diff --git a/.dockerignore b/.dockerignore index e909fe1a..dd5d2382 100644 --- a/.dockerignore +++ b/.dockerignore @@ -1,4 +1,3 @@ -build/ node_modules/ .git/ scripts/ diff --git a/.github/workflows/deploy.yml b/.github/workflows/deploy.yml index f68b54dc..78a950bd 100644 --- a/.github/workflows/deploy.yml +++ b/.github/workflows/deploy.yml @@ -51,6 +51,17 @@ jobs: steps: - uses: actions/checkout@v4 + - uses: actions/setup-node@v4 + with: + node-version: 22 + cache: yarn + + - name: Install dependencies + run: yarn install --frozen-lockfile + + - name: Build Documentation + run: yarn build + - name: Set up Docker Buildx uses: docker/setup-buildx-action@v2 @@ -68,7 +79,7 @@ jobs: uses: docker/build-push-action@v4 with: context: . - file: ./docker/production/Dockerfile + file: ./docker/production/Dockerfile.prebuilt push: true platforms: linux/amd64,linux/arm64/v8 tags: cloudtempleinfra/docs:${{ env.BRANCH_NAME }} @@ -81,6 +92,17 @@ jobs: steps: - uses: actions/checkout@v4 + - uses: actions/setup-node@v4 + with: + node-version: 22 + cache: yarn + + - name: Install dependencies + run: yarn install --frozen-lockfile + + - name: Build Documentation + run: yarn build + - name: Set up Docker Buildx uses: docker/setup-buildx-action@v2 @@ -94,7 +116,7 @@ jobs: uses: docker/build-push-action@v4 with: context: . - file: ./docker/production/Dockerfile + file: ./docker/production/Dockerfile.prebuilt push: true platforms: linux/amd64,linux/arm64/v8 tags: cloudtempleinfra/docs:main @@ -107,6 +129,17 @@ jobs: steps: - uses: actions/checkout@v4 + - uses: actions/setup-node@v4 + with: + node-version: 22 + cache: yarn + + - name: Install dependencies + run: yarn install --frozen-lockfile + + - name: Build Documentation + run: yarn build + - name: Extract Tag Name id: extract_tag run: echo "TAG=${GITHUB_REF##*/}" >> $GITHUB_ENV @@ -124,7 +157,7 @@ jobs: uses: docker/build-push-action@v4 with: context: . - file: ./docker/production/Dockerfile + file: ./docker/production/Dockerfile.prebuilt push: true platforms: linux/amd64,linux/arm64/v8 tags: | diff --git a/docker/production/Dockerfile.prebuilt b/docker/production/Dockerfile.prebuilt new file mode 100644 index 00000000..50fa5683 --- /dev/null +++ b/docker/production/Dockerfile.prebuilt @@ -0,0 +1,14 @@ +# Serve static site with a simple nginx +FROM nginx:1.27.4-alpine AS deploy + +ARG APP_FOLDER=/var/www + +WORKDIR ${APP_FOLDER} + +# Copy nginx configuration +ADD docker/production/root / + +# Copy docusaurus static site from build context +COPY build/ ${APP_FOLDER} + +CMD ["nginx", "-g", "daemon off;"] diff --git a/docs/additional_content/concepts_az.md b/docs/additional_content/concepts_az.md index f0f0474c..16d80eea 100644 --- a/docs/additional_content/concepts_az.md +++ b/docs/additional_content/concepts_az.md @@ -9,7 +9,7 @@ Chaque site physique au sein d'une région dispose d'une ou plusieurs salles pri __Chaque salle physique correspond à une zone de disponibilité (AZ / Availability Zone)__ et est totalement autonome d'un point de vue électricité, cooling, calcul, stockage et réseau. Le choix d'une zone de disponibilité implique donc le choix d'un site physique et d'une région. -La console Shiva vous propose automatiquement des zones de disponibilités sur des sites physiques distincts de manière à répartir votre infrastructure sur le maximum de site physique. +La Console vous propose automatiquement des zones de disponibilités sur des sites physiques distincts de manière à répartir votre infrastructure sur le maximum de site physique. *__Nota : Si vous souhaitez un paramétrage spécifique pour un contexte particulier (plusieurs AZ sur le même site physique), il est nécessaire de faire une demande de support.__* diff --git a/docs/bastion/concepts.md b/docs/bastion/concepts.md index bc0c980b..8480f497 100644 --- a/docs/bastion/concepts.md +++ b/docs/bastion/concepts.md @@ -15,7 +15,7 @@ Cloud public ou onpremise. La solution Bastion permet d’administrer vos équip | Avantage | Description | |------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------:| -| Gestion centralisée | Le Bastion Cloud Temple est accessible directement depuis le portail Shiva. | +| Gestion centralisée | Le Bastion Cloud Temple est accessible directement depuis la Console. | | Sécurité | Les équipements administrés via le Bastion ne sont pas exposés à Internet, ce qui les protège notamment de l'analyse de leurs ports par des utilisateurs malveillants. | | Infrastructure as Code | Des APIs permettent de gérer le Bastion Cloud Temple entièrement "as Code" (création de session, connexion, modification et suppression de session). | @@ -27,9 +27,9 @@ Cloud public ou onpremise. La solution Bastion permet d’administrer vos équip ### L'Appliance Bastion -L'Appliance Bastion est une machine virtuelle déployée en proximité de vos équipements. Cette Appliance permet de faire passer un flux sécurisé et direct depuis la plateforme Shiva vers les équipements à administrer qui sont situés dans le même réseau virtuel. +L'Appliance Bastion est une machine virtuelle déployée en proximité de vos équipements. Cette Appliance permet de faire passer un flux sécurisé et direct depuis la plateforme Console vers les équipements à administrer qui sont situés dans le même réseau virtuel. -Le flux est chiffré et encapsulé dans un tunnel VPN. La solution ne nécessite pas l’ouverture d’un flux depuis Internet vers vos infrastructures. Il suffit que l’Appliance ait accès à l’IP publique du module Shiva Bastion sur le port 443. +Le flux est chiffré et encapsulé dans un tunnel VPN. La solution ne nécessite pas l’ouverture d’un flux depuis Internet vers vos infrastructures. Il suffit que l’Appliance ait accès à l’IP publique du module Console Bastion sur le port 443. Une Appliance peut être utilisée pour effectuer une connexion rapide vers un équipement. À chaque connexion, le protocole souhaité, l’adresse IP de la machine et vos identifiants doivent être précisés. Pour éviter de remplir ces informations à chaque connexion, il est possible de créer des sessions associées à des équipements à administrer régulièrement. diff --git a/docs/bastion/quickstart.md b/docs/bastion/quickstart.md index 0f8d73e2..136070de 100644 --- a/docs/bastion/quickstart.md +++ b/docs/bastion/quickstart.md @@ -42,7 +42,7 @@ Plusieurs flux sont nécessaires pour le bon fonctionnement de l'Appliance Basti ## Demander la création d'une Appliance Avant de pouvoir déployer une Appliance, il faut faire une demande de souscription à une Appliance via une demande au support. -Le support est accessible dans la console Shiva depuis l'icône de bouée sur la barre en haut à droite de la fenêtre. +Le support est accessible dans la Console depuis l'icône de bouée sur la barre en haut à droite de la fenêtre. diff --git a/docs/bastion/tutorials.md b/docs/bastion/tutorials.md index 11d82ed6..6e537893 100644 --- a/docs/bastion/tutorials.md +++ b/docs/bastion/tutorials.md @@ -14,7 +14,7 @@ import modifierSession from './images/modifier_session.png' import modifierSession2 from './images/modifier_session2.png' import supprimerSession from './images/supprimer_session.png' -Ces tutoriels vous aident à déployer et gérer un Bastion Cloud Temple depuis le portail Shiva. +Ces tutoriels vous aident à déployer et gérer un Bastion Cloud Temple depuis la Console. ## Prérequis @@ -25,7 +25,7 @@ Ces tutoriels vous aident à déployer et gérer un Bastion Cloud Temple depuis ## Interface -Une fois connecté au portail web Shiva, rendez-vous dans l'onglet "Bastion" du menu gauche. +Une fois connecté au portail web Console, rendez-vous dans l'onglet "Bastion" du menu gauche. diff --git a/docs/changelog.md b/docs/changelog.md index dae514c3..d8911cbd 100644 --- a/docs/changelog.md +++ b/docs/changelog.md @@ -5,6 +5,17 @@ sidebar_position: 2 # Suivi des Changements +### 15 Décembre 2025 : Stabilisation et corrections multilingues + +- **Multilingue (Terraform, LLMaaS, Harbor)** : Correction majeure des traductions en Espagnol, Italien et Allemand. Résolution des problèmes de syntaxe MDX (blocs de code vides, balises non échappées) qui empêchaient la compilation du site. +- **Multilingue (Images)** : Rétablissement des chemins d'images corrects dans les versions italienne et allemande pour les sections Bastion et IaaS VMware. +- **Build** : Validation du déploiement pour l'ensemble des 5 langues supportées. + +### 11 Décembre 2025 : Nouveautés Managed Kubernetes + +- **Managed Kubernetes** : Ajout d'un nouveau tutoriel sur l'utilisation de **Gateway API** pour la gestion avancée du trafic. +- **Managed Kubernetes** : Mise à jour de la documentation sur la gestion des quotas (Ceph) et optimisation des outils de gestion des coûts (OpenCost). + ### 22 Novembre 2025 : Nouveautés LLMaaS et améliorations globales - **LLMaaS (OCR)** : Ajout d'une documentation complète pour **DeepSeek-OCR**, notre nouveau modèle spécialisé dans l'analyse de documents (PDF, images), capable d'extraire du texte structuré, des tableaux et des formules mathématiques. diff --git a/docs/console/api.md b/docs/console/api.md index c8273c8b..49508fcb 100644 --- a/docs/console/api.md +++ b/docs/console/api.md @@ -14,7 +14,7 @@ import ShivaApi004 from './images/shiva_api_004.png' ## Clés API La __clé API__ permet de s'authentifier lorsque vous souhaitez faire des requêtes sur l'API. La génération d'une clé API, aussi appelée __Personal Access Token (PAT)__, -est une manière sécurisée de se connecter aux API Shiva sans passer par une interface graphique. Chacun de ces tokens est lié à un tenant et à l'utilisateur qui l'a créé. +est une manière sécurisée de se connecter aux API Console sans passer par une interface graphique. Chacun de ces tokens est lié à un tenant et à l'utilisateur qui l'a créé. La création de ce token se fait depuis votre compte. Il est possible de générer plusieurs clés et de configurer pour chacune les autorisations dans la limite de vos droits. diff --git a/docs/console/console.md b/docs/console/console.md index faa685b5..b9864d82 100644 --- a/docs/console/console.md +++ b/docs/console/console.md @@ -70,24 +70,24 @@ Besoin d’expertise ? Profitez de l’accompagnement de nos ingénieurs pour : - De l’aide à l’implémentation d’architectures cloud, - De la formation pour vos équipes. -La console Cloud Temple **'Shiva'** est **la plateforme de gestion cloud** (Cloud Management Plateform) intégrée de **Cloud Temple**. +Le portail Cloud Temple **'Console'** est **la plateforme de gestion cloud** (Cloud Management Plateform) intégrée de **Cloud Temple**. -La console Cloud Temple Shiva vous permet de gérer les ressources clouds telles que les serveurs virtuels, le stockage, les réseaux et les services applicatifs. +La Console Cloud Temple vous permet de gérer les ressources clouds telles que les serveurs virtuels, le stockage, les réseaux et les services applicatifs. C'est une interface de management centralisée qui vous permet de concevoir et d'exploiter votre infrastructure cloud. -La console Cloud Temple Shiva permet notamment à vos équipes : +La Console Cloud Temple permet notamment à vos équipes : - **La gestion de vos produits et services** Cloud Temple, - **La surveillance et le reporting** du fonctionnement de vos ressources cloud, -- **L'automatisation et l'orchestration** : Shiva, grâce à son API, permet d'automatiser des tâches répétitives et d'orchestrer des workflows complexes pour déployer, gérer et mettre à l'échelle vos ressources clouds, -- **La sécurité et la conformité** : Shiva permet le contrôle de l'identité et le filtrage des accès afin d'assurer la conformité réglementaire et le respect de vos politiques de sécurité, +- **L'automatisation et l'orchestration** : Console, grâce à son API, permet d'automatiser des tâches répétitives et d'orchestrer des workflows complexes pour déployer, gérer et mettre à l'échelle vos ressources clouds, +- **La sécurité et la conformité** : Console permet le contrôle de l'identité et le filtrage des accès afin d'assurer la conformité réglementaire et le respect de vos politiques de sécurité, - **Intégration des référentiels d'adoption Cloud** (Cloud Adoption Framework) : grâce à ses fonctions d'hybridation, vous pouvez assurer une continuité de fonctionnement avec les fournisseurs de cloud tiers (Microsoft Azure et Amazon AWS) à partir d'une seule interface, facilitant l'intégration et la gestion de vos environnements applicatifs multi-cloud. - **L'accès et le suivi des dossiers d'assistance technique** : Une assistance technique dédiée est également disponible. Cela inclut le support client pour la résolution des problèmes techniques ainsi que l'assistance à la configuration initiale. - **La possibilité de souscrire à des services professionnels** : afin de gérer efficacement vos environnements Cloud, vos équipes peuvent bénéficier de l'assistance de nos ingénieurs pour du conseil, de l'aide à l'implémentation d'architecture ou la formation. ## Accès aux fonctionnalités utilisateur via l'API -L'accès à l'ensemble des fonctionnalités de la console Shiva est possible via l'API Shiva. +L'accès à l'ensemble des fonctionnalités de la Console est possible via l'API Console. Vous pouvez avoir le détail des verbes et des configurations via **'Profil'** et **'APIs'** ## Provider Terraform diff --git a/docs/console/console_quickstart.md b/docs/console/console_quickstart.md index 89bb21c3..ab9f6b75 100644 --- a/docs/console/console_quickstart.md +++ b/docs/console/console_quickstart.md @@ -17,12 +17,12 @@ import shivaSupportCriticities from './images/shiva_incident_criticities.png' ## Prérequis - Avoir souscrit à une offre Cloud Temple. Pour souscrire simplement, vous pouvez [nous contacter](https://www.cloud-temple.com/contactez-nous/) ou par mail à l'adresse __contact@cloud-temple.com__. -- Avoir un accès à la console Shiva -- Avoir son IPv4 publique déclarée dans la zone de confiance Cloud Temple (l'accès à la console Shiva est limité aux adresses de confiances identifiées) +- Avoir un accès à la Console +- Avoir son IPv4 publique déclarée dans la zone de confiance Cloud Temple (l'accès à la Console est limité aux adresses de confiances identifiées) ## Connexion à votre tenant Cloud Temple -Shiva est accessible via l'URL ci-dessous: [Shiva](https://shiva.cloud-temple.com) ou bien depuis l'URL directe qui vous a été communiquée par mail. +Console est accessible via l'URL ci-dessous: [Console](https://shiva.cloud-temple.com) ou bien depuis l'URL directe qui vous a été communiquée par mail. La première page vous permet de sélectionner [l'organisation](iam/concepts.md#organisations) dans laquelle votre utilisateur a été créé. Une fois l'entreprise renseignée, veuillez cliquer sur __'Se connecter'__. @@ -197,7 +197,7 @@ Cliquez en bas à gauche du bandeau vert sur l'icône __'Nouveautés'__. Vous au ## Accès aux fonctionnalités utilisateur via l'API -L'accès à l'ensemble des fonctionnalités de la console Shiva est possible via l'API Shiva. Vous pouvez avoir le détail des verbes et des configurations via __'Profil'__ et __'APIs'__ : +L'accès à l'ensemble des fonctionnalités de la Console est possible via l'API Console. Vous pouvez avoir le détail des verbes et des configurations via __'Profil'__ et __'APIs'__ : diff --git a/docs/console/iam/concepts.md b/docs/console/iam/concepts.md index 77732404..ddf5b0ad 100644 --- a/docs/console/iam/concepts.md +++ b/docs/console/iam/concepts.md @@ -19,7 +19,7 @@ import shivaTenantRessources_01 from './images/shiva_tenant_ressources_01.png' ## Utilisateurs -Les comptes d'accès à la console Shiva sont créés par le compte maitre du commanditaire sur invitation (quelque soit le référentiel d'authentification). +Les comptes d'accès à la Console sont créés par le compte maitre du commanditaire sur invitation (quelque soit le référentiel d'authentification). Les informations d'identification sont globales à votre [Organisation](#organisations). *__Nota :__ [La fédération d'identité se gère au niveau de l'organisation](#mécanismes-dauthentification)* @@ -148,7 +148,7 @@ La liste des thématiques disponibles est susceptible d'évoluer et de s'enrichi ## Permissions -La console Shiva permet une gestion fine des droits des utilisateurs d'une organisation, avec une ségrégation par tenant. +La Console permet une gestion fine des droits des utilisateurs d'une organisation, avec une ségrégation par tenant. Initialement, c'est le compte principal du commanditaire qui permet la configuration initiale des comptes et des permissions associées. Par la suite, le droit __'iam_write'__ permet à un compte d'administrer les permissions des autres utilisateurs. @@ -237,7 +237,7 @@ L'organisation est liée à votre __compte commanditaire__ et au __contrat Cloud L'organisation a quatre grands rôles : - Elle représente __l'entité contractuelle__ pour les aspects de suivi et de facturation, -- Elle définit __la configuration globale du mécanisme d'authentification__ : l'authentification peut être locale au niveau de la console Shiva ou distante via un service de fédération d'identité, +- Elle définit __la configuration globale du mécanisme d'authentification__ : l'authentification peut être locale au niveau de la Console ou distante via un service de fédération d'identité, - Elle porte l'ensemble des __comptes utilisateurs__, - Elle __fédère les tenants__ (Production, Préproduction, Dev, Application 1, Application 2, ...) que vous définissez pour les besoins de votre architecture Cloud. @@ -245,8 +245,8 @@ Les rôles (droits/permissions) des utilisateurs sont configurables pour chaque ### Mécanismes d'authentification -La console Shiva permet au niveau de l'organisation __le paramétrage du mécanisme d'authentification__. Vous pouvez -utiliser le référentiel local d'authentification de la console Shiva ou bien accoster votre organisation à l'un +La Console permet au niveau de l'organisation __le paramétrage du mécanisme d'authentification__. Vous pouvez +utiliser le référentiel local d'authentification de la Console ou bien accoster votre organisation à l'un de vos référentiels d'authentification. Les référentiels externes suivants sont supportés : diff --git a/docs/console/iam/quickstart.md b/docs/console/iam/quickstart.md index 42f0d1f8..7b66931a 100644 --- a/docs/console/iam/quickstart.md +++ b/docs/console/iam/quickstart.md @@ -24,15 +24,15 @@ La création d'un tenant est réalisée par une demande de service indiquant : ### Selection d'un tenant -La selection du tenant se fait depuis la page principale de la console Shiva : +La selection du tenant se fait depuis la page principale de la Console : *__Nota :__ Les ressources d'un tenant lui sont propres et ne sont pas mélangeable avec d'autres tenants.* -## Comptes d'accès à la console Shiva +## Comptes d'accès à la Console -Les comptes d'accès à la console Shiva sont créés par le compte maitre du commanditaire sur invitation (quelque soit le référentiel d'authentification). +Les comptes d'accès à la Console sont créés par le compte maitre du commanditaire sur invitation (quelque soit le référentiel d'authentification). Les informations d'identification sont globales à votre [Organisation](concepts.md#organisations). *__Nota :__ La fédération d'identité se gère au niveau de l'organisation* @@ -94,7 +94,7 @@ La liste des thématiques disponibles est susceptible d'évoluer et de s'enrichi ## Permissions -### Quelles sont les permissions disponibles pour les comptes utilisateur de la console Shiva ? +### Quelles sont les permissions disponibles pour les comptes utilisateur de la Console ? Voici la liste des [permissions disponibles](#permissions). @@ -125,7 +125,7 @@ Dans le menu __'Administration'__ sur le bandeau vert à gauche de l'écran, dan ### Comment réinitialiser son mot de passe ? -Il est possible de réinitialiser son mot de passe depuis la page de connexion de la console Shiva en cliquant sur __'Mot de passe oublié ?'__. +Il est possible de réinitialiser son mot de passe depuis la page de connexion de la Console en cliquant sur __'Mot de passe oublié ?'__. ### Pourquoi certains utilisateurs sont grisés ? @@ -140,13 +140,13 @@ Le compte est grisé tant que la vérification n'a pas été finalisée. ### Qu'est-ce qu'un Personal Access Token (PAT) ? La génération d'une clé API, aussi appelée __Personal Access Token (PAT)__, -est une manière sécurisée de se connecter aux API Shiva sans passer par une interface graphique. +est une manière sécurisée de se connecter aux API Console sans passer par une interface graphique. ### Qu'est-ce que le MFA et est-il obligatoire ? Le MFA (multi-factor authentication) est un concept de vérification de l'identité d'un utilisateur en deux étapes, appelée __authentification à double facteur__. -L'utilisateur doit fournir deux preuves d'identité distinctes. Dans le cas de la console Shiva, l'authentification à double facteur est obligatoire et requiert de rentrer un code à usage unique une fois que l'utilisateur a entré le mot de passe de son compte. +L'utilisateur doit fournir deux preuves d'identité distinctes. Dans le cas de la Console, l'authentification à double facteur est obligatoire et requiert de rentrer un code à usage unique une fois que l'utilisateur a entré le mot de passe de son compte. ## Gestion des accès et authentification diff --git a/docs/console/iam/tutorials/sso_adfs.md b/docs/console/iam/tutorials/sso_adfs.md index 345fd058..d8eb4a23 100644 --- a/docs/console/iam/tutorials/sso_adfs.md +++ b/docs/console/iam/tutorials/sso_adfs.md @@ -20,9 +20,9 @@ import ssoAdfs_012 from './images/sso_adfs_012.png' Voici un exemple de configuration du référentiel d'authentification d'une organisation Cloud Temple avec __Microsoft ADFS__. -La configuration de votre référentiel Microsoft au niveau d'une organisation Cloud Temple facilite l'authentification de vos utilisateurs sur la console Shiva. +La configuration de votre référentiel Microsoft au niveau d'une organisation Cloud Temple facilite l'authentification de vos utilisateurs sur la Console. Cela permet d'éviter la multiplication des facteurs d'authentification et de diminuer la surface d'attaque. -Si vos utilisateurs sont authentifiés à leur compte Microsoft, l'authentification aux services de la console Shiva sera transparente. +Si vos utilisateurs sont authentifiés à leur compte Microsoft, l'authentification aux services de la Console sera transparente. Voici les différentes étapes pour réaliser cette configuration : @@ -49,7 +49,7 @@ Veuillez donner les informations suivantes dans la demande d'assistance : (Exemple : https://adfs.test.local/FederationMetadata/2007-06/FederationMetadata.xml) ``` -Dès que la configuration est réalisée coté console Shiva, le contact indiqué sera informé. +Dès que la configuration est réalisée coté Console, le contact indiqué sera informé. L'équipe support Cloud Temple vous transmettra une URL qui ressemblera à celle-ci : [https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor](https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor) @@ -81,7 +81,7 @@ Vous pouvez renseigner un nom et une description pour la partie de confiance, ce -Par défaut, nous autorisons tout le monde mais il est possible de sélectionner __"Autoriser un groupe spécifique"__ pour sélectionner le ou les groupes qui seront autorisés à accéder aux services de la console Shiva via l'ADFS. +Par défaut, nous autorisons tout le monde mais il est possible de sélectionner __"Autoriser un groupe spécifique"__ pour sélectionner le ou les groupes qui seront autorisés à accéder aux services de la Console via l'ADFS. @@ -115,6 +115,6 @@ Il vous suffit d'appliquer les changements. ## Etape 3 : Finalisation -vous pouvez désormais tester en vous rendant sur la console Shiva et en cliquant sur le bouton correspondant à l'authentification ADFS client; dans cet exemple, il s'agit ici de __"ADFS Test"__ +vous pouvez désormais tester en vous rendant sur la Console et en cliquant sur le bouton correspondant à l'authentification ADFS client; dans cet exemple, il s'agit ici de __"ADFS Test"__ diff --git a/docs/console/iam/tutorials/sso_azuread.md b/docs/console/iam/tutorials/sso_azuread.md index 58f71dfe..0378c9c5 100644 --- a/docs/console/iam/tutorials/sso_azuread.md +++ b/docs/console/iam/tutorials/sso_azuread.md @@ -25,9 +25,9 @@ import ssoAad_018 from './images/sso_aad_018.png' Voici un exemple de configuration du référentiel d'authentification d'une organisation Cloud Temple avec __Microsoft EntraID__ (Azure Active Directory). -La configuration de votre référentiel Microsoft au niveau d'une organisation Cloud Temple facilite l'authentification de vos utilisateurs sur la console Shiva. Cela permet d'éviter la multiplication des facteurs d'authentification et de diminuer la surface d'attaque. +La configuration de votre référentiel Microsoft au niveau d'une organisation Cloud Temple facilite l'authentification de vos utilisateurs sur la Console. Cela permet d'éviter la multiplication des facteurs d'authentification et de diminuer la surface d'attaque. -Si vos utilisateurs sont authentifiés à leur compte Microsoft, l'authentification aux services de la console Shiva sera transparente. +Si vos utilisateurs sont authentifiés à leur compte Microsoft, l'authentification aux services de la Console sera transparente. Voici les différentes étapes pour réaliser cette configuration : @@ -131,7 +131,7 @@ Veuillez donner les informations suivantes dans la demande d'assistance : Directory ID (correspond à l'identifiant Azure AD du tenant Azure) Secret (Secret associé à l'application créée précédemment) -Dès que la configuration est réalisée coté console Shiva, le contact indiqué sera informé. +Dès que la configuration est réalisée coté Console, le contact indiqué sera informé. ## Etape 3 : Finalisation de la configuration diff --git a/docs/console/metrics/concepts.md b/docs/console/metrics/concepts.md index d11b4488..a21ae95b 100644 --- a/docs/console/metrics/concepts.md +++ b/docs/console/metrics/concepts.md @@ -29,11 +29,11 @@ import grafanaDashboards_001 from './images/grafana_dashboards_001.png' La majorité des clients __Cloud Temple__ disposent d'outils de visualisation, de monitoring et de métrologie pour le suivi de leurs opérations. -La philosophie de la console Shiva est de permettre l'accès à la donnée afin de s'intégrer dans cet outillage via un proxy prometheus intégré. +La philosophie de la Console est de permettre l'accès à la donnée afin de s'intégrer dans cet outillage via un proxy prometheus intégré. Ce proxy vous permet de requêter et manipuler les donnes depuis un outil de visualisation comme [Grafana](https://grafana.com). -Il est cependant possible de visualiser certaines données de performances de vos ressources Cloud dans l'interface web de la console Shiva. +Il est cependant possible de visualiser certaines données de performances de vos ressources Cloud dans l'interface web de la Console. *__Nota :__ La philosophie __Cloud Temple__ n'est pas d'intégrer uniquement des graphiques dans l'interface web, mais aussi d'offrir le maximum d'informations accessibles par l'API* @@ -43,7 +43,7 @@ Il est cependant possible de visualiser certaines données de performances de vo ### Vue globale -La page d'accueil de la console Shiva affiche le dashboard principal, présentant l'ensemble des métriques qui permettent un état des lieux de chaque produits auquels vous avez souscrit sur votre périmètre. En cas de problème(s) sur vos produits VMware et/ou OpenIaaS, des alertes seront visibles, la couleur est liée à leur importance. +La page d'accueil de la Console affiche le dashboard principal, présentant l'ensemble des métriques qui permettent un état des lieux de chaque produits auquels vous avez souscrit sur votre périmètre. En cas de problème(s) sur vos produits VMware et/ou OpenIaaS, des alertes seront visibles, la couleur est liée à leur importance. Ces alertes sont clicables, et redirigent vers la page produit concerné. @@ -144,9 +144,9 @@ De la même manière que sur l'onglet "Calcul", on retrouve différentes informa ## Utilisation avec __Grafana__ -Intégration de la console Shiva avec Grafana +Intégration de la Console avec Grafana -La console Shiva de Cloud Temple peut être utilisée comme datasource pour votre infrastructure [Grafana](https://grafana.com/). +La Console de Cloud Temple peut être utilisée comme datasource pour votre infrastructure [Grafana](https://grafana.com/). La console est compatible Prometheus, ce qui permet de l’ajouter dans Grafana en tant que datasource de type Prometheus. Vous pourrez ainsi : diff --git a/docs/contractual/iaas/sla_iaas.md b/docs/contractual/iaas/sla_iaas.md index 4bb3b6c0..db059d75 100644 --- a/docs/contractual/iaas/sla_iaas.md +++ b/docs/contractual/iaas/sla_iaas.md @@ -311,7 +311,7 @@ conformément aux exigences du référentiel SecNumCloud. | **Stockage objet S3** | mise à disposition d'une infrastructure de stockage objet souverain multi AZ et compatible avec les API S3 standard. | | **Sauvegarde** | Modulo souscription au mass-storage adéquat | | **Infrastructure réseau** | Ressource réseau du Tenant COMMANDITAIRE | -| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service IaaS et de l'administrer via l'interface Shiva | +| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service IaaS et de l'administrer via l'interface Console | | **Support** | Le service de support accompagnant les services précédents et uniquement ceux-ci (\*) | \_(\*) Dans la limite du périmètre du Service qualifié SNC et des diff --git a/docs/contractual/iaas/sla_openiaas.md b/docs/contractual/iaas/sla_openiaas.md index ab26554d..da44ae08 100644 --- a/docs/contractual/iaas/sla_openiaas.md +++ b/docs/contractual/iaas/sla_openiaas.md @@ -308,7 +308,7 @@ conformément aux exigences du référentiel SecNumCloud. | **Stockage objet S3** | mise à disposition d'une infrastructure de stockage objet souverain multi AZ et compatible avec les API S3 standard. | | **Sauvegarde** | Modulo souscription au Stockage objet S3 | | **Infrastructure réseau** | Ressource réseau du Tenant COMMANDITAIRE | -| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service OpenIaaS et de l'administrer via l'interface Shiva | +| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service OpenIaaS et de l'administrer via l'interface Console | | **Support** | Le service de support accompagnant les services précédents et uniquement ceux-ci (\*) | \_(\*) Dans la limite du périmètre du Service en cours de qualification diff --git a/docs/contractual/paas/mco_mcs.md b/docs/contractual/paas/mco_mcs.md index c343277b..a45776b8 100644 --- a/docs/contractual/paas/mco_mcs.md +++ b/docs/contractual/paas/mco_mcs.md @@ -106,7 +106,7 @@ Utilisation des secrets OpenShift/Kubernetes et recommandation d'intégrer des s ### Contrôle des accès (IAM) -La revue des accès se réalise par l'intermédiaire de la console Shiva et du module "User Management" de la console OpenShift. +La revue des accès se réalise par l'intermédiaire de la Console et du module "User Management" de la console OpenShift. Pour plus de détails sur cette fonctionnalité, se référer à notre [**guide**](../../console/iam/iam.md) et à la [**documentation**](https://docs.redhat.com/en/documentation/openshift_container_platform/) de l'éditeur. @@ -129,7 +129,7 @@ Les vulnérabilités sur l'infrastructure et les services sous-jacents à l'offr **Responsabilité **Cloud Temple** :** -- **Cloud Temple** est responsable de la communication des vulnérabilités sur l'infrastructure et les services sous-jacents à l'offre dès leur détection via le module [**incident**](../../console/status.md) de la console SHIVA. +- **Cloud Temple** est responsable de la communication des vulnérabilités sur l'infrastructure et les services sous-jacents à l'offre dès leur détection via le module [**incident**](../../console/status.md) de la Console. - **Cloud Temple** est responsable de l'application des correctifs sur ce périmètre. - **Cloud Temple** est responsable de la mise à disposition d'outils pour analyser les vulnérabilités des images Docker. Par défaut, **Cloud Temple** met en place **[Quay]** pour effectuer le scan automatique des images Docker. diff --git a/docs/home.md b/docs/home.md index cc4bd86e..b1a1b9f9 100644 --- a/docs/home.md +++ b/docs/home.md @@ -8,7 +8,7 @@ tags: # Bienvenue sur l'espace documentation -Bienvenue dans l’espace documentation de **Cloud Temple** ! Cet espace a été conçu pour vous accompagner dans la gestion de vos services Cloud Temple via notre **Console Cloud Temple**, également connue sous le nom de **Shiva**. +Bienvenue dans l’espace documentation de **Cloud Temple** ! Cet espace a été conçu pour vous accompagner dans la gestion de vos services Cloud Temple via notre **Console Cloud Temple**. ## Premiers pas @@ -41,4 +41,4 @@ Cette documentation est votre guide pour exploiter tout le potentiel de nos prod Vous y trouverez des tutoriels, des guides techniques et des références pour simplifier la gestion de vos ressources cloud. -Nous espérons que vous trouverez cette documentation utile et que vous tirerez pleinement parti des possibilités offertes par **Shiva**. +Nous espérons que vous trouverez cette documentation utile et que vous tirerez pleinement parti des possibilités offertes par **Console**. diff --git a/docs/housing/tutorials.md b/docs/housing/tutorials.md index 24120d96..a568ee16 100644 --- a/docs/housing/tutorials.md +++ b/docs/housing/tutorials.md @@ -2,7 +2,7 @@ title: Tutoriels --- -Ces tutoriels vous aident à déployer et gérer un Bastion Cloud Temple depuis le portail Shiva. +Ces tutoriels vous aident à déployer et gérer un Bastion Cloud Temple depuis le portail Console.

Tutorials

diff --git a/docs/iaas_opensource/concepts.md b/docs/iaas_opensource/concepts.md index 2ff51b86..4277ff62 100644 --- a/docs/iaas_opensource/concepts.md +++ b/docs/iaas_opensource/concepts.md @@ -31,7 +31,7 @@ La plateforme est qualifiée __SecNumCloud__ par l'[ANSSI](https://www.ssi.gouv. - Ressources réseau (Internet, réseaux privés). - Sauvegardes croisées avec rétention configurable. - Réplication asynchrone pour le stockage ou les machines virtuelles. -- Pilotage via la [Console Shiva](../console/console.md) ou en mode Infrastructure as Code grâce aux APIs et au provider Terraform. +- Pilotage via la [Console](../console/console.md) ou en mode Infrastructure as Code grâce aux APIs et au provider Terraform. ## Avantages diff --git a/docs/iaas_opensource/quickstart.md b/docs/iaas_opensource/quickstart.md index 024225b9..863815dd 100644 --- a/docs/iaas_opensource/quickstart.md +++ b/docs/iaas_opensource/quickstart.md @@ -22,7 +22,7 @@ import openIaasVmConsoleClipboard from './images/open_iaas_vm_console_clipboard. ### Pilotage des Machines virtuelles -L’interface de gestion de vos machines virtuelles est disponible dans la console Shiva dans le menu __'OpenIaaS'__ situé sur le bandeau vert à gauche de l'écran. +L’interface de gestion de vos machines virtuelles est disponible dans la Console dans le menu __'OpenIaaS'__ situé sur le bandeau vert à gauche de l'écran. ### Liste des machines virtuelles @@ -137,7 +137,7 @@ Au clic sur le bouton "Paste", le contenu de votre champs texte est envoyé à v ### Accès à la gestion de la réplication -L'interface de gestion de la réplication est disponible dans la console Shiva dans le menu __'OpenIaaS'__ > __'Réplication'__ situé sur le bandeau vert à gauche de l'écran. +L'interface de gestion de la réplication est disponible dans la Console dans le menu __'OpenIaaS'__ > __'Réplication'__ situé sur le bandeau vert à gauche de l'écran. diff --git a/docs/iaas_vmware/concepts.md b/docs/iaas_vmware/concepts.md index 9afa214a..a09f53c7 100644 --- a/docs/iaas_vmware/concepts.md +++ b/docs/iaas_vmware/concepts.md @@ -32,7 +32,7 @@ La plateforme est qualifiée __SecNumCloud__ par l'[ANSSI](https://www.ssi.gouv. - Ressources réseau (Internet, réseaux privés). - Sauvegardes croisées avec rétention configurable. - Réplication asynchrone pour le stockage ou les machines virtuelles. -- Pilotage via la [Console Shiva](../console/console.md) ou en mode Infrastructure as Code grâce aux APIs et au provider Terraform. +- Pilotage via la [Console](../console/console.md) ou en mode Infrastructure as Code grâce aux APIs et au provider Terraform. ## Avantages @@ -279,11 +279,11 @@ L'usage de ce mécanisme peut impacter la performance de l'application à hauteu L'offre de virtualisation VMware Cloud Temple qualifiée SecNumCloud est basée sur la technologie __VMware Vsphere__. La plateforme est managées par Cloud Temple de façon automatique (maintien de condition de sécurité, maintien en condition opérationnelle, ...). -Elle est pilotable via l'interface graphique de la console Shiva ou via les APIs associées. +Elle est pilotable via l'interface graphique de la Console ou via les APIs associées. *__Remarque__* : *Pour des raisons de sécurité liées à la qualification SecNumCloud, __il n'est pas possible pour le commanditaire d'accéder directement à la plateforme de virtualisation VMware__ (aucun accès direct au vCenter notamment). -En effet, la qualification SecNumCloud impose __une totale ségrégation__ entre les interfaces de pilotage des actifs techniques et l'interface du commanditaire (la console Shiva).* +En effet, la qualification SecNumCloud impose __une totale ségrégation__ entre les interfaces de pilotage des actifs techniques et l'interface du commanditaire (la Console).* - Les produits misent en oeuvre sont VMware ESXi, VMware Vcenter et VMware Replication. - *Le réseau de l'offre de virtualisation n'utilise pas la technologie VMware NSX, mais est piloté matériellement par la technologie Juniper et le protocole VPLS.* @@ -498,7 +498,7 @@ Le système utilise une __hiérarchie de clés cryptographiques__ pour assurer l ### Activation et utilisation -Le chiffrement des machines virtuelles s'active __en un seul clic__ depuis la [Console Shiva](../console/console.md). +Le chiffrement des machines virtuelles s'active __en un seul clic__ depuis la [Console](../console/console.md). Pour une procédure détaillée avec captures d'écran, consultez le [tutoriel de chiffrement des machines virtuelles](tutorials/vm_encryption.md). diff --git a/docs/iaas_vmware/quickstart.md b/docs/iaas_vmware/quickstart.md index fc61624c..8c3e6e2a 100644 --- a/docs/iaas_vmware/quickstart.md +++ b/docs/iaas_vmware/quickstart.md @@ -52,7 +52,7 @@ import shivaVmBackup_2prod from './images/shiva_vm_backup_2prod.png' ### Pilotage des Machines virtuelles -L’interface de gestion de vos machines virtuelles est disponible dans la console Shiva dans le menu __'IaaS'__ situé sur le bandeau vert à gauche de l'écran. +L’interface de gestion de vos machines virtuelles est disponible dans la Console dans le menu __'IaaS'__ situé sur le bandeau vert à gauche de l'écran. ### Liste des machines virtuelles diff --git a/docs/iaas_vmware/tutorials/deploy_vm_template.md b/docs/iaas_vmware/tutorials/deploy_vm_template.md index 16c86c0b..2ca34f63 100644 --- a/docs/iaas_vmware/tutorials/deploy_vm_template.md +++ b/docs/iaas_vmware/tutorials/deploy_vm_template.md @@ -17,9 +17,9 @@ Ce guide va vous permettre de déployer en moins de 5 minutes vos premières ins ## Déployer une machine virtuelle depuis un Template -Ce guide vous montre étape par étape comment déployer une machine virtuelle depuis un Template dans la console Shiva. +Ce guide vous montre étape par étape comment déployer une machine virtuelle depuis un Template dans la Console. -Sur le portail Shiva, rendez-vous dans l'onglet "Cloud de confiance", puis "Catalogues". Avant de pouvoir déployer un Template, celui-ci doit être chargé dans votre catalogue privé, dans l'onglet "Mon catalogue". +Sur le portail Console, rendez-vous dans l'onglet "Cloud de confiance", puis "Catalogues". Avant de pouvoir déployer un Template, celui-ci doit être chargé dans votre catalogue privé, dans l'onglet "Mon catalogue". Pour cela, vous avez deux possibilités : importer votre propre Template directement dans votre catalogue privé ou bien importer un modèle depuis le catalogue public de Cloud Temple. diff --git a/docs/iaas_vmware/tutorials/vm_encryption.md b/docs/iaas_vmware/tutorials/vm_encryption.md index 40902819..5e0314f5 100644 --- a/docs/iaas_vmware/tutorials/vm_encryption.md +++ b/docs/iaas_vmware/tutorials/vm_encryption.md @@ -10,7 +10,7 @@ import shivaHsmKms_002 from './images/shiva_hsm_kms_002.png' import shivaHsmKms_003 from './images/shiva_hsm_kms_003.png' import shivaHsmKms_004 from './images/shiva_hsm_kms_004.png' -Ce tutoriel vous aide à chiffrer une machine virtuelle IaaS VMWare depuis le portail Shiva. +Ce tutoriel vous aide à chiffrer une machine virtuelle IaaS VMWare depuis le portail Console. ### Prérequis @@ -27,7 +27,7 @@ Ce tutoriel vous aide à chiffrer une machine virtuelle IaaS VMWare depuis le po ### Interface -Une fois connecté au portail web Shiva, depuis le menu **'IaaS'**, sous-menu **'Configuration'** puis l'onglet **'vCenters'**, vous trouverez l'information vous indiquant si le chiffrement est activé sur la vstack en question. +Une fois connecté au portail web Console, depuis le menu **'IaaS'**, sous-menu **'Configuration'** puis l'onglet **'vCenters'**, vous trouverez l'information vous indiquant si le chiffrement est activé sur la vstack en question. diff --git a/docs/llmaas/concepts.md b/docs/llmaas/concepts.md index bfd8cd4b..6b13854f 100644 --- a/docs/llmaas/concepts.md +++ b/docs/llmaas/concepts.md @@ -226,7 +226,7 @@ Ce planning est fourni à titre indicatif et est **revu au début de chaque trim | granite3-guardian:2b | IBM | Production | 13/06/2025 | 31/12/2026 | | granite3-guardian:8b | IBM | Production | 13/06/2025 | 31/12/2026 | | granite3.2-vision:2b | IBM | Production | 13/06/2025 | 31/12/2026 | -| granite3.3:2b | IBM | Production | 13/06/2025 | 31/12/2026 | +| granite3.3:2b | IBM | Production | 13/06/2025 | 31/12/2025 | | granite3.3:8b | IBM | Production | 13/06/2025 | 31/12/2025 | | granite4-small-h:32b | IBM | Production | 03/10/2025 | 30/09/2026 | | granite4-tiny-h:7b | IBM | Production | 03/10/2025 | 30/09/2026 | diff --git a/docs/managed_kubernetes/concepts.md b/docs/managed_kubernetes/concepts.md index a772d424..55d62a94 100644 --- a/docs/managed_kubernetes/concepts.md +++ b/docs/managed_kubernetes/concepts.md @@ -42,7 +42,7 @@ L'installation standardisée inclus un ensemble de composants, majoritairement O - **Harbor** est une **Container registry** qui vous permet de stocker les images de vos containers ou vos charts helm directement dans le cluster. Elle effectue des **scan de vulnérabilité** sur vos images et peut les signer numériquement. **Harbor** permet aussi des synchronisations avec d'autres registries. (https://goharbor.io/) -- **KubeCost** (https://github.com/kubecost) est un outil de gestion des couts (Finops) pour kubernetes. Il vous permet de suivre finement la consommations des ressources kubernetes et de faire de la sous-facturation par projet/namespace. +- **OpenCost** (https://github.com/opencost/opencost) est un outil de gestion des couts (Finops) pour kubernetes. Il vous permet de suivre finement la consommations des ressources kubernetes et de faire de la sous-facturation par projet/namespace. - Stratégies de sécurité avancée avec **Kyverno** et **Capsule**: - **Kyverno** (https://kyverno.io/) est un controleur d'admission pour Kubernetes qui permet d'appliquer des stratégies. C'est un outil essentiel pour la gouvernance et la sécurité dans kubernetes. diff --git a/docs/managed_kubernetes/managed_kubernetes.md b/docs/managed_kubernetes/managed_kubernetes.md index e4537406..c18972b6 100644 --- a/docs/managed_kubernetes/managed_kubernetes.md +++ b/docs/managed_kubernetes/managed_kubernetes.md @@ -29,7 +29,7 @@ Cette offre est conçue pour les experts Kubernetes et les adeptes de l'open sou ### Bénéfices Clés - **Souveraineté et Réversibilité** : La solution s'appuie sur des standards open source (Kubernetes CNCF) pour éviter toute dépendance technologique et garantir la portabilité de vos applications. L'outil de sauvegarde Veeam Kasten, inclus dans l'offre, est spécialement conçu pour faciliter les migrations d'un cloud à un autre. - **Sécurité "Zero-Trust" et Gouvernance** : L'architecture repose sur Talos OS, un système d'exploitation immuable sans accès direct (ni shell, ni SSH), ce qui réduit drastiquement la surface d'attaque. Cette approche est couplée à des outils de gouvernance comme Kyverno pour la gestion des politiques et Capsule pour la gestion fine des droits, constituant une base solide pour une stratégie de sécurité "Zero-Trust". -- **Maîtrise des Coûts et Intégration** : La solution intègre nativement des outils de FinOps comme KubeCost pour un suivi précis des consommations. Le modèle économique est transparent, basé sur les ressources IaaS consommées, et l'utilisation de composants open source reconnus (Cilium, Ceph, ArgoCD) facilite l'intégration dans vos écosystèmes existants. +- **Maîtrise des Coûts et Intégration** : La solution intègre nativement des outils de FinOps comme OpenCost pour un suivi précis des consommations. Le modèle économique est transparent, basé sur les ressources IaaS consommées, et l'utilisation de composants open source reconnus (Cilium, Ceph, ArgoCD) facilite l'intégration dans vos écosystèmes existants. ### Une plateforme complète et prête à l'emploi La solution inclut nativement une stack complète et cohérente d'outils open source de pointe pour couvrir tous les besoins du cycle de vie applicatif : @@ -39,7 +39,7 @@ La solution inclut nativement une stack complète et cohérente d'outils open so - **Déploiement Continu (GitOps)** : ArgoCD - **Observabilité** : Prometheus, Grafana, Loki - **Sauvegarde et Migration** : Veeam Kasten -- **Gestion des Coûts (FinOps)** : KubeCost +- **Gestion des Coûts (FinOps)** : OpenCost --- @@ -86,7 +86,7 @@ L'offre inclus en détail les composants suivants: - ArgoCD - Stack prometheus (Prometheus, Grafana, Loki) - Container registry Harbor -- Cost management avec KubeCost +- Cost management avec OpenCost - Stratégies de sécurité avancée avec Kyverno et Capsule - Veeam Kasten (sauvegarde, automatisations inter-environnements et réversibilité) -- (optionnel): Authentification SSO avec un Identity Provider Externe OIDC (Microsoft Entra, FranceConnect, Okta, AWS IAM, Google, Salesforce, ...) +- Authentification SSO avec un Identity Provider Externe OIDC (Microsoft Entra, FranceConnect, Okta, AWS IAM, Google, Salesforce, ...) diff --git a/docs/managed_kubernetes/quickstart.md b/docs/managed_kubernetes/quickstart.md index e938f480..6d5efb4f 100644 --- a/docs/managed_kubernetes/quickstart.md +++ b/docs/managed_kubernetes/quickstart.md @@ -36,7 +36,9 @@ Les urls sont: - k10.external-secured.**identifiant**.mk.ms-cloud-temple.com - grafana.external-secured.**identifiant**.mk.ms-cloud-temple.com - harbor.external-secured.**identifiant**.mk.ms-cloud-temple.com - - kubecost.external-secured.**identifiant**.mk.ms-cloud-temple.com + - opencost.external-secured.**identifiant**.mk.ms-cloud-temple.com + - opencost-mcp.external-secured.**identifiant**.mk.ms-cloud-temple.com + :::info url sécurisées Les url ci dessus ne sont accessible que depuis des IP publiques connues, configurées dans le firewall de la solution. Si vous souhaitez ajouter une IP publique, il faut faire une demande de support. diff --git a/docs/managed_kubernetes/tutorials/images/gapi.png b/docs/managed_kubernetes/tutorials/images/gapi.png new file mode 100644 index 00000000..49e59818 Binary files /dev/null and b/docs/managed_kubernetes/tutorials/images/gapi.png differ diff --git a/docs/managed_kubernetes/tutorials/images/opencost.png b/docs/managed_kubernetes/tutorials/images/opencost.png new file mode 100644 index 00000000..d845e487 Binary files /dev/null and b/docs/managed_kubernetes/tutorials/images/opencost.png differ diff --git a/docs/managed_kubernetes/tutorials/images/opencostmcp.png b/docs/managed_kubernetes/tutorials/images/opencostmcp.png new file mode 100644 index 00000000..a73ef003 Binary files /dev/null and b/docs/managed_kubernetes/tutorials/images/opencostmcp.png differ diff --git a/docs/managed_kubernetes/tutorials/images/opencostmcp2.png b/docs/managed_kubernetes/tutorials/images/opencostmcp2.png new file mode 100644 index 00000000..04b4e033 Binary files /dev/null and b/docs/managed_kubernetes/tutorials/images/opencostmcp2.png differ diff --git a/docs/managed_kubernetes/tutorials/images/opencostmcp3.png b/docs/managed_kubernetes/tutorials/images/opencostmcp3.png new file mode 100644 index 00000000..33a02426 Binary files /dev/null and b/docs/managed_kubernetes/tutorials/images/opencostmcp3.png differ diff --git a/docs/managed_kubernetes/tutorials/networking.md b/docs/managed_kubernetes/tutorials/networking.md index 0c8ceb62..bed20bf7 100644 --- a/docs/managed_kubernetes/tutorials/networking.md +++ b/docs/managed_kubernetes/tutorials/networking.md @@ -198,7 +198,8 @@ En vous basant sur les URLs fournies dans le guide de démarrage, vous pouvez co - `k10.external-secured -> 10.20.1.129` - `grafana.external-secured -> 10.20.1.129` - `harbor.external-secured -> 10.20.1.129` - - `kubecost.external-secured -> 10.20.1.129` + - `opencost.external-secured -> 10.20.1.129` + - `opencost-mcp.external-secured -> 10.20.1.129` Cette configuration garantit que le trafic vers l'API et les services internes reste confiné à votre réseau privé, conformément aux meilleures pratiques de sécurité. diff --git a/docs/managed_kubernetes/tutorials/usingcapsule.md b/docs/managed_kubernetes/tutorials/usingcapsule.md index e10cac99..f7be24ea 100644 --- a/docs/managed_kubernetes/tutorials/usingcapsule.md +++ b/docs/managed_kubernetes/tutorials/usingcapsule.md @@ -72,6 +72,10 @@ L'un des plus grands avantages de Capsule est que toutes les politiques de sécu Cela garantit que vos projets respectent les limites de consommation (CPU, mémoire, stockage) et les règles de sécurité (comme les politiques réseau par défaut ou les contraintes de sécurité définies par **Kyverno**) définies pour votre environnement, sans que vous ayez à les reconfigurer pour chaque Namespace. +:::info +Des quotas spécifiques ont été positionnés sur votre Tenant Capsule pour limiter l'utilisation du stockage persistant (Ceph-Block et Ceph-FileSystem) à l'espace total disponible dans le cluster. Si vous avez besoin de modifier ces quotas pour un projet spécifique, veuillez formuler une demande auprès du support Cloud Temple. +::: + ## Conclusion Grâce à Capsule, vous disposez d'une autonomie complète pour gérer les Namespaces de vos équipes tout en bénéficiant d'un cadre sécurisé et préconfiguré par les administrateurs du cluster. Vous pouvez créer, modifier et supprimer des Namespaces à volonté, sachant que les garde-fous nécessaires sont automatiquement appliqués. diff --git a/docs/managed_kubernetes/tutorials/usinggapi.md b/docs/managed_kubernetes/tutorials/usinggapi.md new file mode 100644 index 00000000..cb824903 --- /dev/null +++ b/docs/managed_kubernetes/tutorials/usinggapi.md @@ -0,0 +1,226 @@ +--- +title: Utiliser Cilium Gateway API +--- + +import gapischema from './images/gapi.png' + +## Introduction + +L'API Gateway est la nouvelle norme Kubernetes pour la gestion du trafic entrant. Elle succède à la ressource Ingress traditionnelle en offrant plus de flexibilité, de fonctionnalités (routage avancé, répartition de charge, etc.) et une meilleure séparation des responsabilités. + +Dans votre cluster Managed Kubernetes Cloud Temple, **Cilium** est utilisé comme CNI et implémente nativement le support de Gateway API. + +:::info Versions supportées +Cette documentation s'applique aux clusters utilisant **Cilium 1.8.4 ou supérieur**. +Les **Gateway API CRDs en version 1.4** sont préinstallées sur votre cluster. +::: + +## Objectifs + +Ce tutoriel vous guidera pour : + +- Comprendre les ressources de base de Gateway API (GatewayClass, Gateway, HTTPRoute). +- Déployer une application de test. +- Exposer cette application via une Gateway Cilium. +- Tester l'accès. + +## Prérequis + +- Un cluster Managed Kubernetes Cloud Temple opérationnel. +- L'outil `kubectl` configuré pour accéder à votre cluster. +- L'outil `cilium`. + +## Concepts Clés + +Gateway API décompose la configuration réseau en trois ressources principales : + +1. **GatewayClass** : Définit le type de contrôleur (ici, `io.cilium/gateway`). +2. **Gateway** : Instancie un point d'entrée réseau (load balancer). +3. **HTTPRoute** : Définit les règles de routage (chemins, headers) vers les Services Kubernetes. + +Schema GAPI + +## Étape 1 : Vérifier la version et la GatewayClass + +Vous pouvez vérifier que votre cluster utilise une version compatible de Cilium (1.8.4+) à l'aide des commandes : + +```bash +cilium status +cilium config view | grep -w "enable-gateway-api" +``` + +Assurez-vous ensuite que la `GatewayClass` de Cilium est disponible sur votre cluster : + +```bash +kubectl get gatewayclass +``` + +Vous devriez voir une sortie similaire à : + +```text +NAME CONTROLLER ACCEPTED AGE +cilium io.cilium/gateway True 2d +``` + +:::info Note +Si aucune GatewayClass n'est listée, assurez-vous que la fonctionnalité Gateway API est activée dans votre installation Cilium. +::: + +## Étape 2 : Déployer une application de démonstration + +Nous allons déployer une application simple qui renvoie des informations sur le pod (echo-server). + +Créez un fichier `apps.yaml` : + +```yaml +apiVersion: apps/v1 +kind: Deployment +metadata: + name: echo-server + labels: + app: echo-server +spec: + replicas: 2 + selector: + matchLabels: + app: echo-server + template: + metadata: + labels: + app: echo-server + spec: + containers: + - name: echo-server + image: ealen/echo-server:latest + ports: + - containerPort: 80 +--- +apiVersion: v1 +kind: Service +metadata: + name: echo-service + labels: + app: echo-server +spec: + selector: + app: echo-server + ports: + - port: 80 + targetPort: 80 +``` + +Appliquez la configuration : + +```bash +kubectl apply -f apps.yaml +``` + +## Étape 3 : Créer la Gateway + +La Gateway va demander la création d'un LoadBalancer pour recevoir le trafic. + +Créez un fichier `gateway.yaml` : + +```yaml +apiVersion: gateway.networking.k8s.io/v1 +kind: Gateway +metadata: + name: my-gateway +spec: + gatewayClassName: cilium + listeners: + - protocol: HTTP + port: 80 + name: web-gw + allowedRoutes: + namespaces: + from: Same +``` + +Appliquez la configuration : + +```bash +kubectl apply -f gateway.yaml +``` + +Vérifiez que la Gateway a obtenu une adresse IP (cela peut prendre quelques instants pour que le LoadBalancer soit provisionné par l'infrastructure Cloud Temple) : + +```bash +kubectl get gateway my-gateway +``` + +Attendez que le champ `PROGRAMMED` soit `True` et que `ADDRESS` affiche une IP. + +## Étape 4 : Créer une HTTPRoute + +Maintenant que nous avons une "porte d'entrée" (Gateway), nous devons diriger le trafic vers notre service. + +Créez un fichier `httproute.yaml` : + +```yaml +apiVersion: gateway.networking.k8s.io/v1 +kind: HTTPRoute +metadata: + name: echo-route +spec: + parentRefs: + - name: my-gateway + rules: + - matches: + - path: + type: PathPrefix + value: / + backendRefs: + - name: echo-service + port: 80 +``` + +Appliquez la configuration : + +```bash +kubectl apply -f httproute.yaml +``` + +## Étape 5 : Tester l'accès + +Récupérez l'adresse IP de votre Gateway : + +```bash +kubectl get gateway my-gateway -o jsonpath='{.status.addresses[0].value}' +``` + +Envoyez une requête sur cette IP pour tester : + +```bash +curl http://10.200.205.2 +``` + +Vous devriez recevoir une réponse JSON de l'application `echo-server` indiquant les détails du pod qui a répondu. + +## Fonctionnalités avancées (Exemple : Canary Release) + +Gateway API facilite grandement les scénarios de déploiement avancés, comme le Canary Release (répartition pondérée du trafic). + +Supposons que nous ayons une v2 de notre application. Nous pouvons répartir le trafic à 90% vers v1 et 10% vers v2 simplement en ajustant les poids dans `backendRefs` : + +```yaml +apiVersion: gateway.networking.k8s.io/v1 +kind: HTTPRoute +metadata: + name: echo-route-canary +spec: + parentRefs: + - name: my-gateway + rules: + - backendRefs: + - name: echo-service + port: 80 + weight: 90 + - name: echo-service-v2 + port: 80 + weight: 10 +``` + +## Conclusion + +Vous avez mis en place une infrastructure moderne d'exposition de services avec Cilium Gateway API. Cette approche standardisée, plus riche sémantiquement que les Ingress, est recommandée pour tirer parti des capacités avancées du réseau Kubernetes. diff --git a/docs/managed_kubernetes/tutorials/usingkasten.md b/docs/managed_kubernetes/tutorials/usingkasten.md index 1d3c42c8..bf51c026 100644 --- a/docs/managed_kubernetes/tutorials/usingkasten.md +++ b/docs/managed_kubernetes/tutorials/usingkasten.md @@ -24,8 +24,8 @@ Avant de commencer, assurez-vous de disposer des éléments suivants : Le tableau de bord Kasten est accessible via une URL sécurisée, construite à partir de l'identifiant de votre cluster. 1. **Construisez l'URL d'accès** : - L'URL est basée sur le modèle suivant : `https://k10.external-secured..mk.ms-cloud-temple.com` - Remplacez `` par l'identifiant de votre cluster. Par exemple, si votre identifiant est `ctodev`, l'URL sera : `https://k10.external-secured.ctodev.mk.ms-cloud-temple.com`. + L'URL est basée sur le modèle suivant : `https://k10.external-secured..mk.ms-cloud-temple.com/k10/` + Remplacez `` par l'identifiant de votre cluster. Par exemple, si votre identifiant est `ctodev`, l'URL sera : `https://k10.external-secured.ctodev.mk.ms-cloud-temple.com/k10/`. 2. **Accédez à l'URL** dans votre navigateur. diff --git a/docs/managed_kubernetes/tutorials/usingkubecosts.md b/docs/managed_kubernetes/tutorials/usingkubecosts.md index e1b855b1..74f00577 100644 --- a/docs/managed_kubernetes/tutorials/usingkubecosts.md +++ b/docs/managed_kubernetes/tutorials/usingkubecosts.md @@ -1,6 +1,14 @@ --- title: Suivre les coûts avec Kubecost --- +:::info[Évolution de l'outil de FinOps] +Le produit **KubeCost**, bien que toujours fonctionnel sur votre cluster, est progressivement remplacé par **OpenCost**, son successeur open-source. + +**OpenCost** est maintenant la solution recommandée et maintenue activement par la communauté Cloud Native (CNCF). + +Nous vous encourageons à commencer à utiliser OpenCost pour bénéficier des dernières fonctionnalités et d'une meilleure intégration. +::: + import kubecostsallocations from './images/kubecostsallocations.png' ## Objectifs @@ -38,7 +46,7 @@ Par défaut, les coûts sont agrégés par **Namespace**. Vous pouvez utiliser l Vous pouvez également ajuster la période d'analyse (par défaut, "Last 7 days") pour visualiser les coûts sur une autre période. - +Kubecost UI ## Analyser le coût des infrastructures (Assets) diff --git a/docs/managed_kubernetes/tutorials/usingopencost.md b/docs/managed_kubernetes/tutorials/usingopencost.md new file mode 100644 index 00000000..e891b5cd --- /dev/null +++ b/docs/managed_kubernetes/tutorials/usingopencost.md @@ -0,0 +1,123 @@ +--- +title: Suivre les coûts avec OpenCost +--- +import opencostui from './images/opencost.png' +import opencostmcp from './images/opencostmcp.png' +import opencostmcp2 from './images/opencostmcp2.png' +import opencostmcp3 from './images/opencostmcp3.png' + +## Objectifs + +Ce tutoriel vous présente **OpenCost**, l'outil de monitoring et d'optimisation des coûts intégré à votre cluster **Managed Kubernetes**. À la fin de ce guide, vous serez capable de : + +- **Accéder** à l'interface d'OpenCost. +- **Comprendre** la structure de l'interface et les vues disponibles. +- **Analyser** la répartition des coûts de vos applications et de votre infrastructure. + +## Qu'est-ce qu'OpenCost ? + +OpenCost est une solution open-source, standard de la CNCF (Cloud Native Computing Foundation), qui fournit une visibilité en temps réel sur les coûts de vos environnements Kubernetes. Il vous aide à comprendre précisément ce qui consomme des ressources dans votre cluster et comment cela se traduit en termes de coûts. + +Dans l'offre Managed Kubernetes, OpenCost est pré-installé et configuré pour vous donner une vision claire de vos dépenses. Il est directement paramétré avec les coûts réels de l'infrastructure Cloud Temple. + +## Accéder à l'interface OpenCost + +L'interface d'OpenCost est exposée sur une URL sécurisée, propre à votre cluster. Pour y accéder, utilisez l'URL suivante en remplaçant `identifiant` par celui de votre cluster (par exemple, `ctodev`) : + +`https://opencost.external-secured.identifiant.mk.ms-cloud-temple.com` + +:::info +L'accès à cette URL est restreint aux adresses IP que vous avez déclarées au support Cloud Temple. Si vous ne parvenez pas à y accéder, veuillez contacter le support pour vérifier les règles de firewall. +::: + +OpenCost UI + +## Explorer la répartition des coûts (Allocations) + +La vue principale et la plus détaillée d'OpenCost est le tableau de bord **Allocations**. C'est ici que vous pouvez visualiser la consommation de vos ressources en temps réel. + +Cette vue vous permet de décomposer les coûts par concepts natifs Kubernetes. Le menu déroulant "Aggregate by" est l'outil principal pour votre analyse, il vous permet de regrouper les coûts par : + +- **Namespace** : Pour avoir une vue par environnement ou par équipe. +- **Deployment**, **StatefulSet**, etc. : Pour analyser le coût d'une application spécifique. +- **Controller** : Pour une vue plus technique. + +### Agrégation par Labels + +Pour une analyse financière encore plus fine, OpenCost peut agréger les coûts en se basant sur les **labels Kubernetes**. Il n'y a pas une option "Label" directe dans le menu, mais OpenCost ingère vos labels et vous permet de créer des agrégations personnalisées. Pour cela, une stratégie de labeling cohérente est essentielle. Par exemple, en utilisant des labels comme `team: backend` ou `product: api-gateway`, vous pourrez analyser les coûts qui correspondent précisément à votre organisation. +Pour ce type d'analyse, vous devez passer par l'intégration IA d'opencost. + +## Utilisation Avancée : Intégration avec une IA (Serveur MCP) + +Pour les utilisateurs avancés, OpenCost peut être directement interrogé depuis l'assistant conversationnel Cline (ou autre) grâce au système de **MCP (Multi-purpose Co-processor) servers**. Cela vous permet de scripter des requêtes et d'obtenir des données de coût directement dans vos conversations. + +### 1. Configuration du MCP OpenCost dans Cline + +Pour connecter Cline à votre instance OpenCost, vous devez ajouter la configuration suivante à votre fichier `cline_mcp_settings.json`. Ce fichier se trouve généralement dans le répertoire de configuration de Cline. + +Nous conseillons de créer un serveur MCP "opencost-xxxxx" où xxxxx est le nom de votre cluster Kubernetes managé. +L'url du serveur MCP est de type `https://opencost-mcp.external-secured.identifiant.mk.ms-cloud-temple.com` +Par exemple, pour le cluster "bestie" : + +```json +{ + "mcpServers": { + "opencost-bestie": { + "disabled": false, + "timeout": 60, + "type": "streamableHttp", + "url": "https://opencost-mcp.external-secured.bestie.mk.ms-cloud-temple.com", + "headers": { + "Authorization": "Basic " + } + } + } +} +``` + +Pour générer la valeur `` à partir de vos identifiants, utilisez une des commandes suivantes : + +**Pour Linux/macOS :** +```bash +echo -n 'finopsadm:VOTRE_MOT_DE_PASSE' | base64 +``` + +**Pour Windows (PowerShell) :** +```powershell +$credentials = [System.Text.Encoding]::UTF8.GetBytes("finopsadm:VOTRE_MOT_DE_PASSE") +[System.Convert]::ToBase64String($credentials) +``` + +Une fois ce fichier sauvegardé, Cline chargera automatiquement le MCP `opencost-xxxxx` au démarrage. + +### 2. Interroger OpenCost avec le MCP + +:::tip Prérequis +Pour interagir avec le MCP en langage naturel, l'IA sous-jacente doit avoir accès à des modèles de langage (LLMs), soit localement (LMStudio, etc), soit via une connexion à des services publics comme GPT-5 ou Gemini, soit en utilisant notre offre **[LLM-as-a-Service](/docs/llmaas/llmaas)** souveraine. +::: + +Après configuration, vous pouvez utiliser les outils LLM pour effectuer des requetes en langage natuel sur ce serveur MCP. + +#### Exemple: + +"utilise le MCP "opencost-bestie", et dis moi quelle pourcentage des couts du cluster ne sont pas alloués à des ressources" +Vous obtiendrez ceci: +réponse IA opencost + +#### Exemple 2: + +"utilise le MCP "opencost-bestie", et liste moi les couts associés aux volumes persistents sur la journée d'hier" + +réponse IA opencost 2 + + +#### Exemple 3: + +"utilise le MCP opencost-bestie, et dis moi quelle pourcentage des couts du cluster alloués à l'application avec le label "nginx" . (filtre de la forme filter: "label:app:frontend" )" + +réponse IA opencost 3 + + +## Conclusion + +OpenCost vous fournit des outils puissants pour une analyse fine et en temps réel des coûts de votre cluster Kubernetes. En utilisant principalement la vue **Allocations** et en la combinant avec une bonne stratégie de labeling, vous pouvez obtenir une vision claire de vos dépenses, alignée à la fois sur vos déploiements techniques et votre organisation interne. L'utilisation des LLM et du serveur MCP opencost permet d'aller plus loin dans l'exploitation des données. diff --git a/docs/marketplace/quickstart.md b/docs/marketplace/quickstart.md index 45589490..1570de5a 100644 --- a/docs/marketplace/quickstart.md +++ b/docs/marketplace/quickstart.md @@ -22,7 +22,7 @@ Avant de commencer, assurez-vous des points suivants : ## Accès à la Marketplace -### 1. Accès depuis la console Shiva +### 1. Accès depuis la Console Une fois connecté à la console Cloud Temple, vous pouvez accéder à la Marketplace de plusieurs façons : diff --git a/docs/network/internet/tutorials/pfSense.md b/docs/network/internet/tutorials/pfSense.md index bed95bb0..4a2d916e 100644 --- a/docs/network/internet/tutorials/pfSense.md +++ b/docs/network/internet/tutorials/pfSense.md @@ -57,7 +57,7 @@ La première étape consiste à récupérer [les informations d'accès internet Vous pouvez ensuite déployer votre vm pfSense : -1. __Installation du firewall__ depuis le template pfSense dans Shiva : +1. __Installation du firewall__ depuis le template pfSense dans Console : - [(Déployer via la console)](../../../iaas_vmware/tutorials/deploy_vm_template) - [(Déployer via Terraform)](../../../iaas_vmware/tutorials/deploy_vm_terraform). 2. __Configuration des interfaces LAN et WAN__ du firewall : l'interface WAN doit être dans votre vLAN internet, son IP sera prise dans la plage IP qui vous a été communiquée par le CDS ainsi que la default GW. diff --git a/docs/network/private_network/private_network.md b/docs/network/private_network/private_network.md index 74e0ec26..89c7dec7 100644 --- a/docs/network/private_network/private_network.md +++ b/docs/network/private_network/private_network.md @@ -1,5 +1,6 @@ --- title: Vue d'ensemble +slug: /network/private_network --- Cloud Temple propose une offre Réseaux Privés conçue pour répondre aux besoins des entreprises en matière de connectivité sécurisée, performante et flexible. Basée sur une architecture innovante utilisant la technologie VPLS, cette solution offre un réseau de niveau 2 privé, transparent et extensible à travers toutes les zones de disponibilité. diff --git a/docs/network/private_network/tutorials.md b/docs/network/private_network/tutorials.md index b160cd7b..18a5f3cf 100644 --- a/docs/network/private_network/tutorials.md +++ b/docs/network/private_network/tutorials.md @@ -2,9 +2,10 @@ title: Tutoriels --- +Ces tutoriels vous aident à configurer et utiliser nos services de réseaux privés.
-

FAQ

-

Aucun Tutorials n'est disponible pour le moment, mais nous y travaillons activement. Revenez bientôt pour en savoir plus !

