ils ont probablement gagné en maturité mais ça peut >> être des points à vérifier si tu t'intéresse à leur solution. >> >> mon retour ne réponds pas à touteq tes questions (je n'ai malheureusement >> contribué que sur la partie déploiement en iac du produit) mais tu arriveras >> peu être à tirer quelques choses de tout cela quand même :) >> >> Raphaël >> Les mails reçus en dehors de vos heures et jours de travail n'attendent pas >> de réponse en dehors de vos heures et jours de travail. >> >> Le mercredi 16 juillet 2025 à 16:14, Thierry DELABUS >> <[email protected]> a écrit : >> >>> Salut à tous, >>> >>> Je suis en train d'étudier sérieusement les solutions SD-WAN du marché pour >>> un projet de déploiement sur 400 à 500 sites, avec des liens assez costauds >>> (entre 1 et 10 Gbps par site). >>> >>> Avant de m'engager trop loin avec un éditeur/intégrateur, je voulais avoir >>> vos retours d’expérience si vous avez déjà bossé sur des projets de cette >>> taille (ou proches). >>> Je suis preneur de tout : ce qui a bien marché, ce qui vous a déçu, les >>> pièges à éviter, les trucs qui ont fait gagner du temps ou au contraire >>> fait galérer en prod ou au déploiement. >>> >>> Quelques points qui m'intéressent en particulier : >>> >>> - >>> >>> Les solutions que vous avez testées ou déployées, et ce que vous en >>> pensez vraiment >>> - >>> >>> Ce que ça donne en termes de stabilité, perf réseau, gestion >>> centralisée, etc. >>> - >>> >>> Intégration avec des WAN hybrides (MPLS/Internet), cloud gateways, etc. >>> - >>> >>> Si vous avez utilisé les fonctions de sécurité embarquées (firewall, >>> segmentation...), c’est fiable ou mieux vaut les désactiver ? >>> - >>> >>> Vos choix d’archi (full mesh, hub & spoke, autre...) >>> - >>> >>> Et globalement tout retour terrain ou conseil que vous auriez pour >>> éviter de se rater >>> >>> L’idée c’est de ne pas partir tête baissée sur une solution "à la mode" >>> sans avoir bien mesuré les implications techniques et opérationnelles. >>> >>> Merci d’avance à ceux qui prendront le temps de partager leur expérience ! >>> >>> À+ >>> Thierry D. >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