- Accéder à la page d'accueil → +

Tutorials

+

Aucun tutoriel n'est disponible pour le moment, mais nous y travaillons activement. Revenez bientôt pour en savoir plus !

+ Accéder à la page d'accueil →
diff --git a/docs/network/vpc/concepts.md b/docs/network/vpc/concepts.md new file mode 100644 index 00000000..9aef044a --- /dev/null +++ b/docs/network/vpc/concepts.md @@ -0,0 +1,49 @@ +--- +title: Concepts +--- + +# Concepts VPC + +## Définition et Positionnement + +Le **VPC (Virtual Private Cloud)** est un service de réseau managé permettant la création de réseaux privés isolés, sécurisés et pilotables via la console Cloud Temple. Il est conçu pour offrir une expérience cloud-native, automatisant la configuration du réseau et de la sécurité. + +À ce jour (Janvier 2026), les réseaux privés du VPC permettent d'interconnecter les services **IaaS Open Source** et **IaaS VMware**. L'interconnexion avec les serveurs **Bare Metal** sera disponible dans une prochaine mise à jour. + +## Architecture + +Le VPC repose sur une architecture redondante et hautement disponible, tirant parti du backbone inter-AZ à faible latence de Cloud Temple. + +### Composants Clés + +* **Routeur VPC** : Au cœur de chaque VPC, il gère le routage dynamique entre les différents Private Networks (trafic est-ouest). +* **Private Networks (VLANs)** : Segments de réseau de niveau 2 connectant vos ressources (VMs, serveurs). Ils s'étendent nativement sur plusieurs zones de disponibilité (AZ) sans reconfiguration IP. +* **Passerelle Externe (External Gateway)** : Point d'entrée et de sortie optionnel pour le trafic Internet (nord-sud). Elle intègre des fonctionnalités de NAT et de gestion des flux. + +### Isolation et Sécurité + +Le VPC garantit une isolation stricte : +* Chaque VPC est une entité réseau indépendante. +* Le déploiement se fait sur des ressources dédiées (pour les clients IaaS Open Source), assurant qu'aucune ressource réseau n'est partagée. +* Le service est en cours de qualification **SecNumCloud**. + +## Fonctionnalités Principales + +| Fonctionnalité | Description | Disponibilité | +|----------------|-------------|---------------| +| **Réseaux privés régionaux** | Déploiement multi-AZ et propagation L2 transparente. | S2 2025 | +| **Routage natif** | Communication automatique entre les réseaux privés d'un même VPC. | S2 2025 | +| **IPAM & DHCP** | Gestion automatique des pools d'adresses et attribution dynamique. | S2 2025 | +| **Accès Internet** | Configurable via la Gateway (NAT, DNAT, Egress contrôlé). | S2 2025 | +| **IP Flottantes** | Exposition flexible de services sur Internet. | S2 2025 | +| **Micro-segmentation** | Groupes de politiques réseau pour une sécurité avancée. | S1 2026 | +| **Observabilité** | Logs et métriques de performance du réseau. | S1 2026 | +| **Service DNS** | Résolution de noms interne et externe. | S2 2026 | +| **VPN & Cloud Connect** | Connectivité sécurisée vers on-premise et clouds publics. | S2 2026 | + +## Cas d'Usage + +* **Hébergement applicatif critique** nécessitant une isolation forte. +* **Segmentation multi-projets** (Prod, Pre-prod, Dev). +* **Environnements de test** éphémères et isolés. +* **Socles réseau souverains** pour les données sensibles. diff --git a/docs/network/vpc/images/new_tab_network.png b/docs/network/vpc/images/new_tab_network.png new file mode 100644 index 00000000..10df5dfb Binary files /dev/null and b/docs/network/vpc/images/new_tab_network.png differ diff --git a/docs/network/vpc/images/vpc.png b/docs/network/vpc/images/vpc.png new file mode 100644 index 00000000..bf8d678d Binary files /dev/null and b/docs/network/vpc/images/vpc.png differ diff --git a/docs/network/vpc/images/vpc_activate_gatewat_modale.png b/docs/network/vpc/images/vpc_activate_gatewat_modale.png new file mode 100644 index 00000000..60f5e501 Binary files /dev/null and b/docs/network/vpc/images/vpc_activate_gatewat_modale.png differ diff --git a/docs/network/vpc/images/vpc_activate_gateway_button.png b/docs/network/vpc/images/vpc_activate_gateway_button.png new file mode 100644 index 00000000..2ae9e094 Binary files /dev/null and b/docs/network/vpc/images/vpc_activate_gateway_button.png differ diff --git a/docs/network/vpc/images/vpc_another_way_to_activate_gateway.png b/docs/network/vpc/images/vpc_another_way_to_activate_gateway.png new file mode 100644 index 00000000..6076c209 Binary files /dev/null and b/docs/network/vpc/images/vpc_another_way_to_activate_gateway.png differ diff --git a/docs/network/vpc/images/vpc_create_button.png b/docs/network/vpc/images/vpc_create_button.png new file mode 100644 index 00000000..4c487e04 Binary files /dev/null and b/docs/network/vpc/images/vpc_create_button.png differ diff --git a/docs/network/vpc/images/vpc_create_modale.png b/docs/network/vpc/images/vpc_create_modale.png new file mode 100644 index 00000000..e38baf6d Binary files /dev/null and b/docs/network/vpc/images/vpc_create_modale.png differ diff --git a/docs/network/vpc/images/vpc_details_view.png b/docs/network/vpc/images/vpc_details_view.png new file mode 100644 index 00000000..03106a11 Binary files /dev/null and b/docs/network/vpc/images/vpc_details_view.png differ diff --git a/docs/network/vpc/images/vpc_new_private_network.png b/docs/network/vpc/images/vpc_new_private_network.png new file mode 100644 index 00000000..0201901d Binary files /dev/null and b/docs/network/vpc/images/vpc_new_private_network.png differ diff --git a/docs/network/vpc/images/vpc_static_ips.png b/docs/network/vpc/images/vpc_static_ips.png new file mode 100644 index 00000000..d39542bd Binary files /dev/null and b/docs/network/vpc/images/vpc_static_ips.png differ diff --git a/docs/network/vpc/images/vpc_static_ips_associate_png.png b/docs/network/vpc/images/vpc_static_ips_associate_png.png new file mode 100644 index 00000000..e13f1dea Binary files /dev/null and b/docs/network/vpc/images/vpc_static_ips_associate_png.png differ diff --git a/docs/network/vpc/images/vpc_static_ips_new_modale.png b/docs/network/vpc/images/vpc_static_ips_new_modale.png new file mode 100644 index 00000000..74244108 Binary files /dev/null and b/docs/network/vpc/images/vpc_static_ips_new_modale.png differ diff --git a/docs/network/vpc/quickstart.md b/docs/network/vpc/quickstart.md new file mode 100644 index 00000000..e92d1728 --- /dev/null +++ b/docs/network/vpc/quickstart.md @@ -0,0 +1,71 @@ +--- +title: Quickstart +--- +import newTabNetwork from './images/new_tab_network.png' +import vpcCreateButton from './images/vpc_create_button.png' +import vpcCreateModal from './images/vpc_create_modale.png' +import vpcOverview from './images/vpc.png' +import vpcDetailsView from './images/vpc_details_view.png' +import vpcNewPrivateNetwork from './images/vpc_new_private_network.png' +import vpcActivateGatewayButton from './images/vpc_activate_gateway_button.png' +import vpcActivateGatewayModal from './images/vpc_activate_gatewat_modale.png' + +# Démarrage Rapide VPC + +Ce guide vous accompagne dans la création de votre premier Virtual Private Cloud (VPC) et le déploiement de vos premiers réseaux privés. + +## Prérequis + +Actuellement, l'activation du service VPC nécessite d'avoir souscrit à une offre **IaaS Open Source**. (Cette condition sera levée ultérieurement). + +## Étape 1 : Accéder à la Console + +1. Connectez-vous à la Console Cloud Temple. +2. Dans le menu de navigation, sélectionnez **Network** puis **VPC**. + + + +## Étape 2 : Créer un VPC + +1. Cliquez sur le bouton **Créer un VPC**. + + +2. Remplissez le formulaire guidé : + * **Nom du VPC** : Choisissez un nom unique pour identifier votre environnement. + * **Description** : (Optionnel) Ajoutez une description. + + +3. Validez la création. + +> **Note** : Le provisionnement du VPC est entièrement automatisé et prend généralement moins d'une heure. + + + +## Étape 3 : Créer des Réseaux Privés (Private Networks) + +Une fois votre VPC actif : + +1. Accédez au détail de votre VPC en cliquant sur son nom. + + +2. Allez dans l'onglet **Réseaux Privés**. +3. Cliquez sur **Ajouter un réseau**. +4. Configurez votre réseau : + * **Nom** : Nom du segment réseau (ex: `backend`, `frontend`). + * **CIDR** : Plage d'adresses IP (ex: `192.168.1.0/24`). + + + +## Étape 4 : Activer la Passerelle (Optionnel) + +Pour donner accès Internet à vos réseaux privés via une passerelle sécurisée : + +1. Cliquez sur le bouton d'activation de la passerelle. + + +2. Confirmez l'activation dans la fenêtre modale. + + +## Étape 5 : Connecter vos ressources + +Vos réseaux privés sont désormais disponibles dans toutes les zones de disponibilité (AZ) de la région. Vous pouvez y connecter vos machines virtuelles IaaS Open Source ou vos serveurs directement depuis leurs interfaces de configuration respectives. diff --git a/docs/network/vpc/tutorials.md b/docs/network/vpc/tutorials.md new file mode 100644 index 00000000..8f68bb33 --- /dev/null +++ b/docs/network/vpc/tutorials.md @@ -0,0 +1,11 @@ +--- +title: Tutoriels +--- + +Ces tutoriels vous aident à déployer et gérer un VPC Cloud Temple depuis le portail Console. + +
+

Tutorials

+

Aucun Tutoriel n'est disponible pour le moment, mais nous y travaillons activement. Revenez bientôt pour en savoir plus !

+ Accéder à la page D'accueil → +
diff --git a/docs/network/vpc/vpc.md b/docs/network/vpc/vpc.md new file mode 100644 index 00000000..cd3c6c9d --- /dev/null +++ b/docs/network/vpc/vpc.md @@ -0,0 +1,26 @@ +--- +title: Vue d'ensemble +slug: /network/vpc +--- + +Le VPC (Virtual Private Cloud) de Cloud Temple est un service de réseau managé qui permet de créer des environnements privés, isolés et sécurisés de manière entièrement automatisée. Conçu pour une expérience cloud-native, il simplifie la gestion des flux, de l'accès Internet et des adresses IP, tout en garantissant la souveraineté de vos données. + +Le service permet de déployer et gérer vos réseaux privés sans vous soucier de la complexité des configurations manuelles, avec une haute disponibilité de 99,99%. + +
+
+

Concepts

+

Découvrez l'architecture, les composants (Private Networks, Gateway) et les bénéfices du VPC.

+ Explorer les concepts → +
+
+

Quickstart

+

Créez votre premier VPC et configurez vos réseaux privés en quelques minutes.

+ Lancer le Quickstart → +
+
+

Tutorials

+

Guides pas à pas pour les cas d'usage avancés (Peering, VPN, etc.).

+ Découvrir les tutoriels → +
+
diff --git a/docs/paas_openshift/quickstart.md b/docs/paas_openshift/quickstart.md index aeb2cc8c..8c6787f2 100644 --- a/docs/paas_openshift/quickstart.md +++ b/docs/paas_openshift/quickstart.md @@ -107,7 +107,7 @@ Voici les informations de connexion et de configuration propres à votre environ Pour accéder aux différents composants OpenShift, veillez à ce que votre locataire soit inscrit sur la liste blanche dans la console (consultez la documentation : [Cloud Temple Documentation](https://docs.cloud-temple.com/)). -- __URL Shiva Tenant__ : +- __URL Console Tenant__ : [https://__votre-id-locataire__.shiva.cloud-temple.com/](https://**votre-id-locataire**.shiva.cloud-temple.com/) - __OpenShift UI__ : diff --git a/i18n/de/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md b/i18n/de/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md index d9e6fbc0..a3019fae 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md @@ -1,19 +1,18 @@ --- -title: Konzepte - Verfügbarkeitsbereiche +title: Concepts - Verfügbarkeitszonen --- -## Verfügbarkeitszonen +## Availability Zones -Jeder physische Standort innerhalb einer Region verfügt über einen oder mehrere private Räume für unsere Infrastrukturen. Diese Räume werden ausschließlich von Cloud Temple genutzt. +Each physical site within a region has one or more dedicated rooms for our infrastructure. These rooms are exclusively used by Cloud Temple. -__Jeder physische Raum entspricht einer Verfügbarkeitszone (AZ / Availability Zone)__ und ist in Bezug auf Strom, Kühlung, Rechenleistung, Speicher und Netzwerk vollständig autonom. -Die Wahl einer Verfügbarkeitszone impliziert daher die Wahl eines physischen Standorts und einer Region. +__Each physical room corresponds to an availability zone (AZ / Availability Zone)__ and is completely independent in terms of power, cooling, computing, storage, and networking. +Therefore, selecting an availability zone means choosing both a physical site and a region. -Die Shiva-Konsole bietet Ihnen automatisch Verfügbarkeitszonen an verschiedenen physischen Standorten an, um Ihre Infrastruktur auf möglichst vielen physischen Standorten zu verteilen. +The Console automatically suggests availability zones located on distinct physical sites, in order to distribute your infrastructure across the maximum number of physical sites. -*__Hinweis: Wenn Sie eine spezifische Konfiguration für einen bestimmten Kontext benötigen (mehrere AZs am selben physischen Standort), ist es notwendig, eine Support-Anfrage zu stellen.__* +*__Note: If you require a specific configuration for a particular use case (multiple AZs on the same physical site), please submit a support request.__* - -| Bestellreferenz | Einheit | SKU | -|---------------------------------------------------------------------|-----------------|---------------------------| -| TENANT - *(REGION)* - Aktivierung einer Verfügbarkeitszone | 1 AZ pro Tenant | csp:*(REGION)*:iaas:az:v1 | +| Order Reference | Unit | SKU | +|--------------------------------------------------------|----------------|---------------------------| +| TENANT - *(REGION)* - Activation of an availability zone | 1 AZ per tenant | csp:*(REGION)*:iaas:az:v1 | \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/bastion/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/bastion/concepts.md index 0f357228..7604db59 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/bastion/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/bastion/concepts.md @@ -3,36 +3,36 @@ title: Konzepte --- import bastion from './images/bastion.svg' -## Was ist der Cloud Temple Bastion? +## What is the Cloud Temple Bastion? -Der Cloud Temple Bastion ist ein verwalteter Dienst, der Ihnen sichere RDP- oder SSH-Konnektivität von der Cloud Temple-Konsole zu Ihren physischen und virtuellen Infrastrukturen bietet, unabhängig davon, ob sie sich in der vertrauenswürdigen Cloud, in einer öffentlichen Cloud oder On-Premises befinden. Die Bastion-Lösung ermöglicht die Verwaltung Ihrer Geräte, ohne sie dem Internet auszusetzen. +The Cloud Temple Bastion is a managed service that provides you with secure RDP or SSH connectivity from the Cloud Temple console to your physical and virtual infrastructures, whether they are located in the trusted cloud, a public cloud, or on-premise. The Bastion solution enables you to manage your devices without exposing them to the internet. -## Die Vorteile +## Vorteile | Vorteil | Beschreibung | |------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------:| -| Zentralisierte Verwaltung | Der Cloud Temple Bastion ist direkt über das Shiva-Portal zugänglich. | -| Sicherheit | Über den Bastion verwaltete Geräte sind nicht dem Internet ausgesetzt, was sie insbesondere vor Port-Scans durch böswillige Benutzer schützt. | -| Infrastructure as Code | APIs ermöglichen die vollständige Verwaltung des Cloud Temple Bastion "as Code" (Sitzungserstellung, Verbindung, Änderung und Löschung von Sitzungen). | +| Zentrale Verwaltung | Der Cloud Bastion Temple ist direkt über die Console zugänglich. | +| Sicherheit | Geräte, die über den Bastion verwaltet werden, sind nicht dem Internet ausgesetzt, wodurch sie insbesondere vor Port-Scans durch schadhaften Nutzer geschützt sind. | +| Infrastructure as Code | APIs ermöglichen die vollständige Verwaltung des Cloud Bastion Temple „as Code“ (Erstellung von Sitzungen, Verbindung, Änderung und Löschung von Sitzungen). | -## Referenzen (SKU) +## References (SKU) -| Referenz | Einheit | SKU | -|-----------------------------------|:---------:|:-----------------------:| -| VERWALTUNG - Bastion SSH & RDP | 1 Sitzung | cmp:bastion:session:std | +| Reference | Unit | SKU | +|------------------------------------|:--------:|:-----------------------:| +| ADMINISTRATION - Bastion SSH & RDP | 1 Session | cmp:bastion:session:std | -### Die Bastion Appliance +### Bastion Appliance -Die Bastion Appliance ist eine virtuelle Maschine, die in der Nähe Ihrer Geräte bereitgestellt wird. Diese Appliance ermöglicht einen sicheren und direkten Datenfluss von der Shiva-Plattform zu den zu verwaltenden Geräten, die sich im selben virtuellen Netzwerk befinden. +The Bastion Appliance is a virtual machine deployed close to your equipment. This appliance enables a secure, direct flow from the Console platform to the equipment being managed, which resides in the same virtual network. -Der Datenfluss ist verschlüsselt und in einem VPN-Tunnel gekapselt. Die Lösung erfordert keine Öffnung eines Datenflusses vom Internet zu Ihren Infrastrukturen. Die Appliance benötigt lediglich Zugriff auf die öffentliche IP-Adresse des Shiva Bastion-Moduls über Port 443. +The traffic is encrypted and encapsulated within a VPN tunnel. The solution does not require opening a connection from the internet to your infrastructure. It is sufficient for the appliance to have access to the public IP address of the Bastion Console module on port 443. -Eine Appliance kann für eine schnelle Verbindung zu einem Gerät verwendet werden. Bei jeder Verbindung müssen das gewünschte Protokoll, die IP-Adresse der Maschine und Ihre Anmeldedaten angegeben werden. Um diese Informationen nicht bei jeder Verbindung eingeben zu müssen, können Sitzungen erstellt werden, die mit regelmäßig zu verwaltenden Geräten verknüpft sind. +A single appliance can be used to establish a quick connection to a target device. For each connection, you must specify the desired protocol, the target machine's IP address, and your credentials. To avoid entering these details repeatedly, you can create sessions associated with equipment that you regularly manage. -### Die Sitzungen +### Sessions -Eine Sitzung ist eine Verbindungskonfiguration zu einem Gerät über einen Bastion. Sie besteht darin, ein zu verwaltendes Gerät und die für den Datenfluss zu verwendende Appliance zu definieren, wodurch eine schnellere Verbindung zu diesem Gerät ermöglicht wird. +A session is a connection configuration to a device via a Bastion. It defines the device to be managed and the Appliance used to route the traffic, enabling faster connections to that device. -Diese Lösung eignet sich für regelmäßige Verbindungen zu einem zu verwaltenden Gerät. Wesentliche Informationen werden gespeichert, nur Ihre Anmeldedaten sind bei der Verbindung erforderlich. +This solution is suitable for regular connections to a device that needs to be managed. Essential information is stored, requiring only your credentials when connecting. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/bastion/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/bastion/quickstart.md index 3582fc87..50893561 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/bastion/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/bastion/quickstart.md @@ -8,75 +8,77 @@ import creerSession3 from './images/creer_session3.png' import ouvrirSession from './images/ouvrir_session.png' import ouvrirSession2 from './images/ouvrir_session2.png' -Diese Schnellstartanleitung zeigt Ihnen, wie Sie die Erstellung einer Appliance beantragen und wie Sie eine neue Sitzung registrieren und sich damit verbinden können. +Diese Schnellstartanleitung zeigt Ihnen, wie Sie die Erstellung einer Appliance anfordern und wie Sie eine neue Session erstellen und daran teilnehmen. ## Voraussetzungen -1. Sie haben das Cloud Temple-Angebot abonniert (Bastion Appliance-Abonnement). -2. Die zu verwaltenden Geräte müssen über das Netzwerk erreichbar sein, in dem die Bastion Appliance bereitgestellt wird. -3. Sie haben die Rechte für das Bastion-Modul. -4. Bei der Bereitstellung der On-Premise-Appliance müssen die entsprechenden Datenflüsse geöffnet sein. +1. Ein Abonnement für das Cloud Temple-Angebot (Bastion Appliance-Abonnement) abgeschlossen haben. +2. Die zu verwaltenden Geräte müssen vom Netzwerk aus erreichbar sein, in dem die Bastion Appliance bereitgestellt ist. +3. Die entsprechenden Berechtigungen für das Bastion-Modul besitzen. +4. Bei einer On-Premise-Bereitstellung der Appliance müssen die entsprechenden Netzwerkflüsse freigegeben sein. -## Für den Betrieb des Bastion-Produkts erforderliche Datenflüsse +## Required flows for the proper operation of the Bastion product -Für den ordnungsgemäßen Betrieb der Bastion Appliance sind mehrere Datenflüsse erforderlich. +Several flows are necessary for the proper operation of the Bastion Appliance. -### Das Bastion-Gateway -| Quelle | Ziel | Protokoll | +### Bastion Gateway + +| Source | Destination | Protocol | |--------------------------|---------------------------------------------|-----------| -| Bastion-Client-Appliance | 91.223.207.71 (botg.shiva.cloud-temple.com) | UDP/4242 | +| Client bastion appliance | 91.223.207.71 (botg.shiva.cloud-temple.com) | UDP/4242 | + +### RDP Administration Traffic -### RDP-Verwaltungsdatenflüsse +| Source | Destination | Protocol | +|--------------------------|-----------------------------|-----------| +| Client bastion appliance | Instances to administer | TCP/3389 | -| Quelle | Ziel | Protokoll | -|--------------------------|----------------------------|-----------| -| Bastion-Client-Appliance | Zu verwaltende Instanzen | TCP/3389 | +### SSH Administration Flow -### SSH-Verwaltungsdatenflüsse +| Source | Destination | Protocol | +|--------------------------|-----------------------------|-----------| +| Client bastion appliance | Instances to administer | TCP/22 | -| Quelle | Ziel | Protokoll | -|--------------------------|----------------------------|-----------| -| Bastion-Client-Appliance | Zu verwaltende Instanzen | TCP/22 | +## Requesting the Creation of an Appliance -## Beantragung der Erstellung einer Appliance -Bevor Sie eine Appliance bereitstellen können, müssen Sie ein Appliance-Abonnement über eine Support-Anfrage beantragen. -Der Support ist in der Shiva-Konsole über das Rettungsring-Symbol in der Leiste oben rechts im Fenster zugänglich. +Before you can deploy an Appliance, you must submit a subscription request for an Appliance via a support ticket. +The support portal is accessible from the Console using the buoy icon in the top-right corner of the window. -## Gerät registrieren +## Gerät speichern -Um regelmäßig auf ein zu verwaltendes Gerät zuzugreifen, ist es sinnvoller, eine Sitzung zu erstellen, die bei jeder Verbindung nur Ihren Benutzernamen und Ihr Passwort erfordert. +Um ein Gerät, das verwaltet werden soll, regelmäßig zu nutzen, ist es sinnvoller, eine Session zu erstellen, die Sie bei jeder Anmeldung nur mit Ihrem Benutzernamen und Ihrem Passwort authentifiziert. -Gehen Sie dazu auf die Registerkarte "Geräte" im Menü "Bastion" und klicken Sie dann auf die Schaltfläche "Neues Gerät". +Gehen Sie hierzu im Menü „Bastion“ zum Tab „Geräte“ und klicken Sie auf die Schaltfläche „Neues Gerät“. -Füllen Sie dann die notwendigen Informationen für die Erstellung Ihres Geräts aus: +Geben Sie nun die erforderlichen Informationen für die Erstellung Ihres Geräts ein: - - Gerätename; - - Beschreibung; - - Zugehörige Appliance; - - Protokolltyp (SSH oder RDP); - - Host-IP-Adresse; - - Tastaturkonfiguration. +- Gerätename; +- Beschreibung; +- zugeordnete Appliance; +- Protokolltyp (SSH oder RDP); +- IP-Adresse des Hosts; +- Tastaturkonfiguration. -Eine Benachrichtigung, die die Erstellung des Geräts anzeigt, sollte oben rechts auf der Seite erscheinen. Die Sitzung wird dann zur Liste Ihrer Geräte hinzugefügt. +Eine Benachrichtigung sollte oben rechts auf der Seite erscheinen, die die Erstellung des Geräts anzeigt. Die Session wird anschließend der Liste Ihrer Geräte hinzugefügt. -Um ein neues Gerät zu erstellen, können Sie auch über die Registerkarte "Appliances" gehen, indem Sie auf die Aktionsleiste der Appliance klicken, mit der Sie ein Gerät verknüpfen möchten. +Sie können ein neues Gerät auch über den Tab „Appliances“ erstellen, indem Sie auf die Aktionsschaltfläche der Appliance klicken, der Sie ein Gerät zuordnen möchten. -## Verbindung zu einem Gerät herstellen +## Connect to a device -Gehen Sie zur Registerkarte "Geräte" der Registerkarte "Bastion". Klicken Sie auf die Aktionsleiste des Geräts, das Sie öffnen möchten, und klicken Sie auf die Schaltfläche "Öffnen". +Go to the "Devices" tab in the "Bastion" tab. Click on the action bar of the device you want to open, and then click the "Open" button. -Bei jeder Verbindung zum Gerät müssen Sie nur Ihre Authentifizierungsinformationen eingeben. +For each connection to a device, you only need to provide your authentication credentials. -Nach der Eingabe Ihrer Anmeldedaten erscheint eine Benachrichtigung, die den Beginn der Verbindung mit Ihrem Gerät bestätigt, und die Konsole zu Ihrer virtuellen Maschine wird geöffnet. +After entering your credentials, a notification confirming the start of the connection to your device appears, and the console to your virtual machine opens. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/bastion/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/bastion/tutorials.md index 1b213d5e..118739a3 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/bastion/tutorials.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/bastion/tutorials.md @@ -14,101 +14,101 @@ import modifierSession from './images/modifier_session.png' import modifierSession2 from './images/modifier_session2.png' import supprimerSession from './images/supprimer_session.png' -Diese Tutorials helfen Ihnen, einen Cloud Temple Bastion über das Shiva-Portal zu implementieren und zu verwalten. +These tutorials help you deploy and manage a Cloud Temple Bastion from the Console. ## Voraussetzungen -1. Ein Cloud Temple-Angebot abgeschlossen haben (Bastion Appliance-Abonnement). -2. Die zu verwaltenden Geräte müssen über das Netzwerk zugänglich sein, in dem die Bastion Appliance implementiert ist. -3. Berechtigungen für das Bastion-Modul besitzen. -4. Im Falle einer On-Premise-Implementierung der Appliance müssen die entsprechenden Datenflüsse geöffnet sein. +1. Ein Abonnement für das Cloud Temple-Angebot (Bastion Appliance-Abonnement) abgeschlossen haben. +2. Die zu verwaltenden Geräte müssen vom Netzwerk aus erreichbar sein, in dem die Bastion Appliance bereitgestellt ist. +3. Die entsprechenden Berechtigungen für das Bastion-Modul besitzen. +4. Bei einer On-Premise-Bereitstellung der Appliance müssen die entsprechenden Netzwerkflüsse freigegeben sein. -## Benutzeroberfläche +## Interface -Sobald Sie sich am Shiva-Webportal angemeldet haben, gehen Sie zum Reiter "Bastion" im linken Menü. +Nach der Anmeldung am Web-Portal Console gehen Sie zum Menüpunkt „Bastion“ im linken Menü. -Im Reiter „Geräte" können Sie die Liste Ihrer Geräte einsehen. Ein Gerät entspricht einer Verbindungskonfiguration über eine Bastion Appliance. Für jedes Gerät werden dessen Name, Tags, Beschreibung, die zugehörige Appliance, der Verbindungstyp (SSH oder RDP), die IP des Hosts und die Tastaturkonfiguration angegeben. +Der Reiter „Geräte“ ermöglicht Ihnen die Ansicht Ihrer Geräte. Ein Gerät entspricht einer Verbindungskonfiguration über eine Bastion-Appliance. Für jedes Gerät werden dessen Name, Tags, Beschreibung, die zugeordnete Appliance, der Verbindungstyp (SSH oder RDP), die IP-Adresse des Hosts sowie die Tastaturbelegung angezeigt. -Sie können die Liste Ihrer Geräte nach den zugewiesenen Tags filtern, und eine Suchfunktion ermöglicht es Ihnen, eine Sitzung nach ihrem Namen zu suchen. +Sie können die Liste Ihrer Geräte nach den zugeordneten Tags filtern, und ein Suchfeld ermöglicht die Suche nach einer Session anhand ihres Namens. -Der Reiter „Appliances" zeigt Ihnen die Liste Ihrer Bastion Appliances. Für jede Appliance werden der Name und die Beschreibung der Appliance angegeben. +Der Reiter „Appliances“ zeigt Ihnen die Liste Ihrer Bastion-Appliances. Für jede Appliance werden deren Name und Beschreibung angegeben. -Eine Suchfunktion ist verfügbar, um Ihnen die Suche nach einer Appliance nach ihrem Namen zu erleichtern. +Ein Suchfeld steht zur Verfügung, um eine Appliance anhand ihres Namens zu suchen. -## Eine Appliance bereitstellen +## Deploy an Appliance -Bevor Sie eine Appliance bereitstellen können, müssen Sie einen Abonnementantrag für eine Appliance über eine Anfrage beim Support stellen. +Before you can deploy an appliance, you must submit a subscription request for an appliance via a support ticket. -## Einen Datenfluss zu einem Gerät öffnen +## Open a connection to a device -Gehen Sie im Reiter „Appliances" zur Aktionsleiste der Appliance, die Sie öffnen möchten. Klicken Sie dann auf die Schaltfläche „Öffnen". +In the **Appliances** tab, click the action bar of the appliance you want to open. Then click the **Open** button. -Geben Sie anschließend die für die Verbindung erforderlichen Informationen ein: +Next, enter the required connection information: - - Wahl des Protokolls (SSH oder RDP); - - IP-Adresse des zu verwaltenden Hosts; - - Authentifizierungsinformationen; - - Tastaturkonfiguration. +- Protocol selection (SSH or RDP); +- IP address of the host to manage; +- Credentials; +- Keyboard configuration. -Klicken Sie dann auf „Verbinden", um die Appliance zu öffnen. Die Konsole der zu verwaltenden virtuellen Maschine öffnet sich dann. +Click **Connect** to open the appliance. The virtual machine's console will then open. -## Ein Gerät registrieren +## Gerät speichern -Um regelmäßig auf ein zu verwaltendes Gerät zuzugreifen, ist es besser, eine Gerätekonfiguration zu erstellen, die bei jeder Verbindung nur Ihren Benutzernamen und Ihr Passwort erfordert. +Um ein Gerät, das verwaltet werden soll, regelmäßig zugänglich zu machen, ist es sinnvoller, eine Gerätekonfiguration zu erstellen, die Sie bei jeder Verbindung nur mit Ihrem Benutzernamen und Passwort authentifiziert. -Gehen Sie dazu im Menü „Bastion" zum Reiter „Geräte" und klicken Sie auf die Schaltfläche „Neues Gerät". +Gehen Sie hierzu im Menü „Bastion“ zum Tab „Geräte“ und klicken Sie auf die Schaltfläche „Neues Gerät“. -Geben Sie dann die für die Erstellung Ihres Geräts erforderlichen Informationen ein: +Geben Sie nun die erforderlichen Informationen für die Erstellung Ihres Geräts ein: - - Name des Geräts; - - Beschreibung; - - Zugehörige Appliance; - - Protokolltyp (SSH oder RDP); - - IP-Adresse des Hosts; - - Tastatursprache. +- Gerätename; +- Beschreibung; +- zugeordnete Appliance; +- Protokolltyp (SSH oder RDP); +- IP-Adresse des Hosts; +- Tastaturbelegung. -Eine Benachrichtigung, die die Erstellung Ihrer Gerätekonfiguration anzeigt, sollte oben rechts auf der Seite erscheinen. Die Konfiguration wird dann zur Liste Ihrer Geräte hinzugefügt. +Eine Benachrichtigung sollte oben rechts auf der Seite erscheinen, die die Erstellung Ihrer Gerätekonfiguration bestätigt. Die Konfiguration wird anschließend Ihrer Liste von Geräten hinzugefügt. -Um eine neue Verbindung zu erstellen, können Sie auch über den Reiter „Appliances" gehen, indem Sie auf die Aktionsleiste der Appliance klicken, der Sie eine Gerätekonfiguration zuweisen möchten. +Sie können eine neue Verbindung auch über den Tab „Appliances“ herstellen, indem Sie auf die Aktionsschaltfläche der Appliance klicken, der Sie eine Gerätekonfiguration zuordnen möchten. -## Verbindung zu einem Gerät herstellen +## Connect to a device -Gehen Sie zum Reiter „Geräte" im Reiter „Bastion". Klicken Sie auf die Aktionsleiste des Geräts, das Sie öffnen möchten, und klicken Sie auf die Schaltfläche „Öffnen". +Go to the "Devices" tab in the "Bastion" tab. Click on the action bar of the device you want to open, and then click the "Open" button. -Bei jeder Verbindung zu dem Gerät müssen Sie nur Ihre Authentifizierungsinformationen eingeben. +For each connection to a device, you only need to provide your authentication credentials. -Nach Eingabe Ihrer Anmeldeinformationen erscheint eine Benachrichtigung, die den Beginn der Sitzung bestätigt, und die Konsole für Ihre virtuelle Maschine öffnet sich. +After entering your credentials, a notification confirming the start of the session appears, and the console to your virtual machine opens. -## Eine Gerätekonfiguration ändern +## Equipment configuration editieren -Gehen Sie zum Reiter „Geräte" im Abschnitt „Bastion", klicken Sie auf die Aktionsleiste des Geräts, das Sie ändern möchten, und klicken Sie auf die Schaltfläche „Ändern". +Gehen Sie zum Tab „Geräte“ im Bereich „Bastion“, klicken Sie auf die Aktionsschaltfläche des Geräts, das Sie bearbeiten möchten, und drücken Sie die Schaltfläche „Bearbeiten“. -Sie können dann den Namen des Geräts, dessen Beschreibung, die zugehörige Appliance, das Protokoll (SSH oder RDP), die IP-Adresse des Hosts oder die Tastatursprache ändern. +Anschließend können Sie den Gerätenamen, die Beschreibung, die zugeordnete Appliance, das Protokoll (SSH oder RDP), die IP-Adresse des Hosts oder die Tastaturbelegung ändern. -## Eine Gerätekonfiguration löschen +## Delete a device configuration -Gehen Sie zum Reiter „Geräte" im Abschnitt „Bastion", klicken Sie auf die Aktionsleiste des Geräts, das Sie löschen möchten, und klicken Sie auf die Schaltfläche „Löschen". +Go to the "Devices" tab in the "Bastion" section, click the action bar of the device you want to delete, and then click the "Delete" button. diff --git a/i18n/de/docusaurus-plugin-content-docs/current/changelog.md b/i18n/de/docusaurus-plugin-content-docs/current/changelog.md index b30ba400..b6349d69 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/changelog.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/changelog.md @@ -5,19 +5,30 @@ sidebar_position: 2 # Change Tracking -### November 22, 2025: New LLMaaS Features and General Improvements +### December 15, 2025: Stabilization and Multilingual Fixes + +- **Multilingual (Terraform, LLMaaS, Harbor)**: Major correction of translations in Spanish, Italian, and German. Resolution of MDX syntax issues (empty code blocks, unescaped tags) that were preventing site compilation. +- **Multilingual (Images)**: Restoration of correct image paths in the Italian and German versions for the Bastion and VMware IaaS sections. +- **Build**: Validation of deployment across all 5 supported languages. + +### December 11, 2025: Managed Kubernetes Updates + +- **Managed Kubernetes**: Added a new tutorial on using **Gateway API** for advanced traffic management. +- **Managed Kubernetes**: Updated documentation on quota management (Ceph) and enhanced cost management tools (OpenCost). + +### November 22, 2025: LLMaaS Updates and General Improvements - **LLMaaS (OCR)**: Added comprehensive documentation for **DeepSeek-OCR**, our new model specialized in document analysis (PDFs, images), capable of extracting structured text, tables, and mathematical formulas. - **Multilingual**: Resolved accessibility issues in the Italian and German versions of the documentation. - **Quality**: Fixed code block display in LLMaaS tutorials and restored missing images in the Italian version of the VMware IaaS quick start guide. -### November 20, 2025: Major PaaS OpenShift Update +### 20 November 2025: Major PaaS OpenShift Update - **PaaS OpenShift (PR #194)**: Complete overhaul and update of the OpenShift documentation, including new screenshots and full translation into English, Spanish, German, and Italian to support our international expansion. ### 3 November 2025: Enhancements to Kubernetes Tutorials -- **Managed Kubernetes**: Introduction of a new tutorial on continuous deployment using **ArgoCD** and the GitOps approach. +- **Managed Kubernetes**: Introduction of a new tutorial on continuous deployment with **ArgoCD** and the GitOps approach. - **Managed Kubernetes**: Review and enhancement of existing tutorials. Guides on deployment, networking, permission management (Capsule), and backup (Kasten) have been enriched to better address security, governance, and cost concerns, in response to the needs of RSSI and Procurement profiles. ### 28 October 2025: New Managed Kubernetes Documentation and Various Improvements @@ -42,17 +53,17 @@ sidebar_position: 2 - **LLMaaS**: Updated and clarified FAQ responses to better address technical and strategic questions. Added FAQ to navigation. - **General**: Fixed several internal navigation links throughout the documentation for a smoother experience. -### July 2025: New Features and Major Updates +### Juli 2025: Neuerungen und wichtige Updates -- **Object Storage (OSS)**: - - Complete overhaul of the tutorials section with dedicated guides for popular tools: AWS CLI, Minio Client (`mc mirror`), Cloudberry Explorer, and the Python Boto3 SDK. - - Added clarifications on storage account concepts and object locking (Object Lock). -- **OpenSource IaaS**: - - Added detailed documentation on managing High Availability (HA) for resource pools and virtual machines. -- **Console**: - - Updated the security alerts page with the latest vulnerabilities. -- **Networking**: - - Added new screenshots to illustrate IPv6 connectivity configuration. +- **Objektspeicher (OSS)**: + - Komplette Überarbeitung des Bereichs „Tutorials“ mit speziellen Anleitungen für beliebte Tools: AWS CLI, Minio Client (`mc mirror`), Cloudberry Explorer und das Python SDK Boto3. + - Ergänzung von Erklärungen zu Konzepten wie Speicherkonten und Objekt-Sperre (Object Lock). +- **IaaS OpenSource**: + - Hinzufügen einer detaillierten Dokumentation zur Verwaltung der Hochverfügbarkeit (HA) für Ressourcenpools und virtuelle Maschinen. +- **Konsole**: + - Aktualisierung der Sicherheitswarnungsseite mit den neuesten bekannten Schwachstellen. +- **Netzwerk**: + - Hinzufügen neuer Bildschirmfotos zur Veranschaulichung der IPv6-Verbindungs-Konfiguration. ### June 29, 2025: Finalization of LLMaaS Documentation @@ -63,5 +74,5 @@ sidebar_position: 2 - Improvement of the RAG explanation page with diagrams and details on embedding models. - Update of the API documentation, quick start guide, and service presentation. - Addition of pricing for the Audio Transcription endpoint. -- Inclusion of the projected model lifecycle roadmap. +- Inclusion of the projected model lifecycle timeline. - Addition of the responsibility matrix for the LLMaaS offering. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/api.md b/i18n/de/docusaurus-plugin-content-docs/current/console/api.md index d7400861..6185a5a2 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/api.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/api.md @@ -14,7 +14,7 @@ import ShivaApi004 from './images/shiva_api_004.png' ## API-Schlüssel Der __API-Schlüssel__ ermöglicht die Authentifizierung, wenn Sie Anfragen an die API stellen möchten. Die Erstellung eines API-Schlüssels, auch bekannt als __Personal Access Token (PAT)__, -ist eine sichere Methode, um sich an die Shiva-APIs anzumelden, ohne eine grafische Benutzeroberfläche nutzen zu müssen. Jeder dieser Tokens ist mit einem Tenant und dem Benutzer verknüpft, der ihn erstellt hat. +ist eine sichere Methode, um sich an die Console-APIs anzumelden, ohne eine grafische Benutzeroberfläche verwenden zu müssen. Jeder dieser Tokens ist mit einem Mandanten und dem Benutzer verknüpft, der ihn erstellt hat. Die Erstellung dieses Tokens erfolgt über Ihr Konto. Es ist möglich, mehrere Schlüssel zu generieren und für jeden die Berechtigungen entsprechend Ihren Rechten einzurichten. @@ -26,7 +26,7 @@ Im Profilmenü klicken Sie auf __'Persönlichen Zugangstoken erstellen'__. -Sie sehen nun alle API-Schlüssel, die für diesen Benutzer in diesem Tenant erstellt wurden. Klicken Sie auf __'Neuen persönlichen Zugangstoken erstellen'__. +Sie sehen nun alle API-Schlüssel, die für diesen Benutzer in diesem Mandanten erstellt wurden. Klicken Sie auf __'Neuen persönlichen Zugangstoken erstellen'__. @@ -34,7 +34,7 @@ Sie müssen nun Folgendes angeben: - Den Namen für diesen neuen Token, - ein Ablaufdatum (maximal 12 Monate Gültigkeit), -- die zugehörigen Berechtigungen auswählen. +- die zugehörigen Berechtigungen für den Token. Anschließend werden die Details Ihres Tokens angezeigt. __Achtung: Der Zugriff auf diese Informationen ist nachträglich nicht mehr möglich.__ @@ -51,8 +51,8 @@ Sie sehen nun den neu erstellten Token und sein zukünftiges Ablaufdatum. :::info Lebenszyklus des Authentifizierungstokens Wenn Sie Ihren **Personal Access Token (PAT)** verwenden, um sich bei der API zu authentifizieren, erhalten Sie daraufhin einen Zugangstoken zurück. Es ist wichtig zu beachten, dass dieser Zugangstoken ein **JSON Web Token (JWT)** mit begrenzter Gültigkeitsdauer ist. -- **Gültigkeitsdauer**: Jeder JWT ist für eine Dauer von **5 Minuten** gültig. -- **Überprüfung**: Sie können Datum der Ausstellung (`iat`) und Ablaufdatum (`exp`) Ihres Tokens überprüfen, indem Sie es decodieren. Tools wie [jwt.io](https://jwt.io) ermöglichen dies einfach und schnell. +- **Gültigkeitsdauer**: Jeder JWT-Token ist **5 Minuten** gültig. +- **Überprüfung**: Sie können Datum der Ausstellung (`iat`) und Ablaufdatum (`exp`) Ihres Tokens überprüfen, indem Sie den Token decodieren. Online-Tools wie [jwt.io](https://jwt.io) ermöglichen dies einfach. Sobald der Token abgelaufen ist, müssen Sie sich erneut mit Ihrem PAT authentifizieren, um einen neuen Token zu erhalten. Es wird daher empfohlen, diesen Lebenszyklus in Ihren Skripten und Anwendungen zu verwalten, indem Sie eine automatische Erneuerung des Tokens vorsehen. ::: @@ -78,7 +78,7 @@ Once the identifier has been retrieved, it is possible to access the activity de -The activity content includes all essential information needed to identify the operation, its execution date, and its current progress status. Here is the model of an activity: +The activity content includes all essential information to identify the operation, its execution date, and its current progress status. Here is the model for an activity: ``` { @@ -143,12 +143,12 @@ __Note: The resource's UUIDv4 identifier is available in the activity result onc The Cloud Temple console sets __caps on the number of requests__ a user can send to the API within a given time period. Implementing these rate limits is a common practice in API management, adopted for several essential reasons: -- __Prevention of abuse__: These limits help safeguard the API's integrity by preventing abusive or careless usage that could compromise its operation. -- __Guarantee of service quality__: By regulating API access, we ensure an equitable distribution of resources, allowing all users to enjoy a stable and high-performing experience. +- __Prevention of abuse__: These limits help safeguard the API's integrity by preventing abusive or poorly designed usage that could compromise its operation. +- __Guarantee of service quality__: By regulating API access, we ensure a fair distribution of resources, allowing all users to enjoy a stable and high-performing experience. Consider a poorly designed or inefficient script making repeated API calls, risking resource exhaustion and performance degradation. By setting request thresholds, we prevent such scenarios and ensure __a smooth, uninterrupted service__ for our entire customer base. -### What are the rate limits for the Cloud Temple Console API? +### What are the rate limits for the Cloud Temple console API? We apply quantitative restrictions on user interactions with the console for each product. @@ -174,7 +174,7 @@ The following limits are in place: ### Specific Routes -Certain API endpoints, particularly those related to authentication or sensitive actions, have more restrictive limits to enhance security and ensure stability. +Certain API endpoints, particularly those related to authentication or sensitive operations, have more restrictive limits to enhance security and ensure stability. | Route | Limit Threshold | |---|---| @@ -185,7 +185,7 @@ Certain API endpoints, particularly those related to authentication or sensitive ### How Rate Limits Work If the number of requests sent to an API endpoint exceeds the allowed limit, the API endpoint will respond by returning -__an HTTP 429 status code__. This code indicates that the user has exceeded the permitted number of requests. +__an HTTP status code 429__. This code indicates that the user has exceeded the permitted number of requests. When this occurs, the API endpoint will also provide a JSON object as part of the response, containing detailed information about the applied rate limit: @@ -204,16 +204,16 @@ It is recommended to limit the number of API calls made by your automation to st This situation often occurs when multiple requests are executed in parallel, using several processes or threads. -There are several ways to improve the efficiency of your automation, including using __caching mechanisms__ and implementing a __retry system with exponential backoff__. This method involves taking a short pause when a rate limit error is encountered, then retrying the request. If the request fails again, the pause duration is progressively increased until the request succeeds or a maximum number of retries is reached. +There are several ways to improve the efficiency of your automation, including using __caching mechanisms__ and implementing a __retry system with exponential backoff__. This method involves taking a short pause when a rate limit error is encountered, then retrying the request. If the request fails again, the pause duration is progressively increased until the request succeeds or until a maximum number of retries is reached. This approach offers several advantages: -- __Exponential backoff__ ensures that initial attempts are made quickly, while longer delays are applied in case of repeated failures. +- __Exponential backoff__ ensures that initial attempts are made quickly, while longer delays are scheduled in case of repeated failures. - Adding a __random variation__ to the pause helps prevent all retry attempts from occurring simultaneously. -It is important to note that __failed requests do not affect your rate limit__. However, continuously retrying a request may not be a sustainable long-term solution, as this behavior could change in the future. Therefore, we recommend not relying solely on this mechanism. +It is important to note that __failed requests do not affect your rate limit__. However, continuously retrying a request may not be a sustainable long-term solution, as this behavior could change in the future. Therefore, we recommend not relying exclusively on this mechanism. -Python libraries __[Backoff](https://pypi.org/project/backoff/)__ and __[Tenacity](https://pypi.org/project/tenacity/)__ are good starting points for implementing retry strategies. +Python libraries __[Backoff](https://pypi.org/project/backoff/)__ and __[Tenacity](https://pypi.org/project/tenacity/)__ are excellent starting points for implementing retry strategies. ## API Endpoint Lifecycle diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/console.md b/i18n/de/docusaurus-plugin-content-docs/current/console/console.md index c62fc8af..99901474 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/console.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/console.md @@ -4,7 +4,7 @@ title: Übersicht ## Die Cloud Temple-Konsole -Die Cloud Temple-Konsole ist die integrierte Cloud-Verwaltungsplattform (**Cloud Management Platform**) von Cloud Temple. Sie bildet den zentralen Punkt zur Verwaltung all Ihrer Cloud-Ressourcen und bietet eine einheitliche, leistungsstarke Oberfläche. +Die Cloud Temple-Konsole ist die integrierte Cloud-Verwaltungsplattform (**Cloud Management Platform**) von Cloud Temple. Sie bildet den zentralen Punkt zur Verwaltung all Ihrer Cloud-Ressourcen und bietet Ihnen eine einheitliche und leistungsstarke Schnittstelle. Dank der **Konsole** können Sie Ihre Cloud-Infrastrukturen mit großer Einfachheit überwachen und nutzen. Hier eine Übersicht über ihre wichtigsten Funktionen: @@ -34,7 +34,7 @@ Dank der **Konsole** können Sie Ihre Cloud-Infrastrukturen mit großer Einfachh
-### Management Ihrer Cloud-Temple-Produkte und -Dienstleistungen +### Management Ihrer Cloud-Temple-Produkte und -Dienste Die Konsole ermöglicht Ihnen die effiziente Steuerung Ihrer virtuellen Server, Ihres Speichers, Ihrer Netzwerke und Ihrer Cloud-Dienste über eine zentrale Oberfläche. @@ -69,25 +69,25 @@ Need expertise? Benefit from the support of our engineers for: - Assistance with implementing cloud architectures, - Training for your teams. -The Cloud Temple Console **'Shiva'** is **Cloud Temple's integrated cloud management platform** (Cloud Management Platform). +The Cloud Temple **'Console'** portal is the integrated cloud management platform (Cloud Management Platform) of **Cloud Temple**. -The Cloud Temple Shiva console enables you to manage cloud resources such as virtual servers, storage, networks, and application services. +The Cloud Temple Console enables you to manage cloud resources such as virtual servers, storage, networks, and application services. It is a centralized management interface that allows you to design and operate your cloud infrastructure. -The Cloud Temple Shiva console enables your teams to: +The Cloud Temple Console enables your teams to: - **Manage your Cloud Temple products and services**, -- **Monitor and report on the performance of your cloud resources**, -- **Automation and orchestration**: Thanks to its API, Shiva allows you to automate repetitive tasks and orchestrate complex workflows for deploying, managing, and scaling your cloud resources, -- **Security and compliance**: Shiva enables identity management and access filtering to ensure regulatory compliance and adherence to your security policies, +- **Monitor and report** on the performance of your cloud resources, +- **Automation and orchestration**: Through its API, the Console allows you to automate repetitive tasks and orchestrate complex workflows for deploying, managing, and scaling your cloud resources, +- **Security and compliance**: The Console enables identity management and access filtering to ensure regulatory compliance and adherence to your security policies, - **Integration with Cloud Adoption Frameworks (CAF)**: Thanks to its hybridization capabilities, you can maintain seamless operations with third-party cloud providers (Microsoft Azure and Amazon AWS) from a single interface, simplifying the integration and management of your multi-cloud application environments, -- **Access and tracking of technical support tickets**: Dedicated technical support is also available, including customer support for resolving technical issues as well as assistance with initial configuration, -- **Subscription to professional services**: To effectively manage your cloud environments, your teams can benefit from our engineers’ expertise in consulting, architectural implementation support, or training. +- **Access and tracking of technical support cases**: Dedicated technical support is also available, including customer support for troubleshooting technical issues as well as assistance with initial configuration, +- **Subscription to professional services**: To effectively manage your cloud environments, your teams can benefit from the expertise of our engineers for consulting, architectural implementation support, or training. ## Access to user features via the API -Access to all features of the Shiva console is possible via the Shiva API. -You can find detailed information about verbs and configurations via **'Profile'** and **'APIs'**. +Access to all features of the Console is possible via the Console API. +You can find detailed information about verbs and configurations via **'Profile'** and **'APIs'** ## Terraform Provider diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/console_quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/console/console_quickstart.md index 3f8823df..d4a517db 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/console_quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/console_quickstart.md @@ -16,13 +16,13 @@ import shivaSupportCriticities from './images/shiva_incident_criticities.png' ## Voraussetzungen -- Eine Cloud Temple-Angebot abgeschlossen haben. Um einfach abzuschließen, können Sie uns [kontaktieren](https://www.cloud-temple.com/contactez-nous/) oder per E-Mail an die Adresse __contact@cloud-temple.com__. -- Zugriff auf die Shiva-Konsole haben -- Ihre öffentliche IPv4-Adresse in der vertrauenswürdigen Zone von Cloud Temple angegeben haben (der Zugriff auf die Shiva-Konsole ist auf identifizierte vertrauenswürdige Adressen beschränkt) +- Eine Cloud Temple-Angebot abgeschlossen haben. Um einfach abzuschließen, können Sie uns [kontaktieren](https://www.cloud-temple.com/contactez-nous/) oder per E-Mail an die Adresse __contact@cloud-temple.com__ erreichen. +- Zugriff auf die Console haben. +- Ihre öffentliche IPv4-Adresse in der vertrauenswürdigen Zone von Cloud Temple angegeben haben (der Zugriff auf die Console ist auf identifizierte vertrauenswürdige Adressen beschränkt). ## Verbindung mit Ihrem Cloud Temple-Mandanten -Shiva ist über die folgende URL erreichbar: [Shiva](https://shiva.cloud-temple.com) oder über die direkte URL, die Ihnen per E-Mail mitgeteilt wurde. +Die Konsole ist über die folgende URL erreichbar: [Console](https://shiva.cloud-temple.com) oder über die direkte URL, die Ihnen per E-Mail mitgeteilt wurde. Auf der ersten Seite können Sie die [Organisation](iam/concepts.md#organisations) auswählen, in der Ihr Benutzer erstellt wurde. Nach Eingabe der Firma klicken Sie auf __'Anmelden'__. @@ -48,7 +48,7 @@ The configuration is set individually for each tenant [Tenant](iam/concepts.md#t ## Technischer Support -Sie können jederzeit die __Cloud Temple-Support-Team__ über die __Schwimmring-Ikone__ rechts oben auf dem Bildschirm kontaktieren. +Sie können jederzeit die __Cloud Temple-Support-Team__ über die __Schwimmring-Ikone__ oben rechts auf dem Bildschirm kontaktieren. @@ -65,14 +65,14 @@ Der erste Schritt ist die Identifizierung der Art der Support-Anfrage: Anschließend können Sie zusätzliche Informationen angeben und Dateien beifügen (z. B. Bilder oder Protokolle). -Der Auftraggeber kann außerdem in der Ticket-Beschreibung einen Kritikalitätsgrad (P1 bis P5) angeben, falls es sich um einen Sicherheitsvorfall handelt, wie folgt: +Der Auftraggeber kann außerdem in der Ticket-Beschreibung einen Kritikalitätsgrad (P1 bis P5) angeben, insbesondere bei Sicherheitsvorfällen, wie z. B.: __KRITISCH (P1)__: - Verdacht auf Datenleak sensibler Informationen -- Erkennung eines nicht autorisierten Zugriffs auf Ihre Daten +- Erkennung eines unerlaubten Zugriffs auf Ihre Daten - Kompromittierung Ihrer Administratoren-Zugangsdaten - Vollständige Unzugänglichkeit Ihrer kritischen Dienste - Anomalies im Verhalten sensibler Daten @@ -80,8 +80,8 @@ __KRITISCH (P1)__: __HOCH (P2)__: -- Funktionsstörungen bei Benutzerzugängen -- Anomalie im Verschlüsselungsprozess Ihrer Daten +- Störungen bei Benutzerzugängen +- Anomalie im Verschlüsselungsverfahren Ihrer Daten - Verlust des Zugriffs auf bestimmte kritische Funktionen - Inkonsistenzen in den Daten - Schwere Verzögerungen, die die Geschäftsaktivität beeinträchtigen @@ -100,13 +100,13 @@ __NIEDRIG (P4)__: - Frage zur Konformität - Bedarf an technischer Klärung -__BETRIEBSBEREITER DIENST (P5)__: +__OPERATIV (P5)__: -- Betriebsbereiter Dienst ohne unmittelbares Risiko +- Operativer Service ohne unmittelbares Risiko -Nach Abschluss Ihrer Anfrage können Sie Ihre Anfragen über die __Schwimmring-Ikone__ rechts oben auf dem Bildschirm wiederfinden: +Nach Abschluss Ihrer Anfrage können Sie Ihre Anfragen über die __Schwimmring-Ikone__ oben rechts auf dem Bildschirm wiederfinden: @@ -119,7 +119,7 @@ Alle für Ihren Benutzer (abhängig von seinen Berechtigungen) verfügbaren Funk - Die __Steuerung von IaaS-Ressourcen__ (Berechnung, Speicher, Netzwerk, ...), - Die __Steuerung von OpenIaaS-Ressourcen__ (Berechnung, Speicher, Netzwerk, ...), - Der Zugriff auf __zusätzliche Dienste__ (Bastion, Monitoring, ...), -- Die __Verwaltung Ihrer Organisation__ (Verwaltung von Mietern, Berechtigungen, ...). +- Die __Verwaltung Ihrer Organisation__ (Verwaltung von Mandanten, Berechtigungen, ...). Die Aktivierung eines Moduls für einen Benutzer hängt von dessen Berechtigungen ab. Zum Beispiel ist das Modul __'Bestellung'__ nicht verfügbar, wenn der Benutzer die Berechtigung __'ORDER'__ nicht besitzt. @@ -128,17 +128,17 @@ Im Folgenden finden Sie eine Übersicht über die verfügbaren Module. Regelmä
-- __Dashboard__: ermöglicht eine schnelle Übersicht über den __Gesamtbestand an Rechen- und Speicherressourcen__, die Statistiken der __Sicherung__ sowie eine __Zusammenfassung der Support-Fälle__, -- __Bestand__: bietet eine Übersicht über alle Ihre Ressourcen des Typs __'virtuelle Maschinen'__. Wenn __Tags__ verwendet werden, ermöglicht es eine Ansicht nach __Tag__ (z. B. Geschäftsbereich, Anwendung, ...), +- __Dashboard__: ermöglicht eine schnelle Übersicht über den __Gesamtbestand an Rechen- und Speicherressourcen__, die Statistiken zur __Sicherung__ sowie eine __Zusammenfassung der Support-Fälle__, +- __Bestand__: bietet eine Übersicht über alle Ihre Ressourcen des Typs __'virtuelle Maschinen'__. Wenn __Tags__ verwendet werden, ermöglicht es eine Ansicht nach __Tag__ (z. B. geschäftlich, anwendungsbezogen, ...), - __Infogérance__: gewährt Zugriff auf die Verfolgung Ihrer __Support-Anfragen__ und die __Metriken der Dienste__, - __IaaS__: ermöglicht die __Steuerung Ihrer VMware-IaaS-Infrastrukturen__ (virtuelle Maschinen, Cluster, Hypervisoren, Replikationen, Sicherungen, ...), -- __OpenIaaS__: ermöglicht die __Steuerung von Xen Orchestra-Ressourcen__ (virtuelle Maschinen, Sicherungen, ...), -- __OpenShift__: ermöglicht die Steuerung Ihrer **RedHat OpenShift-PaaS-Architektur** und die Verwaltung Ihrer Container über die drei Verfügbarkeitszonen der Plattform. +- __OpenIaaS__: ermöglicht die __Steuerung der Xen Orchestra-Ressourcen__ (virtuelle Maschinen, Sicherungen, ...), +- __OpenShift__: ermöglicht die Steuerung Ihrer **RedHat OpenShift-PaaS-Architektur** sowie die Verwaltung Ihrer Container über die drei Verfügbarkeitszonen der Plattform. - __Bastion__: ermöglicht das Bereitstellen und Steuern von Bastion-Appliances für SSH/RDP in Ihren Netzwerken, -- __Netzwerk__: ermöglicht die Steuerung von __Netzwerken der Ebene 2 und 3__, __öffentlichen IP-Adressen__ und Ihrer __Telekommunikationsverbindungen__, +- __Netzwerk__: ermöglicht die Steuerung von __Netzwerken der Ebene 2 und 3__, __öffentlichen IP-Adressen__ sowie Ihrer __Telekommunikationsverbindungen__, - __Colocation__: bietet eine Übersicht über die Geräte in den Bereichen der __gemeinsamen oder dedizierten Colocation__, - __Bestellung__: ermöglicht die Bestellung von Ressourcen und die Verfolgung der Bereitstellungen, -- __Administration__: fasst die Administrationsfunktionen für Benutzer und Mietern sowie den Zugriff auf die globale Protokollierung zusammen. +- __Administration__: fasst die Administrationsfunktionen für Benutzer und Mandanten sowie den Zugriff auf die globale Protokollierung zusammen.
@@ -147,61 +147,61 @@ Die Piktogramme __'NEW'__ bedeuten, dass das betreffende Produkt bereitgestellt __Protokollierung – Verfolgung von Aktivitäten__ ===================================== -Die Aktivitätsseite dient dazu, eine vollständige Übersicht über alle Lese- und Schreibvorgänge innerhalb der Konsole bereitzustellen und somit eine erhöhte Nachvollziehbarkeit und Sicherheit zu gewährleisten. Sie hebt die beiden Hauptregisterkarten hervor: Kürzlich und Archiviert. +Die Seite „Aktivitäten“ dient dazu, eine vollständige Übersicht über alle Lese- und Schreibvorgänge innerhalb der Konsole bereitzustellen und so eine erhöhte Nachvollziehbarkeit und Sicherheit zu gewährleisten. Sie hebt die beiden Hauptregisterkarten „Kürzlich“ und „Archiviert“ hervor. -### __Seitenstruktur__ +### __Page Structure__ -#### __Reiter__ +#### __Tabs__ - + **Kürzlich** + + **Recent** -- Kürzliche Operationen -- Echtzeit-Überwachung +- Recent operations +- Real-time monitoring -- __Archiviert__ +- __Archived__ -- Operationen über einen längeren Zeitraum -- Archivierte Operationen für Nachvollziehbarkeit und Konformität +- Operations over a longer period +- Archived operations for traceability and compliance -#### __Angezeigte Informationen__ +#### __Displayed Information__ - + Datum und Uhrzeit + + Date and Time -- Operationstyp +- Operation Type - Status -- Benutzer -- Beschreibung der Operation +- User +- Operation Description #### __Funktion__ - + Suche/Filterung für spezifische Operationen + + Suche/Filter für spezifische Operationen -### __Nutzung__ +### __Usage__ -- __Zugriff:__ Berechtigung `activity_read` +- __Access:__ permission `activity_read` - __Navigation:__ - - Wählen Sie den Reiter "Kürzlich" für Echtzeit-Operationen. - - Wählen Sie "Archiviert", um den Verlauf einzusehen. - - Nutzen Sie die Such- und Filterfunktionen, um spezifische Operationen zu finden. + - Select the "Recent" tab for real-time operations. + - Choose "Archived" to view the history. + - Use search and filtering features to locate specific operations. -#### __Konformitätshinweis__ +#### __Compliance Note__ -In Übereinstimmung mit der SecNumCloud-Qualifizierung beträgt die Aufbewahrungsdauer für Ereignisse der Cloud Temple-Konsole mindestens __6 Monate__, wodurch die Einhaltung der Sicherheits- und Nachvollziehbarkeitsanforderungen gewährleistet wird. +In accordance with the SecNumCloud certification, the retention period for Cloud Temple console events is a minimum of __6 months__, ensuring compliance with security and traceability requirements. -## Anzeigen der neuesten Updates +## Viewing the latest updates -Klicken Sie auf das Symbol __'Neuigkeiten'__ unten links im grünen Banner. Dort finden Sie Details zu den Änderungen für jede Version der Cloud Temple-Konsole. +Click on the __'New Features'__ icon at the bottom left of the green banner. You will find detailed information about the changes for each version of the Cloud Temple console. ## Zugriff auf Benutzerfunktionen über die API -Der Zugriff auf alle Funktionen der Shiva-Konsole ist über die Shiva-API möglich. Sie finden detaillierte Informationen zu Verben und Konfigurationen unter __'Profil'__ und __'APIs'__: +Der Zugriff auf alle Funktionen der Console ist über die Console-API möglich. Sie können die Verben und Konfigurationen detailliert über __'Profil'__ und __'APIs'__ einsehen: ## Terraform Provider -Cloud Temple stellt Ihnen einen [Terraform-Provider](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest) zur Verfügung, um Ihre Cloud-Plattform *"as code"* zu steuern. +Cloud Temple vous met à disposition un [Terraform-Provider](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest) pour piloter votre plateforme Cloud *"as code"*. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/concepts.md index 5c91a33d..082a11c3 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/concepts.md @@ -19,9 +19,8 @@ import shivaTenantRessources_01 from './images/shiva_tenant_ressources_01.png' ## Users -Access accounts to the Shiva console are created by the sponsor's master account via invitation (regardless of the authentication repository). - -Credentials are global to your [Organization](#organisations). +Access accounts for the Console are created by the sponsor's master account via invitation (regardless of the authentication repository used). +Credentials are global to your [Organization](#organizations). *__Note:__ [Identity federation is managed at the organization level](#authentication-mechanisms)* @@ -51,7 +50,7 @@ Die Verwaltung von Benutzerberechtigungen erfolgt über die Benutzerseite. Standardmäßig hat ein Benutzer keine Berechtigungen. Der Administrator, der die Einladung versandt hat, muss daher die erforderlichen Berechtigungen für die Tätigkeit des Benutzers erteilen. Dazu klicken Sie einfach auf das Menü __'Aktionen'__ des Benutzers und wählen die Option __'Bearbeiten'__. -Das Menü zur Aktivierung von Berechtigungen erscheint nun: +Das Menü zur Aktivierung von Berechtigungen wird nun angezeigt: @@ -61,11 +60,11 @@ Die Liste der Berechtigungen und ihre Definitionen ist [hier](#permissions) verf ### Re-registration of a user -When a user has been provisioned but did not validate their registration within the expiration period of the email sent by the Console, they can no longer confirm their registration. In such cases, it is possible to resend a link so that the user can renew their initial registration. +When a user has been provisioned but did not validate their registration within the expiration period of the email sent by the Console, they can no longer confirm their registration. In such cases, it is possible to resend a link allowing the user to renew their initial registration. To re-register a user, go to the __'User'__ tab in the Administration panel, located in the lower-left corner of the screen. -Select the user you wish to re-register, then click the action button at the end of the row and choose __'Re-registration'__. +Select the user you wish to re-register, then click the action button at the end of the corresponding row and choose __'Re-registration'__. __Warning__: Make sure you are the original requester of the re-registration for your user account. Please report any requests that do not originate from you via a support ticket. @@ -143,27 +142,27 @@ This feature is accessible in the user profile, under the "My Subscriptions" tab -For example, in case of an incident, specific email notifications for this theme will be generated. +For example, in the event of an incident, specific email notifications related to this theme will be generated. The list of available themes may evolve and gradually expand to adapt to changing operational needs and environment requirements. ## Permissions -The Shiva console allows for fine-grained management of user rights within an organization, with segregation by tenant. +The Console allows for fine-grained management of user rights within an organization, with segregation by tenant. Initially, it is the primary account of the sponsor that enables the initial configuration of accounts and associated permissions. Subsequently, the __'iam_write'__ permission allows an account to manage the permissions of other users. ### Available permissions for users in your organization -When a user is created, they have no permissions by default. Each permission is assigned individually and operates in isolation, without overlap with other permissions. Permissions are applied in conjunction, meaning a user must possess all required permissions to perform a specific action. +When a user is created, they have no permissions by default. Each permission is assigned individually and operates in isolation, without overlap with other permissions. Permissions are applied in conjunction, meaning a user must have all required permissions to perform a specific action. The following permissions are configurable for each user and for each tenant in your organization: -- **"read" permissions**: Allow only the viewing of resources, without the ability to modify them. -- **"write" permissions**: Permit modification of configurations. -- **"management" permissions**: Enable advanced management of resources. -- **"console_access" permissions**: Allow PMAD-style connections to resources. -- **"virtual_machine_power" permissions**: Permit management of a virtual machine’s power state. +- **"read" permissions**: allow only reading resources, without the ability to modify them. +- **"write" permissions**: permit modification of configurations. +- **"management" permissions**: enable advanced management of resources. +- **"console_access" permissions**: allow PMAD-style connections to resources. +- **"virtual_machine_power" permissions**: enable power management of a virtual machine. - __These are permissions, not roles.__ As such, both READ and WRITE permissions are required to modify a configuration. @@ -171,63 +170,63 @@ Last updated: 16/07/2025 | Permission name | Permission description | | --------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------ | -| activity_read | Viewing of log and activity records | -| activity_write | Management of log and activity records | -| backup_iaas_opensource_read | Management of backup resources – OpenIaaS offering – read access | -| backup_iaas_opensource_write | Management of backup resources – OpenIaaS offering – write access | -| backup_iaas_spp_read | Management of backup resources – VMware offering – read access | -| backup_iaas_spp_write | Management of backup resources – VMware offering – write access | -| bastion_read | Viewing of bastion resources | -| bastion_write | Management of bastion resources (appliances, sessions, etc.) | -| bastion_console_access | Authorization to access the console (SSH/RDP) of a resource protected by a bastion appliance | -| compute_iaas_opensource_console_access | OpenIaaS offering – Opening the console of a virtual machine | -| compute_iaas_opensource_infrastructure_read | OpenIaaS offering – Viewing advanced data of Xen Orchestra resources | -| compute_iaas_opensource_infrastructure_write | OpenIaaS offering – Advanced management of Xen Orchestra resources | -| compute_iaas_opensource_read | OpenIaaS offering – Viewing of virtual machine resources | -| compute_iaas_opensource_management | OpenIaaS offering – Management of virtual machine resources | -| compute_iaas_opensource_virtual_machine_power | OpenIaaS offering – Power management of a virtual machine | -| compute_iaas_opensource_replication_recover | OpenIaaS offering – Replication management | -| compute_iaas_vmware_console_access | VMware offering – Opening the console of a virtual machine | -| compute_iaas_vmware_infrastructure_read | VMware offering – Viewing advanced data of VMware resources (affinity/anti-affinity rules, DRS configuration, etc.) | -| compute_iaas_vmware_infrastructure_write | VMware offering – Advanced management of VMware resources | -| compute_iaas_vmware_read | VMware offering – Viewing of virtual machine resources | -| compute_iaas_vmware_management | VMware offering – Management of virtual machine resources (including virtual machine encryption) | -| compute_iaas_vmware_virtual_machine_power | VMware offering – Power management of a virtual machine | -| baremetal_management | Bare Metal offering – Management of bare metal resources | -| baremetal_read | Bare Metal offering – Viewing of bare metal resources | -| baremetal_console_access | Bare Metal offering – Opening the console of a bare metal server | -| console_public_access_read | Viewing of IP addresses authorized to access the console | -| console_public_access_write | Adding IP addresses authorized to access the console | -| documentation_read | Viewing of Confluence documentation resources | -| housing_read | Viewing of colocation resources | -| iam_offline_access | Creation and deletion of Personal Access Tokens (PATs) | -| iam_read | Viewing of user rights | -| iam_write | Management of user rights | -| intervention_read | Viewing of planned changes and production deployments on the platform | -| inventory_read | Viewing of inventory resources | -| inventory_write | Management of inventory resources | -| monitoring_read | Viewing of monitoring data | -| monitoring_write | Management of monitoring | -| metric_read | Viewing of health metrics for virtual machines and hosts | -| network_read | Viewing of network resources | -| network_write | Management of network resources | -| order_read | Viewing of infrastructure orders | -| order_write | Creation of infrastructure orders | -| object-storage_iam_management | Ability to manage storage accounts on the S3 product | -| object-storage_read | Ability to view buckets and bucket configurations | -| object-storage_write | Ability to edit buckets and bucket configurations | -| openshift_management | Ability to connect to OpenShift platforms (scoped to tenant) | -| support_management | Viewing of all support tickets within the tenant | -| support_read | Viewing of user’s own support tickets within the tenant | -| support_write | Creation of a support ticket within the tenant | -| tag_read | Viewing of tags, excluding RTMS tags | -| tag_write | Management of tags, excluding RTMS tags | -| ticket_comment_read | Viewing of comments | -| ticket_comment_write | Management of comments | -| ticket_read | Viewing of tickets | -| ticket_write | Management of tickets | -| incident_management | Management of incidents | -| incident_read | Viewing of incidents | +| activity_read | View logs and activity records | +| activity_write | Manage logs and activity records | +| backup_iaas_opensource_read | View backup resources – OpenIaaS offering | +| backup_iaas_opensource_write | Modify backup resources – OpenIaaS offering | +| backup_iaas_spp_read | View backup resources – VMware offering | +| backup_iaas_spp_write | Modify backup resources – VMware offering | +| bastion_read | View bastion resources | +| bastion_write | Manage bastion resources (appliances, sessions, etc.) | +| bastion_console_access | Grant access to the console (SSH/RDP) of a resource protected by a bastion appliance | +| compute_iaas_opensource_console_access | Open the console of a virtual machine – OpenIaaS offering | +| compute_iaas_opensource_infrastructure_read | View advanced data of Xen Orchestra resources – OpenIaaS offering | +| compute_iaas_opensource_infrastructure_write | Advanced management of Xen Orchestra resources – OpenIaaS offering | +| compute_iaas_opensource_read | View virtual machine resources – OpenIaaS offering | +| compute_iaas_opensource_management | Manage virtual machine resources – OpenIaaS offering | +| compute_iaas_opensource_virtual_machine_power | Manage power state of a virtual machine – OpenIaaS offering | +| compute_iaas_opensource_replication_recover | Manage replication – OpenIaaS offering | +| compute_iaas_vmware_console_access | Open the console of a virtual machine – VMware offering | +| compute_iaas_vmware_infrastructure_read | View advanced data of VMware resources (affinity/anti-affinity rules, DRS configuration, etc.) – VMware offering | +| compute_iaas_vmware_infrastructure_write | Advanced management of VMware resources – VMware offering | +| compute_iaas_vmware_read | View virtual machine resources – VMware offering | +| compute_iaas_vmware_management | Manage virtual machine resources – VMware offering (includes virtual machine encryption) | +| compute_iaas_vmware_virtual_machine_power | Manage power state of a virtual machine – VMware offering | +| baremetal_management | Manage bare metal resources – Bare Metal offering | +| baremetal_read | View bare metal resources – Bare Metal offering | +| baremetal_console_access | Open console of a bare metal server – Bare Metal offering | +| console_public_access_read | View IP addresses authorized to access the console | +| console_public_access_write | Add IP addresses authorized to access the console | +| documentation_read | View Confluence documentation resources | +| housing_read | View colocation resources | +| iam_offline_access | Create and delete Personal Access Tokens (PATs) | +| iam_read | View user permissions | +| iam_write | Manage user permissions | +| intervention_read | View planned changes and production deployments on the platform | +| inventory_read | View inventory resources | +| inventory_write | Manage inventory resources | +| monitoring_read | View monitoring data | +| monitoring_write | Manage monitoring | +| metric_read | View health metrics for virtual machines and hosts | +| network_read | View network resources | +| network_write | Manage network resources | +| order_read | View infrastructure orders | +| order_write | Create infrastructure orders | +| object-storage_iam_management | Manage storage accounts on the S3 product | +| object-storage_read | View buckets and bucket configurations | +| object-storage_write | Edit buckets and bucket configurations | +| openshift_management | Connect to OpenShift platforms (scoped to tenant) | +| support_management | View all support tickets for the tenant | +| support_read | View own support tickets for the tenant | +| support_write | Create a support ticket for the tenant | +| tag_read | View tags, excluding RTMS tags | +| tag_write | Manage tags, excluding RTMS tags | +| ticket_comment_read | View comments | +| ticket_comment_write | Manage comments | +| ticket_read | View tickets | +| ticket_write | Manage tickets | +| incident_management | Manage incidents | +| incident_read | View incidents | ## Organizations @@ -238,25 +237,25 @@ Die Organisation ist mit Ihrem __Sponsorenkonto__ und dem zugehörigen __Cloud T An organization has four major roles: - It represents the __contractual entity__ for tracking and billing purposes, -- It defines the __global configuration of the authentication mechanism__: authentication can be local at the level of the Shiva console or remote via an identity federation service, +- It defines the __global configuration of the authentication mechanism__: authentication can be local at the Console level or remote via an identity federation service, - It manages all __user accounts__, -- It __federates tenants__ (Production, Staging, Dev, Application 1, Application 2, ...) that you define for your Cloud architecture needs. +- It __federates tenants__ (Production, Preproduction, Dev, Application 1, Application 2, ...) that you define for your Cloud architecture needs. User roles (rights/permissions) are configurable for each tenant defined within your organization. For example, a user account may be authorized to provision resources in one tenant but not in another. ### Authentication Mechanisms -The Shiva console allows organizations to __configure the authentication mechanism__ at the organization level. You can use the Shiva console's built-in local authentication directory, or connect your organization to one of your external authentication directories. +The Console allows you to configure the __authentication mechanism at the organization level__. You can use the Console's built-in local authentication directory, or connect your organization to one of your external authentication directories. The following external authentication directories are supported: -- __OpenID Connect__ compatible directories, -- __SAML__ compatible directories, -- __Microsoft ADFS__, -- __Microsoft EntraID__ (Microsoft Azure Active Directory), -- Amazon AWS Cognito, -- Okta, -- Auth0, +- OpenID Connect-compatible directories, +- SAML-compatible directories, +- Microsoft ADFS +- Microsoft EntraID (Microsoft Azure Active Directory) +- Amazon AWS Cognito +- Okta +- Auth0 - Keycloak :::info[Important] @@ -265,7 +264,7 @@ An email address is required for all accounts originating from an identity feder ## Tenant -Der Tenant ist eine __Gruppierung von Ressourcen innerhalb einer Organisation__. Eine [Organisation](#organisations) verfügt mindestens über einen Tenant (den sogenannten __Standard-Tenant__, der umbenannt werden kann). In der Regel werden mehrere Tenants verwendet, um Verantwortlichkeiten oder technische Bereiche zu segmentieren. +Der Tenant ist eine __Gruppierung von Ressourcen innerhalb einer Organisation__. Eine [Organisation](#organisations) verfügt mindestens über einen Tenant (der __Standard-Tenant__, der umbenannt werden kann). In der Regel werden mehrere Tenants verwendet, um Verantwortlichkeiten oder technische Bereiche zu segmentieren. Beispiele: @@ -274,7 +273,7 @@ Beispiele: - Ein Tenant __Test__ - Ein Tenant __Qualifizierung__ -Es ist aber auch möglich, die Struktur anhand einer __Anwendungsperspektive__ oder nach __Kritikalität__ zu organisieren: +Es ist jedoch auch möglich, die Struktur anhand einer __Anwendungsperspektive__ oder nach __Kritikalität__ zu organisieren: - Ein Tenant __Anwendung 1__ oder __Kritikalität 1__ - Ein Tenant __Anwendung 2__ oder __Kritikalität 2__ @@ -282,11 +281,11 @@ Es ist aber auch möglich, die Struktur anhand einer __Anwendungsperspektive__ o Technische Ressourcen, die bestellt werden, werden einem bestimmten Tenant zugeordnet und sind mit anderen Tenants nicht geteilt. Zum Beispiel sind ein Hypervisor-Cluster und die zugehörigen L2-Netzwerke nur innerhalb eines einzelnen Tenants verfügbar. -Bezüglich Netzwerke ist es möglich, sogenannte __"cross-tenant"-Netzwerke__ anzufordern, um die Netzwerkverbindung zwischen verschiedenen Tenants sicherzustellen. +Bezüglich Netzwerke ist es möglich, __"cross-tenant"-Netzwerke__ anzufordern, um eine kontinuierliche Netzwerkverbindung zwischen verschiedenen Tenants sicherzustellen. -Die Berechtigungen von Benutzern müssen in jedem Tenant separat definiert werden. Daher sollte jede Organisation sorgfältig über die gewünschten Tenants nachdenken. Dieser Punkt wird in der Regel in einem Initialisierungsworkshop behandelt, bei der Erstellung der Organisation. +Die Berechtigungen von Benutzern müssen jeweils innerhalb jedes Tenants definiert werden. Daher sollte jede Organisation sorgfältig über die gewünschten Tenants nachdenken. Dieser Punkt wird in der Regel in einem Initialisierungsworkshop behandelt, zum Zeitpunkt der Organisationserstellung. -Es ist möglich, die Architektur im Laufe der Zeit durch Hinzufügen oder Entfernen von Tenants zu erweitern. +Es ist möglich, die Architektur durch Hinzufügen oder Entfernen von Tenants zu erweitern. Ein Tenant darf nicht leer sein. Er muss zwingend mit mindestens folgenden Ressourcen initialisiert werden: @@ -326,16 +325,16 @@ Each tenant has at least one owner, ensuring clear accountability and efficient * To remove an owner from the tenant, the user must submit a request to support. - This procedure ensures that changes to access rights are carried out securely and in accordance with best practices for access management. -### Access Authorization for a Tenant: Allowed IP Addresses +### Access Authorization for a Tenant: Allowed IPs Access to the cloud management console is strictly limited to previously authorized IP addresses, in compliance with the SecNumCloud certification requirements. This restriction ensures a heightened level of security by allowing access only from specified IP ranges, thereby minimizing the risk of unauthorized access and protecting the cloud infrastructure according to the highest security standards. -Note: *Removal of an authorized IP address must be requested via support directly in the Cloud Temple console.* +Note: *Removing an authorized IP requires a support request via the Cloud Temple console.* -### Resource consumption within a tenant +### Resource Consumption within a Tenant It is possible to visualize the cloud resources consumed within a tenant, providing a detailed view of the usage of various deployed services. This feature enables users to monitor resource consumption in real time, identify the most heavily used services, and optimize their usage according to their needs. -In the console menu, click on "Consumption Report" and then select the desired time period. You will then be able to view detailed cloud resource consumption over the specified period, allowing you to analyze service usage and optimize your management accordingly: +In the console menu, click on "Consumption Report" and select the desired time period. You will then be able to view detailed cloud resource consumption over the specified period, allowing you to analyze service usage and optimize your management accordingly: \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/quickstart.md index da2ffd86..52025fcc 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/quickstart.md @@ -1,7 +1,6 @@ --- -title: Leitmotiv +title: Schnellstartanleitung --- - import shivaTenant from './images/shiva_tenant.png' import shivaOnboard_003 from './images/shiva_onboard_003.png' import shivaOnboard_004 from './images/shiva_onboard_004.png' @@ -12,172 +11,158 @@ import shivaProfil_007 from './images/shiva_profil_007.png' import shivaIpAccessManagement_01 from './images/shiva_ip_access_management_01.png' import shivaIpAccessManagement_02 from './images/shiva_ip_access_management_02.png' -## Eigentum +## Mandant -### Tenant-Erstellung +### Creation of a tenant -Die Erstellung eines Tenants erfolgt durch eine Service-Anfrage, die folgende Informationen enthält: +The creation of a tenant is carried out by submitting a service request indicating: - Den Namen Ihrer Organisation - Der Name eines Kontaktpersonals mit seinem Mailadresse und Telefonnummer zur Endgültigen Konfiguration des Tenants - Den Namen des Tenants - Die Verfügbarkeitszone oder alternativ der gewünschte Standort physikalisch für den Tenant + Your Organization's name + Name of a contact person, including their email address and phone number, to finalize the configuration + Name of the tenant + Desired availability zone, or alternatively, the physical site for the tenant -### Tenant-Wahl +### Selection of a tenant -Die Auswahl des Tenants erfolgt von der Hauptseite der Shiva-Konsole: +The selection of a tenant is performed from the main page of the Console: -*Bitte beachten Sie: Die Ressourcen eines Tenants sind exklusiv und dürfen nicht mit anderen Tenants vermischt werden.* +*__Note:__ The resources of a tenant are exclusive to that tenant and cannot be mixed with those of other tenants.* + +## Access Accounts for the Console -## Shiva Console Access Accounts +Access accounts for the Console are created by the sponsor's master account upon invitation (regardless of the authentication repository). -Shiva Console Access Accounts are created by the master account of the sponsor on invitation (regardless of the authentication reference). -The identification information is global to your [Organization](concepts.md#organisationen). +Credentials are global to your [Organization](concepts.md#organizations). -*__Note:__ The identity federation is managed at the organization level.* +*__Note:__ Identity federation is managed at the organization level* ### Erstellung eines Benutzerkontos in Ihrer Organisation -Die Erstellung eines Benutzerkontos in Ihrer Organisation erfolgt durch Einladen. Um einen Benutzer in einer [Organisation](concepts.md#organisationen) einzuladen, gehen Sie im linken Bandeau über den Menüpunkt __'Administration'__, dann __'Benutzer'__. +Die Erstellung eines Benutzerkontos in Ihrer Organisation erfolgt über eine Einladung. Um einen Benutzer in einer [Organisation](concepts.md#organisations) einzuladen, navigieren Sie im linken Menüband (grüner Balken) zu __'Administration'__ und dann zum Untermenü __'Benutzer'__. -Klicken Sie auf den Button __'Neuer Benutzer'__ aus der Seite der Benutzer. +Klicken Sie auf die Schaltfläche __'Neuer Benutzer'__ auf der Benutzerseite. -Geben Sie dann die E-Mail-Adresse des Benutzers an. +Geben Sie anschließend die E-Mail-Adresse des Benutzers ein. -Der Benutzer erhält nachfolgend ein Verifizierungs-E-Mail. +Der Benutzer erhält dann eine E-Mail zur Bestätigung. -Nach Abschluss der Verifizierung kann der Benutzer sich an die Console anmelden. - - -### Explication: +Nach Abschluss der Überprüfung kann sich der Benutzer auf der Konsole anmelden. -Le texte a été traduit du français au détecté langage Markdown, avec une attention particulière à préserver la structure et le formatage original. Les éléments HTML ou Markdown structurels (comme les titres, les listes, les en-têtes) ont été conservés sans modification. Le contenu textuel des images a également été traduit. +### Assignment of Permissions to a User -Les instructions pour créer un compte utilisateur dans une organisation sont décrites de manière claire et structurée, avec des étapes spécifiques : - -1. Accéder à l'administration de l'organisation via le menu gauche du bandeau vert. -2. Sélectionner "Utilisateurs" dans ce menu. -3. Cliquer sur "Nouvel Utilisateur". -4. Entrer l'adresse e-mail du nouveau utilisateur. -5. Le nouveau membre recevra une vérification par e-mail. -6. Une fois la vérification terminée, le nouveau membre pourra se connecter à la console. - -### Zugrichtung von Benutzereintrittsrechten - -Die Verwaltung von Benutzerrechten erfolgt über die Benutzerseite. +User rights management is performed from the user page. -Standardmäßig hat ein Benutzer keine Rechte. Es ist daher notwendig, dass der Administrator, der ihn eingeladen hat, ihm die erforderlichen Rechte für seine Tätigkeit zuweisen. Dies geschieht, indem man auf das Menü __'Aktionen__ des Benutzers klickt und die Option __'Anpassen__ auswählt__. +By default, a user has no rights. Therefore, the administrator who sent the invitation must assign the necessary rights for the user's activities. Simply click on the user's __'Actions'__ menu and select the __'Edit'__ option. -Das Menü zur Zugriffsrechtskonfiguration erscheint dann: +The rights activation menu then appears: -Die Konfiguration der Rechte erfolgt für jeden [Tenant](concepts.md#tenant) innerhalb der [Organisation](concepts.md#organisationen). +Permission configuration must be done for each [Tenant](concepts.md#tenant) within the +[Organization](concepts.md#organisations). -Die Liste der Rechte und deren Definition ist hier [durchzugehen](#berechtigungen). +The list of permissions and their definitions is available [here](#permissions). -### Ändern des Benutzersystemsprachen +### Change the language of a user -Die Spracheänderung eines Benutzers muss im Bereich __'Profil'__ des Benutzers selbst vorgenommen werden, welches sich in der oberen rechten Ecke des Bildschirms befindet und unter __'Benutzerparameter'__. +Changing a user's language is done in their __'Profile'__, located in the top right corner of the screen, under __'User Settings'__. -Die Konfiguration erfolgt für jeden Tenant [Tenant](concepts.md#tenant). +The configuration is set individually for each tenant [Tenant](concepts.md#tenant). -### Abonnement an die Themen-Updates +### Thematic Notifications Subscription -Die Verwaltung der Abonnements ermöglicht es Ihnen, E-Mails zu erhalten, die mit aktivierten Themen verbunden sind und automatisch gesendet werden, wenn ein entsprechender Ereignis auftritt. +Managing subscriptions allows you to receive emails related to activated themes, which are automatically sent when corresponding events occur. -Sie ist in Ihrem Benutzerprofil unter dem Tab "Meine Abonnements" zugänglich: +This feature is accessible in the user profile, under the "My Subscriptions" tab: -Beispielsweise würden bei einem Vorfall spezifische E-Mail-Benachrichtigungen für diese Thema generiert werden. +For example, in the event of an incident, specific email notifications related to this theme will be generated. -Die Liste der verfügbaren Themen kann sich ständig weiterentwickeln und verbessern, um den Bedürfnissen und Veränderungen in unserem Betriebsmilieu gerecht zu werden. +The list of available themes may evolve and gradually expand to adapt to changing operational needs and environment requirements. ## Berechtigungen -Note: The Markdown structure and formatting are preserved as is. The text "Permissions" remains unchanged in the translation. No modifications were made to HTML elements or code blocks, adhering strictly to the provided rules. - -### Welche Berechtigungen stehen den Benutzerkonten der Shiva-Konsole zur Verfügung? +### Welche Berechtigungen sind für Benutzerkonten in der Konsole verfügbar? -Hier ist die Liste der verfügbaren [Berechtigungen](#berechtigungen). +Hier finden Sie die Liste der verfügbaren [Berechtigungen](#permissions). -### How to grant permissions? +### How to add a permission? -You can find the procedure for assigning permissions [here](#berechtigungen) +The [procedure for assigning permissions is available here](#permissions) -### Warum kann ich keine Berechtigung hinzufügen? +### Why can't I add a permission? -Um eine Berechtigung zu erhöhen, benötigen Sie die Berechtigung __'iam_write'__ sowie die Berechtigung, die Sie hinzufügen möchten. +To add a permission, you need to have the __'iam_write'__ permission as well as the __permission you want to add__. -### Wie ein Benutzer hinzufügen? +### How to add a user? -*Hinweis: Um einen Benutzer zu erstellen, müssen Sie den Berechtigungsnamen `__'iam_write'__ besitzen.* +*__Note__ : To add a user, you must have the __'iam_write'__ permission.* -### Wie man Benutzerzugriffe und -rechte auditiert? +### How to audit user access/permissions? -Gehen Sie auf die Seite "Benutzer" und klicken Sie auf den Button "Exportieren als CSV": +Go to the users page and click the __'Export CSV'__ button: ### How to delete a user? -In the 'Administration' menu located on the top left bar, under the 'User' submenu, click on the 'Action' icon of the target user and select 'Delete'. +In the __'Administration'__ menu on the green bar on the left side of the screen, under the sub-menu __'User'__, click the __'Action'__ icon of the target user and select __'Delete'__. -*Note:* +*__Note__*: -- *To add a user, you need to have the __iam_write__ permission.* -- *If it's a federated user, make sure they have also been removed from their identity repository.* +- *To add a user, you must have the __'iam_write'__ permission.* +- *If this is a federated user, __make sure the user has also been deleted from the identity repository__.* -### Wie man seinen Passwort zurücksetzt +### How to reset your password? -Es ist möglich, Ihr Passwort wiederherzustellen, indem Sie auf die Seite der Anmeldeseite der Shiva-Console klicken und auf "Passwort vergessen?" klicken. +You can reset your password from the Console login page by clicking on __'Forgot password?'__. -### Warum sind einige Benutzer grau gefärbt? +### Warum sind einige Benutzer grau? -Die Grautöne stellen Benutzer dar, die ihr Konto noch nicht validiert haben. Bei der Erstellung des Kontos erhielten die Benutzer eine Bestätigungs-E-Mail. +Graue Benutzer sind solche, deren Konto noch nicht bestätigt wurde. Beim Erstellen des Kontos erhalten die Benutzer eine Bestätigungs-E-Mail. -Nach Abschluss der Validierung können die Benutzer sich auf die Konsole einloggen. +Sobald die Bestätigung abgeschlossen ist, kann sich der Benutzer in die Konsole einloggen. -Das Konto bleibt grau, bis die Validierung abgeschlossen ist. +Das Konto bleibt grau, solange die Bestätigung nicht abgeschlossen ist. ### Was ist ein Personal Access Token (PAT)? -Die Erzeugung eines API-Schlüssels, auch bekannt als __Personal Access Token (PAT)__, -ist eine sichere Methode, um sich an die Shiva-APIs zu verbinden, ohne über eine grafische Benutzeroberfläche. +Die Erstellung eines API-Schlüssels, auch als __Personal Access Token (PAT)__ bezeichnet, +ist eine sichere Methode, um sich an die Console-APIs anzumelden, ohne eine grafische Benutzeroberfläche verwenden zu müssen. -### Was ist MFA und ist es verpflichtend? +### What is MFA and is it mandatory? -MFA, oder Multi-Factor Authentication (Mehrfach-Authentifizierung), bezeichnet ein Verfahren zur Identitätsüberprüfung eines Benutzers in zwei Schritten, auch als Authentifizierung zu zweifelnm Faktor bekannt. +MFA (multi-factor authentication) is a concept of user identity verification in two steps, also known as __two-factor authentication__. -Der Benutzer muss zwei verschiedene Beweise seiner Identität vorlegen. Bei der Shiva-Konsole ist die MFA verpflichtend und erfordert, dass ein einmaligen Code eingegeben wird, nachdem der Passwort-Eingabe des Kontos bestätigt wurde. +The user must provide two distinct proofs of identity. In the case of the Console, two-factor authentication is mandatory and requires entering a one-time code after the user has entered their account password. -### Verwaltung von Zugriffen und Authentifizierung +## Access Management and Authentication -### Zugrichtlinien für den Tenant: Erlaubte IP-Adressen +### Zugriffsberechtigung auf einen Mandanten: Genehmigte IP-Adressen -Die Zugangsmöglichkeit zur Cloud-Management-Konsole wird streng auf die vorab genehmigten IP-Adressen beschränkt, in Übereinstimmung mit den Anforderungen der Qualifizierung SecNumCloud. Diese Einschränkung gewährleistet ein erhöhtes Sicherheitsniveau, indem nur Benutzer aus spezifischen IP-Adressblöcken zugelassen werden, was die Risiken von unbefugtem Zugriff minimiert und die Cloud-Infrastruktur nach den höchsten Sicherheitsstandards schützt. +Der Zugriff auf die Cloud-Verwaltungskonsole ist streng auf vorab genehmigte IP-Adressen beschränkt, in Übereinstimmung mit den Anforderungen der SecNumCloud-Zertifizierung. Diese Einschränkung gewährleistet ein erhöhtes Sicherheitsniveau, indem nur Benutzer aus festgelegten IP-Bereichen Zugriff erhalten, wodurch das Risiko von unbefugtem Zugriff minimiert und die Cloud-Infrastruktur gemäß den höchsten Sicherheitsstandards geschützt wird. -Es ist nun möglich, die Liste der erlaubten öffentlichen IP-Adressen auf dem Tenant anzuzeigen und eine neue öffentliche IP-Adresse direkt aus dem Menü "Administration > Zugrichtlinien" hinzuzufügen. +Es ist nun möglich, die Liste der genehmigten öffentlichen IP-Adressen für den Mandanten anzuzeigen und eine neue öffentliche IP-Adresse direkt über den Tab „Administration > Zugriff“ dieser Liste hinzuzufügen. -Für diese Funktion benötigt der Benutzer den Rechtsstatus `console_public_access_read`, um die erlaubten IPs anzuzeigen, sowie den Status `console_public_access_write` zur Hinzufügung einer neuen öffentlichen IP-Adresse in die Liste. +Dazu muss der Benutzer die Berechtigung `console_public_access_read` besitzen, um die genehmigten IPs einzusehen, und die Berechtigung `console_public_access_write`, um eine öffentliche IP-Adresse der Liste hinzuzufügen. -Dann kann eine neue IP-Adresse hinzugefügt werden: +Anschließend kann eine neue IP-Adresse hinzugefügt werden: -Hinweis: *Die Entfernung einer erlaubten IP-Adresse erfolgt über eine Support-Anfrage in der Cloud-Konsole.* +Hinweis: *Die Entfernung einer genehmigten IP-Adresse erfolgt über eine Support-Anfrage in der Cloud-Temple-Konsole.* \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials.md index a0c6f238..3aa8622a 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials.md @@ -2,7 +2,7 @@ title: Tutorials --- -Diese Tutorials helfen Ihnen, eine Cloud Temple Bastion über das Shiva-Portal bereitzustellen und zu verwalten. +Diese Tutorials helfen Ihnen, eine Cloud Temple Bastion über das Konsole-Portal bereitzustellen und zu verwalten.
diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md index ad220170..0e91dce4 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md @@ -1,5 +1,5 @@ --- -title: Beispiel für Identitätsföderation mit Microsoft ADFS +title: Example of Identity Federation with Microsoft ADFS tags: - iam - tutorials @@ -18,103 +18,103 @@ import ssoAdfs_010 from './images/sso_adfs_010.png' import ssoAdfs_011 from './images/sso_adfs_011.png' import ssoAdfs_012 from './images/sso_adfs_012.png' -Hier ist ein Beispiel für die Konfiguration des Authentifizierungsverzeichnisses einer Cloud Temple-Organisation mit __Microsoft ADFS__. +Here is an example configuration of an organization's identity repository with __Microsoft ADFS__. -Die Konfiguration Ihres Microsoft-Verzeichnisses auf der Ebene einer Cloud Temple-Organisation erleichtert die Authentifizierung Ihrer Benutzer an der Shiva-Konsole. -Dies hilft, die Vervielfachung von Authentifizierungsfaktoren zu vermeiden und die Angriffsfläche zu reduzieren. -Wenn Ihre Benutzer bei ihrem Microsoft-Konto authentifiziert sind, wird die Authentifizierung bei den Diensten der Shiva-Konsole transparent sein. +Configuring your Microsoft identity repository at the Cloud Temple organization level simplifies user authentication on the Console. +This helps avoid the proliferation of authentication factors and reduces the attack surface. +If your users are already authenticated to their Microsoft accounts, authentication to the Console services will be seamless. -Hier sind die verschiedenen Schritte zur Durchführung dieser Konfiguration: +Below are the steps to complete this configuration: ## Voraussetzungen Ihr Microsoft ADFS-Server muss auf [die Cloud Temple-URL](https://keycloak-shiva.cloud-temple.com/auth/) zugreifen können. -Der ADFS muss von den Cloud Temple-Netzwerken aus erreichbar sein und __ein TLS-Zertifikat einer öffentlichen Zertifizierungsstelle bereitstellen__. +ADFS muss von den Netzwerken von Cloud Temple aus erreichbar sein und __ein TLS-Zertifikat einer öffentlichen Zertifizierungsstelle bereitstellen__. -Benutzer, die sich am Portal anmelden möchten, müssen ihre E-Mail-Adresse, Vor- und Nachnamen im Active Directory hinterlegt haben. +Die Benutzer, die sich auf dem Portal anmelden möchten, müssen ihre E-Mail-Adresse, ihren Namen und Vornamen in der Active Directory angegeben haben. -## Schritt 2: Anforderung der SSO-Konfiguration (Single Sign-On) für Ihre Organisation +## Step 2: Request SSO (Single Sign-On) Configuration for Your Organization -Dieser Teil der Konfiguration wird auf Organisationsebene vom Cloud Temple-Team durchgeführt. +This configuration step is performed at the organization level by the Cloud Temple team. -Stellen Sie dazu eine __Support-Anfrage__ in der Konsole, in der Sie Ihren Wunsch nach Konfiguration Ihres Microsoft ADFS-Authentifizierungsverzeichnisses angeben. +To proceed, please __submit a support request__ in the console indicating your intention to set up your Microsoft ADFS authentication repository. -Bitte geben Sie die folgenden Informationen in der Support-Anfrage an: +Please provide the following information in your support request: ``` - Der Name Ihrer Organisation - Der Name eines Kontakts mit seiner E-Mail und Telefonnummer zur Finalisierung der Konfiguration - Öffentliche URL der ADFS-Föderationsmetadaten (/FederationMetadata/2007-06/FederationMetadata.xml) - (Beispiel: https://adfs.test.local/FederationMetadata/2007-06/FederationMetadata.xml) + Name of your Organization + Name of a contact person, including their email address and phone number, to finalize the configuration + Public URL of the ADFS federation metadata (/FederationMetadata/2007-06/FederationMetadata.xml) + (Example: https://adfs.test.local/FederationMetadata/2007-06/FederationMetadata.xml) ``` -Sobald die Konfiguration auf der Seite der Shiva-Konsole abgeschlossen ist, wird der angegebene Kontakt informiert. +Once the configuration is completed on the Console side, the designated contact will be notified. -Das Cloud Temple-Support-Team wird Ihnen eine URL zur Verfügung stellen, die wie folgt aussieht: [https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor](https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor) +The Cloud Temple support team will send you a URL that will look like this: [https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor](https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor) -*Sie können die URL in einen Browser einfügen, um sie zu testen. Wenn sie korrekt funktioniert, sollte ein XML angezeigt werden* +*You can paste the URL into a browser to test it. If it works correctly, you should see an XML document displayed.* -## Schritt 3: Durchführung der ADFS-Konfiguration +## Step 3: Configuration of ADFS -### Konfiguration der Authentifizierungsföderation +### Authentication Federation Configuration -#### Hinzufügen einer Vertrauensstellung für die vertrauende Seite +#### Adding a trusted party approval -Gehen Sie auf Ihrem ADFS-Server zu __"Vertrauensstellung für die vertrauende Seite hinzufügen"__. +On your ADFS server, go to __"Add a trusted party approval"__. -### Konfigurieren der "Claims" +### Konfigurieren der „Claims“ -Claims stellen Informationen für das Token bereit, das an die Cloud Temple-Konsole übermittelt wird. +Claims ermöglichen die Bereitstellung von Informationen im Token, der an die Cloud Temple-Konsole übermittelt wird. -Sie übertragen die Informationen des angemeldeten Benutzers, die für das ordnungsgemäße Funktionieren der verschiedenen Dienste erforderlich sind, wie z.B. seine E-Mail, seinen Vor- und Nachnamen. +Sie übertragen die Benutzerinformationen des angemeldeten Benutzers, die für die ordnungsgemäße Funktionsweise der verschiedenen Dienste erforderlich sind, wie beispielsweise E-Mail-Adresse, Vor- und Nachname. -Wählen Sie "Daten über die vertrauende Seite importieren, die online oder in einem lokalen Netzwerk veröffentlicht wurden" und geben Sie die vom Cloud Temple-Support bereitgestellte URL ein. +Wählen Sie „Daten importieren, die online oder im lokalen Netzwerk verfügbar sind, bezüglich der vertrauenswürdigen Partei“ aus und geben Sie die von Cloud Temple-Support bereitgestellte URL ein. -Sie können einen Namen und eine Beschreibung für die vertrauende Seite eingeben; dieser Teil ist optional. +Sie können optional einen Namen und eine Beschreibung für die vertrauenswürdige Partei angeben. -Standardmäßig erlauben wir allen Zugriff, aber es ist möglich, __"Eine bestimmte Gruppe zulassen"__ zu wählen, um die Gruppe(n) auszuwählen, die über ADFS auf die Dienste der Shiva-Konsole zugreifen dürfen. +Standardmäßig erlauben wir allen Zugriff, es ist jedoch möglich, __„Nur bestimmte Gruppen zulassen“__ auszuwählen, um die Gruppe(n) auszuwählen, die Zugriff auf die Dienste der Konsole über ADFS erhalten. -Sobald alle diese Schritte abgeschlossen sind, haben Sie die Konfiguration der vertrauenden Seite beendet. +Nach Abschluss dieser Schritte ist die Konfiguration der vertrauenswürdigen Partei abgeschlossen. -Sie müssen dann die Richtlinie für die Ausgabe von Ansprüchen für diese neue vertrauende Seite bearbeiten. +Anschließend müssen Sie die Ausstellungsrichtlinie für die Claims dieser neuen vertrauenswürdigen Partei bearbeiten. -Klicken Sie auf "Regel hinzufügen" und geben Sie die Vorlage an, die "Einen eingehenden Anspruch transformieren" ist. +Klicken Sie auf „Regel hinzufügen“ und wählen Sie den Vorlagentyp „Eingehende Claim transformieren“ aus. -Sie müssen nur die Informationen eingeben, wie im Screenshot unten gezeigt. +Geben Sie nun die Informationen wie in der folgenden Abbildung angegeben ein. -### Hinzufügen der Claims +### Add claims -Fügen Sie eine zweite Regel mit der Vorlage "LDAP-Attribute als Ansprüche senden" hinzu. +Add a second rule, this time using the template "Send LDAP attributes as claims". -Wählen Sie den Attributspeicher aus und fügen Sie die Attribute "E-Mail-Adressen, Vorname, Nachname und SAM-Kontoname" hinzu, wie im Screenshot unten gezeigt. +Select the attribute store and add the attributes "E-Mail Addresses, Given-Name, Surname, and SAM-Account-Name" as shown in the screenshot below. -Sie müssen nur die Änderungen anwenden. +Simply apply the changes. -## Schritt 3: Finalisierung +## Step 3: Finalization -Sie können nun testen, indem Sie zur Shiva-Konsole gehen und auf die Schaltfläche klicken, die der ADFS-Client-Authentifizierung entspricht; in diesem Beispiel ist es __"ADFS Test"__ +You can now test by going to the Console and clicking the button corresponding to the ADFS client authentication; in this example, it is __"ADFS Test"__. - + \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md index d55d2d6d..d991f3b8 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md @@ -1,7 +1,5 @@ - - --- -title: Beispiel der Identitätsfederierung mit Microsoft EntraID +title: Identity Federation Example with Microsoft EntraID tags: - iam - tutorials @@ -25,159 +23,135 @@ import ssoAad_016 from './images/sso_aad_016.png' import ssoAad_017 from './images/sso_aad_017.png' import ssoAad_018 from './images/sso_aad_018.png' -Hier ist ein Beispiel für die Konfiguration des Authentifizierungsrepositorys einer Cloud Temple-Organisation mit __Microsoft EntraID__ (Azure Active Directory). - -Die Konfiguration Ihres Microsoft-Repositorys auf Ebene einer Cloud Temple-Organisation erleichtert die Authentifizierung Ihrer Benutzer auf der Shiva-Konsole. Dies vermeidet die Multiplikation der Authentifizierungsfaktoren und verringert die Angriffsfläche. - -Wenn Ihre Benutzer über ihre Microsoft-Konten authentifiziert werden, ist die Authentifizierung für die Dienste der Shiva-Konsole transparent. +Here is an example configuration of the identity provider for a Cloud Temple organization using __Microsoft EntraID__ (Azure Active Directory). -Hier sind die verschiedenen Schritte zur Durchführung dieser Konfiguration: +Configuring your Microsoft identity provider at the Cloud Temple organization level simplifies user authentication on the Console. This helps avoid the proliferation of authentication factors and reduces the attack surface. +If your users are already authenticated to their Microsoft accounts, logging into the Console services will be seamless and transparent. +Below are the steps to complete this configuration: -## Schritt 1: Konfiguration des SSO auf Microsoft Azure +## Step 1: SSO Configuration on Microsoft Azure Side +### Register a new Azure application (Azure portal) +To create the __app registration__, go to the Microsoft Azure portal, then navigate to Microsoft Entra ID, and select __"Add > App Registration"__. -### Registrierung einer neuen Azure-Anwendung (Azure-Portal) - -Für die __Anwendungsregistrierung__ müssen Sie sich im Microsoft Azure-Portal begeben und dann in Microsoft EntraID auf __"Hinzufügen > Anwendung registrieren"__ klicken. - -Auf der Seite "Anwendung registrieren" geben Sie bitte folgende Informationen an: +On the "Register an application" page, please specify: ``` -- __Name__: Geben Sie "__SHIVA__" an -- __Unterstützte Kontotypen__: __Nur Konten in diesem Organisationsverzeichnis__ (____ nur - Einzelmandant) -- __Umleitungs-URL__: Nicht in der ersten Zeit konfigurieren. Die URL wird vom Cloud Temple-Support bereitgestellt und später in dieses Feld eingefügt. +- __Name__ : Enter "__SHIVA__" +- __Supported account types__ : __Accounts in this organizational directory only__ (____ only - Single tenant) +- __Redirect URL__ : Do not configure this field at this time. The URL will be provided by Cloud Temple support and should be added to this field later. ``` -Die Informationen zur __Anwendungs-(Client-)ID__ und __Verzeichnis-(Mandanten-)ID__ sind die Informationen, die Sie bei der Supportanfrage an das Cloud Temple-Team zur Aktivierung der Microsoft EntraID-Authentifizierung in Ihrem Unternehmen bereitstellen müssen. +The __Application (client) ID__ and __Directory (tenant) ID__ are the key details that must be provided in your support request to the Cloud Temple team to enable Microsoft Entra ID authentication for your organization. +### Definition of a secret +In the "Certificates & secrets" tab, create a new secret. -### Definition eines Geheimnisses - -Im Tab "Zertifikate & Geheimnisse" ein neues Geheimnis erstellen. - -*Hinweis: Das Ablaufdatum des Geheimnisses darf nicht länger als 24 Monate betragen, auch bei einem benutzerdefinierten Ablaufdatum.* +*Note: The expiration date of the secret cannot exceed 24 months, even with a custom expiration date.* -Das generierte Geheimnis muss in der Supportanfrage angegeben werden: +The generated secret must be provided in the support request: - - ### Definition des EntraID-Tokens Der EntraID-Token ist für die Konfiguration der Authentifizierung erforderlich. -Im Menü __"Token Configuration"__ klicken Sie auf __"Add optional claim"__. Sie müssen „ID“ als Token-Typ auswählen und „E-Mail“ aktivieren. +Klicken Sie im Menü __"Token Configuration"__ auf __"Add optional claim"__. Wählen Sie als Token-Typ "ID" aus und aktivieren Sie die Option "email". -Die Azure-Oberfläche fragt Sie, ob Sie eine Berechtigung hinzufügen möchten, die es Ihnen ermöglichen wird, die E-Mail eines Benutzers zu lesen (Microsoft Graph E-Mail), aktivieren Sie das Kontrollkästchen und bestätigen Sie. +Die Azure-Oberfläche fragt Sie daraufhin, ob Sie eine Berechtigung hinzufügen möchten, die Ihnen das Lesen der E-Mail-Adresse eines Benutzers (Microsoft Graph email) ermöglicht. Aktivieren Sie das Kontrollkästchen und bestätigen Sie. -Danach gehen Sie zu „API-Berechtigungen“ und klicken Sie auf __"Grant admin consent for Cloud Temple"__. +Wechseln Sie anschließend zu "API-Berechtigungen" und klicken Sie auf __"Grant admin consent for Cloud Temple"__. +### Additional Security Configurations (optional but recommended) +By default, Microsoft Entra ID, as configured, will allow any user in your Azure tenant to sign in to your Cloud Temple organization. +It is possible to restrict access at the __"App Registration"__ level to allow only a specific list of users or groups to sign in to your Cloud Temple organization. -### Zusätzliche Sicherheitskonfigurationen (optional, aber empfohlen) - -Standardmäßig gewährt Microsoft EntraID, wie konfiguriert, jedem Benutzer Ihres Azure-Mandanten die Möglichkeit, sich bei Ihrer Cloud Temple-Organisation anzumelden. -Es ist möglich, den Zugriff auf der Ebene von __"App Registration"__ zu beschränken, um nur eine Liste von Benutzern oder Gruppen zu autorisieren, sich bei Ihrer Cloud Temple-Organisation anzumelden. - -Hier ist die Vorgehensweise: - - - -#### Zugriff auf zusätzliche Einstellungen "App Registration" - +Follow these steps: +#### Access additional "App Registration" settings ##### Option 1 -Gehen Sie zu dem Tab "Overview" und klicken Sie auf den Namen der Anwendung (der Link direkt nach "Managed application"). +Gehen Sie zum Register „Übersicht“ und klicken Sie auf den Anwendungsnamen (den Link hinter „Verwaltete Anwendung“). - - ##### Option 2 -Gehen Sie zu "Enterprise-Anwendungen" und suchen Sie mit dem Namen der zuvor erstellten Anwendung. +Gehe zu den „Enterprise-Anwendungen“ und suche mithilfe des zuvor erstellten Anwendungsnamens. +#### Authentication restriction to users assigned to the application - -#### Authentifizierungsbeschränkung für benannte Benutzer der Anwendung - -Hier die Notwendigkeit angeben, dass ein Benutzer der Anwendung zugewiesen werden muss, um die Authentifizierung zu ermöglichen: +Indicate here the requirement for user assignment to the application to allow authentication: +#### Assigning Users and Groups to the Application - -#### Zuweisung von Benutzern und Gruppen zur Anwendung - -Nur die zugewiesenen Gruppen und Benutzer können sich über die Anwendungsregistrierung bei Ihrer Cloud Temple-Organisation anmelden. +Only users and groups assigned to the application will be able to sign in to your Cloud Temple organization via the app registration. -Schließlich müssen Sie nur noch die Zuweisung anwenden, indem Sie auf „Zuweisen“ klicken. +Finally, simply apply the assignment by clicking "Assign". -Ab jetzt können die zugewiesenen Benutzer sich über die erstellte Anwendung bei Ihrer Cloud Temple-Organisation anmelden. - - - -## Schritt 2: Anfrage zur SSO-Konfiguration Ihrer Organisation - -Diese Konfigurationsphase erfolgt auf Ebene der Organisation durch das Cloud temple-Team. +From now on, users assigned to the application will be able to sign in to your Cloud Temple organization via the created application. -Dazu senden Sie __eine Supportanfrage__ in der Konsole, in der Sie Ihr Interesse an der Einrichtung einer Microsoft EntraID-SSO angeben. +## Step 2: Request SSO (Single Sign-On) Configuration for Your Organization -Geben Sie bei der Supportanfrage folgende Informationen an: - Der Name Ihrer Organisation - Der Name einer Kontaktperson mit ihrer E-Mail-Adresse und Telefonnummer, um die Konfiguration abzuschließen - Anwendungs-ID (eindeutiger Bezeichner der zuvor erstellten Anwendung) - Verzeichnis-ID (entspricht der Azure AD-Tenant-ID des Azure-Verzeichnisses) - Geheimnis (dem Anwendungsobjekt zugeordnetes Geheimnis) +This configuration step is performed at the organization level by the Cloud Temple team. -Sobald die Konfiguration auf der Shiva-Konsole durchgeführt wurde, wird die angegebene Kontaktperson benachrichtigt. +To proceed, please __submit a support request__ in the console indicating your intention to set up Microsoft Entra ID SSO. +Please provide the following information in your support request: +- Name of your Organization +- Name of a contact person, including their email address and phone number, to finalize the configuration +- Application ID (unique identifier associated with the previously created application) +- Directory ID (corresponds to the Azure AD tenant ID of your Azure environment) +- Secret (secret associated with the previously created application) +Once the configuration is completed on the Console side, the designated contact will be notified. ## Schritt 3: Abschluss der Konfiguration -Auf der Startseite der App-Registrierung im Übersichtsmenü klicken Sie auf "Redirect-URL hinzufügen". +Auf der Startseite der App-Registrierung klicken Sie im Menü „Übersicht“ auf „Redirect-URL hinzufügen“. -Gehen Sie anschließend zu "Plattform hinzufügen" und fügen Sie eine Plattform des Typs Web hinzu. +Wechseln Sie anschließend zum Abschnitt „Plattform hinzufügen“ und fügen Sie eine Plattform des Typs „Web“ hinzu. -Geben Sie einfach die von der Produktions-Team Applications bereitgestellte "Redirect-URL" ein. +Geben Sie einfach die von der Produkt-Team Anwendungen bereitgestellte „Redirect-URL“ ein. -Sie sollten das folgende Ergebnis erhalten, nachdem die "Redirect-URL" hinzugefügt wurde. +Nachdem die „Redirect-URL“ hinzugefügt wurde, sollte das folgende Ergebnis angezeigt werden. -Die Konfiguration der "Redirect-URL" kann einige Minuten dauern, bis sie wirksam wird. -Nach Abschluss aller Schritte können Sie sich bei Ihrer Cloud Temple-Organisation über Ihr SSO authentifizieren. +Die Konfiguration der „Redirect-URL“ kann einige Minuten in Anspruch nehmen, bis sie wirksam ist. +Nach Abschluss aller Schritte können Sie sich über Ihren SSO bei Ihrer Cloud Temple-Organisation authentifizieren. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/console/metrics/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/console/metrics/concepts.md index f6a11f9f..29e2b8b7 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/console/metrics/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/console/metrics/concepts.md @@ -29,23 +29,23 @@ import grafanaDashboards_001 from './images/grafana_dashboards_001.png' Die Mehrheit der __Cloud Temple__-Kunden verfügt über Tools zur Visualisierung, Überwachung und Metriken zur Verfolgung ihrer Operationen. -Die Philosophie der Shiva-Konsole besteht darin, den Zugriff auf Daten zu ermöglichen, um sich über einen integrierten Prometheus-Proxy in diese Tools einzubinden. +Die Philosophie der Console besteht darin, den Zugriff auf Daten zu ermöglichen, um sich über einen integrierten Prometheus-Proxy in diese Tools einzubinden. Dieser Proxy ermöglicht es Ihnen, Daten über ein Visualisierungstool wie [Grafana](https://grafana.com) abzufragen und zu manipulieren. -Es ist jedoch auch möglich, bestimmte Leistungsdaten Ihrer Cloud-Ressourcen direkt in der Web-Oberfläche der Shiva-Konsole anzuzeigen. +Es ist jedoch auch möglich, bestimmte Leistungsdaten Ihrer Cloud-Ressourcen direkt in der Web-Oberfläche der Console anzuzeigen. -*__Hinweis:__ Die Philosophie von __Cloud Temple__ besteht nicht darin, ausschließlich Diagramme in der Web-Oberfläche zu integrieren, sondern auch, den maximalen Informationszugriff über die API anzubieten.* +*__Hinweis:__ Die Philosophie von __Cloud Temple__ besteht nicht darin, ausschließlich Diagramme in der Web-Oberfläche zu integrieren, sondern auch, den maximalen Informationszugriff über die API anzubieten* ## Built-in dashboards in the web interface *__Note:__ To access these dashboards, you must have the __'metric_read'__ permission* -### Überblick +### Übersicht -Die Startseite der Shiva-Konsole zeigt das Hauptdashboard mit allen Metriken, die einen Überblick über Ihre Produkte innerhalb Ihres Bereichs bieten. Bei Problemen mit Ihren VMware- und/oder OpenIaaS-Produkten werden entsprechende Warnungen angezeigt, deren Farbe die Schwere der Meldung widerspiegelt. +Die Startseite der Console zeigt das Hauptdashboard an, das alle Metriken enthält, die einen Überblick über die Produkte, für die Sie in Ihrem Bereich abonniert sind, ermöglichen. Bei Problemen mit Ihren VMware- und/oder OpenIaaS-Produkten werden Warnungen angezeigt, deren Farbe mit ihrer Dringlichkeit korreliert. -Diese Warnungen sind klickbar und leiten Sie zur jeweiligen Produktseite weiter. +Diese Warnungen sind klickbar und leiten Sie zur entsprechenden Produktseite weiter. @@ -59,20 +59,20 @@ Auf diesem Tab finden Sie einige der bereits im globalen Dashboard enthaltenen M -#### Berechnung +#### Calculation -Auf diesem Tab finden Sie die Anzahl der **AZs**, **Cluster**, **ESXs**, die **Kohlenstoffemissionen**, die **geschätzte Verbrauch**, sowie 7 Diagramme, die einen sehr visuellen Überblick über Ihre VMware-Umgebung bieten. Die Schätzung des Verbrauchs in kWh wird auf Basis des Durchschnitts der Messungen über den ausgewählten Zeitraum berechnet, bezogen auf eine Stunde. +On this tab, you will find the number of **AZs**, **Clusters**, **ESXs**, **carbon emissions**, and **power consumption estimates**, along with seven visual graphs providing a clear overview of your VMware environment. The power consumption estimate in kWh is calculated based on the average of the readings covering the selected period, normalized to a per-hour basis. -Sie können den abzudeckenden Datumsbereich sowie die Art der Datengruppierung auswählen (standardmäßig werden die Daten für Ihren gesamten Bereich gruppiert). Zum Beispiel, wenn Sie **Host** wählen: +You can select the date range to be displayed, as well as the data aggregation type (by default, data is aggregated across your entire environment). For example, by selecting **Host**: -Beim Überfahren mit der Maus über die Diagramme werden die Details der Ressourcennamen und ihre Werte angezeigt. Beim Klicken auf diese Diagramme öffnet sich ein kleines Tooltip, das es Ihnen ermöglicht, die Details zum angeklickten Datum einfacher einzusehen: +When hovering over each graph, details about the resource names and their values are displayed. Clicking on a graph opens a small tooltip, allowing you to easily view detailed information corresponding to the selected date: -#### Speicher +#### Storage Just as on the "Compute" tab, you will find various information: the number of **AZs**, **datastore clusters**, **datastores**, as well as two charts. The same filtering principles apply, but here you can group by **Cluster SDRS** and **Datastore**. @@ -116,7 +116,7 @@ In der Ansicht eines Datastores können für einen bestimmten Zeitraum die **IOP ### OpenIaaS Metrics -In the **'OpenIaaS'** menu, a dedicated dashboard is available in the **'Metrics'** submenu. It includes 3 tabs: +In the **'OpenIaaS'** menu, a dedicated dashboard is available in the **'Metrics'** submenu. It contains 3 tabs: #### Übersicht @@ -128,7 +128,7 @@ Auf diesem Tab finden Sie einige der bereits im globalen Dashboard enthaltenen M On this tab, you will find the number of **AZs**, **Clusters**, **Hosts**, as well as 5 graphs providing a highly visual overview of your OpenIaaS environment. -You can select the date range to cover, as well as the data grouping type (by default, data is grouped across your entire environment). For example, by choosing **Host**: +You can select the date range to cover, as well as the data aggregation type (by default, data is aggregated across your entire environment). For example, by selecting **Host**: @@ -142,11 +142,11 @@ Just as on the "Compute" tab, you will find various information: the number of * ## Usage with __Grafana__ -Integration of the Shiva console with Grafana +Integration of the Console with Grafana -The Shiva console from Cloud Temple can be used as a data source for your [Grafana](https://grafana.com/) infrastructure. +The Cloud Temple Console can be used as a data source for your [Grafana](https://grafana.com/) infrastructure. -The console is Prometheus-compatible, allowing you to add it to Grafana as a Prometheus-type data source. You will then be able to: +The Console is Prometheus-compatible, allowing you to add it to Grafana as a Prometheus-type data source. You will then be able to: - Visualize all your metrics. - Create custom dashboards tailored to your specific needs. @@ -161,7 +161,7 @@ Cloud Temple also provides a [collection of ready-to-use dashboards](https://git ### Configure the Console as a data source in Grafana -The goal is to enhance the observability of your cloud infrastructure through Cloud Temple metrics. +The goal is to enhance the observability of your Cloud infrastructure through Cloud Temple metrics. #### Voraussetzungen @@ -200,4 +200,4 @@ Sie sollten einen Banner sehen, der Ihnen mitteilt, dass die Konfiguration erfol Sie finden eine Vielzahl von Beispielen für Grafana-Konfigurationen hier: [https://github.com/Cloud-Temple/console-grafana-iaas](https://github.com/Cloud-Temple/console-grafana-iaas) - + \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md b/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md index 4bb3b6c0..8039e162 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md @@ -1,1491 +1,788 @@ ---- -title: Convention de Service SecNumCloud IaaS ---- - - -# CONVENTION DE SERVICES IaaS - -| Destinataires : | **COMMANDITAIRE** | -| :--- | :--- | -| **Référence du documents** | CT.AM.JUR.ANX CdS-IaaS - 20251701_v3.0.docx_Jour JJ AAAA | -| **Vos interlocuteurs** | *Prénom* *Nom* Account Manager e-mail : *prenom.nom*\@cloud-temple.com | -| **Date de dernière mise à jour** | 17/01/2025 | -| **Date de validation contractuelle** | Jour JJ AAAA | - ------------------------------------------------------------------------- - -| Version | Date | Action | Auteur | -| :--- | :--- | :--- | :--- | -| v0.1 | 07/06/2022 | Rédaction initiale | Lorena ALCALDE | -| v0.2 | 14/09/2022 | Enrichissement | Lorena ALCALDE | -| v1.0 | 30/12/2022 | Intégration Indicateurs | Lorena ALCALDE | -| v1.1 | 23/01/2023 | Modification pied de page | Lorena ALCALDE | -| v1.2 | 22/05/2023 | Enrichissement | Lorena ALCALDE | -| v1.3 | 29/06/2023 | Enrichissement | Lorena ALCALDE | -| v1.4 | 06/11/2023 | Modification Capital et Enrichissement | Lorena ALCALDE | -| v1.5 | 30/11/2023 | Enrichissement | Lorena ALCALDE | -| v1.6 | 21/03/2024 | Enrichissement | Lorena ALCALDE | -| v2.0 | 29/03/2024 | Ajustements conformité SNC | Nicolas ABRIOUX | -| v2.0 | 03/04/2024 | Publication | Lorena ALCALDE | -| V3.0 | 17/01/2025 | Enrichissement | Emeline CAZAUX | - ------------------------------------------------------------------------- - -# Préliminaire et Glossaire - -## Préliminaire - -Le présent document formalise la Convention de service associée au -service IaaS qualifiée SecNumCloud sous l'appellation de « *Secure -Temple*». - -Le Service est qualifié SecNumCloud (voir attestation en Annexe). - -La présente convention de service complète et est complémentaire aux -conditions générales de vente et d'utilisation du Prestataire. Il est -entendu que les documents contractuels s'interprètent de manière -cohérente entre eux. En cas de contradiction ou de divergence entre les -termes des documents contractuels, les documents prévaudront les uns sur -les autres dans l'ordre suivant : - -1. Conditions Générales de Vente et Utilisation (CGVU) - -2. Convention de Service SecNumCloud IaaS - -3. Convention de Service SecNumCloud OpenIaaS - -4. Convention de Service SecNumCloud PaaS - -5. Convention de Service spécifique - Bare Metal - -6. Convention spécifique particulière - -7. Plan d'Assurance Sécurité (PAS) - -8. Conditions Particulières d'Utilisation (CPU) - -9. Data Protection Agreement - -## Glossaire - -Dans la présente Convention de service, le **COMMANDITAIRE**, le -**Prestataire** et les **Parties** sont identifiés dans le Contrat -auquel est annexe la présente Convention de service. - -Les expressions ci-après employées dans la présente Convention de -service seront interprétées conformément aux définitions qui leur sont -attribuées ci-dessous : - -- **Changement :** Tout ajout, une modification ou suppression - impactant le Service, ayant été autorisé, planifié ou pris en - charge. - -- **Changement standard :** Changement faisant l'objet d'une - procédure, dont les modalités de mise en production et les impacts - (y compris financiers) sont connus et acceptés à l'avance par les - Parties. Il est alors intégré au catalogue des changements - standards, et peut selon les cas avoir une GTI et une GTR. - -- **Contrat :** désigne le contrat souscrit par le COMMANDITAIRE - auprès du Prestataire pour permettre au COMMANDITAIRE de bénéficier - du Service, et auquel la présente Convention de service est annexée. - -- \***Convention de service :** Ce document, établi dans le cadre d'un - contrat spécifique ou des Conditions Générales de Vente et - d'Utilisation (CGVU), et ce, en conformité avec les exigences du - Référentiel SecNumCloud. - -- **Demande de service :** demande d'évolution faisant l'objet d'une - procédure, dont la réalisation: i) ne modifie pas la CMDB,ii) le - mode opératoire, les coûts et les risques sont connus et acceptés à - l'avance et ne nécessitent pas de modalités de retour arrière - spécifiques iii) la réalisation est soumise à un accord de niveau de - service et incluse dans la redevance du contrat lorsqu'elle est - réalisée en heures ouvrées et jours ouvrés. - -- **Disponibilité :** Capacité à assurer la disponibilité et le - maintien des performances optimales du Service, en accord avec les - critères et engagements définis dans les Accords de Niveau de - Service (SLA). - -- **Données techniques** : comprend l'ensemble des données manipulées - pour délivrer le Service, notablement dont l'identité des - bénéficiaires et des administrateurs de l'infrastructure technique, - des journaux de l'infrastructure technique, configuration des accès, - annuaire, certificats\... - -- **Evènement :** Un \"événement\" est toute occurrence détectable ou - identifiable pouvant avoir une importance pour la gestion du - Service. - -- **Hyperviseur :** Système d'exploitation permettant l'execution de - machines virtuelles sur une lame de calcul. - -- **Incident :** Tout événement imprévu qui perturbe le fonctionnement - normal du Service ou compromet la sécurité des données. - -- **Incident de sécurité :** Tout événement dans le périmètre du - Service: - - - De nature intentionnellement malveillante ; - - De nature accidentelle portant atteinte à l'intégrité, la - confidentialité ou la traçabilité du Service ou des données du - COMMANDITAIRE ; - - Portant atteinte aux mesures de sécurité existantes. Les - atteintes à la Disponibilité d'origine non-malveillante ne sont - pas considérées comme un Incident de sécurité (panne matérielle, - bug, dysfonctionnement, sinistre naturel...). - -- **Interface COMMANDITAIRE :** Interface d'administration du Service - mise à disposition du COMMANDITAIRE par le Prestataire, regroupant - une console d'administration web et une API. - -- **Mise en production :** action(s) d'administration de réalisation - du Changement quand celui-ci est approuvé (le changement, au sens - ITIL, ne concernant que la gestion du changement et non sa - réalisation/concrétisation). - -- **Problème** : cause d'un ou plusieurs Incidents récurrents, cause - d'un Incident potentiel (situation à risque) nécessitant une analyse - et une résolution pour prévenir sa récurrence. - -- **Région :** désigne un ensemble géographiquement délimité de zones - de disponibilité cloud, fournissant des services de réseau, de - calcul et de stockage pour optimiser la latence, la performance et - la conformité réglementaire locale. - -- **Service :** désigne le service IaaS qualifié SecNumCloud « Secure - Temple », délivré au COMMANDITAIRE par la Prestataire depuis des - infrastructures techniques maintenues par le Prestataire, tel que - décrit dans la section « Description du Service » de la présente - Convention de service. - -- **Secure Temple** : désigne le service IaaS qualifié SecNumCloud, - proposé par la société Cloud Temple, tel que défini dans - l'attestation consultable sur le site de l'ANSSI et fournie en - annexe de la présente Convention de service. - -- **Sinistre :** désigne un événement grave d'origine naturelle ou - humaine, accidentelle ou intentionnelle, occasionnant des pertes et - des dommages importants à la Partie sinistrée. - -- **Supervision :** Surveillance d'un Système d'Information ou d'un - Service, impliquant la collecte de diverses données telles que - mesures et alarmes. Cette activité se limite à l'observation et au - suivi, sans intervenir directement sur les éléments surveillés, une - prérogative qui appartient aux opérations d'Administration. - -- **Tenant :** Une instance isolée réservée à un utilisateur ou groupe - d'utilisateurs, partageant une infrastructure commune tout en - maintenant l'indépendance et la sécurité des données et des - applications. - -- **Zone de Disponibilité (AZ) (Availibility zone) :** Une section - spécifique et isolée de l'infrastructure de cloud computing, conçue - pour assurer la haute disponibilité et la résilience des services - par une distribution géographique des ressources. - -# Acronymes - -| Acronyme | Définition | -| :--- | :--- | -| **CAB** | Change Advisory Board -- Comité consultatif sur les changements | -| **CMDB** | Configuration Management Database -- Base de données de gestion des configurations | -| **COPIL** | Comité de pilotage | -| **COSTRAT** | Comité stratégique | -| **COPROJ** | Comité Projet | -| **DB** | Database (base de données) | -| **DPA** | Data Protection Agreement | -| **DRP** | Disaster Recovery Plan (PRA) (Plan de reprise d'activité) | -| **GTE** | Garantie de Temps d'Escalade | -| **GTI** | Garantie de Temps d'Intervention | -| **GTR** | Garantie de Temps de Résolution | -| **ITIL** | Information Technology Infrastructure Library - Bonnes pratiques pour la gestion des SI | -| **IaaS** | Infrastructure as a Service | -| **MCO** | Maintien en condition opérationnelle | -| **MOA** | Maitrise d'Ouvrage | -| **MOE** | Maitrise d'Œuvre | -| **MSP** | Managed Services Provider | -| **OS** | Operating system (système d'exploitation) | -| **PAQ** | Plan d'Assurance Qualité | -| **PaaS** | Platform as a Service | -| **PAS** | Plan d'Assurance Sécurité | -| **PASSI** | Prestataire d'Audit de Sécurité des Systèmes d'Information | -| **RFC** | Request For Change -- Demande de changement | -| **RGPD** | Règlement Général de Protection des Données (personnelles) | -| **RPO** | Recovery Point Objective -- Fraicheur des données restaurées en cas de Sinistre | -| **RTO** | Recovery Time Objective -- Délai de rétablissement du service en cas de Sinistre | -| **SDM** | Service Delivery Manager | -| **SLA** | Service Level Agreement -- Accord sur les niveaux de services | -| **SNC** | SecNumCloud | -| **SOC** | Security Operation Center | -| **TMA** | Tierce Maintenance dApplication | -| **UO** | Unité d'Œuvre | -| **VABE** | Validation d'Aptitude à la Bonne Exploitabilité | -| **VABF** | Validation d'Aptitude au Bon Fonctionnement | -| **VM** | Virtual Machine (Machine virtuelle) | -| **VSR** | Validation de Service Régulier | - -# Objet de la présente Convention de service - -La présente Convention de service établit les termes et conditions selon -lesquels le Prestataire s'engage à délivrer le Service au COMMANDITAIRE. -Son objet est de : - -- Préciser les exigences de performance attendues par le COMMANDITAIRE - en termes de fonctionnalité et de fiabilité du Service ; - -- Énoncer les obligations du Prestataire afin de satisfaire aux - niveaux de service convenus ; - -- Identifier les normes réglementaires applicables spécifiquement au - Service délivré ; - -- Assurer une uniformité et une intégrité dans l'évaluation de la - qualité du Service ; - -- Garantir l'excellence des services fournis, évaluée au moyen - d'indicateurs de performance quantitatifs. - -Il est stipulé que, dans l'hypothèse où le Prestataire se verrait -retirer sa qualification SecNumCloud, le Contrat pourra être résilié de -plein droit, sans encourir de pénalités, par le COMMANDITAIRE. Dans une -telle éventualité, le Prestataire s'engage à informer le COMMANDITAIRE -de cette déqualification par envoi d'une notification officielle, au -moyen d'une lettre recommandée avec demande d'avis de réception. - -Il convient de noter qu'une modification ou un ajustement de la -qualification SecNumCloud ne sera pas interprété comme une révocation de -la qualification initiale. - -# Audit - -Le Prestataire s'engage à permettre au COMMANDITAIRE, ou à tout auditeur -tiers et non concurrent du Prestataire que ce dernier aurait désigné, de -consulter l'ensemble des documents nécessaires à l'attestation du -respect intégral des obligations liées à la conformité avec les -dispositions de l'article 28 du Règlement Général sur la Protection des -Données (RGPD), facilitant ainsi la réalisation d'audits. - -Par l'acceptation de la présente Convention de service, le COMMANDITAIRE -confère son autorisation explicite à : - -1. L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) - ainsi qu'à l'entité de qualification compétente pour entreprendre la - vérification de la conformité du Service et de son système - d'information au référentiel SecNumCloud. -2. Un prestataire d'audit de la sécurité des systèmes d'information, - dûment qualifié PASSI et expressément désigné par le Prestataire, - pour mener à bien des audits de sécurité portant sur le Service. - -# Description du Service - -## Modèle de responsabilité partagé - -Le Service proposé par le Prestataire se caractérise par la mise à -disposition des prestations suivantes, lesquelles s'alignent sur le -principe de responsabilité partagée présenté dans le référentiel -SecNumCloud : - -- La provision de ressources de calcul (compute) ; - -- La mise à disposition d'espaces de stockage ; - -- L'accès à des services de connectivité réseau et internet ; - -- L'offre d'un service de sauvegarde dédié aux machines virtuelles. - -Le modèle de responsabilités partagé appliqué entre le Prestataire et le -COMMANDITAIRE dans le cadre du Service est présenté en §7.1. - -Il est entendu que le Prestataire mobilisera son expertise pour réaliser -les Prestations selon les meilleures pratiques professionnelles et -conformément aux exigences du référentiel SecNumCloud. - -## Présentation détaillée du périmètre du Service - -| Service | Description | -| :--- | :--- | -| **Compute** | Ressource de calcul du Tenant COMMANDITAIRE | -| **Storage** | Données de production du Tenant COMMANDITAIRE | -| **Stockage objet S3** | mise à disposition d'une infrastructure de stockage objet souverain multi AZ et compatible avec les API S3 standard. | -| **Sauvegarde** | Modulo souscription au mass-storage adéquat | -| **Infrastructure réseau** | Ressource réseau du Tenant COMMANDITAIRE | -| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service IaaS et de l'administrer via l'interface Shiva | -| **Support** | Le service de support accompagnant les services précédents et uniquement ceux-ci (\*) | - -\_(\*) Dans la limite du périmètre du Service qualifié SNC et des -responsabilités du Prestataire en la matière\_ - -### Infrastructures Datacenters - -Le Service englobe la mise à disposition, pour chaque Zone de -disponibilité, des prestations qualifiées ci-après : - -- Site datacenter situé en France pour la Région FR, conforme aux - dernières normes technologiques, avec proposant un niveau de - résilience équivalent ou supérieur au niveau Tier 3 du Uptime - Institute ; -- Mise à disposition de salles techniques au sein de datacenters - dédiés à l'accueil des équipements techniques indispensables à la - production du service, incluant calcul, stockage, réseau, câblage, - et autres composants nécessaires ; -- Alimentation électrique sécurisée, assurée par deux circuits - électriques distincts, garantissant une continuité de service ; -- Fourniture de services de climatisation, ajustés pour respecter les - normes et préconisations des fabricants d'équipements, afin de - maintenir un environnement optimal pour les dispositifs techniques ; -- Supervision continue et métrologie détaillée, permettant un suivi - précis et une gestion proactive des performances et de la sécurité - du service fourni. - -Le Prestataire assure la mise à disposition de services avancés de -détection et d'extinction d'incendie, conçus pour identifier et -neutraliser efficacement tout départ de feu au sein des installations. -Ces systèmes sont essentiels pour garantir la sécurité des équipements -et des données. Ils comprennent des détecteurs de fumée de haute -précision et des dispositifs d'extinction qui peuvent agir rapidement -sans endommager l'équipement informatique. Ce service est crucial pour -prévenir les risques d'incendie, minimiser les dommages potentiels et -assurer la continuité des opérations. - -Le COMMANDITAIRE est informé que toutes les procédures et mesures de -sécurité mises en place, y compris les tests annuels de basculement sur -les groupes électrogènes, sont essentielles pour garantir la continuité -et l'intégrité des services fournis. Ces pratiques sont conçues pour -minimiser les risques de panne et assurer une réactivité optimale en cas -d'Incident. En acceptant ces conditions, le COMMANDITAIRE reconnaît -l'importance de ces mesures et s'engage à coopérer pleinement pour -faciliter leur mise en œuvre. Le COMMANDITAIRE est également encouragé à -prendre connaissance des recommandations de sécurité fournies et à les -intégrer dans sa propre stratégie de gestion des risques. - -### Infrastructure logicielle de pilotage du Service - -Le Prestataire fournit au COMMANDITAIRE la console d'administration et -l'API nécessaire à l'utilisation du Service. Il s'engage également à les -maintenir cette console d'administration et l'API en condition -opérationnelle optimale et à en assurer la sécurité de manière continue. -Cette console d'administration et l'API sont désignées de manière -groupées sous le terme « interface COMMANDITAIRE ». - -Le Prestataire alerte le COMMANDITAIRE sur le fait qu'une utilisation -anormale de l'interface COMMANDITAIRE, notamment en cas de surcharge de -ses APIs de commande (hammering), peut déclencher des mesures de -sécurité automatiques entraînant le blocage de l'accès aux APIs de -commande ou au Service. Il convient de souligner que cette situation ne -constitue pas une indisponibilité du Service mais une action de -protection du Service et de l'infrastructure du Prestataire ; par -conséquent, le COMMANDITAIRE ne peut la considérer comme une -indisponibilité dans ses calculs. - -De plus, le Prestataire précise au COMMANDITAIRE que les requêtes -parfaitement identiques (doublons) envoyées à ses APIs sont limitées à -une par seconde (Throttling). Si le COMMANDITAIRE soumet des requêtes -identiques à une fréquence supérieure, leur rejet ne pourra être -interprété comme une indisponibilité du Service. - -### Infrastructures de calcul - -Le Service inclut la fourniture, dans les zones de disponibilité -souscrites par le COMMANDITAIRE, des équipements nécessaires à -l'exécution des charges de travail sous forme de machines virtuelles. - -Ceci comprend : - -- La fourniture des chassis techniques nécessaires au bon - fonctionnement des lames de calcul ; -- La fourniture des lames de calcul dans les quantités spécifiées par - le COMMANDITAIRE et réparties selon les zones de disponibilité de - son choix. Il est à noter que ces lames de calcul sont exclusivement - dédiées au COMMANDITAIRE ; -- La mise à disposition de systèmes d'exploitation de type - hyperviseurs, ainsi que la garantie du maintien en condition - opérationnelle et de sécurité de l'infrastructure logicielle - nécessaire au pilotage de ces systèmes d'exploitation. Il convient - de mettre en évidence que, même si le Prestataire est responsable de - la maintenance opérationnelle et de la sécurisation globale du - Service, il ne détient pas de connaissances spécifiques concernant - les environnements de production du COMMANDITAIRE ni des exigences - liées à ses charges de travail. Par conséquent, la responsabilité de - décider de la mise à jour des systèmes d'exploitation des lames de - calcul hyperviseurs, une action susceptible de nécessiter un - redémarrage, repose entièrement sur le COMMANDITAIRE. Cette - opération peut être réalisée via l'Interface COMMANDITAIRE. - -Le choix du modèle de lame de calcul, sélectionné parmi le catalogue -proposé par le Prestataire, relève de la responsabilité du -COMMANDITAIRE. - -### Infrastructure de stockage - -Le service comprend la fourniture au COMMANDITAIRE d'une infrastructure -de stockage partagée de type SAN (Storage Area Network), offrant divers -niveaux de performance. Ce service englobe : - -- L'implémentation et le maintien en condition opérationnelle et en - condition de sécurité du réseau SAN dédié ; -- L'installation et la gestion des baies de stockage mutualisées entre - les clients, y compris leur maintien en condition opérationnelle et - en condition de sécurité, leur supervision et leur métrologie ; -- La mise en place des systèmes automatisés pour l'allocation des LUNs - (Logical Unit Numbers) de stockage dédiés à l'usage du - COMMANDITAIRE, conformément aux volumes souscrits par le - COMMANDITAIRE. - -### Infrastructure réseau globale - -Le Prestataire déploie dans le cadre du Service, un réseau global -facilitant au COMMANDITAIRE la mise en accessibilité de ses systèmes -hébergés. Ce service comprend : - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité de l'ensemble des liaisons en fibres optiques - interconnectant les différentes Zones de disponibilité; - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité des équipements techniques nécessaires au bon - fonctionnement du réseau et à l'isolation des différents clients. - -L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des -réseaux privés, et les équipements réseaux, liens opérateurs et autres -composants techniques réalisant cette interconnexion, ne font pas partie -du périmètre du Service. Cette interconnexion réseau est mise en œuvre -conformément aux dispositions prévues dans le Contrat. - -### Infrastructure de sauvegarde - -Le Prestataire met à disposition du COMMANDITAIRE un service de -sauvegarde intégré, dédié et géré, destiné à la protection de ses -machines virtuelles. Le Prestataire assure le maintien en condition -opérationnelle et en condition de sécurité de ce service de sauvegarde. -Le Prestataire garantit que les sauvegardes du COMMANDITAIRE seront -situées en dehors de la Zone de disponibilité des charges de travail -sauvegardées, sous réserve que le COMMANDITAIRE ait souscrit au Unités -d'œuvre adéquates. - -Cette prestation de sauvegarde se limite à la sauvegarde des machines -virtuelles et des configurations de topologie de l'environnement IaaS -des Tenants du COMMANDITAIRE dans le cadre du Service. L'élaboration et -l'application d'une politique de sauvegarde adéquate par le -COMMANDITAIRE dépendent de la souscription à des unités d'œuvre -spécifiques. Il incombe donc au COMMANDITAIRE de s'assurer de la -disponibilité des ressources techniques nécessaires auprès du -Prestataire pour mettre en œuvre sa politique de sauvegarde ou d'ajuster -cette dernière en fonction des moyens disponibles. - -Le Prestataire s'engage à notifier le COMMANDITAIRE en cas de -contraintes de capacité et à fournir une assistance conseil pour -l'optimisation des ressources. Les obligations du Prestataire se -limiteront à la mise en œuvre des besoins exprimés par le COMMANDITAIRE -en matière de politique de sauvegarde, dans le cadre des ressources -souscrites. - -### Mise en œuvre de solutions de reprise d'activité ou de continuité d'activité - -Le Prestataire fournit au COMMANDITAIRE l'ensemble des solutions -techniques nécessaires pour garantir une répartition optimale de ses -ressources à travers diverses Zones de disponibilité. Il incombe au -COMMANDITAIRE la responsabilité de gérer efficacement cette distribution -de ressources, pour laquelle il a la possibilité à exploiter les outils -du Prestataire disponibles à cet usage. - -## Limitations des services dans le modèle IaaS qualifié - -### Services managés en RUN - -Il est important de noter que sont écartés du Service : - -- L'hébergement de composants physiques du COMMANDITAIRE ; - -- L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des - réseaux privés, incluant les liens opérateur ; - -- Tout service de type managé, ou TMA; - -- Toute assistance sur les machines virtuelles au niveau OS et - au-dessus dans la pile de responsabilités Iaa, même s'il s'agit de - simple supervision. - -Cela étant, il n'est absolument pas exclu que le COMMANDITAIRE ait -recours à de tels services auprès de l'offre MSP du Prestataire pour -intervenir en mode services managés sur ses Tenants. Ces services ne -seront alors pas encadrés par la présente Convention de service et ses -engagements/clauses bipartites. - -### Configuration du secours - -Par défaut, le Prestataire fournit la mise en place des ressources du -IaaS au COMMANDITAIRE en réservant des ressources et en configurant les -déploiements pour utiliser les Zones de disponibilité. Il incombe au -COMMANDITAIRE de choisir les Zones de disponibilité via l'interface -COMMANDITAIRE. - -### Configuration de la sauvegarde - -La prestation de sauvegarde s'arrête à la sauvegarde des machines -virtuelles et des configurations de topologie représentant -l'environnement IaaS des Tenants du COMMANDITAIRE dans le cadre du -Service. - -La prestation de sauvegarde et la complétion de la politique de -sauvegarde du COMMANDITAIRE est soumise à la souscription d'espace de -stockage sur le mass storage nécessaire pour assurer le service. Il est -donc de la responsabilité du COMMANDITAIRE de souscrire auprès du -Prestataire les moyens techniques nécessaires pour assurer la politique -de sauvegarde sur son périmètre informatique, ou d'ajuster la politique -de sauvegarde aux moyens mis en œuvre. Le Prestataire s'engage à -informer le COMMANDITAIRE en cas de limite de capacité technique. - -Le Prestataire mettra en place les moyens techniques et humains -nécessaires à la sauvegarde du système hébergé dans la limite des -ressources souscrites par le COMMANDITAIRE. - -Par ailleurs, dans le cas des périmètres non pris en charge par le -Prestataire, il appartient au COMMANDITAIRE de définir sa propre -stratégie de sauvegarde et de paramétrer lui-même les sauvegardes des VM -ou d'effectuer une Demande de service auprès du Prestataire pour que le -paramétrage des sauvegardes pour les serveurs physiques soit mis en -place si le COMMANDITAIRE dispose d'un contrat de service managé -permettant au Prestataire d'agir via l'interface COMMANDITAIRE qui est -la console d'administration qui est mise à disposition dans le cadre de -cette Convention de service et qui dispose de fonctionnalités pour -configurer les sauvegardes. - -En outre, ce service n'aura comme engagement que de traduire par le -paramétrage via l'interface COMMANDITAIRE, la configuration spécifiée -clairement par le COMMANDITAIRE. - -Pour des raisons de flexibilité de l'offre du Prestataire, le -COMMANDITAIRE a l'option d'associer une politique de non-sauvegarde sur -certaines de ses VM. Dans ce cas, il appartient au COMMANDITAIRE -d'assumer ce choix. Le Prestataire ne sauvegardera pas les VM associées -à la politique \"no backup\". Le Prestataire alerte le COMMANDITAIRE que -choisir la politique \"no backup\" ou choisir de sauvegarder -manuellement expose le COMMANDITAIRE à une perte de données définitive -en cas d'Incident sur les couches basse ou sur les couches dépendant de -sa responsabilité dans le modèle IaaS. Dans un tel cas, il sera -impossible de tenir le Prestataire responsable de restaurer les données -car il n'y aura rien à restaurer. Le Prestataire recommande de toujours -sauvegarder les VM. - -Pour tout sujet concernant l'OS installé sur une machine virtuelle et -tout logiciel ou programme exécuté « par-dessus l'OS », il est de la -responsabilité du COMMANDITAIRE de réaliser les opérations -d'administration et de supervision au sein de l'Union Européenne s'il -souhaite garantir que toute la verticalité des couches du SI soient -opérées et gérées depuis l'Union Européenne. Les opérations -d'administration hors du périmètre de responsabilité du Prestataire dans -le cadre de la présente Convention de service dont indiquées dans la -section « Modèle de responsabilités partagées » de la présente -Conventions de Service. - -## Mise en œuvre du service - -### Prérequis techniques - -Pour la mise en œuvre du Service, le COMMANDITAIRE reconnaît qu'il devra -: - -- Fonctionner avec une virtualisation de type VMware dans les versions - supportées par l'éditeur et fournies par le Prestataire dans le - cadre du Service; - -- Recourir via le Prestataire à l'utilisation de l'outil de - sauvegarde; - -- Déclarer des IP fixes depuis lesquelles le Prestataire l'autorisera - à accéder à l'interface COMMANDITAIRE (Filtrage par liste blanche). - Les modifications de cette liste d'IP devront être réalisées via le - menu prévu à cet effet dans la console ou via des Demandes de - service pour les modifications ultérieures. A l'initialisation du - service, le Prestataire aura été informé à minima d'au moins 1 - adresse IP telle que décrite. - -## Localisation du service en France - -Il est précisé qu'aucune des opérations et aucun des composants -physiques impliqués dans la fourniture du Service , dont la présente -Convention de service fait l'objet, n'est situé hors de l'Union -Européenne. - -Cela inclut notamment le support, la supervision opérationnelle et la -supervision de sécurité (SOC) de l'infrastructure technique délivrant le -Service. De fait, tout le stockage, toutes les tâches d'administration, -de supervision et tous les traitements sont réalisés en France. - -### Localisation des Datacenters hébergeant le Service - -A défaut des opérations des collaborateurs et des agences du -Prestataire, l'ensemble des opérations de production (comprenant le -stockage et le traitement des données) et composants techniques -délivrant le Service sont situés dans les Datacenters basés en France. - -### Localisation des agences Cloud Temple opérant le service - -Les collaborateurs de Cloud Temple intervenant sur le périmètre -duService opèrent depuis les agences de Cloud Temple toutes situées -exclusivement en France. Ces agences sont situées en France, à Tours, -Lyon, Caen et Paris La Défense. - -Le COMMANDITAIRE est informé de la possibilité des salariés de Cloud -Temple de travailler à distance. Toutefois, le Prestataire garantit le -même niveau de sécurité concernant les accès à distance, notamment -concernant les accès VPN. Ces accès distants sont mis en œuvre -conformément aux exigences du référentiel SecNumCloud. - -## Support - -### Nature du support accompagnant le service - -Le Prestataire fournit un service de support technique visant à assister -le COMMANDITAIRE dans la gestion, le dépannage et l'optimisation de -leurs ressources déployées. Ce service couvre une gamme étendue -d'activités, depuis l'aide à la configuration initiale des services -jusqu'au soutien technique avancé pour résoudre des problèmes -spécifiques. - -Voici une description des caractéristiques et fonctionnalités du service -de support : - -- Assistance à la mise en œuvre initiale de l'utilisation du Service ; -- Assistance à la résolution d'incidents ; -- Assistance à la résolution de problèmes ; -- Suivi et conseil sur l'optimisation du socle technique. - -Dans le cadre du service de support, le Prestataire ne se substitue pas -au COMMANDITAIRE dans l'usage du Service. Le COMMANDITAIRE reste -entièrement responsable de la configuration, de l'exploitation de ses VM -et de ses Tenants, et de la gestion de tous les éléments (données et -applications incluses) qu'il a stockés ou installés sur les -infrastructures du Prestataire. Le service de support technique est -fourni en accord avec les Conditions Générales de Vente et -d'Utilisation, le Prestataire étant tenu à une obligation de moyens. - -Le COMMANDITAIRE s'engage à utiliser le service de support technique de -manière raisonnable, s'abstenant notamment de solliciter des services -non souscrits auprès du Prestataire et de faire intervenir les équipes -du Prestataire auprès de ses propres clients ou de tiers non inclus dans -le Contrat. Le Prestataire se réserve le droit de rejeter toute demande -de service ne respectant pas ces critères. - -Le niveau d'engagement du support est conditionné à la souscription des -unités d'œuvre de support associées. - -### Sollicitation du service support technique - -Le support technique est accessible par le biais d'un système de tickets -via la console COMMANDITAIRE et est disponible durant les heures -normales de bureau hors jours fériés (8h - 18h ; Lundi -- Vendredi ; -calendrier et horaires français). Pour les urgences survenant en dehors -des heures ouvrées, notamment les incidents affectant significativement -la production, le service d'astreinte peut être joint via un numéro -communiqué au COMMANDITAIRE à l'initialisation du Service. - -Pour chaque demande ou Incident, il est impératif de générer un ticket -auprès du support du Prestataire. L'initialisation de ce ticket, -comprenant toutes les informations nécessaires, est essentielle et -marque le début de l'évaluation des engagements du Prestataire. - -Dès que le Prestataire reçoit une demande ou une notification -d'Incident, que ce soit par le biais de la console de gestion ou à la -suite d'un appel téléphonique, un ticket est automatiquement créé. Lors -de la déclaration d'un Incident, il est essentiel que le COMMANDITAIRE -fournisse au prestataire un maximum de détails sur le problème -rencontré. Cette démarche est cruciale pour permettre une évaluation -adéquate de la situation, sa priorisation et un diagnostic efficace. - -Le COMMANDITAIRE reçoit alors une confirmation par courriel, indiquant -la création du ticket et son numéro unique. Le COMMANDITAIRE peut -consulter le statut et l'historique de ses demandes et déclarations -d'Incidents directement depuis la console de gestion. - -### Processus de gestion des Incidents - -Lors d'une déclaration d'un Incident, l'équipe de support technique du -Prestataire initie une investigation pour identifier la cause du -problème et établir un diagnostic. Le COMMANDITAIRE doit collaborer -activement avec le Prestataire en fournissant toutes les informations -nécessaires et en effectuant les tests requis. Le Prestataire peut -accéder au Service du COMMANDITAIRE pour diagnostiquer l'Incident. - -Si les Services du Prestataire sont jugés fonctionnels et que l'Incident -ne lui est pas imputable, le COMMANDITAIRE en sera informé. À la demande -du COMMANDITAIRE, le Prestataire peut proposer des Services -Professionnels pour identifier l'origine du problème, facturable sur -accord préalable par tranche de 30mn. - -Dans le cas où l'Incident est de la responsabilité du Prestataire ou de -l'un de ses sous-traitants, celui-ci complète le diagnostic et s'attèle -à la restauration du Service sans frais supplémentaires. Le diagnostic -s'appuie sur les échanges entre les Parties et les données du -Prestataire, ces éléments étant considérés comme probants par accord des -Parties. - -### Processus de priorisation des traitements - -La détermination du niveau de priorité d'un dossier repose sur une -analyse matricielle qui évalue l'impact de l'Incident et son degré de -criticité : - -- Les niveaux d'impact sont définis de la manière suivante : - -| Niveau d'impact | Description | -| :--- | :--- | -| **Impact I1** | Le ou les services du Prestataire sont interrompus | -| **Impact I2** | Le ou les services du Prestataire sont dégradés | -| **Impact I3** | Le ou les services du Prestataire sont actuellement stable, mais montrent des signes de potentiel déclin à long terme | - -- Les niveaux de Criticités sont définis de la manière suivante : - -| Niveau de criticité | Description | -| :--- | :--- | -| **Criticité C1** | Le ou les services du Prestataire se dégradent à une vitesse préoccupante | -| **Criticité C2** | Le ou les services du Prestataire se détériore progressivement au fil du temps | -| **Criticité C3** | Le ou les services du Prestataire présentes un ou plusieurs inconvenient sans conséquence significative | - -- Sur la base d'une analyse approfondie de la situation, prenant en - compte les éléments déterminant l'Impact et la Criticité, une - priorité est attribuée au ticket conformément à la matrice de - décision ci-après : - -| Niveau d'impact / Niveau de criticité | Impact I1 | Impact I2 | Impact I3 | -| :--- | :--- | :--- | :--- | -| **Criticité C1** | Priorité **P1** | Priorité **P2** | Priorité **P3** | -| **Criticité C2** | Priorité **P2** | Priorité **P3** | Priorité **P4** | -| **Criticité C3** | Priorité **P3** | Priorité **P4** | Priorité **P5** | - -Les engagements de niveau de service correspondant à chaque niveau de -priorité sont détaillés dans le chapitre suivant. - -### Langue et localisation du service de support - -Le support est fourni par le Prestataire au COMMANDITAIRE a minima en -langue française. Le support peut être également fourni en langue -anglaise. - -Les opérations du service de support du Prestataire pour l'offre de -service d'infrastructure qualifiée SecNumCloud sont situées dans l'Union -Européenne. - -# Engagements et niveaux de services - -Le Prestataire s'engage à garantir une surveillance continue de la -performance et de l'intégrité sécuritaire de son infrastructure -technique délivrant le Service, veillant à leur fonctionnement optimal. - -L'indisponibilité d'un service, faisant l'objet d'un indicateur de -performance, est reconnue dès son identification par le système de -supervision du Prestataire, ou suite à une notification par un -utilisateur du COMMANDITAIRE. Le début de l'indisponibilité est fixé au -moment le plus précoce entre ces deux événements, afin de garantir un -décompte précis et juste du temps d'indisponibilité. - -La fin de l'indisponibilité est officiellement marquée par la -restauration complète du service, confirmée soit par les outils de -supervision du Prestataire, soit par un retour utilisateur, assurant -ainsi une reprise effective des opérations et une mesure fidèle de la -durée de l'interruption. - -## Engagements de disponibilité de l'infrastructure - -Le Prestataire s'engage à maintenir un niveau de disponibilité et de -performance conforme aux standards définis pour chaque période -spécifiée. Les engagements de niveau de service (Service Level -Agreements, SLAs) s'appliquent sous réserve que le COMMANDITAIRE -implémente ses systèmes à travers au moins deux des Zones de -disponibilité présentes dans la Région concernée. - -En l'absence de respect de ces conditions par le COMMANDITAIRE, celui-ci -se verra dans l'incapacité de revendiquer l'application des SLAs -concernés, lesquels sont spécifiquement identifiés par un astérisque -(\*). L'accessibilité aux SLAs se fait via l'interface COMMANDITAIRE. -Les mesures s'entendent calculées mensuellement : - -- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Disponibilité de la - puissance de calcul (Compute) : taux de disponibilité garanti de - 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Disponibilité du stockage : - taux de disponibilité garanti de 99,99%, calculé sur une base - 24h/24, 7j/7. -- **SLA 3 : IC-INFRA_SNC-03** -- Fiabilité de la sauvegarde : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Disponibilité de - l'infrastructure réseau : taux de disponibilité garanti de 99,99%, - calculé sur une base 24h/24, 7j/7. -- **SLA 5 : IC-INFRA_SNC-05** -- Accès Internet : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. - -***Remarques*** : - -- *En réponse une attaque par déni de service distribué (DDoS), le - Prestataire se réserve le droit d'ajuster sa configuration de - routage internet pour limiter l'impact de cette attaque et - sauvegarder son infrastructure. En particulier, si une adresse IP - appartenant au COMMANDITAIRE est ciblée, le Prestataire peut - recourir à la technique de blackholing via la communauté BGP pour - bloquer tout le trafic vers l'adresse IP visée en amont chez ses - fournisseurs, dans le but de protéger les ressources du - COMMANDITAIRE ainsi que celles d'autres COMMANDITAIREs et de - l'infrastructure du Prestataire. Le Prestataire encourage vivement - le COMMANDITAIRE à adopter des mesures similaires, telles que - l'utilisation de logiciels de pare-feu d'applications web - disponibles sur le marché, et à configurer soigneusement ses groupes - de sécurité via l'API de commande.* - -- *Le Prestataire insiste sur la nécessité pour le COMMANDITAIRE de - minimiser les ouvertures de flux, en évitant notamment de rendre - accessibles les ports d'administration **SSH** (port TCP 22) et - **RDP** (port TCP 3389) depuis l'ensemble d'Internet (sous-réseau - 0.0.0.0/0), ainsi que les protocoles internes tels que **SMB** (port - TCP/UDP 445) ou **NFS** (port TCP/UDP 2049).* - -## Engagement de disponibilité de l'interface COMMANDITAIRE - -- SLA 6 : IC-INFRA_SNC-06 -- Accès à la console d'administration du - Service : une disponibilité garantie de 97%, assurée en continu, 24 - heures sur 24 et 7 jours sur 7. -- SLA 7 : IC-INFRA_SNC-07 -- Accès aux APIs de pilotage du Service : - une disponibilité de 99.9%, calculé sur une base 24h/24, 7j/7. - -## Engagement de disponibilité du support - -- **SLA 8 : IC-INFRA_SNC-08** -- Voici les engagements de performance - du support technique du Prestataire pour les incidents, hors - maintenances programmées : - -| Priorité | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Priorité P1** | 30mn | 95% | -| **Priorité P2** | 2h | 90% | -| **Priorité P3** | 4h | 90% | -| **Priorité P4** | 24h | 85% | -| **Priorité P5** | 48h | 85% | - -- **SLA 9 : IC-INFRA_SNC-09** -- Voici les engagements de performance - du support technique du Prestataire pour les demandes de service : - -| Type | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Demande de service** | 4h | 90% | - -*Nota* : - -- *Le délai pour la Garantie de Temps d'Intervention (GTI) est calculé - à partir de la différence entre le moment où le COMMANDITAIRE ouvre - le ticket et la première intervention du support du Prestataire.* -- *L'investigation d'incidents concernant les COMMANDITAIREs ne - comprendra pas d'intervention à distance sur les serveurs hébergés - du COMMANDITAIRE. Cette assistance se limitera à l'explication des - métriques disponibles relatives à l'environnement du COMMANDITAIRE, - afin de faciliter la compréhension des incidents ou des problèmes de - performance rencontrés. Sur la base des résultats de cette analyse, - des recommandations pourront être suggérées.* - -## Engagement de disponibilité du stockage objet S3 - -- **SLA 10 : IC-INFRA_SNC-10** -- Voici les engagements de - disponibilité pour le stockage objet S3 : - -| Indicateur | Engagement | Objectif de disponibilité | -| :--- | :--- | :--- | -| **IC-INFRA-SNC-10.1** | Durabilité du stockage d'un objet sur une région | 99.9999999% / an | -| **IC-INFRA-SNC-10.2** | Disponibilité de l'API Stockage Objet S3 | 99.99% | -| **IC-INFRA-SNC-10.3** | Latence maximale d'accès à un objet sur une région | 150 ms | - -Remarques : - -- Le Service de Stockage Objet est spécifiquement conçu pour le - stockage d'objets et doit être employé dans ce seul but, **excluant - catégoriquement son utilisation en mode bloc**. Recourir au mode - bloc par des méthodes détournées, incluant par exemple l'utilisation - de *"FUSE" dans un environnement Linux*, constitue une infraction - aux termes d'utilisation énoncés. Aucun incident, dysfonctionnement - ou dommage découlant de cet usage non conforme ne sera couvert par - les Accords de Niveau de Service (SLA) définis dans cette convention - de services. -- La garantie de durabilité est conditionnée à une utilisation des - services conforme aux meilleures pratiques et standards actuels, et - exclut explicitement toute modification des données, qu'elle soit - intentionnelle ou accidentelle, résultant d'actions entreprises par - le COMMANDITAIRE. - -## Précision concernant l'engagement de sauvegarde - -La stratégie de sauvegarde déployée pour le COMMANDITAIRE, est -conditionnée par la souscription aux unités d'œuvre adéquates. - -Le Prestataire s'engage sur la mise à disposition d'une solution de -sauvegarde qui permettra au COMMANDITAIRE d'appliquer les politiques de -sauvegardes souhaitées. - -Il est précisé que le périmètre du Prestataire s'arrête à la mise à -disposition d'un service de sauvegarde et c'est au COMMANDITAIRE de -superviser via l'interface COMMANDITAIRE la bonne exécution des -politiques associées. - -Il est précisé que la gestion de capacités de stockage de l'espace de -stockage dédié aux sauvegardes, reste à la charge et responsabilité du -COMMANDITAIRE. Le Prestataire met à disposition le taux d'utilisation -via la console. - -*Exemple : Non sauvegarde d'une machine virtuelle :* - -*Le COMMANDITAIRE a la charge de vérifier / superviser la bonne -exécution des politiques des sauvegardes, dans le cas où le -COMMANDITAIRE constate qu'une machine virtuelle n'est pas sauvegardée, -il lui appartient d'en vérifier la cause, le COMMANDITAIRE pourra -solliciter le Support du Prestaire selon le niveau de support souscrit -pour être assisté.* - -**Le SLA 8 : IC-INFRA_SNC-08 et SLA 9**, sera exclusivement applicable -dans le cas d'un Incident du service sauvegarde. - -# Organisation de la relation contractuelle - -## Responsabilités du Prestataire - -Le Prestataire s'engage : - -- à informer son COMMANDITAIRE de manière adéquate (par exemple en cas - de limite de capacité de ressources techniques délivrant le - Service). - -- à informer formellement le COMMANDITAIRE et dans un délai d'un mois, - de tout​ changement juridique, organisationnel ou technique pouvant - avoir un impact sur la conformité du Service aux exigences de - protection contre les lois extra-européennes (19.6 du référentiel - SNC v3.2). - -- à fournir au COMMANDITAIRE des interfaces et des interfaces de - service qui sont en langue française a minima. - -- à prendre en compte les exigences sectorielles spécifiques liées aux - types d\'informations confiées par le COMMANDITAIRE dans le cadre de - la mise en œuvre du Service et dans la limite des responsabilités du - Prestataire d\'une part, et des dispositions prévues au Contrat - d\'autre part ; - -- à étudier les exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE dans le cadre de la - mise en œuvre du Service, ultérieurement exprimées par le - COMMANDITAIRE, et à indiquer à ce dernier les actions nécessaires - pour leur prise en compte - -- à ne divulguer aucune information relative à la prestation à des - tiers, sauf autorisation formelle et écrite du COMMANDITAIRE. - -- à mettre à disposition toutes les informations nécessaires à la - réalisation d'audits de conformité conformément aux dispositions de - l'article 28 du RGPD. - -- à rendre compte auprès du COMMANDITAIRE, par la présente Convention - de service, de tout Incident de sécurité impactant le Service ou - l'utilisation faite par le COMMANDITAIRE du Service (incluant les - données du COMMANDITAIRE). - -- à autoriser un prestataire d'audit de la sécurité des systèmes - d'information (PASSI) qualifié, mandaté par le Prestataire, à - auditer le service ainsi que son système d'information, conformément - au plan de contrôle du SecNumCloud du Prestataire. De plus, le - Prestataire s'engage à fournir toutes les informations nécessaires - pour mener à bien les audits de conformité aux dispositions de - l'article 28 du RGPD, menés par le commanditaire ou un tiers - mandaté. - -- à fournir, en qualité de sous-traitant, conformément à l'article 28 - du Règlement général sur la protection des données (RGPD), - assistance et conseils au COMMANDITAIRE en l'alertant dès lors - qu'une instruction émise par ce dernier est susceptible de - constituer une violation des règles de protection des données. - -- à notifier le COMMANDITAIRE dans un délai raisonnable, à travers la - console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE, - lorsqu'un projet impacte ou est susceptible d'impacter le niveau de - sécurité ou la disponibilité du Service, ou à engendrer une perte de - fonctionnalité, des potentiels impacts, des mesures d'atténuation - mises en place, ainsi que des risques résiduels qui le concernent. - -- à documenter et à mettre en œuvre l'ensemble des procédures - nécessaires pour respecter les exigences légales, réglementaires et - contractuelles applicables au service, ainsi que les besoins de - sécurité spécifiques du COMMANDITAIRE, définis par ce dernier et - prévus au Contrat. - -- à ne pas utiliser les données du COMMANDITAIRE issues de la - production pour réaliser des tests, à l'exception d'en obtenir - préalablement l\'autorisation explicite du COMMANDITAIRE, auquel cas - le Prestataire s\'engage à anonymiser ces données et à en assurer la - confidentialité lors de leur anonymisation. - -- à supprimer les données et Données techniques relatives au - COMMANDITAIRE, conformément à la « procédure d'effacement des - données en fin de Contrat » décrite dans la présente Convention de - service lors d'une fin ou résiliation de Contrat. - -- à assurer un effacement sécurisé de l'intégralité des données du - COMMANDITAIRE par réécriture complète de tout support ayant hébergé - ses données dans le cadre du Service. - -Sur demande du COMMANDITAIRE formelle et écrite, le Prestataire s'engage -à : - -1. Rendre accessible au COMMANDITAIRE le règlement intérieur et la - charte d'éthique du Prestataire ; - -2. Rendre accessible au COMMANDITAIRE les sanctions encourues en cas - d'infraction à la politique de sécurité ; - -3. Fournir au COMMANDITAIRE l\'ensemble des événements le concernant - dans les éléments de journalisation du Service ; le COMMANDITAIRE - pouvant par ailleurs consulter en autonomie les événements relatifs - à son utilisation du Service au travers des interfaces web et API du - Service ; - -4. Rendre accessible au COMMANDITAIRE les procédures permettant de - respecter les exigences légales, réglementaires et contractuelles en - vigueur applicables au Service, ainsi que les besoins de sécurité - spécifiques du COMMANDITAIRE prévus au Contrat ; - -5. A fournir, les éléments d'appréciation des risques relatifs à la - soumission des données du COMMANDITAIRE au droit d'un état - non-membre de l'Union Européenne ; - -6. A informer le COMMANDITAIRE des sous-traitants ultérieurs - intervenants dans la fourniture du Service, et à l\'informer de tout - changement l\'impactant relatif à ces sous-traitants. - -> Le Prestataire et l'ensemble de ses filiales s'engagent à respecter -> les valeurs fondamentales de l'Union européenne, à savoir la dignité -> humaine, la liberté, la démocratie, l'égalité, l'état de droit, ainsi -> que le respect des Droits de l'homme. Le service fourni par le -> Prestataire est conforme à la législation en vigueur en matière de -> droits fondamentaux et aux valeurs de l'Union européenne relatives au -> respect de la dignité humaine, à la liberté, à l'égalité, à la -> démocratie et à l'État de droit. - -## Limitation des responsabilités du Prestataire - -Du fait de l'ensemble des définitions et conditions mentionnées dans la -présente Convention de service, les responsabilités du Prestataire sont -limitées ainsi : - -1. Le modèle de responsabilité partagée, décrit dans la section - « Modèle de responsabilités partagées » de la présente Convention de - service, limite de fait l'implication du Prestataire dans les - couches de fonctionnement allant "au-dessus" de la mise à - disposition de ressources de calcul, de réseau, de stockage et de - sauvegarde. Ceci exclut en particulier sans s'y limiter : - - - La gestion de ce qui est installé sur les machines virtuelles - (OS, middlewares, applicatifs, etc.); - - - La tenue à jour des OS et autres logiciels installés par le - COMMANDITAIRE sur ses machines dans ses Tenants; - - - La sécurité des programmes, logiciels et applicatifs installés - sur les machines virtuelles; - - - La mise à jour des machines virtuelles; - - - La sauvegarde des données au niveau applicatif. - -2. Le Prestataire ne peut prendre d'engagements de sauvegarde des - Tenants du COMMANDITAIRE sans que le COMMANDITAIRE n'ai au préalable - souscrit aux unités d'oeuvres adéquates. - -3. Le Prestataire ne peut se prévaloir de la propriété des données - transmises et générées par le COMMANDITAIRE. En effet, celles-ci - relèvent de la propriété du COMMANDITAIRE. - -4. Le Prestataire souligne qu'il ne peut en aucun cas exploiter et/ou - disposer des données transmises et générées par le COMMANDITAIRE - sans validation préalable de ce dernier, étant entendu que leur - disposition est réservée au COMMANDITAIRE. - -5. Le Prestataire dégage toute responsabilité sur les composants - physiquement hébergés et infogéré par le Prestataire, mais étant la - propriété directe du COMMANDITAIRE ou d'un tiers avec lequel le - COMMANDITAIRE a contractualisé. L'hébergement de composants - physiques des clients ne fait pas partie du Service et est de fait - hors du cadre de la présente Convention de service. Il incombe au - COMMANDITAIRE d'évaluer le niveau d'adhérence ou de dépendance - qu'introduisent ces composants vis-à-vis du Service IaaS qualifié - SecNumCloud. - -## Limitation d'accès - -Dans le cadre du Service, le Prestataire est formellement interdit -d'accéder aux Tenants appartenant au COMMANDITAIRE sans autorisation -préalable. Il est de la responsabilité du COMMANDITAIRE de fournir les -accès nécessaires au personnel du Prestataire, selon les besoins -spécifiques de l'hébergement et, le cas échéant, des services -professionnels de support, si cette option a été choisie par le -COMMANDITAIRE. - -Le COMMANDITAIRE reconnaît que ces accès sont accordés exclusivement -pour les besoins liés à la prestation de services convenus, assurant -ainsi une gestion sécurisée et conforme aux termes de l'accord. - -L'accès distant par des tiers impliqués dans la prestation de service du -Prestataire est strictement interdit. Dans l'éventualité où une exigence -technique spécifique nécessiterait un tel accès, celui-ci ne pourrait -être établi qu'après avoir clairement notifié le COMMANDITAIRE, fourni -une justification détaillée et obtenu son accord écrit. - -Cette mesure garantit le contrôle et la sécurité des données du -COMMANDITAIRE, en s'assurant que toute exception à la règle est dûment -autorisée et documentée. - -## Responsabilités des tiers participant à la fourniture du service Secure Temple - -Le Prestataire maîtrise la liste des tiers partenaires participant de la -fourniture du Service. Ces tiers sont les éditeurs, prestataires (du -Prestataire) et autres fournisseurs participant de la fourniture du -Service. Le Prestataire applique les mesures suivantes à ces tiers : - -- Le Prestataire exige des tiers participant à la mise en œuvre du - service, dans leur contribution au Service, un niveau de sécurité au - moins équivalent à celui qu'il s'engage à maintenir dans sa propre - politique de sécurité applicable au service Secure Temple ; - -- Le Prestataire contractualise, avec chacun des tiers participant à - la mise en œuvre du service, des clauses d'audit permettant à un - organisme de qualification de vérifier que ces tiers respectent les - exigences légales et les exigences SNC, permettant au Prestataire de - respecter ses engagements dans la présente Convention de service. - -- Le Prestataire met en œuvre une procédure permettant de contrôler - régulièrement les mesures mises en place par les tiers participant à - la mise en œuvre du service pour respecter les exigences au - Prestataire de respecter ses engagements dans la présente Convention - de service. - -- Le Prestataire assure un suivi des changements apportés par les - tiers participant à la mise en œuvre du service susceptibles - d\'affecter le niveau de sécurité du système d\'information du - service. - -## Responsabilités et obligations du COMMANDITAIRE - -Le COMMANDITAIRE dispose des obligations suivantes dans le cadre du -Service : - -- Pour rappel, le Prestataire fournit au COMMANDITAIRE une plateforme - d'exécution de machines virtuelles, la configuration de celles-ci - est à la charge du COMMANDITAIRE. Chaque machine virtuelle ne peut - fonctionner sans une politique de sauvegarde associée. Le - Prestataire définit via ses interfaces des politiques de sauvegarde - automatiques. Mais c'est à la charge du COMMANDITAIRE l'activation - de ces politiques de sauvegarde et donc d'activer les machines - virtuelles. - -- Le COMMANDITAIRE autorise l'ANSSI et l'organisme de qualification - SNC à auditer le Service et l'infrastructure technique délivrant le - Service. - -- Le COMMANDITAIRE est responsable d\'indiquer au Prestataire les - éventuelles exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE et nécessitant d\'être - prises en compte par le Prestataire. - -- Le COMMANDITAIRE accepte de ne pas demander au Prestataire des - exigences ou actions faisant déroger le Prestataire aux exigences du - référentiel SecNumCloud dans sa version courante d\'une part, ou - abaissant le niveau de sécurité établi par le respect des exigences - de ce même référentiel d'autre part. - -## Droits du COMMANDITAIRE - -À tout moment au cours de la relation contractuelle, le COMMANDITAIRE -peut déposer une réclamation relative au service qualifié auprès de -l'ANSSI. - -À tout moment, le COMMANDITAIRE peut demander au Prestataire de lui -rendre accessible son règlement intérieur et sa charte d'éthique. - -## Effacement des données en fin de Contrat - -À l'issue du contrat, qu'il arrive à échéance ou qu'il soit résilié pour -quelque raison que ce soit, le Prestataire s'engage à procéder à -l'effacement sécurisé de l'intégralité des données du COMMANDITAIRE, y -compris les données techniques. Le Prestataire s'assurera de communiquer -au COMMANDITAIRE un préavis formel, respectant un délai de vingt et un -(21) jours calendaires. Les données du COMMANDITAIRE seront alors -supprimées dans un délai maximum de trente (30) jours suivant cette -notification. - -Pour attester de cette suppression, le Prestataire remettra au -COMMANDITAIRE un certificat confirmant l'effacement des données. - -# Cycle de vie de la présente Convention de service - -## Entrée en effet de la Convention de service - -La présente Convention de service entre en effet le jour de sa signature -par le COMMANDITAIRE. - -La collecte, la manipulation, le stockage et le traitement des données -faits dans le cadre de l'avant-vente, la mise en œuvre, l'arrêt du -Service​, sont faits dans le respect de la législation en vigueur. - -## Évolutions de la Convention de service - -Les modifications ou ajouts apportés à la présente Convention de service -découlent exclusivement des requêtes formulées par les organes de -gouvernance désignés à cet effet. Ces propositions de changement seront -examinées par les Parties, habilitées à déterminer les aspects -nécessitant une formalisation écrite. - -Il est convenu que toute évolution de la Convention de service, après -validation, qui altère les conditions financières initialement établies, -nécessitera l'établissement et la signature d'un avenant au Contrat en -cours. - -Les facteurs pouvant induire une révision de cette Convention de service -incluent, sans s'y limiter : - -- L'évolution de l'infrastructure technique délivrant le Service - IaaS ; -- Les ajustements apportés aux services déployés par le Prestataire - pour fournir le Service ; -- Les variations des engagements pris et des sanctions applicables ; -- Les reconfigurations organisationnelles au sein du COMMANDITAIRE ou - du Prestataire ; -- L'expansion ou la réduction du champ d'application du Service. - -La gestion des versions et des révisions de la Convention de service est -consignée en préambule du document pour en faciliter le suivi. - -### Évolutions déclenchées par le COMMANDITAIRE - -Les évolutions de la Convention de service peuvent avoir, notamment, -pour origine : - -- Une évolution de l'infrastructure gérée par le Prestataire ; - -- Une modification des services mis en œuvre par le Prestataire ; - -- Une modification des engagements de niveaux de services par le - Prestataire. - -### Évolutions déclenchées par le Prestataire - -Toute modification de la Convention de service est soumise à acceptation -du COMMANDITAIRE. Il est entendu que toute modification ou complément -validés modifiant les éléments financiers du Contrat, pourra impliquer -la signature d'un avenant à celui-ci. - -## Réversibilité - -De plus, Cloud Temple s'engage à permettre une révision de la présente -Convention de service (prévoyant notamment sa résiliation) sans pénalité -pour le COMMANDITAIRE en cas de perte de la qualification SecNumCloud. - -Les Services ne comprennent pas d'obligation de réversibilité (à savoir, -l'aide au COMMANDITAIRE pour qu'il puisse migrer son système vers un -autre" Prestataire) à l'exception de la mise à disposition du -COMMANDITAIRE par le Prestataire de l'interface COMMANDITAIRE permettant -au COMMANDITAIRE de sauvegarder et récupérer ses données y compris -notamment les données de configuration de leur système d'information via -l'une des modalités techniques suivantes au choix du COMMANDITAIRE : la -mise à disposition de fichiers suivant un ou plusieurs formats -documentés et exploitables en dehors du service fourni par le -Prestataire ou bien via la mise en place d'interfaces techniques -permettant l'accès aux données suivant un schéma documenté et -exploitable (API). - -Le COMMANDITAIRE, seul maître de son système, doit tout mettre en œuvre -pour faciliter cette opération en tant que de besoin (ce qui implique, -notamment, qu'il mette en place une documentation rigoureuse à cet -effet) et l'élaboration de plans de réversibilité. Dans le cas où le -COMMANDITAIRE aurait besoin d'une prestation complémentaire, le -Prestataire peut proposer une mission de conseil à cet égard dans le -cadre d'un contrat spécifique à négocier. - -# Disponibilité, continuité et restauration du service - -## Gestion des Incidents et des interruptions - -### Incidents - -#### Types d'Incidents traités dans le cadre de cette Convention de service - -- Sinistres ; - -- Pannes et défaillances ; - -- Incidents de sécurité impactant la disponibilité, la confidentialité - ou l'intégrité du Service. - -#### Traitement des incidents - -> Le Prestataire informe le COMMANDITAIRE dans les meilleurs délais, des -> incidents et interruptions, au moyen d'une une notification dans la -> console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE. Le -> Prestataire informe le COMMANDITAIRE du traitement de l'incident par -> le canal utilisé pour notifier l'incident, ou par le canal indiqué -> dans la notification de l'incident. - -#### Niveau de notification des Incidents de sécurité - -Le COMMANDITAIRE a la responsabilité de choisir les niveaux de gravité -des Incidents de sécurité pour lesquels il souhaite être informé, par -exemple via leur formalisation dans un PAS applicable au Service. - -Par défaut, le COMMANDITAIRE est informé : - -- Des incidents de sécurité avec impact (impacts I1 et I2 selon - l'échelle d'impact définie dans le processus de priorisation des - traitements de la présente Convention de service) ; - -- Des incidents de sécurité impactant la confidentialité ou - l'intégrité des données du COMMANDITAIRE confiées dans le cadre du - Service ; - -- Des violations de données à caractère personnel pour lesquelles le - COMMANDITAIRE est responsable du traitement conformément à l'article - 8 de l'Annexe DPA dans le cadre du Service ; - -- - -## Maintenance du Service - -### Nature de la maintenance - -Des violations de données à caractère personnel pour lesquelles le -Prestataire est responsable du traitement et comportant des données -personnelles du COMMANDITAIRE, conformément à l'article 8 de l'Annexe -DPA. La maintenance assurée consiste en la mise en œuvre : - -- Du plan de maintien en conditions opérationnelles du Service pour - assurer de bons indicateurs de disponibilité tels que s'y engage le - Prestataire plus haut ; - -- Du plan de PCA/PRA si souscrit par le COMMANDITAIRE déclenché selon - les éventuels incidents qui surviendraient. - -### Accès distants de Cloud Temple sur le périmètre du COMMANDITAIRE - -Le Prestataire s'interdit, dans le cadre de la présente Convention de -service, tout accès aux Tenants et à l'espace de l'interface du -COMMANDITAIRE. - -Il incombera au COMMANDITAIRE donner les accès nécessaires au personnel -du Prestataire. Le COMMANDITAIRE reconnaît que les accès seront utilisés -dans le cadre de l'hébergement et in fine de l'infogérance (si souscrit -par le COMMANDITAIRE). - -### Accès distants de tiers participant à la fourniture du service sur le périmètre du COMMANDITAIRE - -Aucun accès distant de tiers participant à la fourniture du Service -n'est autorisé. - -Si un besoin technique rendait ce cas de figure nécessaire, alors ce -type d'accès ne serait réalisé qu'après notification du COMMANDITAIRE -justification et obtention de son accord écrit. - -# Procédure d'effacement des données en fin de Contrat - -A la fin du Contrat, que le Contrat soit arrivé à son terme ou pour -toute autre cause, le Prestataire assura l'effacement sécurisé de -l'intégralité des données traitées dans le cadre du Service, y compris -les Données techniques du COMMANDITAIRE. Le Prestataire donnera un -préavis formel en respectant un délai de vingt et un jours (21) -calendaires. Les données du COMMANDITAIRE seront supprimées dans un -délai maximum de trente (30) jour après la notification. Le Prestataire -fournit un certificat de suppression de données au COMMANDITAIRE. - -# Droit applicable - -## De manière générale - -Le droit applicable et auquel est soumise la présente Convention de -service est le droit français. - -## Respect du droit et des réglementations applicables - -Le Prestataire s'engage sur les points suivants : - -- L'identification des contraintes légales et réglementaires - applicables dans le cadre du Service ; - -- Le respect des contraintes légales et réglementaires applicables aux - données confiées au Prestataire dans la limite des responsabilités - de ce dernier d\'une part, et des dispositions prévues au Contrat - d\'autre part.; - -- Le respect de la Loi informatique et liberté et du RGPD ; - -- La mise en œuvre de moyens de protection des données personnelles ; - -- La mise en œuvre d'un processus de veille légale et réglementaire ; - -- De disposer et maintenir des relations appropriées ou une veille - avec les autorités sectorielles en lien avec la nature des données - traitées dans le cadre du Services. Cela inclus notamment l'ANSSI, - le CERT-FR et la CNIL. - -## RGPD - -Agissant en qualité de sous-traitant au sens de l'article 28 du -Règlement général sur la protection des données (RGPD), le Prestataire -s'engage : - -- A assurer la transparence et la traçabilité ; - -- A désigner un DPO en charge de définir et mettre en œuvre les - mesures de protection des données à caractère personnel ; - -- Apporter une assistance et du conseil au COMMANDITAIRE en l'alerte - si une instruction de ce dernier constitue une violation des règles - de protection des données personnelles si le Prestataire a le moyen - d'en identifier ; - -- Une garantie de sécurité sur les données traitées (du fait de la - qualification SecNumCloud). - -## Protection vis à vis du droit extra-européen - -Le siège statuaire du Prestataire est établi au sein d\'un État membre -de l\'Union Européenne. Le capital social et les droits de vote dans la -société du Prestataire ne sont pas, directement ou indirectement : - -- individuellement détenus à plus de 24% ; - -- et collectivement détenus à plus de 39% ; - -par des entités tierces possédant leur siège statutaire, administration -centrale ou principal établissement au sein d'un État non membre de -l'Union européenne. - -En cas de recours par le Prestataire, dans le cadre du Service, au -service d\'une société tierce - y compris un sous-traitant - possédant -son siège statutaire, administration centrale ou principal établissement -au sein d\'un État non membre de l\'Union Européenne ou appartenant ou -étant contrôlée par une société tierce domiciliée en dehors l\'Union -Européenne, le Prestataire s\'engage : - -- à ce que cette susdite société tierce ne disposera d\'aucun accès - aux données opérées par le service \'Secure Temple\' ; - -- à disposer d\'une autonomie d\'exploitation à travers la possibilité - de faire appel à un autre sous-traitant ou de mettre rapidement en - oeuvre une alternative technologique. - -Pour rappel, les données visées sont celles qui sont confiées au -Prestataire par le COMMANDITAIRE ainsi que toutes Données techniques -comprenant des informations sur les COMMANDITAIRES. - -Pour les besoins du présent article, la notion de contrôle est entendue -comme étant celle mentionnée au II de l'article L233-3 du code de -commerce. - -# SIGNATURES - -Fait à \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le -\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ - -Pour Cloud Temple, le PRESTATAIRE - -Pour \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le COMMANDITAIRE +--- +title: Service Agreement SecNumCloud IaaS +--- + +# IaaS SERVICE AGREEMENT + +| Recipients: | **CLIENT** | +| :--- | :--- | +| **Document Reference** | CT.AM.JUR.ANX CdS-IaaS - 20251701_v3.0.docx_JJJJ AAAA | +| **Your Contacts** | *First Name* *Last Name* Account Manager email: *firstname.lastname*@cloud-temple.com | +| **Last Updated Date** | 01/17/2025 | +| **Contractual Validation Date** | Day JJ YYYY | + +------------------------------------------------------------------------ + +| Version | Date | Action | Author | +| :--- | :--- | :--- | :--- | +| v0.1 | 06/07/2022 | Initial Draft | Lorena ALCALDE | +| v0.2 | 09/14/2022 | Enrichment | Lorena ALCALDE | +| v1.0 | 12/30/2022 | Integration of Indicators | Lorena ALCALDE | +| v1.1 | 01/23/2023 | Footer Update | Lorena ALCALDE | +| v1.2 | 05/22/2023 | Enrichment | Lorena ALCALDE | +| v1.3 | 06/29/2023 | Enrichment | Lorena ALCALDE | +| v1.4 | 11/06/2023 | Capital Update and Enrichment | Lorena ALCALDE | +| v1.5 | 11/30/2023 | Enrichment | Lorena ALCALDE | +| v1.6 | 03/21/2024 | Enrichment | Lorena ALCALDE | +| v2.0 | 03/29/2024 | Compliance Adjustments (SNC) | Nicolas ABRIOUX | +| v2.0 | 04/03/2024 | Publication | Lorena ALCALDE | +| v3.0 | 01/17/2025 | Enrichment | Emeline CAZAUX | + +------------------------------------------------------------------------ + +# Preliminary and Glossary + +## Preliminary + +This document formalizes the Service Agreement associated with the IaaS service qualified as SecNumCloud under the name « *Secure Temple*». + +The Service is SecNumCloud qualified (see certificate in Annex). + +This Service Agreement complements and is supplementary to the Provider's General Terms and Conditions of Sale and Use. It is understood that the contractual documents shall be interpreted consistently with one another. In the event of contradiction or divergence between the terms of the contractual documents, the documents shall prevail over one another in the following order: + +1. General Terms and Conditions of Sale and Use (GTCU) + +2. SecNumCloud IaaS Service Agreement + +3. SecNumCloud OpenIaaS Service Agreement + +4. SecNumCloud PaaS Service Agreement + +5. Specific Service Agreement – Bare Metal + +6. Specific Particular Agreement + +7. Security Assurance Plan (SAP) + +8. Specific Terms of Use (STU) + +9. Data Protection Agreement + +## Glossar + +Im vorliegenden Servicevertrag werden der **Auftraggeber**, der **Dienstleister** und die **Parteien** im Vertrag, an welchen dieser Servicevertrag angehängt ist, wie folgt identifiziert. + +Die nachstehend verwendeten Ausdrücke im vorliegenden Servicevertrag werden gemäß den unten angegebenen Definitionen ausgelegt: + +- **Änderung:** Jeder Zusatz, jede Änderung oder Löschung, die den Service beeinflusst, die autorisiert, geplant oder übernommen wurde. + +- **Standardänderung:** Änderung, die einem festgelegten Verfahren unterliegt, bei der die Bedingungen für die Inbetriebnahme und die Auswirkungen (einschließlich finanzieller) im Voraus bekannt und von den Parteien akzeptiert sind. Sie wird dann in den Katalog der Standardänderungen aufgenommen und kann je nach Fall eine GTI und eine GTR aufweisen. + +- **Vertrag:** Bezeichnet den Vertrag, den der Auftraggeber beim Dienstleister abschließt, um dem Auftraggeber die Nutzung des Services zu ermöglichen, an welchen dieser Servicevertrag angehängt ist. + +- \***Servicevertrag:** Dieses Dokument, das im Rahmen eines spezifischen Vertrags oder der Allgemeinen Geschäftsbedingungen für Verkauf und Nutzung (AGB) erstellt wurde und in Übereinstimmung mit den Anforderungen des Referenzrahmens SecNumCloud steht. + +- **Serviceanfrage:** Anforderung zur Weiterentwicklung, die einem Verfahren unterliegt, deren Umsetzung: i) die CMDB nicht verändert, ii) der Betriebsablauf, die Kosten und die Risiken im Voraus bekannt und akzeptiert sind und keine spezifischen Rückgängigmachungsmaßnahmen erfordern, iii) die Umsetzung einer Service-Level-Agreement-Zusage unterliegt und im Fall der Umsetzung in Geschäftsstunden und Werktagen in die Vergütung des Vertrags einbezogen wird. + +- **Verfügbarkeit:** Fähigkeit, die Verfügbarkeit und die Aufrechterhaltung optimaler Leistungen des Services gemäß den in den Service-Level-Agreements (SLA) festgelegten Kriterien und Verpflichtungen sicherzustellen. + +- **Technische Daten:** Umfasst sämtliche Daten, die zur Bereitstellung des Services verarbeitet werden, insbesondere die Identität der Empfänger und Administratoren der technischen Infrastruktur, Protokolle der technischen Infrastruktur, Zugriffsconfiguration, Verzeichnisse, Zertifikate usw. + +- **Ereignis:** Ein „Ereignis“ ist jede erkennbare oder identifizierbare Vorkommnis, das für die Verwaltung des Services von Bedeutung sein kann. + +- **Hypervisor:** Betriebssystem, das die Ausführung von virtuellen Maschinen auf einem Rechenknoten ermöglicht. + +- **Störung:** Jedes unvorhergesehene Ereignis, das den normalen Betrieb des Services stört oder die Sicherheit der Daten gefährdet. + +- **Sicherheitsstörung:** Jedes Ereignis im Bereich des Services: + + - von vorsätzlicher, schädlicher Natur; + - von zufälliger Natur, das Integrität, Vertraulichkeit oder Nachvollziehbarkeit des Services oder der Daten des Auftraggebers beeinträchtigt; + - das bestehende Sicherheitsmaßnahmen beeinträchtigt. Beeinträchtigungen der Verfügbarkeit, die nicht vorsätzlich sind (z. B. Hardwareausfall, Fehler, Fehlfunktion, Naturkatastrophe), gelten nicht als Sicherheitsstörung. + +- **Auftraggeber-Schnittstelle:** Verwaltungsschnittstelle des Services, die dem Auftraggeber durch den Dienstleister zur Verfügung gestellt wird und eine Web-Verwungsconsole sowie eine API umfasst. + +- **Inbetriebnahme:** Verwaltungsmaßnahme(n) zur Umsetzung der Änderung, nachdem diese genehmigt wurde (die Änderung im Sinne von ITIL bezieht sich ausschließlich auf die Änderungsverwaltung und nicht auf deren Umsetzung/Realisierung). + +- **Problem:** Ursache eines oder mehrerer wiederkehrender Störungen, Ursache einer potenziellen Störung (Risikosituation), die einer Analyse und Lösung bedarf, um eine Wiederholung zu verhindern. + +- **Region:** Bezeichnet einen geografisch abgegrenzten Bereich aus Verfügbarkeitszonen, der Netzwerk-, Rechen- und Speicherdienste bereitstellt, um Latenz, Leistung und die Einhaltung lokaler regulatorischer Anforderungen zu optimieren. + +- **Service:** Bezeichnet den SecNumCloud-zertifizierten IaaS-Service „Secure Temple“, der dem Auftraggeber durch den Dienstleister aus von ihm betriebenen technischen Infrastrukturen zur Verfügung gestellt wird, wie in der Abschnitt „Beschreibung des Services“ dieses Servicevertrags beschrieben. + +- **Secure Temple:** Bezeichnet den SecNumCloud-zertifizierten IaaS-Service, der von der Gesellschaft Cloud Temple angeboten wird, wie in der auf der Website der ANSSI einsehbaren Bescheinigung und im Anhang dieses Servicevertrags definiert. + +- **Schadensfall:** Bezeichnet ein schwerwiegender Vorfall, der durch natürliche oder menschliche Ursache, zufällig oder vorsätzlich verursacht wird und erhebliche Verluste und Schäden für die betroffene Partei verursacht. + +- **Überwachung:** Überwachung eines Informationssystems oder eines Services, die die Erfassung verschiedener Daten wie Messwerte und Alarme beinhaltet. Diese Tätigkeit beschränkt sich auf Beobachtung und Verfolgung, ohne direkt in die überwachten Elemente eingreifen zu können – eine Befugnis, die den Administrationsaufgaben vorbehalten ist. + +- **Tenant:** Eine isolierte Instanz, die einem Benutzer oder einer Benutzergruppe vorbehalten ist, die eine gemeinsame Infrastruktur nutzt, dabei aber die Unabhängigkeit und Sicherheit der Daten und Anwendungen gewährleistet. + +- **Verfügbarkeitszone (AZ) (Availability zone):** Ein spezifischer, isolierter Bereich der Cloud-Infrastruktur, der zur Gewährleistung hoher Verfügbarkeit und Resilienz von Diensten durch eine geografische Verteilung der Ressourcen konzipiert ist. + +# Acronyms + +| Acronym | Definition | +| :--- | :--- | +| **CAB** | Change Advisory Board -- Change Advisory Board | +| **CMDB** | Configuration Management Database -- Configuration Management Database | +| **COPIL** | Steering Committee | +| **COSTRAT** | Strategic Committee | +| **COPROJ** | Project Committee | +| **DB** | Database (database) | +| **DPA** | Data Protection Agreement | +| **DRP** | Disaster Recovery Plan (DRP) (Disaster Recovery Plan) | +| **GTE** | Escalation Time Guarantee | +| **GTI** | Intervention Time Guarantee | +| **GTR** | Resolution Time Guarantee | +| **ITIL** | Information Technology Infrastructure Library - Best practices for IT service management | +| **IaaS** | Infrastructure as a Service | +| **MCO** | Maintenance in Operational Condition | +| **MOA** | Client (project owner) | +| **MOE** | Contractor (service provider) | +| **MSP** | Managed Services Provider | +| **OS** | Operating system (operating system) | +| **PAQ** | Quality Assurance Plan | +| **PaaS** | Platform as a Service | +| **PAS** | Security Assurance Plan | +| **PASSI** | Information System Security Audit Provider | +| **RFC** | Request For Change -- Change Request | +| **RGPD** | General Data Protection Regulation (personal data) | +| **RPO** | Recovery Point Objective -- Data freshness upon recovery after an incident | +| **RTO** | Recovery Time Objective -- Service restoration time after an incident | +| **SDM** | Service Delivery Manager | +| **SLA** | Service Level Agreement -- Service Level Agreement | +| **SNC** | SecNumCloud | +| **SOC** | Security Operations Center | +| **TMA** | Third-party Application Maintenance | +| **UO** | Work Unit | +| **VABE** | Validation of Suitability for Good Operability | +| **VABF** | Validation of Suitability for Proper Functioning | +| **VM** | Virtual Machine (virtual machine) | +| **VSR** | Regular Service Validation | + +# Purpose of this Service Agreement + +This Service Agreement establishes the terms and conditions under which the Provider undertakes to deliver the Service to the CLIENT. Its purpose is to: + +- Specify the performance requirements expected by the CLIENT in terms of functionality and reliability of the Service; + +- Outline the Provider’s obligations to meet the agreed-upon service levels; + +- Identify the regulatory standards specifically applicable to the delivered Service; + +- Ensure consistency and integrity in the evaluation of Service quality; + +- Guarantee the excellence of the services provided, assessed through quantitative performance indicators. + +It is stipulated that, in the event the Provider loses its SecNumCloud qualification, the Contract may be terminated immediately and without penalty by the CLIENT. In such a case, the Provider undertakes to notify the CLIENT of this loss of qualification by sending an official notice via registered letter with acknowledgment of receipt. + +It should be noted that any modification or adjustment to the SecNumCloud qualification shall not be interpreted as a revocation of the initial qualification. + +# Audit + +The Provider undertakes to allow the CLIENT, or any third-party auditor who is not a competitor of the Provider and who has been designated by the Provider, to access all documents necessary to verify full compliance with the obligations related to conformity with the provisions of Article 28 of the General Data Protection Regulation (GDPR), thereby facilitating the conduct of audits. + +By accepting this Service Agreement, the CLIENT explicitly grants authorization to: + +1. The National Agency for the Security of Information Systems (ANSSI), as well as the competent qualification body, to carry out verification of the compliance of the Service and its information system with the SecNumCloud reference framework. +2. A qualified information systems security auditor, duly certified PASSI and expressly designated by the Provider, to conduct security audits concerning the Service. + +# Servicebeschreibung + +## Shared Responsibility Model + +The Service provided by the Supplier is characterized by the delivery of the following offerings, which align with the shared responsibility principle presented in the SecNumCloud reference framework: + +- Provision of computing (compute) resources; + +- Provision of storage spaces; + +- Access to networking and internet connectivity services; + +- Offering of a backup service dedicated to virtual machines. + +The shared responsibility model applied between the Supplier and the CLIENT within the scope of the Service is detailed in §7.1. + +It is understood that the Supplier will leverage its expertise to deliver the Services in accordance with professional best practices and in compliance with the requirements of the SecNumCloud reference framework. + +## Detailed Scope of the Service + +| Service | Description | +| :--- | :--- | +| **Compute** | Computing resource of the Tenant COMMANDITAIRE | +| **Storage** | Production data of the Tenant COMMANDITAIRE | +| **S3 Object Storage** | Provisioning of a sovereign, multi-AZ object storage infrastructure compatible with standard S3 APIs. | +| **Backup** | Subject to subscription of appropriate mass-storage | +| **Network Infrastructure** | Networking resources of the Tenant COMMANDITAIRE | +| **COMMANDITAIRE Console** | Service enabling the COMMANDITAIRE to access and manage its IaaS service via the Console interface | +| **Support** | Support service accompanying the aforementioned services and only these (\*) | + +\_(\*) Within the scope of the qualified SNC service and the Provider's responsibilities in this regard\_ + +### Datacenter Infrastructures + +The Service encompasses the provision, for each Availability Zone, of the following qualified services: + +- A datacenter site located in France for the FR Region, compliant with the latest technological standards, offering a resilience level equivalent to or higher than Tier 3 of the Uptime Institute; +- Provision of technical rooms within dedicated datacenters for housing essential technical equipment required for service production, including computing, storage, networking, cabling, and other necessary components; +- Secure electrical power supply, provided by two distinct electrical circuits, ensuring uninterrupted service continuity; +- Provision of climate control services, adjusted to meet equipment manufacturers’ standards and recommendations, to maintain an optimal environment for technical devices; +- Continuous monitoring and detailed metrology, enabling precise tracking and proactive management of service performance and security. + +The Provider ensures the availability of advanced fire detection and suppression services, designed to effectively identify and neutralize any fire outbreak within the facilities. These systems are essential to ensure the safety of equipment and data. They include high-precision smoke detectors and suppression devices capable of rapid response without damaging IT equipment. This service is critical to prevent fire risks, minimize potential damage, and ensure operational continuity. + +The CONTRACTOR is informed that all implemented security procedures and measures, including annual failover tests on backup generators, are essential to guarantee service continuity and integrity. These practices are designed to minimize the risk of failure and ensure optimal responsiveness in the event of an incident. By accepting these conditions, the CONTRACTOR acknowledges the importance of these measures and commits to fully cooperating to facilitate their implementation. The CONTRACTOR is also encouraged to review the provided security recommendations and integrate them into its own risk management strategy. + +### Software Infrastructure for Service Management + +The Provider supplies the COMMANDITAIRE with the administration console and the API necessary for using the Service. The Provider further undertakes to maintain this administration console and API in optimal operational condition and to ensure their continuous security. The administration console and API are collectively referred to as the "COMMANDITAIRE interface." + +The Provider alerts the COMMANDITAIRE that abnormal use of the COMMANDITAIRE interface—particularly API command overload (hammering)—may trigger automatic security measures resulting in the blocking of access to the command APIs or the Service. It should be emphasized that this situation does not constitute Service unavailability but rather a protective action taken to safeguard the Service and the Provider’s infrastructure; therefore, the COMMANDITAIRE may not consider it as Service downtime for its calculations. + +Furthermore, the Provider informs the COMMANDITAIRE that perfectly identical requests (duplicates) sent to its APIs are limited to one per second (Throttling). If the COMMANDITAIRE submits identical requests at a higher frequency, their rejection cannot be interpreted as Service unavailability. + +### Computing Infrastructure + +The Service includes the provision, within the availability zones subscribed by the CUSTOMER, of the equipment necessary to run workloads in the form of virtual machines. + +This includes: + +- Provision of the required technical chassis for the proper operation of the compute blades; +- Provision of the compute blades in the quantities specified by the CUSTOMER and distributed across the availability zones of the CUSTOMER’s choice. It should be noted that these compute blades are exclusively dedicated to the CUSTOMER; +- Provision of operating system software in the form of hypervisors, as well as assurance of the operational and security maintenance of the underlying software infrastructure required to manage these operating systems. It should be emphasized that, although the Provider is responsible for the operational maintenance and overall security of the Service, it does not possess specific knowledge regarding the CUSTOMER’s production environments or the requirements related to their workloads. Consequently, the responsibility for deciding when to update the operating systems of the hypervisor compute blades— an action that may require a reboot— rests entirely with the CUSTOMER. This operation can be performed via the CUSTOMER Interface. + +The selection of the compute blade model, chosen from the catalog offered by the Provider, is the responsibility of the CUSTOMER. + +### Storage Infrastructure + +The service includes providing the CONTRACTOR with a shared storage infrastructure of the SAN (Storage Area Network) type, offering various performance levels. This service encompasses: + +- Implementation and ongoing operation and security maintenance of the dedicated SAN network; +- Installation and management of storage enclosures shared among clients, including their operational and security maintenance, monitoring, and metering; +- Deployment of automated systems for allocating LUNs (Logical Unit Numbers) dedicated to the CONTRACTOR’s use, in accordance with the volumes subscribed by the CONTRACTOR. + +### Global Network Infrastructure + +The Provider deploys, as part of the Service, a global network that enables the COMMANDITAIRE to make its hosted systems accessible. This service includes: + +- Provisioning, ongoing operational maintenance, and security assurance of all fiber-optic interconnections linking the various Availability Zones; + +- Provisioning, ongoing operational maintenance, and security assurance of the technical equipment necessary for proper network operation and isolation of the different clients. + +The Tenant COMMANDITAIRE's network interconnection with the Internet or private networks, as well as the associated network equipment, operator links, and other technical components enabling this interconnection, are not part of the Service scope. This network interconnection is implemented in accordance with the provisions set forth in the Contract. + +### Backup Infrastructure + +The Provider makes available to the CLIENT an integrated, dedicated, and managed backup service designed to protect its virtual machines. The Provider ensures the operational readiness and security of this backup service. + +The Provider guarantees that the CLIENT's backups will be stored outside the availability zone of the workloads being backed up, provided the CLIENT has subscribed to the appropriate Work Units. + +This backup service is limited to backing up virtual machines and the topology configurations of the IaaS environment of the CLIENT's Tenants within the scope of the Service. The development and implementation of an adequate backup policy by the CLIENT depend on the subscription to specific Work Units. Therefore, it is the CLIENT's responsibility to ensure the availability of the necessary technical resources with the Provider to implement its backup policy or adjust it according to the available resources. + +The Provider undertakes to notify the CLIENT in case of capacity constraints and to provide advisory support for resource optimization. The Provider's obligations are limited to implementing the backup policy requirements expressed by the CLIENT, within the scope of the subscribed resources. + +### Implementation of Business Continuity or Disaster Recovery Solutions + +The Provider supplies the CONTRACTOR with all necessary technical solutions to ensure optimal distribution of its resources across multiple Availability Zones. It is the CONTRACTOR's responsibility to efficiently manage this resource distribution, for which it has access to the tools provided by the Provider specifically designed for this purpose. + +## Limitations of Services in the Qualified IaaS Model + +### Managed Services in RUN + +It is important to note that the following are excluded from the Service: + +- Hosting of physical components of the CUSTOMER; + +- Network interconnection of the CUSTOMER’s Tenant to the Internet or private networks, including operator links; + +- Any managed service or TMA (Third-Party Managed Application); + +- Any support for virtual machines at the OS level and above in the IaaS responsibility stack, even if it involves only monitoring. + +That said, the CUSTOMER is in no way precluded from using such services through the Provider’s MSP offering to perform managed services on its Tenants. These services will then not be governed by the present Service Agreement and its bilateral commitments/clauses. + +### Emergency Configuration + +By default, the Provider sets up the IaaS resources for the CUSTOMER by reserving resources and configuring deployments to use Availability Zones. It is the CUSTOMER's responsibility to select the Availability Zones via the CUSTOMER interface. + +### Backup Configuration + +The backup service ends with the backup of virtual machines and topology configurations representing the IaaS environment of the COMMANDITAIRE's tenants within the scope of the Service. + +The backup service and the completion of the COMMANDITAIRE's backup policy are subject to the subscription of storage space on the required mass storage to ensure the service. It is therefore the responsibility of the COMMANDITAIRE to subscribe to the necessary technical means from the Provider to ensure the backup policy within its IT environment, or to adjust the backup policy according to the implemented means. The Provider undertakes to inform the COMMANDITAIRE in case of technical capacity limitations. + +The Provider will implement the necessary technical and human resources for backing up the hosted system, within the limits of the resources subscribed by the COMMANDITAIRE. + +Furthermore, in cases where the environment is not covered by the Provider, it is the responsibility of the COMMANDITAIRE to define its own backup strategy and to configure the VM backups independently, or to submit a Service Request to the Provider so that the backup configuration for physical servers can be set up, provided the COMMANDITAIRE has a managed service contract enabling the Provider to act via the COMMANDITAIRE's interface—the administration console provided under this Service Agreement—which includes functionalities for configuring backups. + +Additionally, this service will only commit to translating, via the COMMANDITAIRE interface, the configuration clearly specified by the COMMANDITAIRE. + +For reasons of offer flexibility, the COMMANDITAIRE has the option to associate a "no backup" policy on certain of its VMs. In such cases, it is the responsibility of the COMMANDITAIRE to assume this choice. The Provider will not back up VMs associated with the "no backup" policy. The Provider alerts the COMMANDITAIRE that choosing the "no backup" policy or opting for manual backup exposes the COMMANDITAIRE to the risk of permanent data loss in the event of an incident on the lower layers or on layers dependent on the COMMANDITAIRE's responsibility within the IaaS model. In such a case, it will be impossible to hold the Provider responsible for restoring data, as there will be nothing to restore. The Provider recommends always backing up VMs. + +For any matter concerning the OS installed on a virtual machine and any software or program running "above the OS," it is the responsibility of the COMMANDITAIRE to perform administrative and monitoring operations within the European Union if it wishes to ensure that the entire verticality of the IT layers is operated and managed from within the European Union. Administrative operations conducted outside the Provider's responsibility perimeter under this Service Agreement, as specified in the section "Shared Responsibility Model" of this Service Agreement. + +## Implementation des Dienstes + +### Technical Requirements + +For the implementation of the Service, the CLIENT acknowledges that it will need to: + +- Operate with VMware virtualization in versions supported by the vendor and provided by the Provider as part of the Service; + +- Utilize the backup tool via the Provider; + +- Declare fixed IP addresses from which the Provider will authorize access to the CLIENT interface (whitelist filtering). Any modifications to this IP list must be carried out via the dedicated menu in the console or through Service Requests for subsequent changes. At service initialization, the Provider shall have been informed of at least 1 IP address as described above. + +## Service Location in France + +It is specified that none of the operations or physical components involved in the provision of the Service, the subject of this Service Agreement, are located outside the European Union. + +This specifically includes support, operational monitoring, and security monitoring (SOC) of the technical infrastructure delivering the Service. As a result, all storage, administrative tasks, monitoring activities, and processing are carried out in France. + +### Location of Datacenters Hosting the Service + +In the absence of operations conducted by the Provider's employees and agencies, all production operations (including data storage and processing) and technical components delivering the Service are located in data centers based in France. + +### Location of Cloud Temple agencies operating the service + +The Cloud Temple staff members providing services within the scope of the Service operate from Cloud Temple agencies, all located exclusively in France. These agencies are situated in France, in Tours, Lyon, Caen, and Paris La Défense. + +The CLIENT is informed of the possibility that Cloud Temple employees may work remotely. However, the PROVIDER guarantees the same level of security for remote access, particularly regarding VPN access. These remote access arrangements are implemented in compliance with the requirements of the SecNumCloud reference framework. + +## Support + +### Art des dem begleitenden Services + +Der Leistungserbringer stellt einen technischen Support-Service bereit, der den **Auftraggeber** bei der Verwaltung, Fehlerbehebung und Optimierung seiner bereitgestellten Ressourcen unterstützt. Dieser Service umfasst ein breites Spektrum an Tätigkeiten, von der Unterstützung bei der initialen Einrichtung der Dienste bis hin zum fortgeschrittenen technischen Support zur Lösung spezifischer Probleme. + +Im Folgenden finden Sie eine Beschreibung der Merkmale und Funktionen des Support-Services: + +- Unterstützung bei der initialen Implementierung der Nutzung des Dienstes; +- Unterstützung bei der Behebung von Störungen; +- Unterstützung bei der Lösung technischer Probleme; +- Überwachung und Beratung zur Optimierung der technischen Grundlage. + +Im Rahmen des Support-Services übernimmt der Leistungserbringer keine Verantwortung für die Nutzung des Dienstes durch den **Auftraggeber**. Der **Auftraggeber** bleibt vollständig verantwortlich für die Konfiguration, den Betrieb seiner VMs und seiner Tenants sowie für die Verwaltung aller Elemente (einschließlich Daten und Anwendungen), die er auf den Infrastrukturen des Leistungserbringers gespeichert oder installiert hat. Der technische Support wird gemäß den Allgemeinen Geschäftsbedingungen und Nutzungsbedingungen erbracht, wobei der Leistungserbringer einer Mittelhaftung unterliegt. + +Der **Auftraggeber** verpflichtet sich, den Support-Service verantwortungsvoll zu nutzen und insbesondere darauf zu verzichten, nicht abgeschlossene Dienstleistungen beim Leistungserbringer anzufordern oder die Teams des Leistungserbringers bei seinen eigenen Kunden oder Dritten einzuschalten, die nicht im Vertrag enthalten sind. Der Leistungserbringer behält sich das Recht vor, jede Anfrage abzulehnen, die diesen Kriterien nicht entspricht. + +Das Engagementniveau des Supports ist abhängig von der Abonnement von entsprechenden Support-Einheiten. + +### Request for Technical Support + +Technical support is accessible through a ticketing system via the COMMANDITAIRE console and is available during regular business hours, excluding public holidays (8:00 – 18:00; Monday to Friday; French calendar and time zone). For emergencies occurring outside of business hours, particularly incidents significantly impacting production, the on-call service can be reached via a number provided to the COMMANDITAIRE at Service initiation. + +For each request or incident, it is mandatory to create a ticket with the Provider’s support team. Initiating this ticket, including all necessary information, is essential and marks the beginning of the evaluation of the Provider’s commitments. + +As soon as the Provider receives a request or incident notification—whether through the management console or following a phone call—a ticket is automatically generated. When reporting an incident, it is crucial that the COMMANDITAIRE provides the Provider with as much detail as possible regarding the issue encountered. This step is essential to enable an accurate assessment of the situation, proper prioritization, and effective diagnosis. + +The COMMANDITAIRE then receives an email confirmation indicating the creation of the ticket and its unique ticket number. The COMMANDITAIRE can check the status and history of their requests and incident reports directly through the management console. + +### Incident Management Process + +Upon reporting an Incident, the Provider's technical support team initiates an investigation to identify the root cause of the issue and establish a diagnosis. The CUSTOMER must actively collaborate with the Provider by providing all necessary information and performing required tests. The Provider may access the CUSTOMER's Service to diagnose the Incident. + +If the Provider's Services are deemed functional and the Incident is not attributable to the Provider, the CUSTOMER will be notified. At the CUSTOMER's request, the Provider may offer Professional Services to identify the source of the problem, which will be billed upon prior agreement in 30-minute increments. + +In the event that the Incident is the responsibility of the Provider or one of its subcontractors, the Provider will complete the diagnosis and proceed with restoring the Service at no additional cost. The diagnosis is based on communications between the Parties and data provided by the Provider, which are considered conclusive by mutual agreement of the Parties. + +### Priorisierung von Behandlungen + +Die Festlegung des Prioritätsniveaus eines Falls basiert auf einer matrixbasierten Analyse, die die Auswirkung des Vorfalls und sein Kritikalitätsniveau bewertet: + +- Die Auswirkungsniveaus sind wie folgt definiert: + +| Auswirkungsniveau | Beschreibung | +| :--- | :--- | +| **Auswirkung I1** | Der oder die Dienste des Anbieters sind unterbrochen | +| **Auswirkung I2** | Der oder die Dienste des Anbieters sind beeinträchtigt | +| **Auswirkung I3** | Der oder die Dienste des Anbieters sind derzeit stabil, zeigen jedoch Anzeichen eines potenziellen langfristigen Rückgangs | + +- Die Kritikalitätsniveaus sind wie folgt definiert: + +| Kritikalitätsniveau | Beschreibung | +| :--- | :--- | +| **Kritikalität C1** | Der oder die Dienste des Anbieters verschlechtern sich mit besorgniserregender Geschwindigkeit | +| **Kritikalität C2** | Der oder die Dienste des Anbieters verschlechtern sich schrittweise im Laufe der Zeit | +| **Kritikalität C3** | Der oder die Dienste des Anbieters weisen ein oder mehrere Unannehmlichkeiten auf, ohne signifikante Folgen zu haben | + +- Aufgrund einer detaillierten Analyse der Situation unter Berücksichtigung der entscheidenden Faktoren für Auswirkung und Kritikalität wird dem Ticket gemäß der folgenden Entscheidungsmatrix eine Priorität zugewiesen: + +| Auswirkungsniveau / Kritikalitätsniveau | Auswirkung I1 | Auswirkung I2 | Auswirkung I3 | +| :--- | :--- | :--- | :--- | +| **Kritikalität C1** | Priorität **P1** | Priorität **P2** | Priorität **P3** | +| **Kritikalität C2** | Priorität **P2** | Priorität **P3** | Priorität **P4** | +| **Kritikalität C3** | Priorität **P3** | Priorität **P4** | Priorität **P5** | + +Die Service-Level-Vereinbarungen, die jeweils zu jedem Prioritätsniveau gehören, sind im folgenden Kapitel detailliert beschrieben. + +### Language and Location of Support Services + +Support is provided by the Provider to the CUSTOMER in French at a minimum. Support may also be provided in English. + +The Provider's support service operations for the qualified SecNumCloud infrastructure service offering are located within the European Union. + +# Service Level Agreements and Commitments + +The Provider undertakes to ensure continuous monitoring of the performance and security integrity of its technical infrastructure delivering the Service, ensuring optimal operation. + +Service unavailability, as defined by a performance indicator, is acknowledged as soon as it is detected by the Provider's monitoring system, or following notification from a user of the CLIENT. The start of unavailability is set at the earliest of these two events, ensuring accurate and fair calculation of downtime. + +The end of unavailability is officially marked by the complete restoration of the service, confirmed either by the Provider's monitoring tools or by user feedback, thereby ensuring an effective resumption of operations and an accurate measurement of the interruption duration. + +## Infrastructure Availability Commitments + +The Provider commits to maintaining an availability and performance level in compliance with the standards defined for each specified period. Service Level Agreements (SLAs) apply only if the CLIENT implements its systems across at least two of the Availability Zones available within the relevant Region. + +In the event that the CLIENT fails to meet these conditions, the CLIENT will be unable to claim the application of the relevant SLAs, which are specifically identified by an asterisk (\*). SLA accessibility is provided via the CLIENT interface. Measurements are calculated on a monthly basis: + +- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Compute Power Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Storage Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- **SLA 3 : IC-INFRA_SNC-03** -- Backup Reliability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Network Infrastructure Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- **SLA 5 : IC-INFRA_SNC-05** -- Internet Access: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. + +***Notes***: + +- *In response to a Distributed Denial-of-Service (DDoS) attack, the Provider reserves the right to adjust its internet routing configuration to mitigate the impact of the attack and protect its infrastructure. In particular, if an IP address belonging to the CLIENT is targeted, the Provider may employ BGP blackholing techniques to block all traffic destined for the targeted IP address upstream with its providers, with the aim of safeguarding the CLIENT’s resources as well as those of other CLIENTs and the Provider’s infrastructure. The Provider strongly encourages the CLIENT to adopt similar protective measures, such as using commercially available Web Application Firewalls, and to carefully configure its security groups via the command API.* + +- *The Provider emphasizes the importance for the CLIENT to minimize open traffic flows, particularly by avoiding exposing administrative ports **SSH** (TCP port 22) and **RDP** (TCP port 3389) to the entire Internet (0.0.0.0/0 subnet), as well as internal protocols such as **SMB** (TCP/UDP port 445) or **NFS** (TCP/UDP port 2049).* + +## Service Level Agreement for the COMMANDITAIRE Interface Availability + +- SLA 6: IC-INFRA_SNC-06 -- Access to the Service administration console: a guaranteed availability of 97%, ensured continuously, 24 hours per day and 7 days per week. +- SLA 7: IC-INFRA_SNC-07 -- Access to the Service control APIs: an availability of 99.9%, calculated on a 24h/24, 7j/7 basis. + +## Support Availability Commitment + +- **SLA 8: IC-INFRA_SNC-08** -- Performance commitments of the Provider's technical support for incidents, excluding scheduled maintenance: + +| Priority | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Priority P1** | 30 min | 95% | +| **Priority P2** | 2 h | 90% | +| **Priority P3** | 4 h | 90% | +| **Priority P4** | 24 h | 85% | +| **Priority P5** | 48 h | 85% | + +- **SLA 9: IC-INFRA_SNC-09** -- Performance commitments of the Provider's technical support for service requests: + +| Type | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Service Request** | 4 h | 90% | + +*Note*: + +- *The Response Time Guarantee (RTG) is calculated from the difference between the time the CLIENT opens the ticket and the first intervention by the Provider's support.* +- *Investigation of incidents affecting the CLIENTs will not include remote intervention on servers hosted by the CLIENT. Support will be limited to explaining available metrics related to the CLIENT's environment, to facilitate understanding of incidents or performance issues. Based on the results of this analysis, recommendations may be provided.* + +## S3 Object Storage Availability Commitment + +- **SLA 10: IC-INFRA_SNC-10** -- The availability commitments for S3 object storage are as follows: + +| Indicator | Commitment | Availability Target | +| :--- | :--- | :--- | +| **IC-INFRA-SNC-10.1** | Durability of object storage within a region | 99.9999999% / year | +| **IC-INFRA-SNC-10.2** | S3 Object Storage API availability | 99.99% | +| **IC-INFRA-SNC-10.3** | Maximum latency for object access within a region | 150 ms | + +Notes: + +- The Object Storage Service is specifically designed for object storage and must be used exclusively for this purpose, **strictly excluding any use in block mode**. Using block mode through indirect methods, such as employing *"FUSE"* in a Linux environment, constitutes a violation of the terms of use. No incident, malfunction, or damage resulting from such non-compliant usage will be covered by the Service Level Agreements (SLAs) defined in this service agreement. +- The durability guarantee is contingent upon the use of services in accordance with current best practices and standards, and explicitly excludes any data modification, whether intentional or accidental, resulting from actions taken by the **CLIENT**. + +## Clarification regarding the backup commitment + +The backup strategy deployed for the CLIENT is contingent upon the subscription to the appropriate work units. + +The Provider commits to providing a backup solution enabling the CLIENT to implement the desired backup policies. + +It is specified that the Provider's scope ends with the provision of a backup service, and it is the CLIENT's responsibility to monitor via the CLIENT's interface the proper execution of associated backup policies. + +It is further specified that the management of storage capacity for the dedicated backup storage space remains the sole responsibility of the CLIENT. The Provider will make the utilization rate available via the console. + +*Example: Failure to back up a virtual machine:* + +*The CLIENT is responsible for verifying and monitoring the correct execution of backup policies. If the CLIENT detects that a virtual machine is not being backed up, it is their responsibility to investigate the cause. The CLIENT may contact the Provider's Support team, according to the support level subscribed to, for assistance.* + +**SLA 8: IC-INFRA_SNC-08 and SLA 9** will apply exclusively in the event of a backup service incident. + +# Organization of the contractual relationship + +## Verpflichtungen des Auftragnehmers + +Der Auftragnehmer verpflichtet sich: + +- den Auftraggeber angemessen zu informieren (z. B. im Falle einer Kapazitätsbegrenzung der technischen Ressourcen, die den Service bereitstellen). + +- den Auftraggeber formell und innerhalb eines Monats über jede rechtliche, organisationelle oder technische Änderung zu informieren, die Auswirkungen auf die Konformität des Services mit den Anforderungen zum Schutz vor Gesetzen außerhalb der Europäischen Union haben könnte (19.6 des Referenzrahmens SNC v3.2). + +- dem Auftraggeber Schnittstellen und Service-Schnittstellen in mindestens französischer Sprache zur Verfügung zu stellen. + +- die branchenspezifischen Anforderungen, die sich aus den Arten der Informationen ergeben, die der Auftraggeber im Rahmen der Umsetzung des Services übermittelt, zu berücksichtigen, soweit dies innerhalb der Verantwortlichkeiten des Auftragnehmers liegt und unter Berücksichtigung der im Vertrag festgelegten Bestimmungen. + +- die branchenspezifischen Anforderungen, die sich aus den Arten der Informationen ergeben, die der Auftraggeber im Rahmen der Umsetzung des Services später formuliert, zu prüfen und dem Auftraggeber die erforderlichen Maßnahmen zur Berücksichtigung dieser Anforderungen mitzuteilen. + +- keine Informationen über die Leistung an Dritte weiterzugeben, es sei denn, der Auftraggeber hat eine ausdrückliche schriftliche Genehmigung erteilt. + +- alle Informationen bereitzustellen, die zur Durchführung von Konformitätsprüfungen gemäß Artikel 28 der DSGVO erforderlich sind. + +- dem Auftraggeber im Rahmen dieser Dienstleistungsvereinbarung Bericht über jeden Sicherheitsvorfall zu erstatten, der den Service oder die Nutzung des Services durch den Auftraggeber beeinträchtigt (einschließlich der Daten des Auftraggebers). + +- einem qualifizierten Prüfer für die Sicherheit von Informationssystemen (PASSI), der vom Auftragnehmer beauftragt wurde, die Prüfung des Services sowie seines Informationssystems gemäß dem Kontrollplan des SecNumCloud des Auftragnehmers zu ermöglichen. Darüber hinaus verpflichtet sich der Auftragnehmer, alle erforderlichen Informationen bereitzustellen, um die Konformitätsprüfungen gemäß Artikel 28 der DSGVO, die vom Auftraggeber oder einem von diesem beauftragten Dritten durchgeführt werden, durchzuführen. + +- im Rahmen seiner Rolle als Unterunternehmer gemäß Artikel 28 der Verordnung zum allgemeinen Datenschutz (DSGVO) dem Auftraggeber Unterstützung und Beratung zu leisten und diesen unverzüglich zu informieren, sobald eine von ihm erteilte Anweisung die Möglichkeit einer Verletzung der Datenschutzvorschriften beinhaltet. + +- den Auftraggeber innerhalb einer angemessenen Frist über die Konsole des Auftraggebers oder per E-Mail an den zuständigen Ansprechpartner des Auftraggebers zu informieren, wenn ein Projekt den Sicherheitsniveau oder die Verfügbarkeit des Services beeinträchtigt oder beeinträchtigen könnte, oder zu einer Funktionsausfall führen könnte, sowie über potenzielle Auswirkungen, ergriffene Minderungsmaßnahmen und verbleibende Risiken. + +- alle Verfahren zu dokumentieren und umzusetzen, die erforderlich sind, um die geltenden gesetzlichen, regulatorischen und vertraglichen Anforderungen für den Service sowie die spezifischen Sicherheitsanforderungen des Auftraggebers, die dieser festgelegt und im Vertrag vorgesehen hat, einzuhalten. + +- die Daten des Auftraggebers, die aus der Produktion stammen, nicht für Tests zu verwenden, es sei denn, der Auftraggeber hat hierzu vorher ausdrücklich zugestimmt. Im Falle einer solchen Zustimmung verpflichtet sich der Auftragnehmer, diese Daten zu anonymisieren und die Vertraulichkeit dieser Daten während der Anonymisierung sicherzustellen. + +- die Daten und technischen Daten des Auftraggebers gemäß der in dieser Dienstleistungsvereinbarung beschriebenen „Prozedur zur Löschung von Daten am Ende des Vertrags“ zu löschen, wenn der Vertrag beendet oder gekündigt wird. + +- eine sichere Löschung aller Daten des Auftraggebers durch vollständiges Überschreiben aller Speichermedien, die seine Daten im Rahmen des Services enthalten, sicherzustellen. + +Auf schriftliche und formelle Anforderung des Auftraggebers verpflichtet sich der Auftragnehmer: + +1. Den Auftraggeber Zugang zum internen Regelwerk und zur Ethikcharta des Auftragnehmers zu gewähren; + +2. Den Auftraggeber Zugang zu den Sanktionen zu gewähren, die bei Verstößen gegen die Sicherheitsrichtlinie drohen; + +3. dem Auftraggeber alle Ereignisse bereitzustellen, die ihn betreffen, aus den Protokollierungsdaten des Services; darüber hinaus kann der Auftraggeber unabhängig die Ereignisse, die seine Nutzung des Services betreffen, über die Web-Oberflächen und APIs des Services einsehen; + +4. dem Auftraggeber Zugang zu den Verfahren zu gewähren, die erforderlich sind, um die geltenden gesetzlichen, regulatorischen und vertraglichen Anforderungen für den Service sowie die spezifischen Sicherheitsanforderungen des Auftraggebers, die im Vertrag festgelegt sind, einzuhalten; + +5. dem Auftraggeber die Risikobewertungen bereitzustellen, die sich aus der Übermittlung der Daten des Auftraggebers an ein nicht zur Europäischen Union gehörendes Land ergeben; + +6. den Auftraggeber über nachfolgende Unterunternehmer, die an der Bereitstellung des Services beteiligt sind, zu informieren und ihn über jede Änderung, die diese Unterunternehmer betrifft, zu unterrichten. + +> Der Auftragnehmer und alle seine Tochtergesellschaften verpflichten sich, die grundlegenden Werte der Europäischen Union einzuhalten, nämlich die Würde des Menschen, die Freiheit, die Demokratie, die Gleichheit, die Rechtsstaatlichkeit sowie die Achtung der Menschenrechte. Der vom Auftragnehmer bereitgestellte Service entspricht der geltenden Rechtsvorschrift im Bereich der Grundrechte und den Werten der Europäischen Union hinsichtlich der Achtung der Würde des Menschen, der Freiheit, der Gleichheit, der Demokratie und des Rechtsstaats. + +## Limitation of Liability of the Provider + +Due to the definitions and conditions outlined in this Service Agreement, the Provider’s liabilities are limited as follows: + +1. The shared responsibility model, described in the section “Shared Responsibility Model” of this Service Agreement, effectively limits the Provider’s involvement in operational layers “above” the provision of computing, networking, storage, and backup resources. This specifically excludes, without limitation: + + - Management of what is installed on virtual machines (OS, middleware, applications, etc.); + + - Maintenance and updating of the OS and other software installed by the CLIENT on its machines within its Tenants; + + - Security of programs, software, and applications installed on virtual machines; + + - Updating of virtual machines; + + - Application-level data backup. + +2. The Provider cannot commit to backing up the CLIENT’s Tenants without prior subscription by the CLIENT to the appropriate work units. + +3. The Provider cannot claim ownership of data transmitted or generated by the CLIENT. Such data remain the exclusive property of the CLIENT. + +4. The Provider emphasizes that it may in no circumstances exploit and/or use the data transmitted or generated by the CLIENT without prior explicit approval from the CLIENT, with the understanding that such data usage is reserved exclusively for the CLIENT. + +5. The Provider disclaims all liability for components physically hosted and managed by the Provider, but which are directly owned by the CLIENT or by a third party with whom the CLIENT has contracted. Hosting of physical components belonging to clients is not part of the Service and therefore falls outside the scope of this Service Agreement. It is the CLIENT’s responsibility to assess the level of compliance or dependency introduced by these components with respect to the qualified IaaS Service SecNumCloud. + +## Access Restrictions + +Within the scope of the Service, the Provider is explicitly prohibited from accessing Tenants belonging to the CLIENT without prior authorization. It is the responsibility of the CLIENT to provide necessary access to the Provider’s personnel, based on the specific requirements of the hosting and, where applicable, professional support services, if this option has been selected by the CLIENT. + +The CLIENT acknowledges that such access is granted exclusively for the purposes related to the provision of agreed services, thereby ensuring secure and compliant management in accordance with the terms of the agreement. + +Remote access by third parties involved in the Provider’s service delivery is strictly prohibited. In the event that a specific technical requirement necessitates such access, it may only be established after clearly notifying the CLIENT, providing a detailed justification, and obtaining the CLIENT’s written consent. + +This measure ensures control and security of the CLIENT’s data, by guaranteeing that any exception to the rule is duly authorized and documented. + +## Responsibilities of Third Parties Participating in the Provision of the Secure Temple Service + +The Provider maintains a list of third-party partners involved in the provision of the Service. These third parties include software vendors, service providers (of the Provider), and other suppliers participating in the provision of the Service. The Provider implements the following measures with regard to these third parties: + +- The Provider requires all third parties involved in the implementation of the Service, in their contribution to the Service, to maintain a security level at least equivalent to the one the Provider commits to maintaining in its own security policy applicable to the Secure Temple Service; + +- The Provider contracts with each third party involved in the implementation of the Service specific audit clauses enabling a qualified body to verify that these third parties comply with legal requirements and SNC requirements, thereby allowing the Provider to fulfill its obligations under this Service Agreement; + +- The Provider implements a procedure to regularly monitor the measures implemented by third parties involved in the implementation of the Service to ensure compliance with the requirements necessary for the Provider to meet its obligations under this Service Agreement; + +- The Provider conducts ongoing monitoring of changes made by third parties involved in the implementation of the Service that could affect the security level of the Service’s information system. + +## Pflichten und Verpflichtungen des Auftraggebers + +Der Auftraggeber hat die folgenden Verpflichtungen im Rahmen des Dienstleistungsangebots: + +- Als Erinnerung: Der Dienstleister stellt dem Auftraggeber eine Plattform zur Ausführung virtueller Maschinen bereit. Die Konfiguration dieser Maschinen liegt in der Verantwortung des Auftraggebers. Jede virtuelle Maschine kann ohne eine zugehörige Sicherungsrichtlinie nicht funktionieren. Der Dienstleister definiert über seine Schnittstellen automatische Sicherungsrichtlinien. Es liegt jedoch in der Verantwortung des Auftraggebers, diese Sicherungsrichtlinien zu aktivieren und somit die virtuellen Maschinen zu aktivieren. + +- Der Auftraggeber ermächtigt die ANSSI und die Qualifizierungsstelle SNC, den Dienstleistungsbereich und die technische Infrastruktur, die den Dienstleistungsbereich bereitstellt, zu überprüfen. + +- Der Auftraggeber ist verantwortlich dafür, dem Dienstleister gegebenenfalls spezifische branchenspezifische Anforderungen mitzuteilen, die sich auf die von ihm übermittelten Informationen beziehen und die vom Dienstleister berücksichtigt werden müssen. + +- Der Auftraggeber erklärt sich damit einverstanden, dem Dienstleister keine Anforderungen oder Maßnahmen zu stellen, die den Dienstleister von den Anforderungen des SecNumCloud-Referenzrahmens in seiner aktuellen Version abweichen lassen oder die Sicherheitsstufe, die durch die Einhaltung dieser Anforderungen gewährleistet wird, herabsetzen würden. + +## Rights of the CONTRACTOR + +At any time during the contractual relationship, the CONTRACTOR may file a complaint regarding the qualified service with ANSSI. + +At any time, the CONTRACTOR may request the Provider to make its internal regulations and code of ethics accessible. + +## Data Deletion at Contract End + +Upon termination of the contract, whether by expiry or for any other reason, the Provider undertakes to securely erase all data belonging to the CLIENT, including technical data. The Provider will ensure to issue a formal notice to the CLIENT, respecting a notice period of twenty-one (21) calendar days. The CLIENT's data will then be deleted within a maximum period of thirty (30) days following this notification. + +To confirm this deletion, the Provider will provide the CLIENT with a certificate verifying the erasure of the data. + +# Lifecycle of the Present Service Agreement + +## Effective Date of the Service Agreement + +This Service Agreement becomes effective on the date of its signature by the CLIENT. + +The collection, handling, storage, and processing of data carried out within the scope of pre-sales, implementation, and termination of the Service are conducted in compliance with applicable legislation. + +## Service Agreement Updates + +Any modifications or additions to this Service Agreement shall result exclusively from requests submitted by the designated governance bodies. These proposed changes will be reviewed by the Parties, who are authorized to determine which aspects require formal written documentation. + +It is agreed that any update to the Service Agreement, following validation, which alters the initially established financial terms, will require the preparation and signing of an amendment to the current Contract. + +Factors that may trigger a revision of this Service Agreement include, but are not limited to: + +- Evolution of the technical infrastructure delivering the IaaS Service; +- Adjustments made by the Provider to the services deployed to deliver the Service; +- Changes in commitments made and applicable penalties; +- Organizational reconfigurations within the COMMANDITAIRE or the Provider; +- Expansion or reduction of the Service’s scope of application. + +Version and revision management of the Service Agreement is documented in the preamble of the document to facilitate tracking. + +### Changes initiated by the CLIENT + +The changes to the Service Agreement may, in particular, originate from: + +- An evolution of the infrastructure managed by the Provider; + +- A modification of the services implemented by the Provider; + +- A change in the service level commitments by the Provider. + +### Changes initiated by the Service Provider + +Any modification to the Service Agreement requires acceptance by the **CLIENT**. It is understood that any validated modification or addition altering the financial terms of the Contract may require the signing of an amendment to it. + +## Reversibility + +In addition, Cloud Temple undertakes to allow the revision of this Service Agreement (including its termination) without penalty for the CLIENT in the event of loss of SecNumCloud qualification. + +The Services do not include an obligation of reversibility (i.e., assistance to the CLIENT to enable migration of its system to another provider), except for the provision by the Provider to the CLIENT of the CLIENT interface, allowing the CLIENT to back up and retrieve its data—including configuration data of its information system—through one of the following technical options, at the CLIENT’s discretion: +- Provision of files in one or more documented and usable formats outside the service provided by the Provider; or +- Implementation of technical interfaces enabling access to data according to a documented and usable schema (API). + +The CLIENT, as sole owner of its system, must take all necessary measures to facilitate this process as required (including, in particular, the creation of thorough documentation and the development of reversibility plans). If the CLIENT requires additional support, the Provider may offer a consulting engagement on this matter under a separate contract to be negotiated. + +# Availability, Continuity, and Service Restoration + +## Incident- und Ausfallverwaltung + +### Incidents + +#### Incident Types Covered under this Service Agreement + +- Incidents; + +- Failures and outages; + +- Security incidents affecting the availability, confidentiality, or integrity of the Service. + +#### Incident Management + +> The Provider informs the CUSTOMER as soon as possible of any incidents or outages, via a notification in the CUSTOMER's console or by email to the designated CUSTOMER contact. The Provider informs the CUSTOMER about the incident resolution through the same channel used to report the incident, or through the channel specified in the incident notification. + +#### Security Incident Notification Level + +The CONTRACTOR is responsible for selecting the severity levels of security incidents for which they wish to be notified, for example by formalizing them in an applicable SLA for the Service. + +By default, the CONTRACTOR is notified of: + +- Security incidents with impact (impact levels I1 and I2 according to the impact scale defined in the prioritization process for handling incidents in this Service Agreement); + +- Security incidents affecting the confidentiality or integrity of the CONTRACTOR’s data entrusted within the scope of the Service; + +- Personal data breaches for which the CONTRACTOR is responsible for processing in accordance with Article 8 of Annex DPA under the scope of the Service; + +## Service Maintenance + +### Nature of Maintenance + +Data breaches involving personal data for which the Provider is responsible for processing and which include personal data of the CLIENT, in accordance with Article 8 of Annex DPA. The maintenance provided consists of: + +- Implementation of the Service's operational readiness maintenance plan to ensure good availability indicators, as committed to by the Provider above; + +- Implementation of the PCA/PRA plan, if subscribed to by the CLIENT, triggered according to any incidents that may occur. + +### Remote Access to Cloud Temple within the COMMANDITAIRE's Scope + +Under the terms of this Service Agreement, the Provider is prohibited from accessing the Tenants or the COMMANDITAIRE's interface environment. + +It shall be the responsibility of the COMMANDITAIRE to grant the necessary access to the Provider's personnel. The COMMANDITAIRE acknowledges that such access will be used solely for hosting purposes and ultimately for managed services (if subscribed to by the COMMANDITAIRE). + +### Remote access by third parties involved in service delivery within the COMMANDITAIRE's scope + +No remote access by third parties involved in delivering the Service is permitted. + +If a technical requirement made such access necessary, this type of access would only be granted after notifying the COMMANDITAIRE, providing justification, and obtaining their written approval. + +# Data Deletion Procedure at Contract End + +At the end of the Contract, whether due to expiration or for any other reason, the Provider shall ensure the secure deletion of all data processed under the Service, including the COMMANDITAIRE’s technical data. The Provider shall provide formal notice with a minimum lead time of twenty-one (21) calendar days. The COMMANDITAIRE’s data shall be deleted within a maximum period of thirty (30) days following notification. The Provider shall issue a data deletion certificate to the COMMANDITAIRE. + +# Applicable Law + +## In general + +The governing law and jurisdiction applicable to this Service Agreement is French law. + +## Compliance with Applicable Laws and Regulations + +The Provider undertakes the following: + +- Identification of legal and regulatory requirements applicable within the scope of the Service; + +- Compliance with applicable legal and regulatory requirements regarding data entrusted to the Provider, within the limits of the Provider’s responsibilities on one hand, and the provisions set forth in the Contract on the other hand; + +- Compliance with the Data Protection Act (Loi informatique et libertés) and the GDPR; + +- Implementation of measures to protect personal data; + +- Establishment of a legal and regulatory monitoring process; + +- Maintaining appropriate relationships or ongoing monitoring with sectoral authorities related to the nature of the data processed under the Service. This includes, in particular, ANSSI, CERT-FR, and CNIL. + +## GDPR + +Acting as a data processor within the meaning of Article 28 of the General Data Protection Regulation (GDPR), the Service Provider undertakes: + +- To ensure transparency and traceability; + +- To appoint a Data Protection Officer (DPO) responsible for defining and implementing measures to protect personal data; + +- To provide assistance and advice to the CLIENT and to alert the CLIENT if an instruction from the latter constitutes a breach of personal data protection rules, provided the Service Provider has the means to identify such a breach; + +- To guarantee security for the processed data (due to the SecNumCloud certification). + +## Protection vis-à-vis du droit extra-européen + +Le siège statutaire du Prestataire est établi au sein d'un État membre de l'Union européenne. Le capital social et les droits de vote dans la société du Prestataire ne sont pas, directement ou indirectement : + +- détenus individuellement à plus de 24 % ; + +- et détenus collectivement à plus de 39 % ; + +par des entités tierces ayant leur siège statutaire, leur administration centrale ou leur établissement principal au sein d'un État non membre de l'Union européenne. + +En cas de recours par le Prestataire, dans le cadre du Service, au service d'une société tierce – y compris un sous-traitant – ayant son siège statutaire, son administration centrale ou son établissement principal au sein d'un État non membre de l'Union européenne ou appartenant ou étant contrôlée par une société tierce domiciliée en dehors de l'Union européenne, le Prestataire s'engage : + +- à ce que cette société tierce ne dispose d'aucun accès aux données traitées par le service « Secure Temple » ; + +- à disposer d'une autonomie d'exploitation grâce à la possibilité de faire appel à un autre sous-traitant ou de mettre rapidement en œuvre une alternative technologique. + +Pour mémoire, les données visées sont celles qui sont confiées au Prestataire par le COMMANDITAIRE ainsi que toutes les Données techniques comprenant des informations sur les COMMANDITAIRES. + +Aux fins du présent article, la notion de contrôle est entendue comme celle mentionnée au II de l'article L233-3 du code de commerce. + +# SIGNATUREN + +Ort: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, den +\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ + +Für Cloud Temple, den AUFTRAGNEHMER + +Für \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, den AUFTRAGGEBER \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md b/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md index ab26554d..58e55104 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md @@ -1,1488 +1,786 @@ ---- -title: Convention de Service SecNumCloud OpenIaaS ---- - -# CONVENTION DE SERVICES OpenIaaS - -| Destinataires : | **COMMANDITAIRE** | -| :--- | :--- | -| **Référence du documents** | CT.AM.JUR.ANX OPENIaaS-202530101_v3.0.docx_Jour JJ AAAA | -| **Vos interlocuteurs** | *Prénom* *Nom* Account Manager e-mail : *prenom.nom*\@cloud-temple.com | -| **Date de dernière mise à jour** | 17/01/2025 | -| **Date de validation contractuelle** | Jour JJ AAAA | - ------------------------------------------------------------------------- - -| Version | Date | Action | Auteur | -| :--- | :--- | :--- | :--- | -| v0.1 | 07/06/2022 | Rédaction initiale | Lorena ALCALDE | -| v0.2 | 14/09/2022 | Enrichissement | Lorena ALCALDE | -| v1.0 | 30/12/2022 | Intégration Indicateurs | Lorena ALCALDE | -| v1.1 | 23/01/2023 | Modification pied de page | Lorena ALCALDE | -| v1.2 | 22/05/2023 | Enrichissement | Lorena ALCALDE | -| v1.3 | 29/06/2023 | Enrichissement | Lorena ALCALDE | -| v1.4 | 06/11/2023 | Modification Capital et Enrichissement | Lorena ALCALDE | -| v1.5 | 30/11/2023 | Enrichissement | Lorena ALCALDE | -| v1.6 | 21/03/2024 | Enrichissement | Lorena ALCALDE | -| v2.0 | 29/03/2024 | Ajustements conformité SNC | Nicolas ABRIOUX | -| v2.0 | 03/04/2024 | Publication | Lorena ALCALDE | -| V3.0 | 17/01/2025 | Enrichissement | Emeline CAZAUX | - -# Préliminaire et Glossaire - -## Préliminaire - -Le présent document formalise la Convention de service associée au -service OpenIaaS en cours de qualification SecNumCloud. - -Le Service est en cours de qualification SecNumCloud (voir attestation -qui sera en Annexe). - -La présente convention de service complète et est complémentaire aux -conditions générales de vente et d'utilisation du Prestataire. Il est -entendu que les documents contractuels s'interprètent de manière -cohérente entre eux. En cas de contradiction ou de divergence entre les -termes des documents contractuels, les documents prévaudront les uns sur -les autres dans l'ordre suivant : - -1. Conditions Générales de Vente et Utilisation (CGVU) - -2. Convention de Service SecNumCloud IaaS - -3. Convention de Service SecNumCloud OpenIaaS - -4. Convention de Service SecNumCloud PaaS - -5. Convention de Service spécifique - Bare Metal - -6. Convention spécifique particulière - -7. Plan d'Assurance Sécurité (PAS) - -8. Conditions Particulières d'Utilisation (CPU) - -9. Data Protection Agreement - -## Glossaire - -Dans la présente Convention de service, le **COMMANDITAIRE**, le -**Prestataire** et les **Parties** sont identifiés dans le Contrat -auquel est annexe la présente Convention de service. - -Les expressions ci-après employées dans la présente Convention de -service seront interprétées conformément aux définitions qui leur sont -attribuées ci-dessous : - -- **Changement :** Tout ajout, une modification ou suppression - impactant le Service, ayant été autorisé, planifié ou pris en - charge. - -- **Changement standard :** Changement faisant l'objet d'une - procédure, dont les modalités de mise en production et les impacts - (y compris financiers) sont connus et acceptés à l'avance par les - Parties. Il est alors intégré au catalogue des changements - standards, et peut selon les cas avoir une GTI et une GTR. - -- **Contrat :** désigne le contrat souscrit par le COMMANDITAIRE - auprès du Prestataire pour permettre au COMMANDITAIRE de bénéficier - du Service, et auquel la présente Convention de service est annexée. - -- \***Convention de service :** Ce document, établi dans le cadre d'un - contrat spécifique ou des Conditions Générales de Vente et - d'Utilisation (CGVU), et ce, en conformité avec les exigences du - Référentiel SecNumCloud. - -- **Demande de service :** demande d'évolution faisant l'objet d'une - procédure, dont la réalisation: i) ne modifie pas la CMDB,ii) le - mode opératoire, les coûts et les risques sont connus et acceptés à - l'avance et ne nécessitent pas de modalités de retour arrière - spécifiques iii) la réalisation est soumise à un accord de niveau de - service et incluse dans la redevance du contrat lorsqu'elle est - réalisée en heures ouvrées et jours ouvrés. - -- **Disponibilité :** Capacité à assurer la disponibilité et le - maintien des performances optimales du Service, en accord avec les - critères et engagements définis dans les Accords de Niveau de - Service (SLA). - -- **Données techniques** : comprend l'ensemble des données manipulées - pour délivrer le Service, notablement dont l'identité des - bénéficiaires et des administrateurs de l'infrastructure technique, - des journaux de l'infrastructure technique, configuration des accès, - annuaire, certificats\... - -- **Evènement :** Un \"événement\" est toute occurrence détectable ou - identifiable pouvant avoir une importance pour la gestion du - Service. - -- **Hyperviseur :** Système d'exploitation permettant l'execution de - machines virtuelles sur une lame de calcul. - -- **Incident :** Tout événement imprévu qui perturbe le fonctionnement - normal du Service ou compromet la sécurité des données. - -- **Incident de sécurité :** Tout événement dans le périmètre du - Service: - - - De nature intentionnellement malveillante ; - - De nature accidentelle portant atteinte à l'intégrité, la - confidentialité ou la traçabilité du Service ou des données du - COMMANDITAIRE ; - - Portant atteinte aux mesures de sécurité existantes. Les - atteintes à la Disponibilité d'origine non-malveillante ne sont - pas considérées comme un Incident de sécurité (panne matérielle, - bug, dysfonctionnement, sinistre naturel...). - -- **Interface COMMANDITAIRE :** Interface d'administration du Service - mise à disposition du COMMANDITAIRE par le Prestataire, regroupant - une console d'administration web et une API. - -- **Mise en production :** action(s) d'administration de réalisation - du Changement quand celui-ci est approuvé (le changement, au sens - ITIL, ne concernant que la gestion du changement et non sa - réalisation/concrétisation). - -- **Problème** : cause d'un ou plusieurs Incidents récurrents, cause - d'un Incident potentiel (situation à risque) nécessitant une analyse - et une résolution pour prévenir sa récurrence. - -- **Région :** désigne un ensemble géographiquement délimité de zones - de disponibilité cloud, fournissant des services de réseau, de - calcul et de stockage pour optimiser la latence, la performance et - la conformité réglementaire locale. - -- **Service OpenIaaS :** désigne le service IaaS basé sur une - technonologie opensource, en cours de qualification SecNumCloud , - délivré au COMMANDITAIRE par la Prestataire depuis des - infrastructures techniques maintenues par le Prestataire, tel que - décrit dans la section « Description du Service » de la présente - Convention de service. - - - -- **Sinistre :** désigne un événement grave d'origine naturelle ou - humaine, accidentelle ou intentionnelle, occasionnant des pertes et - des dommages importants à la Partie sinistrée. - - - -- **Supervision :** Surveillance d'un Système d'Information ou d'un - Service, impliquant la collecte de diverses données telles que - mesures et alarmes. Cette activité se limite à l'observation et au - suivi, sans intervenir directement sur les éléments surveillés, une - prérogative qui appartient aux opérations d'Administration. - -- **Tenant :** Une instance isolée réservée à un utilisateur ou groupe - d'utilisateurs, partageant une infrastructure commune tout en - maintenant l'indépendance et la sécurité des données et des - applications. - -- **Zone de Disponibilité (AZ) (Availibility zone) :** Une section - spécifique et isolée de l'infrastructure de cloud computing, conçue - pour assurer la haute disponibilité et la résilience des services - par une distribution géographique des ressources. - -# Acronymes - -| Acronyme | Définition | -| :--- | :--- | -| **CAB** | Change Advisory Board -- Comité consultatif sur les changements | -| **CMDB** | Configuration Management Database -- Base de données de gestion des configurations | -| **COPIL** | Comité de pilotage | -| **COSTRAT** | Comité stratégique | -| **COPROJ** | Comité Projet | -| **DB** | Database (base de données) | -| **DPA** | Data Protection Agreement | -| **DRP** | Disaster Recovery Plan (PRA) (Plan de reprise d'activité) | -| **GTE** | Garantie de Temps d'Escalade | -| **GTI** | Garantie de Temps d'Intervention | -| **GTR** | Garantie de Temps de Résolution | -| **ITIL** | Information Technology Infrastructure Library - Bonnes pratiques pour la gestion des SI | -| **IaaS** | Infrastructure as a Service | -| **MCO** | Maintien en condition opérationnelle | -| **MOA** | Maitrise d'Ouvrage | -| **MOE** | Maitrise d'Œuvre | -| **MSP** | Managed Services Provider | -| **OS** | Operating system (système d'exploitation) | -| **PAQ** | Plan d'Assurance Qualité | -| **PaaS** | Platform as a Service | -| **PAS** | Plan d'Assurance Sécurité | -| **PASSI** | Prestataire d'Audit de Sécurité des Systèmes d'Information | -| **RFC** | Request For Change -- Demande de changement | -| **RGPD** | Règlement Général de Protection des Données (personnelles) | -| **RPO** | Recovery Point Objective -- Fraicheur des données restaurées en cas de Sinistre | -| **RTO** | Recovery Time Objective -- Délai de rétablissement du service en cas de Sinistre | -| **SDM** | Service Delivery Manager | -| **SLA** | Service Level Agreement -- Accord sur les niveaux de services | -| **SNC** | SecNumCloud | -| **SOC** | Security Operation Center | -| **TMA** | Tierce Maintenance dApplication | -| **UO** | Unité d'Œuvre | -| **VABE** | Validation d'Aptitude à la Bonne Exploitabilité | -| **VABF** | Validation d'Aptitude au Bon Fonctionnement | -| **VM** | Virtual Machine (Machine virtuelle) | -| **VSR** | Validation de Service Régulier | - -# Objet de la présente Convention de service - -La présente Convention de service établit les termes et conditions selon -lesquels le Prestataire s'engage à délivrer le Service au COMMANDITAIRE. -Son objet est de : - -- Préciser les exigences de performance attendues par le COMMANDITAIRE - en termes de fonctionnalité et de fiabilité du Service ; - -- Énoncer les obligations du Prestataire afin de satisfaire aux - niveaux de service convenus ; - -- Identifier les normes réglementaires applicables spécifiquement au - Service délivré ; - -- Assurer une uniformité et une intégrité dans l'évaluation de la - qualité du Service ; - -- Garantir l'excellence des services fournis, évaluée au moyen - d'indicateurs de performance quantitatifs. - -Il est stipulé que, dans l'hypothèse où le Prestataire se verrait -retirer sa qualification SecNumCloud, le Contrat pourra être résilié de -plein droit, sans encourir de pénalités, par le COMMANDITAIRE. Dans une -telle éventualité, le Prestataire s'engage à informer le COMMANDITAIRE -de cette déqualification par envoi d'une notification officielle, au -moyen d'une lettre recommandée avec demande d'avis de réception. - -Il convient de noter qu'une modification ou un ajustement de la -qualification SecNumCloud ne sera pas interprété comme une révocation de -la qualification initiale. - -# Audit - -Le Prestataire s'engage à permettre au COMMANDITAIRE, ou à tout auditeur -tiers et non concurrent du Prestataire que ce dernier aurait désigné, de -consulter l'ensemble des documents nécessaires à l'attestation du -respect intégral des obligations liées à la conformité avec les -dispositions de l'article 28 du Règlement Général sur la Protection des -Données (RGPD), facilitant ainsi la réalisation d'audits. - -Par l'acceptation de la présente Convention de service, le COMMANDITAIRE -confère son autorisation explicite à : - -1. L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) - ainsi qu'à l'entité de qualification compétente pour entreprendre la - vérification de la conformité du Service et de son système - d'information au référentiel SecNumCloud. -2. Un prestataire d'audit de la sécurité des systèmes d'information, - dûment qualifié PASSI et expressément désigné par le Prestataire, - pour mener à bien des audits de sécurité portant sur le Service. - -# Description du Service - -## Modèle de responsabilité partagé - -Le Service proposé par le Prestataire se caractérise par la mise à -disposition des prestations suivantes, lesquelles s'alignent sur le -principe de responsabilité partagée présenté dans le référentiel -SecNumCloud : - -- La provision de ressources de calcul (compute) ; - -- La mise à disposition d'espaces de stockage ; - -- L'accès à des services de connectivité réseau et internet ; - -- L'offre d'un service de sauvegarde dédié aux machines virtuelles. - -Le modèle de responsabilités partagé appliqué entre le Prestataire et le -COMMANDITAIRE dans le cadre du Service est présenté en §7.1. - -Il est entendu que le Prestataire mobilisera son expertise pour réaliser -les Prestations selon les meilleures pratiques professionnelles et -conformément aux exigences du référentiel SecNumCloud. - -## Présentation détaillée du périmètre du Service - -| Service | Description | -| :--- | :--- | -| **Compute** | Ressource de calcul du Tenant COMMANDITAIRE | -| **Storage** | Données de production du Tenant COMMANDITAIRE | -| **Stockage objet S3** | mise à disposition d'une infrastructure de stockage objet souverain multi AZ et compatible avec les API S3 standard. | -| **Sauvegarde** | Modulo souscription au Stockage objet S3 | -| **Infrastructure réseau** | Ressource réseau du Tenant COMMANDITAIRE | -| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service OpenIaaS et de l'administrer via l'interface Shiva | -| **Support** | Le service de support accompagnant les services précédents et uniquement ceux-ci (\*) | - -\_(\*) Dans la limite du périmètre du Service en cours de qualification -SNC et des responsabilités du Prestataire en la matière\_ - -### Infrastructures Datacenters - -Le Service englobe la mise à disposition, pour chaque Zone de -disponibilité, des prestations qualifiées ci-après : - -- Site datacenter situé en France pour la Région FR, conforme aux - dernières normes technologiques, avec proposant un niveau de - résilience équivalent ou supérieur au niveau Tier 3 du Uptime - Institute ; -- Mise à disposition de salles techniques au sein de datacenters - dédiés à l'accueil des équipements techniques indispensables à la - production du service, incluant calcul, stockage, réseau, câblage, - et autres composants nécessaires ; -- Alimentation électrique sécurisée, assurée par deux circuits - électriques distincts, garantissant une continuité de service ; -- Fourniture de services de climatisation, ajustés pour respecter les - normes et préconisations des fabricants d'équipements, afin de - maintenir un environnement optimal pour les dispositifs techniques ; -- Supervision continue et métrologie détaillée, permettant un suivi - précis et une gestion proactive des performances et de la sécurité - du service fourni. - -Le Prestataire assure la mise à disposition de services avancés de -détection et d'extinction d'incendie, conçus pour identifier et -neutraliser efficacement tout départ de feu au sein des installations. -Ces systèmes sont essentiels pour garantir la sécurité des équipements -et des données. Ils comprennent des détecteurs de fumée de haute -précision et des dispositifs d'extinction qui peuvent agir rapidement -sans endommager l'équipement informatique. Ce service est crucial pour -prévenir les risques d'incendie, minimiser les dommages potentiels et -assurer la continuité des opérations. - -Le COMMANDITAIRE est informé que toutes les procédures et mesures de -sécurité mises en place, y compris les tests annuels de basculement sur -les groupes électrogènes, sont essentielles pour garantir la continuité -et l'intégrité des services fournis. Ces pratiques sont conçues pour -minimiser les risques de panne et assurer une réactivité optimale en cas -d'Incident. En acceptant ces conditions, le COMMANDITAIRE reconnaît -l'importance de ces mesures et s'engage à coopérer pleinement pour -faciliter leur mise en œuvre. Le COMMANDITAIRE est également encouragé à -prendre connaissance des recommandations de sécurité fournies et à les -intégrer dans sa propre stratégie de gestion des risques. - -### Infrastructure logicielle de pilotage du Service - -Le Prestataire fournit au COMMANDITAIRE la console d'administration et -l'API nécessaire à l'utilisation du Service. Il s'engage également à les -maintenir cette console d'administration et l'API en condition -opérationnelle optimale et à en assurer la sécurité de manière continue. -Cette console d'administration et l'API sont désignées de manière -groupées sous le terme « interface COMMANDITAIRE ». - -Le Prestataire alerte le COMMANDITAIRE sur le fait qu'une utilisation -anormale de l'interface COMMANDITAIRE, notamment en cas de surcharge de -ses APIs de commande (hammering), peut déclencher des mesures de -sécurité automatiques entraînant le blocage de l'accès aux APIs de -commande ou au Service. Il convient de souligner que cette situation ne -constitue pas une indisponibilité du Service mais une action de -protection du Service et de l'infrastructure du Prestataire ; par -conséquent, le COMMANDITAIRE ne peut la considérer comme une -indisponibilité dans ses calculs. - -De plus, le Prestataire précise au COMMANDITAIRE que les requêtes -parfaitement identiques (doublons) envoyées à ses APIs sont limitées à -une par seconde (Throttling). Si le COMMANDITAIRE soumet des requêtes -identiques à une fréquence supérieure, leur rejet ne pourra être -interprété comme une indisponibilité du Service. - -### Infrastructures de calcul - -Le Service inclut la fourniture, dans les zones de disponibilité -souscrites par le COMMANDITAIRE, des équipements nécessaires à -l'exécution des charges de travail sous forme de machines virtuelles. - -Ceci comprend : - -- La fourniture des chassis techniques nécessaires au bon - fonctionnement des lames de calcul ; -- La fourniture des lames de calcul dans les quantités spécifiées par - le COMMANDITAIRE et réparties selon les zones de disponibilité de - son choix. Il est à noter que ces lames de calcul sont exclusivement - dédiées au COMMANDITAIRE ; -- La mise à disposition de systèmes d'exploitation de type - hyperviseurs, ainsi que la garantie du maintien en condition - opérationnelle et de sécurité de l'infrastructure logicielle - nécessaire au pilotage de ces systèmes d'exploitation. Il convient - de mettre en évidence que, même si le Prestataire est responsable de - la maintenance opérationnelle et de la sécurisation globale du - Service, il ne détient pas de connaissances spécifiques concernant - les environnements de production du COMMANDITAIRE ni des exigences - liées à ses charges de travail. Par conséquent, la responsabilité de - décider de la mise à jour des systèmes d'exploitation des lames de - calcul hyperviseurs, une action susceptible de nécessiter un - redémarrage, repose entièrement sur le COMMANDITAIRE. Cette - opération peut être réalisée via l'Interface COMMANDITAIRE. - -Le choix du modèle de lame de calcul, sélectionné parmi le catalogue -proposé par le Prestataire, relève de la responsabilité du -COMMANDITAIRE. - -### Infrastructure de stockage - -Le service comprend la fourniture au COMMANDITAIRE d'une infrastructure -de stockage partagée de type SAN (Storage Area Network), offrant divers -niveaux de performance. Ce service englobe : - -- L'implémentation et le maintien en condition opérationnelle et en - condition de sécurité du réseau SAN dédié ; -- L'installation et la gestion des baies de stockage mutualisées entre - les clients, y compris leur maintien en condition opérationnelle et - en condition de sécurité, leur supervision et leur métrologie ; -- La mise en place des systèmes automatisés pour l'allocation des LUNs - (Logical Unit Numbers) de stockage dédiés à l'usage du - COMMANDITAIRE, conformément aux volumes souscrits par le - COMMANDITAIRE. - -### Infrastructure réseau globale - -Le Prestataire déploie dans le cadre du Service, un réseau global -facilitant au COMMANDITAIRE la mise en accessibilité de ses systèmes -hébergés. Ce service comprend : - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité de l'ensemble des liaisons en fibres optiques - interconnectant les différentes Zones de disponibilité; - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité des équipements techniques nécessaires au bon - fonctionnement du réseau et à l'isolation des différents clients. - -L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des -réseaux privés, et les équipements réseaux, liens opérateurs et autres -composants techniques réalisant cette interconnexion, ne font pas partie -du périmètre du Service. Cette interconnexion réseau est mise en œuvre -conformément aux dispositions prévues dans le Contrat. - -### Infrastructure de sauvegarde - -Le Prestataire met à disposition du COMMANDITAIRE un service de -sauvegarde intégré, dédié et géré, destiné à la protection de ses -machines virtuelles. Le Prestataire assure le maintien en condition -opérationnelle et en condition de sécurité de ce service de sauvegarde. -Le Prestataire garantit que les sauvegardes du COMMANDITAIRE seront -situées en dehors de la Zone de disponibilité des charges de travail -sauvegardées, sous réserve que le COMMANDITAIRE ait souscrit au Unités -d'œuvre adéquates. - -Cette prestation de sauvegarde se limite à la sauvegarde des machines -virtuelles et des configurations de topologie de l'environnement -OpenIaaS des Tenants du COMMANDITAIRE dans le cadre du Service. -L'élaboration et l'application d'une politique de sauvegarde adéquate -par le COMMANDITAIRE dépendent de la souscription à des unités d'œuvre -spécifiques. Il incombe donc au COMMANDITAIRE de s'assurer de la -disponibilité des ressources techniques nécessaires auprès du -Prestataire pour mettre en œuvre sa politique de sauvegarde ou d'ajuster -cette dernière en fonction des moyens disponibles. - -Le Prestataire s'engage à notifier le COMMANDITAIRE en cas de -contraintes de capacité et à fournir une assistance conseil pour -l'optimisation des ressources. Les obligations du Prestataire se -limiteront à la mise en œuvre des besoins exprimés par le COMMANDITAIRE -en matière de politique de sauvegarde, dans le cadre des ressources -souscrites. - -### Mise en œuvre de solutions de reprise d'activité ou de continuité d'activité - -Le Prestataire fournit au COMMANDITAIRE l'ensemble des solutions -techniques nécessaires pour garantir une répartition optimale de ses -ressources à travers diverses Zones de disponibilité. Il incombe au -COMMANDITAIRE la responsabilité de gérer efficacement cette distribution -de ressources, pour laquelle il a la possibilité à exploiter les outils -du Prestataire disponibles à cet usage. - -## Limitations des services dans le modèle OpenIaaS en cours de qualification - -### Services managés en RUN - -Il est important de noter que sont écartés du Service : - -- L'hébergement de composants physiques du COMMANDITAIRE ; - -- L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des - réseaux privés, incluant les liens opérateur ; - -- Tout service de type managé, ou TMA; - -- Toute assistance sur les machines virtuelles au niveau OS et - au-dessus dans la pile de responsabilités IaaS, même s'il s'agit de - simple supervision. - -Cela étant, il n'est absolument pas exclu que le COMMANDITAIRE ait -recours à de tels services auprès de l'offre MSP du Prestataire pour -intervenir en mode services managés sur ses Tenants. Ces services ne -seront alors pas encadrés par la présente Convention de service et ses -engagements/clauses bipartites. - -### Configuration du secours - -Par défaut, le Prestataire fournit la mise en place des ressources du -IaaS au COMMANDITAIRE en réservant des ressources et en configurant les -déploiements pour utiliser les Zones de disponibilité. Il incombe au -COMMANDITAIRE de choisir les Zones de disponibilité via l'interface -COMMANDITAIRE. - -### Configuration de la sauvegarde - -La prestation de sauvegarde s'arrête à la sauvegarde des machines -virtuelles et des configurations de topologie représentant -l'environnement OpenIaaS des Tenants du COMMANDITAIRE dans le cadre du -Service. - -La prestation de sauvegarde et la complétion de la politique de -sauvegarde du COMMANDITAIRE est soumise à la souscription d'espace de -stockage sur le mass storage nécessaire pour assurer le service. Il est -donc de la responsabilité du COMMANDITAIRE de souscrire auprès du -Prestataire les moyens techniques nécessaires pour assurer la politique -de sauvegarde sur son périmètre informatique, ou d'ajuster la politique -de sauvegarde aux moyens mis en œuvre. Le Prestataire s'engage à -informer le COMMANDITAIRE en cas de limite de capacité technique. - -Le Prestataire mettra en place les moyens techniques et humains -nécessaires à la sauvegarde du système hébergé dans la limite des -ressources souscrites par le COMMANDITAIRE. - -Par ailleurs, dans le cas des périmètres non pris en charge par le -Prestataire, il appartient au COMMANDITAIRE de définir sa propre -stratégie de sauvegarde et de paramétrer lui-même les sauvegardes des VM -ou d'effectuer une Demande de service auprès du Prestataire pour que le -paramétrage des sauvegardes pour les serveurs physiques soit mis en -place si le COMMANDITAIRE dispose d'un contrat de service managé -permettant au Prestataire d'agir via l'interface COMMANDITAIRE qui est -la console d'administration qui est mise à disposition dans le cadre de -cette Convention de service et qui dispose de fonctionnalités pour -configurer les sauvegardes. - -En outre, ce service n'aura comme engagement que de traduire par le -paramétrage via l'interface COMMANDITAIRE, la configuration spécifiée -clairement par le COMMANDITAIRE. - -Pour des raisons de flexibilité de l'offre du Prestataire, le -COMMANDITAIRE a l'option d'associer une politique de non-sauvegarde sur -certaines de ses VM. Dans ce cas, il appartient au COMMANDITAIRE -d'assumer ce choix. Le Prestataire ne sauvegardera pas les VM associées -à la politique \"no backup\". Le Prestataire alerte le COMMANDITAIRE que -choisir la politique \"no backup\" ou choisir de sauvegarder -manuellement expose le COMMANDITAIRE à une perte de données définitive -en cas d'Incident sur les couches basse ou sur les couches dépendant de -sa responsabilité dans le modèle IaaS. Dans un tel cas, il sera -impossible de tenir le Prestataire responsable de restaurer les données -car il n'y aura rien à restaurer. Le Prestataire recommande de toujours -sauvegarder les VM. - -Pour tout sujet concernant l'OS installé sur une machine virtuelle et -tout logiciel ou programme exécuté « par-dessus l'OS », il est de la -responsabilité du COMMANDITAIRE de réaliser les opérations -d'administration et de supervision au sein de l'Union Européenne s'il -souhaite garantir que toute la verticalité des couches du SI soient -opérées et gérées depuis l'Union Européenne. Les opérations -d'administration hors du périmètre de responsabilité du Prestataire dans -le cadre de la présente Convention de service dont indiquées dans la -section « Modèle de responsabilités partagées » de la présente -Conventions de Service. - -## Mise en œuvre du service - -### Prérequis techniques - -Pour la mise en œuvre du Service, le COMMANDITAIRE reconnaît qu'il devra -: - -- Fonctionner avec une virtualisation de type Xen dans les versions - supportées par l'éditeur et fournies par le Prestataire dans le - cadre du Service; - -- Recourir via le Prestataire à l'utilisation de l'outil de - sauvegarde; - -- Déclarer des IP fixes depuis lesquelles le Prestataire l'autorisera - à accéder à l'interface COMMANDITAIRE (Filtrage par liste blanche). - Les modifications de cette liste d'IP devront être réalisées via le - menu prévu à cet effet dans la console ou via des Demandes de - service pour les modifications ultérieures. A l'initialisation du - service, le Prestataire aura été informé à minima d'au moins 1 - adresse IP telle que décrite. - -## Localisation du service en France - -Il est précisé qu'aucune des opérations et aucun des composants -physiques impliqués dans la fourniture du Service , dont la présente -Convention de service fait l'objet, n'est situé hors de l'Union -Européenne. - -Cela inclut notamment le support, la supervision opérationnelle et la -supervision de sécurité (SOC) de l'infrastructure technique délivrant le -Service. De fait, tout le stockage, toutes les tâches d'administration, -de supervision et tous les traitements sont réalisés en France. - -### Localisation des Datacenters hébergeant le Service - -A défaut des opérations des collaborateurs et des agences du -Prestataire, l'ensemble des opérations de production (comprenant le -stockage et le traitement des données) et composants techniques -délivrant le Service sont situés dans les Datacenters basés en France. - -### Localisation des agences Cloud Temple opérant le service - -Les collaborateurs de Cloud Temple intervenant sur le périmètre -duService opèrent depuis les agences de Cloud Temple toutes situées -exclusivement en France. Ces agences sont situées en France, à Tours, -Lyon, Caen et Paris La Défense. - -Le COMMANDITAIRE est informé de la possibilité des salariés de Cloud -Temple de travailler à distance. Toutefois, le Prestataire garantit le -même niveau de sécurité concernant les accès à distance, notamment -concernant les accès VPN. Ces accès distants sont mis en œuvre -conformément aux exigences du référentiel SecNumCloud. - -## Support - -### Nature du support accompagnant le service - -Le Prestataire fournit un service de support technique visant à assister -le COMMANDITAIRE dans la gestion, le dépannage et l'optimisation de -leurs ressources déployées. Ce service couvre une gamme étendue -d'activités, depuis l'aide à la configuration initiale des services -jusqu'au soutien technique avancé pour résoudre des problèmes -spécifiques. - -Voici une description des caractéristiques et fonctionnalités du service -de support : - -- Assistance à la mise en œuvre initiale de l'utilisation du Service ; -- Assistance à la résolution d'incidents ; -- Assistance à la résolution de problèmes ; -- Suivi et conseil sur l'optimisation du socle technique. - -Dans le cadre du service de support, le Prestataire ne se substitue pas -au COMMANDITAIRE dans l'usage du Service. Le COMMANDITAIRE reste -entièrement responsable de la configuration, de l'exploitation de ses VM -et de ses Tenants, et de la gestion de tous les éléments (données et -applications incluses) qu'il a stockés ou installés sur les -infrastructures du Prestataire. Le service de support technique est -fourni en accord avec les Conditions Générales de Vente et -d'Utilisation, le Prestataire étant tenu à une obligation de moyens. - -Le COMMANDITAIRE s'engage à utiliser le service de support technique de -manière raisonnable, s'abstenant notamment de solliciter des services -non souscrits auprès du Prestataire et de faire intervenir les équipes -du Prestataire auprès de ses propres clients ou de tiers non inclus dans -le Contrat. Le Prestataire se réserve le droit de rejeter toute demande -de service ne respectant pas ces critères. - -Le niveau d'engagement du support est conditionné à la souscription des -unités d'œuvre de support associées. - -### Sollicitation du service support technique - -Le support technique est accessible par le biais d'un système de tickets -via la console COMMANDITAIRE et est disponible durant les heures -normales de bureau hors jours fériés (8h - 18h ; Lundi -- Vendredi ; -calendrier et horaires français). Pour les urgences survenant en dehors -des heures ouvrées, notamment les incidents affectant significativement -la production, le service d'astreinte peut être joint via un numéro -communiqué au COMMANDITAIRE à l'initialisation du Service. - -Pour chaque demande ou Incident, il est impératif de générer un ticket -auprès du support du Prestataire. L'initialisation de ce ticket, -comprenant toutes les informations nécessaires, est essentielle et -marque le début de l'évaluation des engagements du Prestataire. - -Dès que le Prestataire reçoit une demande ou une notification -d'Incident, que ce soit par le biais de la console de gestion ou à la -suite d'un appel téléphonique, un ticket est automatiquement créé. Lors -de la déclaration d'un Incident, il est essentiel que le COMMANDITAIRE -fournisse au prestataire un maximum de détails sur le problème -rencontré. Cette démarche est cruciale pour permettre une évaluation -adéquate de la situation, sa priorisation et un diagnostic efficace. - -Le COMMANDITAIRE reçoit alors une confirmation par courriel, indiquant -la création du ticket et son numéro unique. Le COMMANDITAIRE peut -consulter le statut et l'historique de ses demandes et déclarations -d'Incidents directement depuis la console de gestion. - -### Processus de gestion des Incidents - -Lors d'une déclaration d'un Incident, l'équipe de support technique du -Prestataire initie une investigation pour identifier la cause du -problème et établir un diagnostic. Le COMMANDITAIRE doit collaborer -activement avec le Prestataire en fournissant toutes les informations -nécessaires et en effectuant les tests requis. Le Prestataire peut -accéder au Service du COMMANDITAIRE pour diagnostiquer l'Incident. - -Si les Services du Prestataire sont jugés fonctionnels et que l'Incident -ne lui est pas imputable, le COMMANDITAIRE en sera informé. À la demande -du COMMANDITAIRE, le Prestataire peut proposer des Services -Professionnels pour identifier l'origine du problème, facturable sur -accord préalable par tranche de 30mn. - -Dans le cas où l'Incident est de la responsabilité du Prestataire ou de -l'un de ses sous-traitants, celui-ci complète le diagnostic et s'attèle -à la restauration du Service sans frais supplémentaires. Le diagnostic -s'appuie sur les échanges entre les Parties et les données du -Prestataire, ces éléments étant considérés comme probants par accord des -Parties. - -### Processus de priorisation des traitements - -La détermination du niveau de priorité d'un dossier repose sur une -analyse matricielle qui évalue l'impact de l'Incident et son degré de -criticité : - -- Les niveaux d'impact sont définis de la manière suivante : - -| Niveau d'impact | Description | -| :--- | :--- | -| **Impact I1** | Le ou les services du Prestataire sont interrompus | -| **Impact I2** | Le ou les services du Prestataire sont dégradés | -| **Impact I3** | Le ou les services du Prestataire sont actuellement stable, mais montrent des signes de potentiel déclin à long terme | - -- Les niveaux de Criticités sont définis de la manière suivante : - -| Niveau de criticité | Description | -| :--- | :--- | -| **Criticité C1** | Le ou les services du Prestataire se dégradent à une vitesse préoccupante | -| **Criticité C2** | Le ou les services du Prestataire se détériore progressivement au fil du temps | -| **Criticité C3** | Le ou les services du Prestataire présentes un ou plusieurs inconvenient sans conséquence significative | - -- Sur la base d'une analyse approfondie de la situation, prenant en - compte les éléments déterminant l'Impact et la Criticité, une - priorité est attribuée au ticket conformément à la matrice de - décision ci-après : - -| Niveau d'impact / Niveau de criticité | Impact I1 | Impact I2 | Impact I3 | -| :--- | :--- | :--- | :--- | -| **Criticité C1** | Priorité **P1** | Priorité **P2** | Priorité **P3** | -| **Criticité C2** | Priorité **P2** | Priorité **P3** | Priorité **P4** | -| **Criticité C3** | Priorité **P3** | Priorité **P4** | Priorité **P5** | - -Les engagements de niveau de service correspondant à chaque niveau de -priorité sont détaillés dans le chapitre suivant. - -### Langue et localisation du service de support - -Le support est fourni par le Prestataire au COMMANDITAIRE a minima en -langue française. Le support peut être également fourni en langue -anglaise. - -Les opérations du service de support du Prestataire pour l'offre de -service d'infrastructure qualifiée SecNumCloud sont situées dans l'Union -Européenne. - -# Engagements et niveaux de services - -Le Prestataire s'engage à garantir une surveillance continue de la -performance et de l'intégrité sécuritaire de son infrastructure -technique délivrant le Service, veillant à leur fonctionnement optimal. - -L'indisponibilité d'un service, faisant l'objet d'un indicateur de -performance, est reconnue dès son identification par le système de -supervision du Prestataire, ou suite à une notification par un -utilisateur du COMMANDITAIRE. Le début de l'indisponibilité est fixé au -moment le plus précoce entre ces deux événements, afin de garantir un -décompte précis et juste du temps d'indisponibilité. - -La fin de l'indisponibilité est officiellement marquée par la -restauration complète du service, confirmée soit par les outils de -supervision du Prestataire, soit par un retour utilisateur, assurant -ainsi une reprise effective des opérations et une mesure fidèle de la -durée de l'interruption. - -## Engagements de disponibilité de l'infrastructure - -Le Prestataire s'engage à maintenir un niveau de disponibilité et de -performance conforme aux standards définis pour chaque période -spécifiée. Les engagements de niveau de service (Service Level -Agreements, SLAs) s'appliquent sous réserve que le COMMANDITAIRE -implémente ses systèmes à travers au moins deux des Zones de -disponibilité présentes dans la Région concernée. - -En l'absence de respect de ces conditions par le COMMANDITAIRE, celui-ci -se verra dans l'incapacité de revendiquer l'application des SLAs -concernés, lesquels sont spécifiquement identifiés par un astérisque -(\*). L'accessibilité aux SLAs se fait via l'interface COMMANDITAIRE. -Les mesures s'entendent calculées mensuellement : - -- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Disponibilité de la - puissance de calcul (Compute) : taux de disponibilité garanti de - 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Disponibilité du stockage : - taux de disponibilité garanti de 99,99%, calculé sur une base - 24h/24, 7j/7. -- **SLA 3 : IC-INFRA_SNC-03** -- Fiabilité de la sauvegarde : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Disponibilité de - l'infrastructure réseau : taux de disponibilité garanti de 99,99%, - calculé sur une base 24h/24, 7j/7. -- **SLA 5 : IC-INFRA_SNC-05** -- Accès Internet : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. - -***Remarques*** : - -- *En réponse une attaque par déni de service distribué (DDoS), le - Prestataire se réserve le droit d'ajuster sa configuration de - routage internet pour limiter l'impact de cette attaque et - sauvegarder son infrastructure. En particulier, si une adresse IP - appartenant au COMMANDITAIRE est ciblée, le Prestataire peut - recourir à la technique de blackholing via la communauté BGP pour - bloquer tout le trafic vers l'adresse IP visée en amont chez ses - fournisseurs, dans le but de protéger les ressources du - COMMANDITAIRE ainsi que celles d'autres COMMANDITAIREs et de - l'infrastructure du Prestataire. Le Prestataire encourage vivement - le COMMANDITAIRE à adopter des mesures similaires, telles que - l'utilisation de logiciels de pare-feu d'applications web - disponibles sur le marché, et à configurer soigneusement ses groupes - de sécurité via l'API de commande.* - -- *Le Prestataire insiste sur la nécessité pour le COMMANDITAIRE de - minimiser les ouvertures de flux, en évitant notamment de rendre - accessibles les ports d'administration **SSH** (port TCP 22) et - **RDP** (port TCP 3389) depuis l'ensemble d'Internet (sous-réseau - 0.0.0.0/0), ainsi que les protocoles internes tels que **SMB** (port - TCP/UDP 445) ou **NFS** (port TCP/UDP 2049).* - -## Engagement de disponibilité de l'interface COMMANDITAIRE - -- SLA 6 : IC-INFRA_SNC-06 -- Accès à la console d'administration du - Service : une disponibilité garantie de 97%, assurée en continu, 24 - heures sur 24 et 7 jours sur 7. -- SLA 7 : IC-INFRA_SNC-07 -- Accès aux APIs de pilotage du Service : - une disponibilité de 99.9%, calculé sur une base 24h/24, 7j/7. - -## Engagement de disponibilité du support - -- **SLA 8 : IC-INFRA_SNC-08** -- Voici les engagements de performance - du support technique du Prestataire pour les incidents, hors - maintenances programmées : - -| Priorité | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Priorité P1** | 30mn | 95% | -| **Priorité P2** | 2h | 90% | -| **Priorité P3** | 4h | 90% | -| **Priorité P4** | 24h | 85% | -| **Priorité P5** | 48h | 85% | - -- **SLA 9 : IC-INFRA_SNC-09** -- Voici les engagements de performance - du support technique du Prestataire pour les demandes de service : - -| Type | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Demande de service** | 4h | 90% | - -*Nota* : - -- *Le délai pour la Garantie de Temps d'Intervention (GTI) est calculé - à partir de la différence entre le moment où le COMMANDITAIRE ouvre - le ticket et la première intervention du support du Prestataire.* -- *L'investigation d'incidents concernant les COMMANDITAIREs ne - comprendra pas d'intervention à distance sur les serveurs hébergés - du COMMANDITAIRE. Cette assistance se limitera à l'explication des - métriques disponibles relatives à l'environnement du COMMANDITAIRE, - afin de faciliter la compréhension des incidents ou des problèmes de - performance rencontrés. Sur la base des résultats de cette analyse, - des recommandations pourront être suggérées.* - -## Engagement de disponibilité du stockage objet S3 - -- **SLA 10 : IC-INFRA_SNC-10** -- Voici les engagements de - disponibilité pour le stockage objet S3 : - -| Indicateur | Engagement | Objectif de disponibilité | -| :--- | :--- | :--- | -| **IC-INFRA-SNC-10.1** | Durabilité du stockage d'un objet sur une région | 99.9999999% / an | -| **IC-INFRA-SNC-10.2** | Disponibilité de l'API Stockage Objet S3 | 99.99% | -| **IC-INFRA-SNC-10.3** | Latence maximale d'accès à un objet sur une région | 150 ms | - -Remarques : - -- Le Service de Stockage Objet est spécifiquement conçu pour le - stockage d'objets et doit être employé dans ce seul but, **excluant - catégoriquement son utilisation en mode bloc**. Recourir au mode - bloc par des méthodes détournées, incluant par exemple l'utilisation - de *"FUSE" dans un environnement Linux*, constitue une infraction - aux termes d'utilisation énoncés. Aucun incident, dysfonctionnement - ou dommage découlant de cet usage non conforme ne sera couvert par - les Accords de Niveau de Service (SLA) définis dans cette convention - de services. -- La garantie de durabilité est conditionnée à une utilisation des - services conforme aux meilleures pratiques et standards actuels, et - exclut explicitement toute modification des données, qu'elle soit - intentionnelle ou accidentelle, résultant d'actions entreprises par - le COMMANDITAIRE. - -## Précision concernant l'engagement de sauvegarde - -La stratégie de sauvegarde déployée pour le COMMANDITAIRE, est -conditionnée par la souscription aux unités d'œuvre adéquates. - -Le Prestataire s'engage sur la mise à disposition d'une solution de -sauvegarde qui permettra au COMMANDITAIRE d'appliquer les politiques de -sauvegardes souhaitées. - -Il est précisé que le périmètre du Prestataire s'arrête à la mise à -disposition d'un service de sauvegarde et c'est au COMMANDITAIRE de -superviser via l'interface COMMANDITAIRE la bonne exécution des -politiques associées. - -Il est précisé que la gestion de capacités de stockage de l'espace de -stockage dédié aux sauvegardes, reste à la charge et responsabilité du -COMMANDITAIRE. Le Prestataire met à disposition le taux d'utilisation -via la console. - -*Exemple : Non sauvegarde d'une machine virtuelle :* - -*Le COMMANDITAIRE a la charge de vérifier / superviser la bonne -exécution des politiques des sauvegardes, dans le cas où le -COMMANDITAIRE constate qu'une machine virtuelle n'est pas sauvegardée, -il lui appartient d'en vérifier la cause, le COMMANDITAIRE pourra -solliciter le Support du Prestaire selon le niveau de support souscrit -pour être assisté.* - -**Le SLA 8 : IC-INFRA_SNC-08 et SLA 9**, sera exclusivement applicable -dans le cas d'un Incident du service sauvegarde. - -# Organisation de la relation contractuelle - -## Responsabilités du Prestataire - -Le Prestataire s'engage : - -- à informer son COMMANDITAIRE de manière adéquate (par exemple en cas - de limite de capacité de ressources techniques délivrant le - Service). - -- à informer formellement le COMMANDITAIRE et dans un délai d'un mois, - de tout​ changement juridique, organisationnel ou technique pouvant - avoir un impact sur la conformité du Service aux exigences de - protection contre les lois extra-européennes (19.6 du référentiel - SNC v3.2). - -- à fournir au COMMANDITAIRE des interfaces et des interfaces de - service qui sont en langue française a minima. - -- à prendre en compte les exigences sectorielles spécifiques liées aux - types d\'informations confiées par le COMMANDITAIRE dans le cadre de - la mise en œuvre du Service et dans la limite des responsabilités du - Prestataire d\'une part, et des dispositions prévues au Contrat - d\'autre part ; - -- à étudier les exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE dans le cadre de la - mise en œuvre du Service, ultérieurement exprimées par le - COMMANDITAIRE, et à indiquer à ce dernier les actions nécessaires - pour leur prise en compte - -- à ne divulguer aucune information relative à la prestation à des - tiers, sauf autorisation formelle et écrite du COMMANDITAIRE. - -- à mettre à disposition toutes les informations nécessaires à la - réalisation d'audits de conformité conformément aux dispositions de - l'article 28 du RGPD. - -- à rendre compte auprès du COMMANDITAIRE, par la présente Convention - de service, de tout Incident de sécurité impactant le Service ou - l'utilisation faite par le COMMANDITAIRE du Service (incluant les - données du COMMANDITAIRE). - -- à autoriser un prestataire d'audit de la sécurité des systèmes - d'information (PASSI) qualifié, mandaté par le Prestataire, à - auditer le service ainsi que son système d'information, conformément - au plan de contrôle du SecNumCloud du Prestataire. De plus, le - Prestataire s'engage à fournir toutes les informations nécessaires - pour mener à bien les audits de conformité aux dispositions de - l'article 28 du RGPD, menés par le commanditaire ou un tiers - mandaté. - -- à fournir, en qualité de sous-traitant, conformément à l'article 28 - du Règlement général sur la protection des données (RGPD), - assistance et conseils au COMMANDITAIRE en l'alertant dès lors - qu'une instruction émise par ce dernier est susceptible de - constituer une violation des règles de protection des données. - -- à notifier le COMMANDITAIRE dans un délai raisonnable, à travers la - console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE, - lorsqu'un projet impacte ou est susceptible d'impacter le niveau de - sécurité ou la disponibilité du Service, ou à engendrer une perte de - fonctionnalité, des potentiels impacts, des mesures d'atténuation - mises en place, ainsi que des risques résiduels qui le concernent. - -- à documenter et à mettre en œuvre l'ensemble des procédures - nécessaires pour respecter les exigences légales, réglementaires et - contractuelles applicables au service, ainsi que les besoins de - sécurité spécifiques du COMMANDITAIRE, définis par ce dernier et - prévus au Contrat. - -- à ne pas utiliser les données du COMMANDITAIRE issues de la - production pour réaliser des tests, à l'exception d'en obtenir - préalablement l\'autorisation explicite du COMMANDITAIRE, auquel cas - le Prestataire s\'engage à anonymiser ces données et à en assurer la - confidentialité lors de leur anonymisation. - -- à supprimer les données et Données techniques relatives au - COMMANDITAIRE, conformément à la « procédure d'effacement des - données en fin de Contrat » décrite dans la présente Convention de - service lors d'une fin ou résiliation de Contrat. - -- à assurer un effacement sécurisé de l'intégralité des données du - COMMANDITAIRE par réécriture complète de tout support ayant hébergé - ses données dans le cadre du Service. - -Sur demande du COMMANDITAIRE formelle et écrite, le Prestataire s'engage -à : - -1. Rendre accessible au COMMANDITAIRE le règlement intérieur et la - charte d'éthique du Prestataire ; - -2. Rendre accessible au COMMANDITAIRE les sanctions encourues en cas - d'infraction à la politique de sécurité ; - -3. Fournir au COMMANDITAIRE l\'ensemble des événements le concernant - dans les éléments de journalisation du Service ; le COMMANDITAIRE - pouvant par ailleurs consulter en autonomie les événements relatifs - à son utilisation du Service au travers des interfaces web et API du - Service ; - -4. Rendre accessible au COMMANDITAIRE les procédures permettant de - respecter les exigences légales, réglementaires et contractuelles en - vigueur applicables au Service, ainsi que les besoins de sécurité - spécifiques du COMMANDITAIRE prévus au Contrat ; - -5. A fournir, les éléments d'appréciation des risques relatifs à la - soumission des données du COMMANDITAIRE au droit d'un état - non-membre de l'Union Européenne ; - -6. A informer le COMMANDITAIRE des sous-traitants ultérieurs - intervenants dans la fourniture du Service, et à l\'informer de tout - changement l\'impactant relatif à ces sous-traitants. - -> Le Prestataire et l'ensemble de ses filiales s'engagent à respecter -> les valeurs fondamentales de l'Union européenne, à savoir la dignité -> humaine, la liberté, la démocratie, l'égalité, l'état de droit, ainsi -> que le respect des Droits de l'homme. Le service fourni par le -> Prestataire est conforme à la législation en vigueur en matière de -> droits fondamentaux et aux valeurs de l'Union européenne relatives au -> respect de la dignité humaine, à la liberté, à l'égalité, à la -> démocratie et à l'État de droit. - -## Limitation des responsabilités du Prestataire - -Du fait de l'ensemble des définitions et conditions mentionnées dans la -présente Convention de service, les responsabilités du Prestataire sont -limitées ainsi : - -1. Le modèle de responsabilité partagée, décrit dans la section - « Modèle de responsabilités partagées » de la présente Convention de - service, limite de fait l'implication du Prestataire dans les - couches de fonctionnement allant "au-dessus" de la mise à - disposition de ressources de calcul, de réseau, de stockage et de - sauvegarde. Ceci exclut en particulier et sans s'y limiter : - - - La gestion de ce qui est installé sur les machines virtuelles - (OS, middlewares, applicatifs, etc.); - - - La tenue à jour des OS et autres logiciels installés par le - COMMANDITAIRE sur ses machines dans ses Tenants; - - - La sécurité des programmes, logiciels et applicatifs installés - sur les machines virtuelles; - - - La mise à jour des machines virtuelles; - - - La sauvegarde des données au niveau applicatif. - -2. Le Prestataire ne peut prendre d'engagements de sauvegarde des - Tenants du COMMANDITAIRE sans que le COMMANDITAIRE n'ai au préalable - souscrit aux unités d'oeuvres adéquates. - -3. Le Prestataire ne peut se prévaloir de la propriété des données - transmises et générées par le COMMANDITAIRE. En effet, celles-ci - relèvent de la propriété du COMMANDITAIRE. - -4. Le Prestataire souligne qu'il ne peut en aucun cas exploiter et/ou - disposer des données transmises et générées par le COMMANDITAIRE - sans validation préalable de ce dernier, étant entendu que leur - disposition est réservée au COMMANDITAIRE. - -5. Le Prestataire dégage toute responsabilité sur les composants - physiquement hébergés et infogéré par le Prestataire, mais étant la - propriété directe du COMMANDITAIRE ou d'un tiers avec lequel le - COMMANDITAIRE a contractualisé. L'hébergement de composants - physiques des clients ne fait pas partie du Service et est de fait - hors du cadre de la présente Convention de service. Il incombe au - COMMANDITAIRE d'évaluer le niveau d'adhérence ou de dépendance - qu'introduisent ces composants vis-à-vis du Service OpenIaaS en - cours de qualification SecNumCloud. - -## Limitation d'accès - -Dans le cadre du Service, le Prestataire est formellement interdit -d'accéder aux Tenants appartenant au COMMANDITAIRE sans autorisation -préalable. Il est de la responsabilité du COMMANDITAIRE de fournir les -accès nécessaires au personnel du Prestataire, selon les besoins -spécifiques de l'hébergement et, le cas échéant, des services -professionnels de support, si cette option a été choisie par le -COMMANDITAIRE. - -Le COMMANDITAIRE reconnaît que ces accès sont accordés exclusivement -pour les besoins liés à la prestation de services convenus, assurant -ainsi une gestion sécurisée et conforme aux termes de l'accord. - -L'accès distant par des tiers impliqués dans la prestation de service du -Prestataire est strictement interdit. Dans l'éventualité où une exigence -technique spécifique nécessiterait un tel accès, celui-ci ne pourrait -être établi qu'après avoir clairement notifié le COMMANDITAIRE, fourni -une justification détaillée et obtenu son accord écrit. - -Cette mesure garantit le contrôle et la sécurité des données du -COMMANDITAIRE, en s'assurant que toute exception à la règle est dûment -autorisée et documentée. - -## Responsabilités des tiers participant à la fourniture du service - -Le Prestataire maîtrise la liste des tiers partenaires participant de la -fourniture du Service. Ces tiers sont les éditeurs, prestataires (du -Prestataire) et autres fournisseurs participant de la fourniture du -Service. Le Prestataire applique les mesures suivantes à ces tiers : - -- Le Prestataire exige des tiers participant à la mise en œuvre du - service, dans leur contribution au Service, un niveau de sécurité au - moins équivalent à celui qu'il s'engage à maintenir dans sa propre - politique de sécurité applicable au service Secure Temple ; - -- Le Prestataire contractualise, avec chacun des tiers participant à - la mise en œuvre du service, des clauses d'audit permettant à un - organisme de qualification de vérifier que ces tiers respectent les - exigences légales et les exigences SNC, permettant au Prestataire de - respecter ses engagements dans la présente Convention de service. - -- Le Prestataire met en œuvre une procédure permettant de contrôler - régulièrement les mesures mises en place par les tiers participant à - la mise en œuvre du service pour respecter les exigences au - Prestataire de respecter ses engagements dans la présente Convention - de service. - -- Le Prestataire assure un suivi des changements apportés par les - tiers participant à la mise en œuvre du service susceptibles - d\'affecter le niveau de sécurité du système d\'information du - service. - -## Responsabilités et obligations du COMMANDITAIRE - -Le COMMANDITAIRE dispose des obligations suivantes dans le cadre du -Service : - -- Pour rappel, le Prestataire fournit au COMMANDITAIRE une plateforme - d'exécution de machines virtuelles, la configuration de celles-ci - est à la charge du COMMANDITAIRE. Chaque machine virtuelle ne peut - fonctionner sans une politique de sauvegarde associée. Le - Prestataire définit via ses interfaces des politiques de sauvegarde - automatiques. Mais c'est à la charge du COMMANDITAIRE l'activation - de ces politiques de sauvegarde et donc d'activer les machines - virtuelles. - -- Le COMMANDITAIRE autorise l'ANSSI et l'organisme de qualification - SNC à auditer le Service et l'infrastructure technique délivrant le - Service. - -- Le COMMANDITAIRE est responsable d\'indiquer au Prestataire les - éventuelles exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE et nécessitant d\'être - prises en compte par le Prestataire. - -- Le COMMANDITAIRE accepte de ne pas demander au Prestataire des - exigences ou actions faisant déroger le Prestataire aux exigences du - référentiel SecNumCloud dans sa version courante d\'une part, ou - abaissant le niveau de sécurité établi par le respect des exigences - de ce même référentiel d'autre part. - -## Droits du COMMANDITAIRE - -À tout moment au cours de la relation contractuelle, le COMMANDITAIRE -peut déposer une réclamation relative au service qualifié auprès de -l'ANSSI. - -À tout moment, le COMMANDITAIRE peut demander au Prestataire de lui -rendre accessible son règlement intérieur et sa charte d'éthique. - -## Effacement des données en fin de Contrat - -À l'issue du contrat, qu'il arrive à échéance ou qu'il soit résilié pour -quelque raison que ce soit, le Prestataire s'engage à procéder à -l'effacement sécurisé de l'intégralité des données du COMMANDITAIRE, y -compris les données techniques. Le Prestataire s'assurera de communiquer -au COMMANDITAIRE un préavis formel, respectant un délai de vingt et un -(21) jours calendaires. Les données du COMMANDITAIRE seront alors -supprimées dans un délai maximum de trente (30) jours suivant cette -notification. - -Pour attester de cette suppression, le Prestataire remettra au -COMMANDITAIRE un certificat confirmant l'effacement des données. - -# Cycle de vie de la présente Convention de service - -## Entrée en effet de la Convention de service - -La présente Convention de service entre en effet le jour de sa signature -par le COMMANDITAIRE. - -La collecte, la manipulation, le stockage et le traitement des données -faits dans le cadre de l'avant-vente, la mise en œuvre, l'arrêt du -Service​, sont faits dans le respect de la législation en vigueur. - -## Évolutions de la Convention de service - -Les modifications ou ajouts apportés à la présente Convention de service -découlent exclusivement des requêtes formulées par les organes de -gouvernance désignés à cet effet. Ces propositions de changement seront -examinées par les Parties, habilitées à déterminer les aspects -nécessitant une formalisation écrite. - -Il est convenu que toute évolution de la Convention de service, après -validation, qui altère les conditions financières initialement établies, -nécessitera l'établissement et la signature d'un avenant au Contrat en -cours. - -Les facteurs pouvant induire une révision de cette Convention de service -incluent, sans s'y limiter : - -- L'évolution de l'infrastructure technique délivrant le Service - OpenIaaS ; -- Les ajustements apportés aux services déployés par le Prestataire - pour fournir le Service ; -- Les variations des engagements pris et des sanctions applicables ; -- Les reconfigurations organisationnelles au sein du COMMANDITAIRE ou - du Prestataire ; -- L'expansion ou la réduction du champ d'application du Service. - -La gestion des versions et des révisions de la Convention de service est -consignée en préambule du document pour en faciliter le suivi. - -### Évolutions déclenchées par le COMMANDITAIRE - -Les évolutions de la Convention de service peuvent avoir, notamment, -pour origine : - -- Une évolution de l'infrastructure gérée par le Prestataire ; - -- Une modification des services mis en œuvre par le Prestataire ; - -- Une modification des engagements de niveaux de services par le - Prestataire. - -### Évolutions déclenchées par le Prestataire - -Toute modification de la Convention de service est soumise à acceptation -du COMMANDITAIRE. Il est entendu que toute modification ou complément -validés modifiant les éléments financiers du Contrat, pourra impliquer -la signature d'un avenant à celui-ci. - -## Réversibilité - -De plus, Cloud Temple s'engage à permettre une révision de la présente -Convention de service (prévoyant notamment sa résiliation) sans pénalité -pour le COMMANDITAIRE en cas de perte de la qualification SecNumCloud. - -Les Services ne comprennent pas d'obligation de réversibilité (à savoir, -l'aide au COMMANDITAIRE pour qu'il puisse migrer son système vers un -autre" Prestataire) à l'exception de la mise à disposition du -COMMANDITAIRE par le Prestataire de l'interface COMMANDITAIRE permettant -au COMMANDITAIRE de sauvegarder et récupérer ses données y compris -notamment les données de configuration de leur système d'information via -l'une des modalités techniques suivantes au choix du COMMANDITAIRE : la -mise à disposition de fichiers suivant un ou plusieurs formats -documentés et exploitables en dehors du service fourni par le -Prestataire ou bien via la mise en place d'interfaces techniques -permettant l'accès aux données suivant un schéma documenté et -exploitable (API). - -Le COMMANDITAIRE, seul maître de son système, doit tout mettre en œuvre -pour faciliter cette opération en tant que de besoin (ce qui implique, -notamment, qu'il mette en place une documentation rigoureuse à cet -effet) et l'élaboration de plans de réversibilité. Dans le cas où le -COMMANDITAIRE aurait besoin d'une prestation complémentaire, le -Prestataire peut proposer une mission de conseil à cet égard dans le -cadre d'un contrat spécifique à négocier. - -# Disponibilité, continuité et restauration du service - -## Gestion des Incidents et des interruptions - -### Incidents - -#### Types d'Incidents traités dans le cadre de cette Convention de service - -- Sinistres ; - -- Pannes et défaillances ; - -- Incidents de sécurité impactant la disponibilité, la confidentialité - ou l'intégrité du Service. - -#### Traitement des incidents - -> Le Prestataire informe le COMMANDITAIRE dans les meilleurs délais, des -> incidents et interruptions, au moyen d'une notification dans la -> console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE. Le -> Prestataire informe le COMMANDITAIRE du traitement de l'incident par -> le canal utilisé pour notifier l'incident, ou par le canal indiqué -> dans la notification de l'incident. - -#### Niveau de notification des Incidents de sécurité - -Le COMMANDITAIRE a la responsabilité de choisir les niveaux de gravité -des Incidents de sécurité pour lesquels il souhaite être informé, par -exemple via leur formalisation dans un PAS applicable au Service. - -Par défaut, le COMMANDITAIRE est informé : - -- Des incidents de sécurité avec impact (impacts I1 et I2 selon - l'échelle d'impact définie dans le processus de priorisation des - traitements de la présente Convention de service) ; - -- Des incidents de sécurité impactant la confidentialité ou - l'intégrité des données du COMMANDITAIRE confiées dans le cadre du - Service ; - -- Des violations de données à caractère personnel pour lesquelles le - COMMANDITAIRE est responsable du traitement conformément à l'article - 8 de l'Annexe DPA dans le cadre du Service ; - -- - -## Maintenance du Service - -### Nature de la maintenance - -Des violations de données à caractère personnel pour lesquelles le -Prestataire est responsable du traitement et comportant des données -personnelles du COMMANDITAIRE, conformément à l'article 8 de l'Annexe -DPA. La maintenance assurée consiste en la mise en œuvre : - -- Du plan de maintien en conditions opérationnelles du Service pour - assurer de bons indicateurs de disponibilité tels que s'y engage le - Prestataire plus haut ; - -- Du plan de PCA/PRA si souscrit par le COMMANDITAIRE déclenché selon - les éventuels incidents qui surviendraient. - -### Accès distants de Cloud Temple sur le périmètre du COMMANDITAIRE - -Le Prestataire s'interdit, dans le cadre de la présente Convention de -service, tout accès aux Tenants et à l'espace de l'interface du -COMMANDITAIRE. - -Il incombera au COMMANDITAIRE donner les accès nécessaires au personnel -du Prestataire. Le COMMANDITAIRE reconnaît que les accès seront utilisés -dans le cadre de l'hébergement et in fine de l'infogérance (si souscrit -par le COMMANDITAIRE). - -### Accès distants de tiers participant à la fourniture du service sur le périmètre du COMMANDITAIRE - -Aucun accès distant de tiers participant à la fourniture du Service -n'est autorisé. - -Si un besoin technique rendait ce cas de figure nécessaire, alors ce -type d'accès ne serait réalisé qu'après notification du COMMANDITAIRE -justification et obtention de son accord écrit. - -# Procédure d'effacement des données en fin de Contrat - -A la fin du Contrat, que le Contrat soit arrivé à son terme ou pour -toute autre cause, le Prestataire assura l'effacement sécurisé de -l'intégralité des données traitées dans le cadre du Service, y compris -les Données techniques du COMMANDITAIRE. Le Prestataire donnera un -préavis formel en respectant un délai de vingt et un jours (21) -calendaires. Les données du COMMANDITAIRE seront supprimées dans un -délai maximum de trente (30) jour après la notification. Le Prestataire -fournit un certificat de suppression de données au COMMANDITAIRE. - -# Droit applicable - -## De manière générale - -Le droit applicable et auquel est soumise la présente Convention de -service est le droit français. - -## Respect du droit et des réglementations applicables - -Le Prestataire s'engage sur les points suivants : - -- L'identification des contraintes légales et réglementaires - applicables dans le cadre du Service ; - -- Le respect des contraintes légales et réglementaires applicables aux - données confiées au Prestataire dans la limite des responsabilités - de ce dernier d\'une part, et des dispositions prévues au Contrat - d\'autre part.; - -- Le respect de la Loi informatique et liberté et du RGPD ; - -- La mise en œuvre de moyens de protection des données personnelles ; - -- La mise en œuvre d'un processus de veille légale et réglementaire ; - -- De disposer et maintenir des relations appropriées ou une veille - avec les autorités sectorielles en lien avec la nature des données - traitées dans le cadre du Services. Cela inclus notamment l'ANSSI, - le CERT-FR et la CNIL. - -## RGPD - -Agissant en qualité de sous-traitant au sens de l'article 28 du -Règlement général sur la protection des données (RGPD), le Prestataire -s'engage : - -- A assurer la transparence et la traçabilité ; - -- A désigner un DPO en charge de définir et mettre en œuvre les - mesures de protection des données à caractère personnel ; - -- Apporter une assistance et du conseil au COMMANDITAIRE en l'alerte - si une instruction de ce dernier constitue une violation des règles - de protection des données personnelles si le Prestataire a le moyen - d'en identifier ; - -- Une garantie de sécurité sur les données traitées (du fait de la - qualification SecNumCloud). - -## Protection vis à vis du droit extra-européen - -Le siège statuaire du Prestataire est établi au sein d\'un État membre -de l\'Union Européenne. Le capital social et les droits de vote dans la -société du Prestataire ne sont pas, directement ou indirectement : - -- individuellement détenus à plus de 24% ; - -- et collectivement détenus à plus de 39% ; - -par des entités tierces possédant leur siège statutaire, administration -centrale ou principal établissement au sein d'un État non membre de -l'Union européenne. - -En cas de recours par le Prestataire, dans le cadre du Service, au -service d\'une société tierce - y compris un sous-traitant - possédant -son siège statutaire, administration centrale ou principal établissement -au sein d\'un État non membre de l\'Union Européenne ou appartenant ou -étant contrôlée par une société tierce domiciliée en dehors l\'Union -Européenne, le Prestataire s\'engage : - -- à ce que cette susdite société tierce ne disposera d\'aucun accès - aux données opérées ; - -- à disposer d\'une autonomie d\'exploitation à travers la possibilité - de faire appel à un autre sous-traitant ou de mettre rapidement en - oeuvre une alternative technologique. - -Pour rappel, les données visées sont celles qui sont confiées au -Prestataire par le COMMANDITAIRE ainsi que toutes Données techniques -comprenant des informations sur les COMMANDITAIRES. - -Pour les besoins du présent article, la notion de contrôle est entendue -comme étant celle mentionnée au II de l'article L233-3 du code de -commerce. - -# SIGNATURES - -Fait à \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le -\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ - -Pour Cloud Temple, le PRESTATAIRE - -Pour \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le COMMANDITAIRE +--- +title: Service Agreement for SecNumCloud OpenIaaS +--- + +# SERVICE AGREEMENT OpenIaaS + +| Recipients: | **CLIENT** | +| :--- | :--- | +| **Document Reference** | CT.AM.JUR.ANX OPENIaaS-202530101_v3.0.docx_JJJJ AAAA | +| **Your Contacts** | *First Name* *Last Name* Account Manager email: *firstname.lastname*@cloud-temple.com | +| **Last Updated Date** | 01/17/2025 | +| **Contractual Validation Date** | Day DD YYYY | + +------------------------------------------------------------------------ + +| Version | Date | Action | Author | +| :--- | :--- | :--- | :--- | +| v0.1 | 06/07/2022 | Initial Draft | Lorena ALCALDE | +| v0.2 | 09/14/2022 | Enrichment | Lorena ALCALDE | +| v1.0 | 12/30/2022 | Integration of Indicators | Lorena ALCALDE | +| v1.1 | 01/23/2023 | Footer Update | Lorena ALCALDE | +| v1.2 | 05/22/2023 | Enrichment | Lorena ALCALDE | +| v1.3 | 06/29/2023 | Enrichment | Lorena ALCALDE | +| v1.4 | 11/06/2023 | Capital Update and Enrichment | Lorena ALCALDE | +| v1.5 | 11/30/2023 | Enrichment | Lorena ALCALDE | +| v1.6 | 03/21/2024 | Enrichment | Lorena ALCALDE | +| v2.0 | 03/29/2024 | Compliance Adjustments (SNC) | Nicolas ABRIOUX | +| v2.0 | 04/03/2024 | Publication | Lorena ALCALDE | +| v3.0 | 01/17/2025 | Enrichment | Emeline CAZAUX | + +# Preliminary and Glossary + +## Preliminary + +This document formalizes the Service Agreement associated with the OpenIaaS service currently undergoing SecNumCloud qualification. + +The Service is currently undergoing SecNumCloud qualification (see certificate to be included in the Annex). + +This Service Agreement complements and is supplementary to the Provider's General Terms and Conditions of Sale and Use. It is understood that the contractual documents shall be interpreted consistently with one another. In the event of contradiction or divergence between the terms of the contractual documents, the documents shall prevail in the following order: + +1. General Terms and Conditions of Sale and Use (GTC) + +2. SecNumCloud IaaS Service Agreement + +3. SecNumCloud OpenIaaS Service Agreement + +4. SecNumCloud PaaS Service Agreement + +5. Specific Service Agreement – Bare Metal + +6. Specific Particular Agreement + +7. Security Assurance Plan (SAP) + +8. Specific Terms of Use (STU) + +9. Data Protection Agreement + +## Glossar + +Im vorliegenden Servicevertrag werden der **Auftraggeber**, der **Dienstleister** und die **Parteien** im Vertrag, an welchen dieser Servicevertrag angehängt ist, identifiziert. + +Die nachfolgend verwendeten Ausdrücke im vorliegenden Servicevertrag werden gemäß den unten angegebenen Definitionen ausgelegt: + +- **Änderung:** Jeder Zusatz, jede Änderung oder Löschung, die den Service beeinflusst, die autorisiert, geplant oder übernommen wurde. + +- **Standardänderung:** Änderung, die einem festgelegten Verfahren unterliegt, dessen Produktionsmodalitäten und Auswirkungen (einschließlich finanzieller) im Voraus von den Parteien bekannt und akzeptiert sind. Sie wird dann in den Katalog der Standardänderungen aufgenommen und kann je nach Fall eine GTI und eine GTR aufweisen. + +- **Vertrag:** Bezeichnet den Vertrag, den der **Auftraggeber** beim Dienstleister abschließt, um dem Auftraggeber die Nutzung des Services zu ermöglichen, und an welchen dieser Servicevertrag angehängt ist. + +- \***Servicevertrag:** Dieses Dokument, das im Rahmen eines spezifischen Vertrags oder der Allgemeinen Geschäftsbedingungen für Verkauf und Nutzung (AGVU) erstellt wurde und in Übereinstimmung mit den Anforderungen des SecNumCloud-Referenzrahmens steht. + +- **Serviceanfrage:** Anforderung zur Weiterentwicklung, die einem Verfahren unterliegt, deren Umsetzung: i) die CMDB nicht verändert, ii) der Betriebsablauf, die Kosten und die Risiken im Voraus bekannt und akzeptiert sind und keine spezifischen Rückgängigmachungsmodalitäten erfordern, iii) die Umsetzung einem Service-Level-Agreement unterliegt und im Rahmen der Vertragsgebühr enthalten ist, wenn sie in Geschäftsstunden und an Werktagen durchgeführt wird. + +- **Verfügbarkeit:** Fähigkeit, die Verfügbarkeit und die Aufrechterhaltung optimaler Leistungen des Services gemäß den Kriterien und Verpflichtungen, die in den Service-Level-Agreements (SLA) festgelegt sind, sicherzustellen. + +- **Technische Daten:** Umfasst sämtliche Daten, die zur Bereitstellung des Services verarbeitet werden, insbesondere die Identität der Empfänger und Administratoren der technischen Infrastruktur, Protokolle der technischen Infrastruktur, Zugriffsconfigurationen, Verzeichnisse, Zertifikate usw. + +- **Ereignis:** Ein „Ereignis“ ist jede erkennbare oder identifizierbare Vorkommnis, das für die Verwaltung des Services von Bedeutung sein kann. + +- **Hypervisor:** Betriebssystem, das die Ausführung von virtuellen Maschinen auf einem Rechenknoten ermöglicht. + +- **Störung:** Jedes unvorhergesehene Ereignis, das den normalen Betrieb des Services stört oder die Sicherheit der Daten gefährdet. + +- **Sicherheitsstörung:** Jedes Ereignis im Bereich des Services: + + - von vorsätzlicher, schädlicher Natur; + - von zufälliger Natur, die die Integrität, Vertraulichkeit oder Nachvollziehbarkeit des Services oder der Daten des Auftraggebers beeinträchtigt; + - das bestehende Sicherheitsmaßnahmen beeinträchtigt. Beeinträchtigungen der Verfügbarkeit, die nicht von böswilliger Natur sind (z. B. Hardwareausfall, Fehler, Funktionsstörung, Naturkatastrophe), gelten nicht als Sicherheitsstörung. + +- **Auftraggeber-Schnittstelle:** Verwaltungsschnittstelle des Services, die dem Auftraggeber vom Dienstleister zur Verfügung gestellt wird und eine Web-Verwungsconsole sowie eine API umfasst. + +- **Produktionsübernahme:** Verwaltungsmaßnahme(n) zur Umsetzung der Änderung, nachdem diese genehmigt wurde (die Änderung im Sinne von ITIL bezieht sich ausschließlich auf die Änderungssteuerung und nicht auf deren Umsetzung/Realisierung). + +- **Problem:** Ursache eines oder mehrerer wiederkehrender Störungen, Ursache einer potenziellen Störung (Risikosituation), die einer Analyse und Lösung bedarf, um eine Wiederholung zu verhindern. + +- **Region:** Bezeichnet einen geografisch abgegrenzten Bereich aus Verfügbarkeitszonen, der Netzwerk-, Rechen- und Speicherdienste bereitstellt, um Latenz, Leistung und die Einhaltung lokaler regulatorischer Anforderungen zu optimieren. + +- **Service OpenIaaS:** Bezeichnet den IaaS-Service, der auf Open-Source-Technologie basiert, der derzeit SecNumCloud-zertifizierung unterzogen wird, und dem Auftraggeber vom Dienstleister über technische Infrastrukturen bereitgestellt wird, die vom Dienstleister betreut werden, wie in der „Beschreibung des Services“ dieses Servicevertrags beschrieben. + + + +- **Schaden:** Bezeichnet ein schwerwiegendes Ereignis, das durch natürliche oder menschliche Ursache, zufällig oder vorsätzlich verursacht wurde und erhebliche Verluste und Schäden für die betroffene Partei verursacht. + + + +- **Überwachung:** Überwachung eines Informationssystems oder eines Services, die die Erfassung verschiedener Daten wie Messwerte und Alarme beinhaltet. Diese Tätigkeit beschränkt sich auf Beobachtung und Verfolgung, ohne direkt in die überwachten Elemente eingreifen zu können – eine Befugnis, die den Administrationsaufgaben vorbehalten ist. + +- **Tenant:** Eine isolierte Instanz, die einem Benutzer oder einer Benutzergruppe vorbehalten ist, die eine gemeinsame Infrastruktur nutzt, dabei aber die Unabhängigkeit und Sicherheit von Daten und Anwendungen gewährleistet. + +- **Verfügbarkeitszone (AZ) (Availability zone):** Ein spezifischer, isolierter Bereich der Cloud-Infrastruktur, der zur Gewährleistung hoher Verfügbarkeit und Resilienz von Diensten durch eine geografische Verteilung der Ressourcen konzipiert ist. + +# Acronyms + +| Acronym | Definition | +| :--- | :--- | +| **CAB** | Change Advisory Board -- Change Advisory Board | +| **CMDB** | Configuration Management Database -- Configuration Management Database | +| **COPIL** | Steering Committee | +| **COSTRAT** | Strategic Committee | +| **COPROJ** | Project Committee | +| **DB** | Database (database) | +| **DPA** | Data Protection Agreement | +| **DRP** | Disaster Recovery Plan (DRP) (Disaster Recovery Plan) | +| **GTE** | Escalation Time Guarantee | +| **GTI** | Intervention Time Guarantee | +| **GTR** | Resolution Time Guarantee | +| **ITIL** | Information Technology Infrastructure Library - Best practices for IT service management | +| **IaaS** | Infrastructure as a Service | +| **MCO** | Maintenance in Operational Condition | +| **MOA** | Client (project owner) | +| **MOE** | Contractor (service provider) | +| **MSP** | Managed Services Provider | +| **OS** | Operating system (operating system) | +| **PAQ** | Quality Assurance Plan | +| **PaaS** | Platform as a Service | +| **PAS** | Security Assurance Plan | +| **PASSI** | Information System Security Audit Provider | +| **RFC** | Request For Change -- Change Request | +| **RGPD** | General Data Protection Regulation (personal data) | +| **RPO** | Recovery Point Objective -- Data freshness upon recovery after an incident | +| **RTO** | Recovery Time Objective -- Service restoration time after an incident | +| **SDM** | Service Delivery Manager | +| **SLA** | Service Level Agreement -- Service Level Agreement | +| **SNC** | SecNumCloud | +| **SOC** | Security Operations Center | +| **TMA** | Third-party Application Maintenance | +| **UO** | Work Unit | +| **VABE** | Validation of Suitability for Good Operability | +| **VABF** | Validation of Suitability for Proper Functioning | +| **VM** | Virtual Machine (virtual machine) | +| **VSR** | Regular Service Validation | + +# Purpose of this Service Agreement + +This Service Agreement establishes the terms and conditions under which the Provider undertakes to deliver the Service to the CLIENT. Its purpose is to: + +- Specify the performance requirements expected by the CLIENT in terms of functionality and reliability of the Service; + +- Outline the Provider’s obligations to meet the agreed-upon service levels; + +- Identify the regulatory standards specifically applicable to the delivered Service; + +- Ensure consistency and integrity in the evaluation of Service quality; + +- Guarantee the excellence of the services provided, assessed through quantitative performance indicators. + +It is stipulated that, in the event the Provider loses its SecNumCloud qualification, the Contract may be terminated immediately and without penalty by the CLIENT. In such a case, the Provider undertakes to notify the CLIENT of this loss of qualification by sending an official notice via registered letter with acknowledgment of receipt. + +It should be noted that any modification or adjustment to the SecNumCloud qualification shall not be interpreted as a revocation of the initial qualification. + +# Audit + +The Provider undertakes to allow the CLIENT, or any third-party auditor who is not a competitor of the Provider and who has been designated by the Provider, to access all documents necessary to verify full compliance with the obligations related to conformity with the provisions of Article 28 of the General Data Protection Regulation (GDPR), thereby facilitating the conduct of audits. + +By accepting this Service Agreement, the CLIENT explicitly grants authorization to: + +1. The National Agency for the Security of Information Systems (ANSSI), as well as the competent qualification body, to carry out verification of the compliance of the Service and its information system with the SecNumCloud reference framework. +2. A qualified information systems security auditor, duly certified PASSI and expressly designated by the Provider, to conduct security audits concerning the Service. + +# Servicebeschreibung + +## Shared Responsibility Model + +The Service provided by the Provider is characterized by the delivery of the following offerings, which align with the shared responsibility principle outlined in the SecNumCloud reference framework: + +- Provision of computing (compute) resources; + +- Provision of storage spaces; + +- Access to networking and internet connectivity services; + +- Offering of a dedicated backup service for virtual machines. + +The shared responsibility model applied between the Provider and the CLIENT within the scope of the Service is detailed in §7.1. + +It is understood that the Provider will leverage its expertise to deliver the Services in accordance with professional best practices and in compliance with the requirements of the SecNumCloud reference framework. + +## Detailed Scope of the Service + +| Service | Description | +| :--- | :--- | +| **Compute** | Computing resource of the Tenant COMMANDITAIRE | +| **Storage** | Production data of the Tenant COMMANDITAIRE | +| **S3 Object Storage** | Provisioning of a sovereign, multi-AZ object storage infrastructure compatible with standard S3 APIs. | +| **Backup** | Subject to subscription to S3 Object Storage | +| **Network Infrastructure** | Networking resources of the Tenant COMMANDITAIRE | +| **COMMANDITAIRE Console** | Service enabling the COMMANDITAIRE to access and manage their OpenIaaS service via the Console interface | +| **Support** | Support service accompanying the aforementioned services and only these (\*) | + +\_(\*) Within the scope of the current Service qualification and the responsibilities of the Provider in this matter\_ + +### Datacenter Infrastructures + +The Service encompasses the provision, for each Availability Zone, of the following qualified services: + +- A datacenter site located in France for the FR Region, compliant with the latest technological standards, offering a resilience level equivalent to or higher than Tier 3 of the Uptime Institute; +- Provision of technical rooms within dedicated datacenters for housing essential technical equipment required for service production, including computing, storage, networking, cabling, and other necessary components; +- Secure electrical power supply, provided by two distinct electrical circuits, ensuring uninterrupted service continuity; +- Provision of climate control services, adjusted to meet equipment manufacturers’ standards and recommendations, to maintain an optimal environment for technical devices; +- Continuous monitoring and detailed metrology, enabling precise tracking and proactive management of service performance and security. + +The Provider ensures the availability of advanced fire detection and suppression services, designed to effectively identify and neutralize any fire outbreak within the facilities. These systems are essential to safeguard equipment and data. They include high-precision smoke detectors and suppression devices capable of rapid response without damaging IT equipment. This service is critical to prevent fire risks, minimize potential damage, and ensure operational continuity. + +The CONTRACTOR is informed that all implemented security procedures and measures—including annual backup tests on generator groups—are essential to ensure service continuity and integrity. These practices are designed to minimize failure risks and ensure optimal responsiveness in the event of an incident. By accepting these conditions, the CONTRACTOR acknowledges the importance of these measures and commits to full cooperation to facilitate their implementation. The CONTRACTOR is also encouraged to review the provided security recommendations and integrate them into its own risk management strategy. + +### Software Infrastructure for Service Management + +The Provider supplies the COMMANDITAIRE with the administration console and the API necessary for using the Service. The Provider further undertakes to maintain this administration console and API in optimal operational condition and to ensure their continuous security. The administration console and API are collectively referred to under the term "COMMANDITAIRE interface." + +The Provider alerts the COMMANDITAIRE that abnormal use of the COMMANDITAIRE interface—particularly in cases of API command overload (hammering)—may trigger automatic security measures resulting in the blocking of access to the command APIs or the Service. It should be emphasized that this situation does not constitute Service unavailability but rather a protective action taken to safeguard the Service and the Provider’s infrastructure; therefore, the COMMANDITAIRE may not consider it as an unavailability in its calculations. + +Furthermore, the Provider informs the COMMANDITAIRE that perfectly identical requests (duplicates) sent to its APIs are limited to one per second (Throttling). If the COMMANDITAIRE submits identical requests at a higher frequency, their rejection cannot be interpreted as Service unavailability. + +### Computing Infrastructure + +The Service includes the provision, within the availability zones subscribed by the CUSTOMER, of the equipment necessary to run workloads in the form of virtual machines. + +This includes: + +- Provision of the required technical chassis for the proper operation of the compute blades; +- Provision of the compute blades in the quantities specified by the CUSTOMER and distributed across the availability zones of the CUSTOMER’s choice. Please note that these compute blades are exclusively dedicated to the CUSTOMER; +- Provision of operating system software in the form of hypervisors, as well as assurance of the operational and security maintenance of the underlying software infrastructure required to manage these operating systems. It should be emphasized that, although the Provider is responsible for the operational maintenance and overall security of the Service, it does not possess specific knowledge regarding the CUSTOMER’s production environments or the requirements related to their workloads. Consequently, the responsibility for deciding when to update the operating systems of the hypervisor compute blades— an action that may require a reboot— rests entirely with the CUSTOMER. This operation can be performed via the CUSTOMER Interface. + +The selection of the compute blade model, chosen from the catalog offered by the Provider, is the responsibility of the CUSTOMER. + +### Storage Infrastructure + +The service includes providing the CONTRACTOR with a shared storage infrastructure of the SAN (Storage Area Network) type, offering various performance levels. This service encompasses: + +- Implementation and ongoing operation and security maintenance of the dedicated SAN network; +- Installation and management of storage enclosures shared among clients, including their operational and security maintenance, monitoring, and metering; +- Deployment of automated systems for allocating LUNs (Logical Unit Numbers) dedicated to the CONTRACTOR’s use, in accordance with the volumes subscribed by the CONTRACTOR. + +### Global Network Infrastructure + +The Provider deploys, as part of the Service, a global network that enables the CLIENT to access its hosted systems. This service includes: + +- Provisioning, ongoing operational maintenance, and security assurance of all fiber-optic interconnections linking the various Availability Zones; + +- Provisioning, ongoing operational maintenance, and security assurance of the technical equipment necessary for proper network operation and isolation of the different clients. + +The network interconnection of the CLIENT's tenant with the Internet or private networks, along with the associated network equipment, operator links, and other technical components enabling this interconnection, are not included within the scope of the Service. This network interconnection is implemented in accordance with the provisions set forth in the Contract. + +### Backup Infrastructure + +The Provider makes available to the CLIENT an integrated, dedicated, and managed backup service designed to protect its virtual machines. The Provider ensures the operational readiness and security of this backup service. The Provider guarantees that the CLIENT's backups will be stored outside the availability zone of the workloads being backed up, provided the CLIENT has subscribed to the appropriate Work Units. + +This backup service is limited to backing up virtual machines and the topology configurations of the OpenIaaS environment of the CLIENT's Tenants within the scope of the Service. The development and implementation of an adequate backup policy by the CLIENT depend on the subscription to specific Work Units. Therefore, it is the CLIENT's responsibility to ensure the availability of the necessary technical resources with the Provider to implement its backup policy or adjust it according to the available resources. + +The Provider undertakes to notify the CLIENT in case of capacity constraints and to provide advisory support for resource optimization. The Provider's obligations are limited to implementing the backup policy requirements expressed by the CLIENT, within the scope of the subscribed resources. + +### Implementation of Business Continuity or Disaster Recovery Solutions + +The Provider supplies the CONTRACTOR with all necessary technical solutions to ensure optimal distribution of its resources across multiple Availability Zones. It is the CONTRACTOR's responsibility to effectively manage this resource distribution, for which it has access to the tools provided by the Provider specifically designed for this purpose. + +## Limitations of Services in the OpenIaaS Model Under Qualification + +### Managed Services in RUN + +It is important to note that the following are excluded from the Service: + +- Hosting of physical components of the CUSTOMER; + +- Network interconnection of the CUSTOMER's Tenant to the Internet or private networks, including operator links; + +- Any managed service or TMA (Third-Party Managed Application); + +- Any support for virtual machines at the OS level and above within the IaaS responsibility stack, even if it involves only basic monitoring. + +That said, the CUSTOMER is in no way precluded from using such services through the Provider’s MSP offering to perform managed services on its Tenants. These services will then not be governed by the present Service Agreement and its bilateral commitments/clauses. + +### Backup Configuration + +By default, the Provider sets up the IaaS resources for the CUSTOMER by reserving resources and configuring deployments to use Availability Zones. It is the CUSTOMER's responsibility to select the Availability Zones via the CUSTOMER interface. + +### Backup Configuration + +The backup service ends with the backup of virtual machines and topology configurations representing the OpenIaaS environment of the COMMANDITAIRE's Tenants within the scope of the Service. + +The backup service and the completion of the COMMANDITAIRE's backup policy are subject to the subscription of storage space on the mass storage necessary to ensure the service. It is therefore the responsibility of the COMMANDITAIRE to subscribe to the necessary technical means from the Provider to implement the backup policy within their IT environment, or to adjust the backup policy according to the resources deployed. The Provider undertakes to inform the COMMANDITAIRE in case of technical capacity limitations. + +The Provider will implement the necessary technical and human resources to back up the hosted system, within the limits of the resources subscribed by the COMMANDITAIRE. + +Furthermore, in cases where the environment is not covered by the Provider, it is the responsibility of the COMMANDITAIRE to define its own backup strategy and to configure VM backups independently, or to submit a Service Request to the Provider so that the backup configuration for physical servers can be implemented, provided the COMMANDITAIRE has a managed service contract enabling the Provider to act via the COMMANDITAIRE's interface—the administration console made available under this Service Agreement—which includes functionalities for configuring backups. + +Additionally, this service will only commit to translating, via the COMMANDITAIRE interface, the configuration clearly specified by the COMMANDITAIRE. + +For reasons of flexibility in the Provider’s offering, the COMMANDITAIRE has the option to assign a "no backup" policy to certain of its VMs. In such cases, it is the responsibility of the COMMANDITAIRE to assume this decision. The Provider will not back up VMs associated with the "no backup" policy. The Provider alerts the COMMANDITAIRE that choosing the "no backup" policy or opting for manual backups exposes the COMMANDITAIRE to the risk of irreversible data loss in the event of an incident on lower layers or layers dependent on the COMMANDITAIRE’s responsibility under the IaaS model. In such cases, it will be impossible to hold the Provider responsible for restoring data, as there will be nothing to restore. The Provider recommends always backing up VMs. + +For any matter concerning the OS installed on a virtual machine, or any software or program running "above the OS," it is the responsibility of the COMMANDITAIRE to perform administrative and monitoring operations within the European Union if they wish to ensure that the entire verticality of the IT layers is operated and managed from within the European Union. Administrative operations conducted outside the Provider’s responsibility perimeter as defined in the "Shared Responsibility Model" section of this Service Agreement. + +## Implementation des Dienstes + +### Technical Requirements + +For the implementation of the Service, the CLIENT acknowledges that it will need to: + +- Operate with Xen-type virtualization in versions supported by the vendor and provided by the Provider as part of the Service; + +- Use the backup tool via the Provider; + +- Declare fixed IP addresses from which the Provider will authorize access to the CLIENT interface (whitelist filtering). Any modifications to this list of IPs must be carried out via the dedicated menu in the console or through Service Requests for subsequent changes. At service initialization, the Provider shall have been informed of at least one IP address as described above. + +## Service Location in France + +It is specified that none of the operations or physical components involved in the provision of the Service, the subject of this Service Agreement, are located outside the European Union. + +This specifically includes support, operational monitoring, and security monitoring (SOC) of the technical infrastructure delivering the Service. As a result, all storage, administrative tasks, monitoring activities, and processing are carried out in France. + +### Location of Datacenters Hosting the Service + +In the absence of operations carried out by the Provider's employees and agencies, all production operations (including data storage and processing) and technical components delivering the Service are located in data centers based in France. + +### Location of Cloud Temple agencies operating the service + +The Cloud Temple staff members providing services within the scope of the Service operate from Cloud Temple agencies, all located exclusively in France. These agencies are situated in France, in Tours, Lyon, Caen, and Paris La Défense. + +The CLIENT is informed of the possibility that Cloud Temple employees may work remotely. However, the PROVIDER guarantees the same level of security for remote access, particularly regarding VPN access. These remote access arrangements are implemented in compliance with the requirements of the SecNumCloud reference framework. + +## Support + +### Art des dem begleitenden Supports + +Der Leistungserbringer stellt einen technischen Support-Service bereit, der dem **AUFTRAGGEBER** bei der Verwaltung, Fehlerbehebung und Optimierung seiner bereitgestellten Ressourcen unterstützt. Dieser Service umfasst ein breites Spektrum an Tätigkeiten, von der Unterstützung bei der initialen Konfiguration der Dienste bis hin zum fortgeschrittenen technischen Support zur Lösung spezifischer Probleme. + +Nachfolgend finden Sie eine Beschreibung der Merkmale und Funktionen des Support-Services: + +- Unterstützung bei der initialen Implementierung der Nutzung des Dienstes; +- Unterstützung bei der Behebung von Störungen; +- Unterstützung bei der Lösung technischer Probleme; +- Überwachung und Beratung zur Optimierung der technischen Grundlage. + +Im Rahmen des Support-Services tritt der Leistungserbringer nicht an die Stelle des **AUFTRAGGEBERS** bei der Nutzung des Dienstes. Der **AUFTRAGGEBER** bleibt vollständig verantwortlich für die Konfiguration, den Betrieb seiner VMs und seiner Tenants sowie für die Verwaltung aller Elemente (einschließlich Daten und Anwendungen), die er auf den Infrastrukturen des Leistungserbringers gespeichert oder installiert hat. Der technische Support wird gemäß den Allgemeinen Geschäftsbedingungen und Nutzungsbedingungen erbracht, wobei der Leistungserbringer einer Mittelhaftung unterliegt. + +Der **AUFTRAGGEBER** verpflichtet sich, den Support-Service verantwortungsvoll zu nutzen und insbesondere darauf zu verzichten, nicht abgeschlossene Dienstleistungen beim Leistungserbringer anzufordern oder die Teams des Leistungserbringers für eigene Kunden oder Dritte einzuschalten, die nicht im Vertrag enthalten sind. Der Leistungserbringer behält sich das Recht vor, jede Anfrage abzulehnen, die diesen Kriterien nicht entspricht. + +Das Engagementniveau des Supports ist abhängig von der Abonnement der entsprechenden Support-Einheiten. + +### Technical Support Request + +Technical support is accessible via a ticketing system through the COMMANDITAIRE console and is available during regular business hours, excluding public holidays (8:00 – 18:00; Monday to Friday; French calendar and time zone). For emergencies occurring outside of business hours, particularly incidents significantly impacting production, the on-call service can be reached via a number provided to the COMMANDITAIRE at Service initiation. + +For each request or incident, it is mandatory to create a ticket with the Provider’s support team. Initiating this ticket, including all necessary information, is essential and marks the beginning of the evaluation of the Provider’s commitments. + +As soon as the Provider receives a request or incident notification—whether through the management console or following a phone call—a ticket is automatically created. When reporting an incident, it is crucial that the COMMANDITAIRE provides the Provider with as much detail as possible regarding the issue encountered. This step is essential to enable an accurate assessment of the situation, proper prioritization, and effective diagnosis. + +The COMMANDITAIRE then receives an email confirmation indicating the ticket creation and its unique ticket number. The COMMANDITAIRE can check the status and history of their requests and incident reports directly via the management console. + +### Incident Management Process + +Upon reporting an Incident, the Provider's technical support team initiates an investigation to identify the root cause of the issue and establish a diagnosis. The CUSTOMER must actively collaborate with the Provider by providing all necessary information and performing required tests. The Provider may access the CUSTOMER's Service to diagnose the Incident. + +If the Provider's Services are deemed functional and the Incident is not attributable to the Provider, the CUSTOMER will be notified. At the CUSTOMER's request, the Provider may offer Professional Services to identify the source of the problem, billable upon prior agreement in 30-minute increments. + +In the event that the Incident is the responsibility of the Provider or one of its subcontractors, the Provider will complete the diagnosis and proceed with restoring the Service at no additional cost. The diagnosis is based on communications between the Parties and data provided by the Provider, which are considered conclusive by mutual agreement of the Parties. + +### Priorisierung der Behandlungen + +Die Festlegung des Prioritätsniveaus eines Falls basiert auf einer matrixbasierten Analyse, die die Auswirkung des Vorfalls und sein Kritikalitätsniveau bewertet: + +- Die Auswirkungsniveaus sind wie folgt definiert: + +| Auswirkungsniveau | Beschreibung | +| :--- | :--- | +| **Auswirkung I1** | Der oder die Dienstleistungen des Anbieters sind unterbrochen | +| **Auswirkung I2** | Der oder die Dienstleistungen des Anbieters sind beeinträchtigt | +| **Auswirkung I3** | Der oder die Dienstleistungen des Anbieters sind derzeit stabil, zeigen jedoch Anzeichen eines potenziellen langfristigen Rückgangs | + +- Die Kritikalitätsniveaus sind wie folgt definiert: + +| Kritikalitätsniveau | Beschreibung | +| :--- | :--- | +| **Kritikalität C1** | Der oder die Dienstleistungen des Anbieters verschlechtern sich mit besorgniserregender Geschwindigkeit | +| **Kritikalität C2** | Der oder die Dienstleistungen des Anbieters verschlechtern sich schrittweise im Laufe der Zeit | +| **Kritikalität C3** | Der oder die Dienstleistungen des Anbieters weisen ein oder mehrere Unannehmlichkeiten auf, ohne signifikante Folgen zu haben | + +- Auf Basis einer detaillierten Analyse der Situation unter Berücksichtigung der entscheidenden Faktoren für Auswirkung und Kritikalität wird dem Ticket gemäß der folgenden Entscheidungsmatrix eine Priorität zugewiesen: + +| Auswirkungsniveau / Kritikalitätsniveau | Auswirkung I1 | Auswirkung I2 | Auswirkung I3 | +| :--- | :--- | :--- | :--- | +| **Kritikalität C1** | Priorität **P1** | Priorität **P2** | Priorität **P3** | +| **Kritikalität C2** | Priorität **P2** | Priorität **P3** | Priorität **P4** | +| **Kritikalität C3** | Priorität **P3** | Priorität **P4** | Priorität **P5** | + +Die Service-Level-Vereinbarungen, die jeweils zu jedem Prioritätsniveau gehören, sind im folgenden Kapitel detailliert beschrieben. + +### Language and Location of Support Service + +Support is provided by the Provider to the CUSTOMER in French at a minimum. Support may also be provided in English. + +The Provider's support service operations for the qualified SecNumCloud infrastructure service offering are located within the European Union. + +# Service Level Agreements and Commitments + +The Provider undertakes to ensure continuous monitoring of the performance and security integrity of its technical infrastructure delivering the Service, ensuring optimal operation. + +Service unavailability, as defined by a performance indicator, is acknowledged as soon as it is detected by the Provider's monitoring system, or following notification from a user of the CLIENT. The start of unavailability is set at the earliest of these two events, ensuring accurate and fair calculation of downtime. + +The end of unavailability is officially marked by the complete restoration of the service, confirmed either by the Provider's monitoring tools or by user feedback, thereby ensuring an effective resumption of operations and a precise measurement of the interruption duration. + +## Infrastructure Availability Commitments + +The Provider undertakes to maintain an availability and performance level compliant with the standards defined for each specified period. Service Level Agreements (SLAs) apply provided that the CUSTOMER implements its systems across at least two of the Availability Zones available within the relevant Region. + +In the event that the CUSTOMER fails to meet these conditions, it will be unable to claim the application of the relevant SLAs, which are specifically identified by an asterisk (\*). SLA accessibility is provided via the CUSTOMER interface. Measurements are calculated on a monthly basis: + +- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Compute Power Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Storage Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- **SLA 3 : IC-INFRA_SNC-03** -- Backup Reliability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Network Infrastructure Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- **SLA 5 : IC-INFRA_SNC-05** -- Internet Access: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. + +***Notes***: + +- *In response to a Distributed Denial of Service (DDoS) attack, the Provider reserves the right to adjust its internet routing configuration to mitigate the impact of the attack and protect its infrastructure. In particular, if an IP address belonging to the CUSTOMER is targeted, the Provider may employ blackholing via the BGP community to block all traffic destined for the targeted IP address upstream with its providers, with the aim of protecting the CUSTOMER’s resources as well as those of other CUSTOMERS and the Provider’s infrastructure. The Provider strongly encourages the CUSTOMER to adopt similar measures, such as using commercially available Web Application Firewalls, and to carefully configure its security groups via the command API.* + +- *The Provider emphasizes the importance for the CUSTOMER to minimize open traffic flows, particularly by avoiding exposing administrative ports **SSH** (TCP port 22) and **RDP** (TCP port 3389) to the entire Internet (subnet 0.0.0.0/0), as well as internal protocols such as **SMB** (TCP/UDP port 445) or **NFS** (TCP/UDP port 2049).* + +## Availability Commitment for the COMMANDITAIRE Interface + +- SLA 6: IC-INFRA_SNC-06 -- Access to the Service's administration console: a guaranteed availability of 97%, ensured continuously, 24 hours per day, 7 days per week. +- SLA 7: IC-INFRA_SNC-07 -- Access to the Service's control APIs: an availability of 99.9%, calculated on a 24/7 basis. + +## Support Availability Commitment + +- **SLA 8: IC-INFRA_SNC-08** -- Performance commitments of the Provider's technical support for incidents, excluding scheduled maintenance: + +| Priority | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Priority P1** | 30 min | 95% | +| **Priority P2** | 2 h | 90% | +| **Priority P3** | 4 h | 90% | +| **Priority P4** | 24 h | 85% | +| **Priority P5** | 48 h | 85% | + +- **SLA 9: IC-INFRA_SNC-09** -- Performance commitments of the Provider's technical support for service requests: + +| Type | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Service Request** | 4 h | 90% | + +*Note*: + +- *The Response Time Guarantee (RTG) is calculated from the difference between the time the CLIENT opens the ticket and the first intervention by the Provider's support.* +- *Investigation of incidents affecting the CLIENTs will not include remote interventions on servers hosted by the CLIENT. Support will be limited to explaining available metrics related to the CLIENT's environment, to facilitate understanding of incidents or performance issues. Based on the results of this analysis, recommendations may be provided.* + +## S3 Object Storage Availability Commitment + +- **SLA 10: IC-INFRA_SNC-10** -- The availability commitments for S3 object storage are as follows: + +| Indicator | Commitment | Availability Target | +| :--- | :--- | :--- | +| **IC-INFRA-SNC-10.1** | Durability of object storage within a region | 99.9999999% / year | +| **IC-INFRA-SNC-10.2** | S3 Object Storage API availability | 99.99% | +| **IC-INFRA-SNC-10.3** | Maximum latency for accessing an object within a region | 150 ms | + +Remarks: + +- The Object Storage Service is specifically designed for object storage and must be used exclusively for this purpose, **strictly excluding any use in block mode**. Using block mode through indirect methods, such as employing *"FUSE"* in a Linux environment, constitutes a violation of the terms of use. No incident, malfunction, or damage resulting from such non-compliant usage will be covered by the Service Level Agreements (SLAs) defined in this service agreement. +- The durability guarantee is contingent upon compliant use of the services in accordance with current best practices and standards, and explicitly excludes any data modification—whether intentional or accidental—resulting from actions taken by the **CLIENT**. + +## Clarification regarding the backup commitment + +The backup strategy deployed for the CLIENT is contingent upon the subscription to the appropriate work units. + +The Provider commits to providing a backup solution enabling the CLIENT to implement the desired backup policies. + +It is specified that the Provider's scope ends with the provision of a backup service, and it is the CLIENT's responsibility to monitor via the CLIENT's interface the proper execution of associated backup policies. + +It is further specified that the management of storage capacity for the dedicated backup storage space remains the sole responsibility of the CLIENT. The Provider will make the utilization rate available via the console. + +*Example: Failure to back up a virtual machine:* + +*The CLIENT is responsible for verifying and monitoring the correct execution of backup policies. If the CLIENT detects that a virtual machine is not being backed up, it is their responsibility to investigate the cause. The CLIENT may contact the Provider's Support team, according to the support level subscribed to, for assistance.* + +**SLA 8: IC-INFRA_SNC-08 and SLA 9** will apply exclusively in the event of a backup service incident. + +# Organization of the contractual relationship + +## Verpflichtungen des Auftragnehmers + +Der Auftragnehmer verpflichtet sich: + +- den Auftraggeber angemessen zu informieren (z. B. im Falle einer Kapazitätsbegrenzung der technischen Ressourcen, die den Service bereitstellen). + +- den Auftraggeber formell und innerhalb eines Monats über jede rechtliche, organisationelle oder technische Änderung zu informieren, die Auswirkungen auf die Konformität des Service mit den Anforderungen zum Schutz vor Gesetzen außerhalb der Europäischen Union haben könnte (19.6 des Referenzrahmens SNC v3.2). + +- dem Auftraggeber Schnittstellen und Service-Schnittstellen in mindestens französischer Sprache zur Verfügung zu stellen. + +- die spezifischen branchenspezifischen Anforderungen, die sich aus den Arten von Informationen ergeben, die der Auftraggeber im Rahmen der Umsetzung des Services übermittelt, zu berücksichtigen, soweit dies innerhalb der Verantwortlichkeiten des Auftragnehmers liegt und unter Berücksichtigung der im Vertrag festgelegten Bestimmungen. + +- die branchenspezifischen Anforderungen, die sich aus den Arten von Informationen ergeben, die der Auftraggeber im Rahmen der Umsetzung des Services später vorgelegt hat, zu prüfen und dem Auftraggeber die erforderlichen Maßnahmen zur Berücksichtigung dieser Anforderungen mitzuteilen. + +- keine Informationen über die Leistung an Dritte weiterzugeben, es sei denn, der Auftraggeber hat eine formelle und schriftliche Genehmigung erteilt. + +- dem Auftraggeber alle erforderlichen Informationen zur Durchführung von Konformitätsprüfungen gemäß den Bestimmungen des Artikels 28 der DSGVO zur Verfügung zu stellen. + +- dem Auftraggeber im Rahmen dieser Dienstleistungsvereinbarung Bericht über jeden Sicherheitsvorfall zu erstatten, der den Service oder die Nutzung des Services durch den Auftraggeber beeinträchtigt (einschließlich der Daten des Auftraggebers). + +- einem qualifizierten Prüfer für die Sicherheit von Informationssystemen (PASSI), der vom Auftragnehmer beauftragt wurde, die Prüfung des Services sowie seines Informationssystems gemäß dem Kontrollplan des SecNumCloud des Auftragnehmers zu ermöglichen. Darüber hinaus verpflichtet sich der Auftragnehmer, alle erforderlichen Informationen bereitzustellen, um die Konformitätsprüfungen gemäß Artikel 28 der DSGVO, die vom Auftraggeber oder einem von diesem beauftragten Dritten durchgeführt werden, durchzuführen. + +- im Rahmen seiner Tätigkeit als Unterunternehmer gemäß Artikel 28 der Verordnung zum allgemeinen Datenschutz (DSGVO) dem Auftraggeber Unterstützung und Beratung zu leisten und diesen unverzüglich zu informieren, sobald eine von ihm erteilte Anweisung geeignet ist, die Datenschutzvorschriften zu verletzen. + +- den Auftraggeber innerhalb einer angemessenen Frist über die Konsole des Auftraggebers oder per E-Mail an den zuständigen Ansprechpartner des Auftraggebers zu informieren, wenn ein Projekt den Sicherheitsniveau oder die Verfügbarkeit des Services beeinträchtigt oder beeinträchtigen könnte, oder zu einer Funktionsausfall führen könnte, sowie über potenzielle Auswirkungen, ergriffene Minderungsmaßnahmen und verbleibende Risiken. + +- alle Verfahren, die zur Einhaltung der geltenden gesetzlichen, regulatorischen und vertraglichen Anforderungen sowie der spezifischen Sicherheitsanforderungen des Auftraggebers, die dieser festgelegt und im Vertrag vorgesehen hat, erforderlich sind, zu dokumentieren und umzusetzen. + +- die Daten des Auftraggebers, die aus der Produktion stammen, nicht für Tests zu verwenden, es sei denn, der Auftraggeber hat hierzu vorher ausdrücklich zugestimmt. Im Falle einer solchen Zustimmung verpflichtet sich der Auftragnehmer, diese Daten zu anonymisieren und die Vertraulichkeit dieser Daten während der Anonymisierung sicherzustellen. + +- die Daten und technischen Daten des Auftraggebers gemäß der in dieser Dienstleistungsvereinbarung beschriebenen „Prozedur zur Löschung von Daten am Ende des Vertrags“ zu löschen, sobald der Vertrag beendet oder gekündigt wird. + +- eine sichere Löschung aller Daten des Auftraggebers durch vollständiges Überschreiben aller Speichermedien, auf denen seine Daten im Rahmen des Services gespeichert wurden, sicherzustellen. + +Auf schriftliche und formelle Anforderung des Auftraggebers verpflichtet sich der Auftragnehmer: + +1. dem Auftraggeber den internen Dienstordnung und die Ethikcharta des Auftragnehmers zugänglich zu machen; + +2. dem Auftraggeber die Sanktionen zugänglich zu machen, die bei Verstößen gegen die Sicherheitsrichtlinie drohen; + +3. dem Auftraggeber sämtliche Ereignisse, die ihn betreffen, aus den Protokollierungsdaten des Services bereitzustellen; der Auftraggeber kann darüber hinaus unabhängig die Ereignisse, die seine Nutzung des Services betreffen, über die Web-Oberflächen und APIs des Services einsehen; + +4. dem Auftraggeber die Verfahren zugänglich zu machen, die zur Einhaltung der geltenden gesetzlichen, regulatorischen und vertraglichen Anforderungen für den Service sowie der spezifischen Sicherheitsanforderungen des Auftraggebers, die im Vertrag festgelegt sind, erforderlich sind; + +5. dem Auftraggeber die Risikoeinschätzungen bereitzustellen, die sich aus der Übermittlung der Daten des Auftraggebers an ein nicht zur Europäischen Union gehörendes Land ergeben; + +6. den Auftraggeber über nachgeschaltete Unterunternehmer, die an der Bereitstellung des Services beteiligt sind, zu informieren und ihn über jede Änderung, die diese Unterunternehmer betrifft, zu informieren. + +> Der Auftragnehmer und alle seine Tochtergesellschaften verpflichten sich, die grundlegenden Werte der Europäischen Union einzuhalten, nämlich die Würde des Menschen, die Freiheit, die Demokratie, die Gleichheit, die Rechtsstaatlichkeit sowie die Achtung der Menschenrechte. Der vom Auftragnehmer bereitgestellte Service ist mit der geltenden Rechtsordnung im Bereich der Grundrechte sowie den Werten der Europäischen Union im Hinblick auf die Achtung der Würde des Menschen, der Freiheit, der Gleichheit, der Demokratie und des Rechtsstaats vereinbar. + +## Limitation of Liability of the Provider + +Due to the definitions and conditions outlined in this Service Agreement, the Provider’s liabilities are limited as follows: + +1. The shared responsibility model, described in the section “Shared Responsibility Model” of this Service Agreement, effectively limits the Provider’s involvement in operational layers “above” the provision of computing, networking, storage, and backup resources. This specifically excludes, without limitation: + + - Management of what is installed on virtual machines (OS, middleware, applications, etc.); + + - Maintenance and updating of the OS and other software installed by the CLIENT on its machines within its Tenants; + + - Security of programs, software, and applications installed on virtual machines; + + - Updating of virtual machines; + + - Application-level data backup. + +2. The Provider cannot commit to backing up the CLIENT’s Tenants without prior subscription by the CLIENT to the appropriate work units. + +3. The Provider cannot claim ownership of data transmitted or generated by the CLIENT. Such data remain the exclusive property of the CLIENT. + +4. The Provider emphasizes that it may in no case exploit and/or use the data transmitted or generated by the CLIENT without prior explicit approval from the CLIENT, with the understanding that such data usage rights are reserved exclusively for the CLIENT. + +5. The Provider disclaims all liability for components physically hosted and managed by the Provider, but which are directly owned by the CLIENT or by a third party with whom the CLIENT has contracted. The hosting of physical components belonging to clients is not part of the Service and therefore falls outside the scope of this Service Agreement. It is the CLIENT’s responsibility to assess the level of compliance or dependency introduced by these components with respect to the OpenIaaS Service under SecNumCloud qualification. + +## Access Restrictions + +Within the scope of the Service, the Provider is explicitly prohibited from accessing Tenants belonging to the CLIENT without prior authorization. It is the responsibility of the CLIENT to provide necessary access to the Provider’s personnel, based on the specific requirements of the hosting and, where applicable, professional support services, if this option has been selected by the CLIENT. + +The CLIENT acknowledges that such access is granted exclusively for the purposes related to the provision of the agreed services, thereby ensuring secure and compliant management in accordance with the terms of the agreement. + +Remote access by third parties involved in the Provider’s service delivery is strictly prohibited. In the event that a specific technical requirement necessitates such access, it may only be established after clearly notifying the CLIENT, providing a detailed justification, and obtaining the CLIENT’s written consent. + +This measure ensures control and security of the CLIENT’s data, by guaranteeing that any exception to the rule is duly authorized and documented. + +## Responsibilities of Third Parties Participating in Service Delivery + +The Provider maintains a list of third-party partners involved in the provision of the Service. These third parties include software vendors, service providers (of the Provider), and other suppliers participating in the delivery of the Service. The Provider implements the following measures with regard to these third parties: + +- The Provider requires all third parties involved in the implementation of the Service, in their contribution to the Service, to maintain a security level at least equivalent to the one the Provider commits to maintaining in its own security policy applicable to the Secure Temple Service; + +- The Provider contracts with each third party involved in the implementation of the Service specific audit clauses enabling a qualified body to verify that these third parties comply with legal requirements and SNC requirements, thereby allowing the Provider to fulfill its obligations under this Service Agreement; + +- The Provider implements a procedure to regularly monitor the measures implemented by third parties involved in the implementation of the Service to ensure compliance with the requirements necessary for the Provider to meet its obligations under this Service Agreement; + +- The Provider conducts ongoing monitoring of changes made by third parties involved in the implementation of the Service that could impact the security level of the Service's information system. + +## Pflichten und Verpflichtungen des Auftraggebers + +Der Auftraggeber hat die folgenden Verpflichtungen im Rahmen des Dienstleistungsangebots: + +- Als Erinnerung: Der Dienstleister stellt dem Auftraggeber eine Plattform zur Ausführung virtueller Maschinen bereit. Die Konfiguration dieser Maschinen liegt in der Verantwortung des Auftraggebers. Jede virtuelle Maschine kann ohne eine zugehörige Sicherungsrichtlinie nicht funktionieren. Der Dienstleister definiert über seine Schnittstellen automatische Sicherungsrichtlinien. Es liegt jedoch in der Verantwortung des Auftraggebers, diese Sicherungsrichtlinien zu aktivieren und somit die virtuellen Maschinen zu aktivieren. + +- Der Auftraggeber ermächtigt die ANSSI und die Qualifizierungsstelle SNC, den Dienstleistungsbereich und die technische Infrastruktur, die den Dienstleistungsbereich bereitstellt, zu auditieren. + +- Der Auftraggeber ist verantwortlich dafür, dem Dienstleister gegebenenfalls spezifische branchenspezifische Anforderungen mitzuteilen, die sich auf die von ihm übermittelten Informationen beziehen und von dem Dienstleister berücksichtigt werden müssen. + +- Der Auftraggeber akzeptiert, dem Dienstleister keine Anforderungen oder Maßnahmen zu stellen, die den Dienstleister von den Anforderungen des SecNumCloud-Referenzrahmens in seiner aktuellen Version abbringen oder den Sicherheitsniveau, das durch die Einhaltung dieser Anforderungen gewährleistet wird, herabsetzen würden. + +## Rechte des Auftraggebers + +Zu jedem Zeitpunkt während der vertraglichen Beziehung kann der Auftraggeber eine Beschwerde bezüglich des qualifizierten Dienstleistungsangebots bei der ANSSI einreichen. + +Zu jedem Zeitpunkt kann der Auftraggeber vom Dienstleister die Bereitstellung seines Internen Reglements und seiner Ethikcharta verlangen. + +## Data Deletion at Contract End + +Upon termination of the contract, whether by expiry or for any other reason, the Provider undertakes to securely erase all data belonging to the CLIENT, including technical data. The Provider will ensure to issue a formal notice to the CLIENT, respecting a notice period of twenty-one (21) calendar days. The CLIENT’s data will then be deleted within a maximum period of thirty (30) days following this notification. + +To confirm deletion, the Provider will provide the CLIENT with a certificate verifying the erasure of the data. + +# Lifecycle of the Present Service Agreement + +## Effective Date of the Service Agreement + +This Service Agreement becomes effective on the date of its signature by the CLIENT. + +The collection, handling, storage, and processing of data carried out within the scope of pre-sales, implementation, and termination of the Service are conducted in compliance with applicable legislation. + +## Service Agreement Updates + +Any modifications or additions to this Service Agreement shall arise exclusively from requests submitted by the designated governance bodies. These proposed changes shall be reviewed by the Parties, who are authorized to determine which aspects require formal written documentation. + +It is agreed that any update to the Service Agreement, following validation, which alters the initially established financial terms, shall require the preparation and signing of an amendment to the current Contract. + +Factors that may trigger a revision of this Service Agreement include, but are not limited to: + +- Evolution of the technical infrastructure delivering the OpenIaaS Service; +- Adjustments made by the Provider to the services deployed to deliver the Service; +- Changes in commitments and applicable penalties; +- Organizational reconfigurations within the COMMANDITAIRE or the Provider; +- Expansion or reduction of the Service’s scope of application. + +Version and revision management of the Service Agreement is documented in the preamble of the document to facilitate tracking. + +### Changes initiated by the CLIENT + +The changes to the Service Agreement may, in particular, originate from: + +- An evolution of the infrastructure managed by the Provider; + +- A modification of the services implemented by the Provider; + +- A change in the service level commitments by the Provider. + +### Changes initiated by the Service Provider + +Any modification to the Service Agreement requires acceptance by the **CLIENT**. It is understood that any validated modification or addition altering the financial terms of the Contract may require the signing of an amendment to it. + +## Reversibility + +In addition, Cloud Temple undertakes to allow the revision of this Service Agreement (including its termination) without penalty for the CLIENT in the event of loss of SecNumCloud qualification. + +The Services do not include an obligation of reversibility (i.e., assistance to the CLIENT to enable migration of its system to another provider), except for the provision by the Provider to the CLIENT of the CLIENT interface, allowing the CLIENT to back up and retrieve its data—including configuration data of its information system—through one of the following technical options, at the CLIENT’s discretion: +- Provision of files in one or more documented and usable formats outside the service provided by the Provider; or +- Implementation of technical interfaces enabling access to data according to a documented and usable schema (API). + +The CLIENT, as sole owner of its system, must take all necessary measures to facilitate this process as required (including, in particular, the creation of thorough documentation and the development of reversibility plans). Should the CLIENT require additional support, the Provider may offer a consulting engagement on this matter under a separate contract to be negotiated. + +# Availability, Continuity, and Service Restoration + +## Incident- und Ausfallverwaltung + +### Incidents + +#### Incident Types Covered under this Service Agreement + +- Accidents; + +- Failures and malfunctions; + +- Security incidents affecting the availability, confidentiality, or integrity of the Service. + +#### Incident Management + +> The Provider informs the CUSTOMER as soon as possible of any incidents or outages, via a notification in the CUSTOMER's console or by email to the designated CUSTOMER contact. The Provider informs the CUSTOMER about the incident resolution through the same channel used to report the incident, or through the channel specified in the incident notification. + +#### Security Incident Notification Level + +The CONTRACTOR is responsible for selecting the severity levels of security incidents for which they wish to be notified, for example by formalizing them in an applicable SLA for the Service. + +By default, the CONTRACTOR is notified of: + +- Security incidents with impact (impact levels I1 and I2 according to the impact scale defined in the prioritization process for handling incidents in this Service Agreement); + +- Security incidents affecting the confidentiality or integrity of the CONTRACTOR’s data entrusted within the scope of the Service; + +- Personal data breaches for which the CONTRACTOR is responsible for processing in accordance with Article 8 of Annex DPA under the scope of the Service; + +## Service Maintenance + +### Nature of the maintenance + +Data breaches involving personal data for which the **Provider** is responsible for processing and which include personal data of the **CLIENT**, in accordance with Article 8 of Annex DPA. The maintenance provided consists of: + +- Implementation of the Service’s operational continuity plan to ensure good availability indicators, as committed to by the **Provider** above; + +- Implementation of the PCA/PRA plan, if subscribed to by the **CLIENT**, triggered according to any incidents that may occur. + +### Remote Access to Cloud Temple within the COMMANDITAIRE's Scope + +Under the terms of this Service Agreement, the Provider is prohibited from accessing the Tenants or the COMMANDITAIRE's interface environment. + +It shall be the responsibility of the COMMANDITAIRE to grant the necessary access to the Provider's personnel. The COMMANDITAIRE acknowledges that such access will be used solely for hosting purposes and ultimately for managed services (if subscribed to by the COMMANDITAIRE). + +### Remote access by third parties involved in service delivery within the COMMANDITAIRE's scope + +No remote access by third parties involved in delivering the Service is permitted. + +If a technical requirement made such access necessary, this type of access would only be granted after notifying the COMMANDITAIRE, providing justification, and obtaining their written approval. + +# Data Deletion Procedure at Contract End + +At the end of the Contract, whether due to expiration or for any other reason, the Provider shall ensure the secure deletion of all data processed under the Service, including the COMMANDITAIRE's technical data. The Provider shall provide formal notice with a minimum lead time of twenty-one (21) calendar days. The COMMANDITAIRE's data shall be deleted within a maximum period of thirty (30) days following notification. The Provider shall issue a data deletion certificate to the COMMANDITAIRE. + +# Applicable Law + +## In general + +The governing law and jurisdiction applicable to this Service Agreement is French law. + +## Compliance with Applicable Laws and Regulations + +The Provider undertakes the following: + +- Identification of legal and regulatory requirements applicable within the scope of the Service; + +- Compliance with applicable legal and regulatory requirements regarding data entrusted to the Provider, within the limits of the Provider’s responsibilities on one hand, and the provisions set forth in the Contract on the other hand; + +- Compliance with the Data Protection Act (Loi informatique et libertés) and the GDPR; + +- Implementation of measures to protect personal data; + +- Establishment of a legal and regulatory monitoring process; + +- Maintaining appropriate relationships or ongoing monitoring with sectoral authorities related to the nature of the data processed under the Service. This includes, in particular, ANSSI, CERT-FR, and CNIL. + +## GDPR + +Acting as a data processor within the meaning of Article 28 of the General Data Protection Regulation (GDPR), the Service Provider undertakes: + +- To ensure transparency and traceability; + +- To appoint a Data Protection Officer (DPO) responsible for defining and implementing measures to protect personal data; + +- To provide assistance and advice to the CLIENT and to alert the CLIENT if an instruction from the latter constitutes a breach of personal data protection rules, provided the Service Provider has the means to identify such a breach; + +- To guarantee security for the processed data (due to the SecNumCloud certification). + +## Protection vis-à-vis du droit extra-européen + +Le siège statutaire du Prestataire est établi au sein d'un État membre de l'Union européenne. Le capital social et les droits de vote dans la société du Prestataire ne sont pas, directement ou indirectement : + +- détenus individuellement à plus de 24 % ; + +- et détenus collectivement à plus de 39 % ; + +par des entités tierces dont le siège statutaire, l'administration centrale ou l'établissement principal est situé dans un État non membre de l'Union européenne. + +En cas de recours par le Prestataire, dans le cadre du Service, au service d'une société tierce – y compris un sous-traitant – dont le siège statutaire, l'administration centrale ou l'établissement principal est situé dans un État non membre de l'Union européenne ou qui appartient ou est contrôlée par une société tierce domiciliée en dehors de l'Union européenne, le Prestataire s'engage : + +- à ce que cette société tierce n'ait aucun accès aux données traitées ; + +- à disposer d'une autonomie d'exploitation grâce à la possibilité de faire appel à un autre sous-traitant ou de mettre rapidement en œuvre une alternative technologique. + +Pour mémoire, les données visées sont celles qui sont confiées au Prestataire par le COMMANDITAIRE ainsi que toutes données techniques contenant des informations relatives aux COMMANDITAIRES. + +Aux fins du présent article, la notion de contrôle est entendue comme celle mentionnée au II de l'article L233-3 du code de commerce. + +# SIGNATUREN + +Ort: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, den +\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ + +Für Cloud Temple, den AUFTRAGNEHMER + +Für \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, den AUFTRAGGEBER \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md b/i18n/de/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md index c343277b..1c779299 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md @@ -2,214 +2,202 @@ title: MCO/MCS --- -**Politique de Maintien en Conditions Opérationnelles (MCO) et de Maintien en Conditions de Sécurité (MCS) sur le PaaS OpenShift SNC **Cloud Temple**** +**Operational Readiness Policy (MCO) and Security Readiness Policy (MCS) for the OpenShift SNC PaaS Cloud Temple** -## Préambule +## Vorwort -Cette politique détaille les responsabilités et les recommandations pour le Maintien en Conditions Opérationnelles (MCO) et le Maintien en Conditions de Sécurité (MCS) de vos environnements sur le PaaS OpenShift SNC **Cloud Temple**. +Diese Richtlinie beschreibt die Verantwortlichkeiten und Empfehlungen für die Betriebsbereitschaft (MCO) und die Sicherheitsbereitschaft (MCS) Ihrer Umgebungen auf der PaaS-Plattform OpenShift SNC **Cloud Temple**. ---- +## Operational Readiness Maintenance (ORM) -## Maintien en Conditions Opérationnelles (MCO) +### Cluster Management and Updates -### Gestion et mise à jour des clusters +**Responsibility of Cloud Temple:** -**Responsabilité **Cloud Temple** :** +- Full management of the underlying infrastructure, including master nodes, OpenShift version updates, and resilience of critical services deployed by **Cloud Temple**. +- Automatic minor/patch updates without downtime for hosted workloads, unless otherwise notified. +- Restriction of rights and features according to SecNumCloud requirements. +- Communication of upcoming updates and release-breaking changes for the next three months via the [**Cloud Temple Roadmap**](https://github.com/orgs/Cloud-Temple/projects/2) -- Gestion complète de l'infrastructure sous-jacente, incluant les nœuds maîtres, les mises à jour de versions OpenShift, et la résilience des services critiques déployés par **Cloud Temple**. -- Mises à jour mineures/patches automatiques sans interruption pour les charges de travail hébergées, sauf notification contraire. -- Limitation des droits et des fonctionnalités aux contraintes SecNumCloud. -- Communication des mises à jour à venir et des mises à jour de fractures sur les trois prochains mois via la [**Roadmap Cloud Temple**](https://github.com/orgs/Cloud-Temple/projects/2) +**User Responsibility:** -**Responsabilité de l'utilisateur :** +- Management of deployed workloads (applications, CI/CD tools) and their configurations. +- Testing of workload updates in a staging environment before deployment to production. +- Ensuring workload compatibility with cluster components. -- Gestion des charges de travail déployées (applications, outils CI/CD) et de leurs configurations. -- Tests des mises à jour de charge de travail sur un environnement de staging avant déploiement en production. -- Assurance de la compatibilité des charges de travail avec les composants du cluster. +**Recommendations:** -**Recommandation :** +- Schedule application deployments outside maintenance windows to avoid conflicts with automatic cluster updates. +- Monitor **Cloud Temple** communications regarding major updates to plan necessary adjustments. +- Follow upcoming updates via the [**Product Roadmap**](https://github.com/orgs/Cloud-Temple/projects/2) +- Subscribe to [**incident notifications**](../../console/status.md#gestion-des-notifications) -- Planifier les déploiements applicatifs en dehors des fenêtres de maintenance pour éviter les conflits avec les mises à jour automatiques du cluster. -- Suivre les communications **Cloud Temple** concernant les mises à jour majeures pour planifier les ajustements nécessaires. -- Suivre les mises à jour à venir via la [**Roadmap produit**](https://github.com/orgs/Cloud-Temple/projects/2) -- S'abonner aux notifications [**d'incidents**](../../console/status.md#gestion-des-notifications) +### Monitoring and Supervision ---- +**Responsibility of Cloud Temple:** -### Supervision et monitoring +- Monitoring and supervision of the infrastructure and underlying services deployed by **Cloud Temple**. -**Responsabilité **Cloud Temple** :** +**Responsibility of the user:** -- Supervision et monitoring de l'infrastructure et des services sous-jacents déployés par **Cloud Temple**. +- Monitoring and supervision of your workloads. -**Responsabilité de l'utilisateur :** +**Recommendation:** -- Supervision et monitoring de ses charges de travail. +Use the **native tools provided**: -**Recommandation :** +- Performance log and event analysis via the OpenShift console. +- Configuration of custom alerts based on cluster and pod metrics via the user interface. -Utiliser les **outils natifs fournis :** +Set critical alert thresholds: -- Analyse des logs de performance et des événements via la console OpenShift. -- Configuration d'alertes personnalisées à partir des métriques du cluster et des pods via l'interface utilisateur. - -Configurer des seuils critiques d'alerte : +- **CPU/Memory** of pods: ≥ 80%. +- **Disk space on persistent volumes**: ≥ 85%. +- **Pod startup failures**: more than X occurrences within 10 minutes. -- **CPU/Mémoire** des pods : ≥ 80 %. -- **Espace disque sur les volumes persistants** : ≥ 85 %. -- **Échecs au démarrage des pods** : plus de X occurrences en 10 minutes. - -Automatiser l’escalade des alertes vers vos outils de gestion pour une réaction rapide. +Automatically escalate alerts to your management tools for rapid response. ---- +### Backups and Restoration -### Sauvegardes et restauration +Critical cluster components are automatically backed up by **Cloud Temple**. Workload and user data require dedicated management. -Les composants critiques du cluster sont sauvegardés automatiquement par **Cloud Temple**. Les charges de travail et les données des utilisateurs nécessitent une gestion dédiée. +**Responsibility of Cloud Temple:** -**Responsabilité **Cloud Temple** :** +- Automatic redundancy mechanisms within the infrastructure. +- Automatic backups of cluster configurations. -- Mécanismes de redondance automatique au sein de l’infrastructure. -- Sauvegardes automatiques des configurations de cluster. +**User Responsibility:** -**Responsabilité de l'utilisateur :** +- Back up critical workload data using solutions such as **Kasten**, available in the **Cloud Temple** catalog. -- Sauvegarder les données critiques des charges de travail en utilisant des solutions telles que l'offre **Kasten** disponible dans le catalogue **Cloud Temple**. +**Recommendation:** -**Recommandation :** +- Implement regular backup policies: + - Automatic backups of Persistent Volumes (PVs) using Kasten. + - Daily backups of Kubernetes configurations, secrets, and YAML deployments. +- Regularly test restorations to validate RPOs. -- Mettre en place des politiques de sauvegarde régulières : - - Sauvegardes automatiques des PV avec Kasten. - - Sauvegarde quotidienne des configurations Kubernetes, secrets, et déploiements YAML. -- Tester régulièrement les restaurations pour valider les RPO. +## Maintenance in Security Conditions (MCS) ---- +### Secret and Configuration Management -## Maintien en Conditions de Sécurité (MCS) +Use OpenShift/Kubernetes secrets and recommend integrating centralized secret management systems. -### Gestion des secrets et des configurations +**Responsibility of Cloud Temple:** -Utilisation des secrets OpenShift/Kubernetes et recommandation d'intégrer des systèmes de gestion centralisée des secrets. +- Management of secrets and configuration for the infrastructure and underlying services supporting the offering is the responsibility of **Cloud Temple**. -**Responsabilité **Cloud Temple** :** +**User Responsibility:** -- La gestion des secrets et de la configuration de l'infrastructure et des services sous-jacents à l'offre est de la responsabilité de **Cloud Temple**. +- Management of secrets and configuration for the **Client**'s workloads is the responsibility of the **Client**. -**Responsabilité de l'utilisateur :** +**Recommendation:** -- La gestion des secrets et de la configuration des charges de travail du **Client** est de la responsabilité du **Client**. - -**Recommandation :** +- Do not store secrets in plain text within YAML files. +- Use tools to encrypt sensitive information. -- Ne pas stocker de secrets en texte clair dans les fichiers YAML. -- Utiliser des outils pour chiffrer les informations sensibles. +### Access Control (IAM) -### Contrôle des accès (IAM) +Access reviews are carried out through the Console and the "User Management" module of the OpenShift console. -La revue des accès se réalise par l'intermédiaire de la console Shiva et du module "User Management" de la console OpenShift. +For more details on this feature, refer to our [**guide**](../../console/iam/iam.md) and the [**documentation**](https://docs.redhat.com/en/documentation/openshift_container_platform/) provided by the vendor. -Pour plus de détails sur cette fonctionnalité, se référer à notre [**guide**](../../console/iam/iam.md) et à la [**documentation**](https://docs.redhat.com/en/documentation/openshift_container_platform/) de l'éditeur. +**Responsibility of Cloud Temple:** -**Responsabilité **Cloud Temple** :** +- **Cloud Temple** is responsible for managing service and administrative accounts. +- **Cloud Temple** is responsible for integrating with the **Cloud Temple** identity system to manage access. +- **Cloud Temple** is responsible for the default setup of **RBAC** configuration and initial user permission restrictions. +- **Cloud Temple** is responsible for providing and maintaining the **two-factor authentication** system to strengthen access security. -- **Cloud Temple** est responsable de la gestion des comptes de service et d'administration. -- **Cloud Temple** est responsable de l'intégration au système d'identité **Cloud Temple** pour gérer les accès. -- **Cloud Temple** est responsable de la mise en place par défaut de la configuration **RBAC** et des restrictions des droits des utilisateurs initiales. -- **Cloud Temple** est responsable de la fourniture du système de **double authentification** et de son maintien pour renforcer les accès. - -**Responsabilité de l'utilisateur :** +**Responsibility of the User:** -- Le **Client** doit contrôler régulièrement les accès de ses utilisateurs. -- Le **Client** est responsable de l'octroi des accès à ses utilisateurs et de leur onboarding dans le tenant. -- Le **Client** doit gérer ses utilisateurs dans le respect des limitations imposées par le système **Cloud Temple**. +- The **Customer** must regularly review user access. +- The **Customer** is responsible for granting access to its users and onboarding them into the tenant. +- The **Customer** must manage its users in compliance with the limitations imposed by the **Cloud Temple** system. -### Gestion des vulnérabilités +### Vulnerability Management -Les vulnérabilités sur l'infrastructure et les services sous-jacents à l'offre seront communiquées dans le module incident. +Vulnerabilities on the infrastructure and underlying services supporting the offering will be communicated via the incident module. -**Responsabilité **Cloud Temple** :** +**Responsibility of Cloud Temple:** -- **Cloud Temple** est responsable de la communication des vulnérabilités sur l'infrastructure et les services sous-jacents à l'offre dès leur détection via le module [**incident**](../../console/status.md) de la console SHIVA. -- **Cloud Temple** est responsable de l'application des correctifs sur ce périmètre. -- **Cloud Temple** est responsable de la mise à disposition d'outils pour analyser les vulnérabilités des images Docker. Par défaut, **Cloud Temple** met en place **[Quay]** pour effectuer le scan automatique des images Docker. +- **Cloud Temple** is responsible for communicating vulnerabilities on the infrastructure and underlying services as soon as they are detected, through the [**incident**](../../console/status.md) module in the Console. +- **Cloud Temple** is responsible for applying patches within this scope. +- **Cloud Temple** is responsible for providing tools to analyze vulnerabilities in Docker images. By default, **Cloud Temple** deploys **[Quay]** to perform automated scanning of Docker images. -**Responsabilité de l'utilisateur :** +**Responsibility of the User:** -- Le **Client** est responsable de la détection et de la correction des vulnérabilités dans ses charges de travail. -- Le **Client** est responsable de mettre à niveau ses charges de travail pour permettre l'application des patchs de sécurité au plus vite. +- The **Customer** is responsible for detecting and remedying vulnerabilities within their workloads. +- The **Customer** is responsible for updating their workloads to enable the prompt application of security patches. -**Recommandation :** +**Recommendation:** -- Utiliser l'alerting du cluster fourni par **[Quay]** pour analyser les vulnérabilités et détecter les comportements anormaux dans les images utilisées par le **Client**. -- S'abonner aux notifications d'[**incidents**](../../console/status.md#gestion-des-notifications). +- Use the cluster alerting provided by **[Quay]** to analyze vulnerabilities and detect anomalous behavior in the images used by the **Customer**. +- Subscribe to notifications from [**incidents**](../../console/status.md#management-of-notifications). -### Chiffrement +### Encryption -Garantie d'un chiffrement natif sur l'infrastructure **Cloud Temple**, avec recommandations pour les charges de travail. +Guarantee of native encryption on the **Cloud Temple** infrastructure, with recommendations for workloads. -**Responsabilité **Cloud Temple** :** +**Responsibility of Cloud Temple:** -- Mécanismes de redondance au sein de l’infrastructure. -- Sauvegardes automatiques des configurations de cluster. +- Redundancy mechanisms within the infrastructure. +- Automatic backups of cluster configurations. -**Responsabilité de l'utilisateur :** +**Responsibility of the user:** -- Sauvegarder les données critiques des charges de travail en utilisant des solutions telles que l'offre **Kasten** disponible dans le catalogue **Cloud Temple**. -- S'assurer que les charges de travail utilisent les mécanismes de résilience et adapter les déploiements pour les mettre en œuvre. +- Back up critical workload data using solutions such as the **Kasten** offering available in the **Cloud Temple** catalog. +- Ensure workloads use resilience mechanisms and adapt deployments accordingly. -**Recommandation :** +**Recommendation:** -- Activer le **chiffrement TLS** pour toutes les communications intra-pod. -- Activer le **chiffrement TLS** pour toutes les communications entre les Offres PaaS et IaaS **Cloud Temple**. -- Assurer le chiffrement des données au repos via les solutions de stockage **Cloud Temple**. +- Enable **TLS encryption** for all intra-pod communications. +- Enable **TLS encryption** for all communications between **Cloud Temple** PaaS and IaaS offerings. +- Ensure data-at-rest encryption via **Cloud Temple** storage solutions. -### Journalisation et audit +### Logging and Auditing -Enregistrement automatique des événements critiques du cluster. +Automatic recording of critical cluster events. -**Responsabilité **Cloud Temple** :** +**Responsibility **Cloud Temple** :** -- **Cloud Temple** est responsable de la journalisation et de l'audit de l'infrastructure et des services sous-jacents à l'offre. +- **Cloud Temple** is responsible for logging and auditing the infrastructure and underlying services supporting the offering. -**Responsabilité de l'utilisateur :** +**User Responsibility:** -- Le **Client** est responsable de la journalisation et de l'audit de ses charges de travail. - -**Recommandation :** +- The **Customer** is responsible for logging and auditing their workloads. -- Configurer des pipelines pour centraliser et analyser les logs de vos charges de travail : - - Utiliser des collecteurs, pour l'agrégation de logs, avec un outil de visualisation. - - Intégrer les logs à votre **SIEM** (recommandé). +**Recommendation:** ---- - -## Gestion des incidents et PCA (Plan de Continuité d’Activité) +- Set up pipelines to centralize and analyze your workload logs: + - Use log collectors for log aggregation, combined with a visualization tool. + - Integrate logs into your **SIEM** (recommended). -**Responsabilité **Cloud Temple** :** +## Incident Management and Business Continuity Plan (BCP) -- **Cloud Temple** est responsable des mécanismes de redondance au sein de l’infrastructure. -- **Cloud Temple** est responsable des sauvegardes automatiques des configurations de cluster. -- **Cloud Temple** est responsable de la reprise de l'activité après incident sur l'infrastructure ou sur les services sous-jacents à l'offre. +**Responsibility of Cloud Temple:** -**Responsabilité de l'utilisateur :** +- **Cloud Temple** is responsible for redundancy mechanisms within the infrastructure. +- **Cloud Temple** is responsible for automated backups of cluster configurations. +- **Cloud Temple** is responsible for resuming operations after an incident affecting the infrastructure or underlying services provided. -- Le **Client** est responsable de sauvegarder les données critiques des charges de travail en utilisant des solutions telles que l'offre **Kasten** disponible dans le catalogue **Cloud Temple**. -- Le **Client** doit s'assurer que les charges de travail utilisent les mécanismes de résilience et doit adapter ses déploiements pour les mettre en œuvre. -- Le **Client** est responsable du PRA/PCA de ses charges de travail. +**Responsibility of the User:** -**Procédure "Reprise après sinistre"** +- The **Customer** is responsible for backing up critical workload data using solutions such as the **Kasten** offering available in the **Cloud Temple** catalog. +- The **Customer** must ensure that workloads utilize resilience mechanisms and adapt their deployments accordingly. +- The **Customer** is responsible for their own Business Continuity Plan (BCP) / Disaster Recovery Plan (DRP) for their workloads. -- En cas de perte complète d'accès à un cluster, le **Client** doit déclarer un incident auprès du support **Cloud Temple** via le module support de la console. -Voir la [**procédure de demande de support technique**](../../console/console_quickstart.md#accès-au-support-technique) +**"Disaster Recovery" Procedure** ---- +- In case of complete loss of access to a cluster, the **Customer** must report an incident to **Cloud Temple** support via the support module in the console. +See the [**technical support request procedure**](../../console/console_quickstart.md#access-to-technical-support) -## Recommandations générales +## Allgemeine Empfehlungen -1. **Planifier les ressources** : Assurer une capacité de cluster suffisante pour les charges de travail de pointe. -2. **Valider les configurations** : Tester les applications dans des environnements de staging avant déploiement en production. -3. **Surveiller régulièrement** : Utiliser les outils intégrés pour suivre l'utilisation des ressources et détecter les problèmes le plus tôt possible. -4. **Se tenir informé** : Suivre la roadmap et les guides pour éviter les fonctionnalités obsolètes. -5. **Contacter le support** : Pour les problèmes non résolus, contacter le support via la [**procédure de demande de support technique**](../../console/console_quickstart.md#accès-au-support-technique) ou par mail à l'adresse [**contact**](mailto:contact@cloud-temple.com). +1. **Ressourcen planen**: Stellen Sie sicher, dass der Cluster über ausreichende Kapazität verfügt, um Spitzenlasten zu bewältigen. +2. **Konfigurationen validieren**: Testen Sie Anwendungen in Staging-Umgebungen, bevor sie in die Produktion bereitgestellt werden. +3. **Regelmäßig überwachen**: Verwenden Sie integrierte Tools, um die Ressourcennutzung zu verfolgen und Probleme so früh wie möglich zu erkennen. +4. **Informiert bleiben**: Folgen Sie der Roadmap und den Anleitungen, um veraltete Funktionen zu vermeiden. +5. **Support kontaktieren**: Bei ungelösten Problemen wenden Sie sich an den Support über die [**Support-Anfrage-Prozedur**](../../console/console_quickstart.md#zugang-zum-technischen-support) oder per E-Mail an die Adresse [**contact**](mailto:contact@cloud-temple.com). -Pour retrouver les responsabilités en détail, merci de prendre connaissance de notre [**matrice de responsabilité**](../../contractual/paas/raci.md). +Für detaillierte Informationen zu den Verantwortlichkeiten lesen Sie bitte unsere [**Verantwortlichkeitsmatrix**](../../contractual/paas/raci.md). \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/home.md b/i18n/de/docusaurus-plugin-content-docs/current/home.md index d813547a..4c9a61f4 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/home.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/home.md @@ -7,7 +7,7 @@ tags: # Welcome to the documentation area -Welcome to the **Cloud Temple** documentation area! This space has been designed to assist you in managing your Cloud Temple services via our **Cloud Temple Console**, also known as **Shiva**. +Welcome to the **Cloud Temple** documentation area! This space has been designed to assist you in managing your Cloud Temple services through our **Cloud Temple Console**. ## Erste Schritte @@ -29,15 +29,15 @@ Welcome to the **Cloud Temple** documentation area! This space has been designed

In wenigen Klicks bereitstellen

-

Konfigurieren Sie Ihre Dienste einfach mit unseren detaillierten Anleitungen.

+

Konfigurieren Sie Ihre Dienste einfach mithilfe unserer detaillierten Anleitungen.

Bereitstellen →
## How to use this documentation? -This documentation is your guide to unlocking the full potential of our Cloud products and the **Cloud Temple** console. +This documentation is your guide to unlocking the full potential of our Cloud products and the **Cloud Temple console**. You'll find tutorials, technical guides, and references to simplify the management of your cloud resources. -We hope you find this documentation helpful and make the most of the possibilities offered by **Shiva**. \ No newline at end of file +We hope you find this documentation helpful and make the most of the possibilities offered by **Console**. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/housing/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/housing/tutorials.md index ff36bef9..00c98e64 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/housing/tutorials.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/housing/tutorials.md @@ -2,10 +2,10 @@ title: Tutorials --- -Diese Tutorials helfen Ihnen bei der Bereitstellung und Verwaltung von Cloud Temple Housing über das Shiva-Portal. +These tutorials help you deploy and manage a Cloud Temple Bastion from the Console portal.

Tutorials

-

Derzeit sind keine Tutorials verfügbar, aber wir arbeiten aktiv daran. Schauen Sie bald wieder vorbei, um mehr zu erfahren!

- Zur Startseite → -
+

No tutorials are currently available, but we are working on them actively. Please check back soon for more information!

+ Go to the Home Page → + \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md index 8b594564..032e3a74 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md @@ -17,30 +17,30 @@ This architecture is based on the __VersaStack__ model, a collaboration between ## A dedicated and automated infrastructure -Although fully automated through APIs and a Terraform provider, Cloud Temple's IaaS offering provides a unique infrastructure: +Although fully automated via APIs and a Terraform provider, Cloud Temple's IaaS offering provides a unique infrastructure: -- __Dedicated resources__: Compute blades, storage volumes, and software stacks (virtualization, backup, firewalling, etc.) are never shared between clients. +- __Dedicated resources__: Compute blades, storage volumes, and software stacks (virtualization, backup, firewalling, etc.) are never shared among clients. - __Maximum predictability__: You have full control over virtualization rates, storage IOPS load, and benefit from clear, consumption-based monthly billing. The platform is certified __SecNumCloud__ by the [ANSSI](https://www.ssi.gouv.fr/), ensuring a high level of automation and security. ## Hauptfunktionen -- Dedicated und nach Bedarf verfügbare Rechenressourcen (CPU, RAM). -- Nach Bedarf bereitgestellter Speicher (mehrere Klassen verfügbar). +- Dedicated und on-demand Rechenressourcen (CPU, RAM). +- On-demand Speicher (mehrere Klassen verfügbar). - Netzwerkressourcen (Internet, private Netzwerke). - Kreuzsicherungen mit konfigurierbarer Aufbewahrungszeit. - Asynchrone Replikation für Speicher oder virtuelle Maschinen. -- Steuerung über die [Shiva-Konsole](../console/console.md) oder im Infrastructure-as-Code-Modus über APIs und den Terraform-Provider. +- Steuerung über die [Console](../console/console.md) oder im Infrastructure-as-Code-Modus über APIs und den Terraform-Provider. ## Vorteile | Vorteil | Beschreibung | |----------------------|-------------------------------------------------------------------------------------------------------------------------------------------------| -| Digitale Vertrauenswürdigkeit | Speicherung von Daten in Frankreich und Einhaltung der DSGVO. | -| Sicherheit | Hochsichere Plattform, zertifiziert __SecNumCloud__, __HDS__ (Gesundheitsdaten-Hosting), __ISO 27001__ und __ISAE 3402 Typ II__. | +| Digitale Vertrauenswürdigkeit | Speicherung von Daten in Frankreich und Einhaltung der DSGVO. | +| Sicherheit | Hochsichere Plattform, zertifiziert __SecNumCloud__, __HDS__ (Hospizierung sensibler Gesundheitsdaten), __ISO 27001__ und __ISAE 3402 Typ II__. | | Hohe Verfügbarkeit | Plattformverfügbarkeit von 99,99 %, monatlich gemessen, inklusive Wartungszeiträume. | -| Resilienz | Implementierung von Kontinuitäts- oder Wiederherstellungsplänen je nach Bedarf. | +| Resilienz | Implementierung von Kontinuitäts- oder Wiederherstellungsplänen je nach Bedarf. | | Automatisierung | Vollständig automatisierte Plattform, entwickelt für die Integration in ein digitales Transformationsprogramm. | | On-Demand | Ressourcen sind nach Bedarf verfügbar. | @@ -69,7 +69,7 @@ The available compute blades for the Bare Metal offering provide a range of perf ### Notes - __(1)__ The amount of memory is the physically available memory on the blades and cannot be modified. -- __(2)__ The frequencies indicated correspond to the minimum base frequency and the turbo frequency. +- __(2)__ The frequencies listed correspond to the minimum base frequency and the turbo frequency. - __(3)__ Physical connectivity is shared for network access and block storage access, thanks to a converged Cisco UCS architecture. - __(4)__ Available GPUs evolve with the latest technologies. As of May 1, 2024, the offering includes NVIDIA LOVELACE L40S GPUs. - __(5)__ High availability on a cluster is available only with a minimum of 2 nodes. @@ -97,7 +97,7 @@ Distributed block storage, based on __IBM Spectrum Virtualize__, offers a range ### Storage Block Security and Encryption -To ensure the confidentiality of your data at rest, our entire block storage infrastructure integrates a robust hardware-based encryption solution. +To ensure the confidentiality of your data at rest, our entire block storage infrastructure integrates a robust hardware-based encryption. - **Encryption Type**: Data is encrypted directly on the disks (`Data At Rest`) using the **XTS-AES 256** algorithm. - **Compliance**: This encryption method complies with the **FIPS 140-2** standard, ensuring a high level of validated security. @@ -130,7 +130,7 @@ The VLAN Trunk allows all your VLANs to pass through a single network interface. Cloud Temple offers a __native, non-disruptive distributed backup architecture__, a mandatory requirement for French SecNumCloud certification. -Backups are stored on the [SecNumCloud-certified Object Storage solution](../storage/oss), ensuring optimal protection in case of major datacenter failure. This approach enables data restoration on a secondary datacenter, even in critical incidents such as fires. +Backups are stored on the [SecNumCloud-certified Object Storage solution](../storage/oss), ensuring optimal protection in the event of a major failure at the production datacenter. This approach enables data restoration on a secondary datacenter, even in critical incidents such as fires. This comprehensive solution includes: @@ -143,31 +143,31 @@ Backup and restore speeds depend on the rate of change within the environments. __Important note:__ -*Some virtual machines are incompatible with this backup technology*, which relies on the hypervisor’s snapshot mechanisms. This typically applies to machines with constant disk write workloads. In such cases, the hypervisor cannot complete the snapshot, requiring the virtual machine to be frozen to finalize the operation. This freeze can last several hours and cannot be interrupted. +*Some virtual machines are not compatible with this backup technology*, which relies on the hypervisor's snapshot mechanisms. This typically applies to machines with constant disk write workloads. In such cases, the hypervisor cannot complete the snapshot, requiring the virtual machine to be frozen to finalize the operation. This freeze can last several hours and cannot be interrupted. -The recommended solution is to exclude the disk subject to continuous writes and instead back up the data using an alternative method. +The recommended solution is then to exclude the disk subject to continuous writes and back up the data using an alternative method. | Reference | Unit | SKU | | ----------------------------------------------| ----- | ------------------------------ | -| BACKUP - Service Access | 1 VM | csp:(region):openiaas:backup:vm:v1 | +| BACKUP - Service access | 1 VM | csp:(region):openiaas:backup:vm:v1 | -### Creating a Backup Policy +### Creating a backup policy -To create a new backup policy, a request must be submitted to support, accessible via the buoy icon located in the top-right corner of the interface. +To create a new backup policy, a request must be submitted to support, accessible via the buoy icon located in the top right corner of the interface. Creating a new backup policy is done through a __service request__ specifying: -- Your Organization's name -- Contact details (email and phone number) to finalize the configuration -- The tenant name -- The backup policy name -- Desired retention characteristics (x days, y weeks, z months, ...) +- Your Organization's name +- Contact details (email and phone number) to finalize the configuration +- The tenant name +- The backup policy name +- Desired characteristics (x days, y weeks, z months, ...) ## Virtual Machines ### vCPU Resource Management -vCPU resource modifications are performed while the machine is powered off (cold). The platform supports up to 254 vCPUs per virtual machine (theoretical limit), with successful testing conducted on Linux VMs equipped with 128 vCPUs. +vCPU resource modifications are performed while the machine is powered off (cold). The platform supports up to 254 vCPUs per virtual machine (theoretical limit), with successful tests conducted on Linux VMs equipped with 128 vCPUs. It is important to note that guest operating system support is a determining factor when allocating resources. Allocating resources beyond the limits supported by the guest operating system may result in significant performance issues. @@ -177,7 +177,7 @@ Memory modifications are also performed cold. The following limits apply: - 1.5 TiB with memory snapshot support - 8 TiB without memory snapshot support -- 16 TiB (theoretical maximum without security support, minus RAM allocated to Xen and the control domain) +- 16 TiB (theoretical maximum, without security support, minus RAM allocated to Xen and the control domain) The actual usable memory may be limited by the guest operating system. Exceeding the limits supported by the guest OS can result in performance degradation. @@ -190,7 +190,7 @@ The actual usable memory may be limited by the guest operating system. Exceeding It is not possible to resize disks after they have been created. To increase storage capacity, a new disk must be created. ### Tools for Virtual Machines -These tools are used to ensure optimal performance of virtual machines. When you need to perform an action requiring one of these tools, a message will appear on the Cloud Temple console. +These tools are used to ensure optimal operation of virtual machines. When you wish to perform an action requiring one of these tools, a message will appear on the Cloud Temple console. To install these tools, you can consult the official Xen Server websites to obtain precise instructions based on your OS. @@ -200,7 +200,7 @@ The Management Agent is a component installed on each virtual machine. It enable #### PV Treiber (Paravirtualisierungstreiber) Die PV-Treiber sind Treiber, die in der virtuellen Maschine installiert werden, um deren Leistung zu verbessern. Ohne diese Treiber funktioniert die Maschine zwar, ist aber langsamer. Außerdem ermöglichen sie erweiterte Funktionen. -Die PV-Treiber sind standardmäßig in den meisten aktuellen Linux-Kernen integriert. +Die PV-Treiber sind in der Regel nativ in den meisten aktuellen Linux-Kernen enthalten. #### Tools Tools sind eine Reihe von Softwarekomponenten, die die Integration der virtuellen Maschine mit der Virtualisierungsinfrastruktur verbessern. @@ -213,7 +213,7 @@ The catalog allows you to manage three essential types of items: - Configuration templates - Pre-installed virtual machine templates -In the detailed view of a virtual machine template, you can review crucial information such as location, number of disks, or number of network adapters. +In the detailed view of a virtual machine template, you can review crucial information such as location, number of disks, and number of network adapters. When the number of virtual disks is listed as 0, this indicates a configuration template without a preinstalled operating system, allowing you to deploy your own customized environment. @@ -236,9 +236,9 @@ Cloud Temple replication is based on a __SecNumCloud-certified__ infrastructure, |-------------------------|------------------------------------------------------------------------------------------------------------------------------------------------| | Business Continuity | Protection of your critical services in the event of a major incident at the primary site. | | Geographic Protection | Replication to a distinct availability zone, safeguarding against localized disasters. | -| Temporal Flexibility | Choose the replication interval according to your needs: from 1 minute to 24 hours. | -| Easy Management | Configuration and monitoring fully integrated into the Cloud Temple Console. | -| SecNumCloud Compliance | Qualified infrastructure ensuring the highest level of security for your sensitive data. | +| Temporal Flexibility | Choice of replication interval according to your needs: from 1 minute to 24 hours. | +| Ease of Management | Configuration and monitoring fully integrated into the Cloud Temple Console. | +| SecNumCloud Compliance | Qualified infrastructure ensuring the highest level of security for your sensitive data. | ### Replication configuration @@ -246,16 +246,16 @@ Cloud Temple replication is based on a __SecNumCloud-certified__ infrastructure, Creating a replication policy defines the protection settings for your virtual machines: -- __Destination__: Select the target storage within the replication availability zone -- __Frequency__: Replication interval tailored to your recovery needs (RPO) +- __Destination__: Selection of the target storage within the replication availability zone +- __Frequency__: Replication interval tailored to your recovery point objective (RPO) requirements - __Retention__: Number of recovery points to retain -#### Available intervals +#### Verfügbare Intervalle -| Interval | Recommended usage | RPO (Maximum data loss) | -|-----------------------|---------------------------------------------|--------------------------| -| __1 to 59 minutes__ | Real-time critical applications | < 1 hour | -| __1 to 24 hours__ | Business applications and standard environments | < 24 hours | +| Intervall | Empfehlung für den Einsatz | RPO (maximale Datenverlustgrenze) | +|-------------------------|-------------------------------------------|------------------------------------| +| __1 bis 59 Minuten__ | Kritische Echtzeit-Anwendungen | < 1 Stunde | +| __1 bis 24 Stunden__ | Geschäftsanwendungen und Standardumgebungen | < 24 Stunden | #### Association of Virtual Machines @@ -304,22 +304,22 @@ __Important Note:__ *Replication does not replace a full backup strategy. It serves as an essential complement to ensure business continuity in the event of a major incident at your primary site.* -## High Availability +## Hochverfügbarkeit -High availability ensures the continuity of virtual machine (VM) services in the event of a physical host failure within an OpenIaaS pool. -With high availability (HA), each host in the pool regularly sends heartbeat signals to its peers via shared storage (Block Storage Heartbeat). If a host fails to respond for an extended period, it is considered failed. +Die Hochverfügbarkeit stellt die kontinuierliche Dienstverfügbarkeit virtueller Maschinen (VMs) sicher, falls ein physischer Host innerhalb eines OpenIaaS-Pools ausfällt. +Mit der Hochverfügbarkeit (HA) sendet jeder Host im Pool regelmäßig Lebenszeichen an seine Partner über den gemeinsam genutzten Speicher (Block Storage Heartbeat). Falls über einen längeren Zeitraum keine Antwort mehr erfolgt, wird der Host als ausgefallen betrachtet. -A designated Block Storage used for heartbeat purposes means it will serve as the basis for authenticating hosts that no longer respond. +Ein als Heartbeat vorgesehener Block-Speicher bedeutet, dass er als Grundlage zur Authentifizierung von Hosts dient, die nicht mehr antworten. -To properly configure high availability within an OpenIaaS pool, it is mandatory to have **at least two hosts** connected. +Damit die Hochverfügbarkeit in einem OpenIaaS-Pool korrekt konfiguriert werden kann, ist es unbedingt erforderlich, über **mindestens zwei Hosts** zu verfügen, die miteinander verbunden sind. -Each VM must be configured with a high availability restart priority level: +Jede VM muss mit einer Priorität für den Neustart im Rahmen der Hochverfügbarkeit konfiguriert werden: #### Disabled High availability is not configured. In the event of host failure, the virtual machine will not be restarted. -#### Restart -In the event of a host failure, the virtual machine will be automatically restarted as soon as resources become available in the pool. Virtual machines configured in "restart" mode are prioritized over those configured in "best-effort" mode. +#### Restart +In case of host failure, the virtual machine will be automatically restarted as soon as resources become available in the pool. Virtual machines configured in "restart" mode are prioritized over those configured in "best-effort" mode. #### Best-Effort In the event of host failure, the virtual machine will be automatically restarted only if resources remain available after processing all virtual machines configured in "restart" mode. The "Best-effort" mode performs only a single attempt; therefore, if resources are insufficient, the virtual machine will not be restarted. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md index 5f0c0be7..5b4c8f00 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md @@ -22,7 +22,7 @@ import openIaasVmConsoleClipboard from './images/open_iaas_vm_console_clipboard. ### Virtual Machine Management -The interface for managing your virtual machines is available in the Shiva console under the __'OpenIaaS'__ menu located on the green bar on the left side of the screen. +The interface for managing your virtual machines is available in the Console under the __'OpenIaaS'__ menu located on the green bar on the left side of the screen. ### Liste der virtuellen Maschinen @@ -33,10 +33,10 @@ In der Sektion __'Virtuelle Maschinen'__ haben Sie Zugriff auf die Liste Ihrer a Für jede virtuelle Maschine stehen Ihnen folgende Informationen zur Verfügung: - Der Name. -- Der Status (ausgeschaltet, eingeschaltet). +- Der Status (aus, an). - Die Verfügbarkeitszone (AZ). - Das Betriebssystem. -- Die Anzahl virtueller CPUs (vCPU). +- Die Anzahl der virtuellen CPU-Kerne (vCPU). - Die Menge an virtuellem Arbeitsspeicher (vRAM). ### Aktionen für virtuelle Maschinen @@ -50,11 +50,11 @@ Die folgenden Aktionen sind über diese Schnittstelle möglich: -Wenn Sie auf den grünen Dropdown-Pfeil rechts neben einer virtuellen Maschine klicken, erhalten Sie Zugriff auf alle verfügbaren Informationen zu dieser Maschine. +Wenn Sie auf den grünen Dropdown-Pfeil rechts neben einer virtuellen Maschine in der Liste klicken, erhalten Sie Zugriff auf alle verfügbaren Informationen zu dieser Maschine. -Ein schneller Bereich ermöglicht die Ausführung folgender Aktionen: +Ein Schnellleistenband ermöglicht die Durchführung folgender Aktionen: @@ -64,7 +64,7 @@ Ein schneller Bereich ermöglicht die Ausführung folgender Aktionen: - Konsole öffnen. - ISO-Medium einlegen. - ISO-Medium auswerfen. -- Virtuelle Maschine in einen Template umwandeln. +- Virtuelle Maschine in ein Template konvertieren. - Virtuelle Maschine verschieben. - Virtuelle Maschine umbenennen. - Virtuelle Maschine löschen. @@ -84,7 +84,7 @@ Zusätzlich können bestimmte Einstellungen geändert werden, wie beispielsweise - Startreihenfolge - Secure Boot -- Automatisches Starten (nicht möglich, wenn keiner Sicherungsrichtlinie eine VM zugeordnet ist) +- Automatisches Starten (nicht möglich, wenn keine Sicherungspolitik mit der VM verknüpft ist) @@ -94,36 +94,36 @@ The console of a virtual machine is accessible from the list of virtual machines -A new tab opens in your browser and displays the console of your machine, based on a VNC client: +A new tab opens in your browser, displaying the console of your machine, based on a VNC client: In the VNC menu, you can: - request the transmission of specific keys, - force a keyboard mapping (in case your virtual machine uses a different keyboard layout than your web browser), -- open a text field that can be transmitted to the machine. This method replaces the previous non-functional clipboard, +- open a text field that can be sent to the machine. This method replaces the previous non-functional clipboard, - switch to full-screen mode, - change the window size (scaling). #### Keyboard Layout Support -Input entered in the console depends on the keyboard language of your web browser, the keyboard language of the virtual machine, and whether the 'enforce keyboard' option on the left side of the screen is enabled or not. +The input entered in the console depends on the keyboard language of your web browser, the keyboard language of the virtual machine, and whether the 'enforce keyboard' option on the left side of the screen is enabled or not. Below is a summary of the possible scenarios: | Physical Machine Keyboard Language (input) | Virtual Machine Keyboard Language | 'Enforce Keyboard' Option Selected | Result (output) | -| ------------------------------------------ | --------------------------------- | ---------------------------------- | ---------------------- | -| French | French | No | ✅ | +|--------------------------------------------|-----------------------------------|------------------------------------|------------------------| +| French | French | No | ✅ | | French | French | Yes | Not recommended | | French | English | No | English | -| French | English | Yes | ✅ | +| French | English | Yes | ✅ | | English | French | No | French | -| English | French | Yes | ✅ | -| English | English | No | ✅ | +| English | French | Yes | ✅ | +| English | English | No | ✅ | | English | English | Yes | Not recommended | __Note__: -- If certain characters do not appear during manual input, you may try using the clipboard instead. +- If certain characters do not appear during manual input, you may try copying them from the clipboard. #### Clipboard Functionality This feature allows you to send an entire string of characters to your virtual machine. It is important to note that the "enforce keyboard" option affects how this string of characters is transmitted to your virtual machine. If you notice during console input that the "enforce keyboard" option is required, make sure to enable it before using the clipboard. @@ -137,7 +137,7 @@ Upon clicking the "Paste" button, the content of your text field is sent to your ### Access to Replication Management -The replication management interface is available in the Shiva console under the menu __'OpenIaaS'__ > __'Replication'__, located on the green bar on the left side of the screen. +The replication management interface is available in the Console under the menu __'OpenIaaS'__ > __'Replication'__, located on the green bar on the left side of the screen. @@ -164,7 +164,7 @@ To create a new policy, click the __'Add policy'__ button. A form opens with the -#### Schritt 3: Validierung +#### Schritt 3: Überprüfung Überprüfen Sie die Einstellungen und klicken Sie auf __'Hinzufügen'__, um die Richtlinie zu erstellen. @@ -220,6 +220,6 @@ You can view: Available actions include: -- Export data in CSV format +- Export data to CSV format - View replication details - Manage replicas by policy \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md index 29d49b38..156b7ab2 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md @@ -1,24 +1,24 @@ --- -title: Tutorials IaaS OpenSource +title: IaaS Open Source Tutorials sidebar_position: 4 --- -# Tutorien zu IaaS Open Source +# IaaS OpenSource Tutorials -Diese Abschnitt enthält praktische Tutorials, um die IaaS-Plattform Open Source von Cloud Temple effizient zu nutzen. +This section contains practical tutorials to effectively use Cloud Temple's OpenSource IaaS platform. -## Verfügbare Tutorials +## Available tutorials ### Hochverfügbarkeit -- [Verwaltung der Ressourcenpools](tutorials/high_availability/manage_pool.md) -- [Verwaltung virtueller Maschinen](tutorials/high_availability/manage_vm.md) +- [Verwaltung von Ressourcenpools](tutorials/high_availability/manage_pool.md) +- [Verwaltung von virtuellen Maschinen](tutorials/high_availability/manage_vm.md) -### Sicherung -- [Häufig gestellte Fragen zum Backup](tutorials/backup/iaas_opensource_backup.md) +### Backup +- [Frequently Asked Questions about Backup](tutorials/backup/iaas_opensource_backup.md) ## Voraussetzungen -Bevor Sie diese Tutorials beginnen, stellen Sie sicher, dass Sie folgendes haben: +Bevor Sie mit diesen Tutorials beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen: -- Zugang zur Cloud Temple-Konsole -- Notwendige Berechtigungen, um IaaS-OpenSource-Ressourcen zu verwalten \ No newline at end of file +- Zugriff auf die Cloud Temple-Konsole +- Die erforderlichen Berechtigungen zum Verwalten von IaaS-Ressourcen für OpenSource \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md index 908a0ee5..f700799f 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md @@ -19,62 +19,52 @@ import backupRestorationOpenIaas_002 from './images/backup_restoration_iaas_open --- -### Wie klone ich eine virtuelle Maschine? +### How to clone a virtual machine? -Sie können eine virtuelle Maschine exportieren, indem Sie auf das Symbol __'Exportieren'__ klicken: +You can export a virtual machine by clicking the __'Export'__ icon: ---- - -### Wie füge ich einer virtuellen Maschine eine Sicherungsrichtlinie hinzu? +### Wie füge ich eine Sicherungspolitik einer virtuellen Maschine hinzu? -Gehen Sie zur Seite __'Virtuelle Maschinen'__ im Abschnitt __'OpenIaaS'__ des grünen Menübanners auf der linken Seite des Bildschirms. +Gehen Sie auf der Seite __'Virtuelle Maschinen'__ im Bereich __'OpenIaaS'__ im grünen Menüband auf der linken Seite des Bildschirms. -Wählen Sie eine virtuelle Maschine und dann die Registerkarte __'Sicherungsrichtlinien'__ dieser Maschine aus: +Wählen Sie eine virtuelle Maschine aus und wechseln Sie zum Tab __'Sicherungspolitiken'__ dieser Maschine: -Fügen Sie die gewünschte Sicherungsrichtlinie hinzu: +Fügen Sie die gewünschte Sicherungspolitik hinzu: ---- +### How to remove a backup policy from a virtual machine? -### Wie entferne ich eine Sicherungsrichtlinie von einer virtuellen Maschine? +Go to the __'Virtual Machines'__ page, select a virtual machine, then the __'Backup Policies'__ tab for that machine. -Gehen Sie zur Seite __'Virtuelle Maschinen'__, wählen Sie eine virtuelle Maschine und dann die Registerkarte __'Sicherungsrichtlinien'__ dieser Maschine aus. - -Löschen Sie die gewünschte Sicherungsrichtlinie und bestätigen Sie die Löschung: +Delete the desired backup policy and confirm the deletion: -__*Hinweis:*__ *Achtung! __SecNumCloud verlangt, dass für jede virtuelle Maschine mindestens eine Backup-Richtlinie zugewiesen ist__.* - ---- +__*Note:*__ *Warning! __SecNumCloud requires that at least one backup policy is assigned__ to each virtual machine.* -### Wie kann ich wissen, ob eine Sicherung erfolgreich ausgeführt wurde? +### How to check whether a backup has been successfully executed? -Gehen Sie zur Seite __'Berichte'__ des Menüs __'Sicherung'__ im Navigationsmenü auf der linken Seite Ihres Bildschirms. Wählen Sie die Richtlinie Ihrer Wahl aus und wählen Sie sie aus. +Go to the __'Reports'__ page in the __'Backup'__ menu in the navigation menu on the left side of your screen. Select the policy of your choice and click on it. -Sobald eine Richtlinie ausgewählt ist, haben Sie Zugriff auf die Sicherungen, sortiert nach __Startdatum__. +Once a policy is selected, you can view the backups sorted by __Start Date__. -Sie haben die vollständigen Details jeder Sicherung über die Aktion __Anzeigen__ zur Verfügung. +For complete details about each backup, use the __View__ action. ---- - ### Wie starte ich eine Wiederherstellung? -Gehen Sie zur Seite __'Virtuelle Maschinen'__, wählen Sie eine virtuelle Maschine und dann die Registerkarte __'Sicherungen'__ dieser Maschine aus. Um die Wiederherstellung zu starten, wählen Sie die wiederherzustellende Sicherung aus. +Gehen Sie auf die Seite __'Virtuelle Maschinen'__, wählen Sie eine virtuelle Maschine aus und wechseln Sie zum Tab __'Sicherungen'__ dieser Maschine. Um die Wiederherstellung zu starten, wählen Sie die Sicherung aus, die wiederhergestellt werden soll. - - ---- + \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md index 8e4a3138..d040c6e1 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md @@ -18,10 +18,10 @@ This architecture is based on the __VersaStack__ model, a collaboration between ## A dedicated and automated infrastructure -Although fully automated through APIs and a Terraform provider, Cloud Temple's IaaS offering provides a unique infrastructure: +Although fully automated via APIs and a Terraform provider, Cloud Temple's IaaS offering provides a unique infrastructure: -- __Dedicated resources__: Compute blades, storage volumes, and software stacks (virtualization, backup, firewalling, etc.) are never shared between clients. -- __Maximum predictability__: You control virtualization rates, IOPS pressure on storage, and benefit from clear, consumption-based monthly billing. +- __Dedicated resources__: Compute blades, storage volumes, and software stacks (virtualization, backup, firewalling, etc.) are never shared among clients. +- __Maximum predictability__: You have full control over virtualization rates, IOPS pressure on storage, and benefit from clear, consumption-based monthly billing. The platform is certified __SecNumCloud__ by the [ANSSI](https://www.ssi.gouv.fr/), ensuring a high level of automation and security. @@ -30,19 +30,19 @@ The platform is certified __SecNumCloud__ by the [ANSSI](https://www.ssi.gouv.fr - Dedicated und on-demand Rechenressourcen (CPU, RAM). - On-demand Speicher (mehrere Klassen verfügbar). - Netzwerkressourcen (Internet, private Netzwerke). -- Kreuzsicherungen mit konfigurierbarer Aufbewahrungsfrist. +- Kreuzsicherungen mit konfigurierbarer Aufbewahrungszeit. - Asynchrone Replikation für Speicher oder virtuelle Maschinen. -- Steuerung über die [Shiva-Konsole](../console/console.md) oder im Infrastructure-as-Code-Modus über APIs und den Terraform-Provider. +- Steuerung über die [Console](../console/console.md) oder im Infrastructure-as-Code-Modus über APIs und den Terraform-Provider. ## Vorteile | Vorteil | Beschreibung | |----------------------|-------------------------------------------------------------------------------------------------------------------------------------------------| | Digitale Vertrauenswürdigkeit | Speicherung von Daten in Frankreich und Einhaltung der DSGVO. | -| Sicherheit | Hochsichere Plattform, zertifiziert __SecNumCloud__, __HDS__ (Gesundheitsdaten-Hosting), __ISO 27001__ und __ISAE 3402 Typ II__. | +| Sicherheit | Hochsichere Plattform, zertifiziert __SecNumCloud__, __HDS__ (Hébergement des Données de Santé), __ISO 27001__ und __ISAE 3402 Typ II__. | | Hohe Verfügbarkeit | Plattformverfügbarkeit von 99,99 %, monatlich gemessen, inklusive Wartungszeiträume. | | Resilienz | Implementierung von Kontinuitäts- oder Wiederherstellungsplänen je nach Bedarf. | -| Automatisierung | Vollständig automatisierte Plattform, entwickelt zur Integration in ein digitales Transformationsprogramm. | +| Automatisierung | Vollständig automatisierte Plattform, entwickelt für die Integration in ein digitales Transformationsprogramm. | | On-Demand | Ressourcen sind nach Bedarf verfügbar. | ## Regions and Availability Zones @@ -51,7 +51,7 @@ The VMware IaaS product is deployed within an availability zone. An [availability zone](../additional_content/concepts_az.md) is part of a [region](../additional_content/concepts_regional.md). This deployment model allows you to select the location of clusters and distribute them across different availability zones (AZs). -It enables better load distribution, maximizes redundancy, and simplifies the implementation of a disaster recovery plan (DRP) in the event of an incident. +It enables better load distribution, maximizes redundancy, and simplifies the implementation of a disaster recovery plan (DRP) in case of an incident. ## Computing @@ -59,7 +59,7 @@ The blades provided by Cloud Temple are of type __CISCO UCS B200__ or __CISCO UC Several categories of computing blades are available in the catalog to support your workloads (virtualization, containerization, ...). These blades feature different characteristics and performance levels to best meet your needs. The computing blade catalog is regularly updated. -When using the virtualization offering, a hypervisor cluster must consist exclusively of blades of the same type (mixing different blade types within a single cluster is not permitted). +When using the virtualization offering, a hypervisor cluster must consist exclusively of blades of the same type (mixing different blade types within a single cluster is not allowed). | Reference | RAM __(1)__ | Frequency __(2)__ | Number of Cores / Threads | Connectivity __(3)__ | GPU __(4)__ | SKU for VMware Offering | | --------------------- | ------------ | ----------------------------------------- | -------------------------- | -------------------- | -------------------- | ------------------------------- | @@ -73,16 +73,16 @@ When using the virtualization offering, a hypervisor cluster must consist exclus __Notes__: -- __(1)__ The memory amount delivered corresponds to the physical memory available on the blades. It is not possible to change the physical memory capacity of a blade. +- __(1)__ The memory amount delivered corresponds to the physically available memory on the blades. It is not possible to change the physical memory capacity of a blade. - __(2)__ Minimum base frequency / turbo frequency, expressed in GHz. By default, processors are configured in the BIOS for maximum performance. -- __(3)__ Physical connectivity is shared between network and block storage access, as the underlying CISCO platform is converged. +- __(3)__ Physical connectivity is shared between network and block storage access, as the underlying Cisco platform is converged. -- __(4)__ The available GPU offering is continuously evolving. As of May 1, 2024, the offering is based on NVIDIA LOVELACE L40S GPUs. By default, the PERF4 blade is delivered with two 48 GB L40S cards. Contact support for further details if needed. +- __(4)__ The available GPU offering is continuously evolving. As of May 1, 2024, the offering is based on NVIDIA LOVELACE L40S GPUs. By default, the PERF4 blade is delivered with two 48 GB L40S GPUs. Contact support for further details if needed. The computing offering availability is 99.99%, calculated monthly, including maintenance windows. Eligibility for SLA non-compliance claims requires the creation of an incident ticket. You must also have at least two hosts per cluster and enable the __High Availability__ (HA) feature. -This feature allows your architecture to automatically restart your virtual machines on the second hypervisor in case of failure. If a zone of availability contains only a single hypervisor, automatic restart is not possible. +This feature allows your architecture to automatically restart your virtual machines on the second hypervisor in case of failure. If a zone of availability contains only one hypervisor, automatic restart is not possible. ## Network @@ -90,48 +90,48 @@ The networking service on Cloud Temple's IaaS platform is based on a VPLS techno ### Layer-2 VLANs -The VLANs provided in the IaaS offering are of __layer 2__ type, delivering complete network isolation and adaptable configuration according to your requirements. +The VLANs provided in the IaaS offering are of __layer 2__ type, offering complete network isolation and adaptable configuration according to requirements. #### Hauptkonzepte - __VLAN-Teilung zwischen Clustern und Verfügbarkeitszonen (AZ)__: - - VLANs können zwischen verschiedenen AZs und verschiedenen Clustern desselben Tenants geteilt werden. + - VLANs können zwischen verschiedenen AZs und verschiedenen Clustern, die demselben Tenant gehören, gemeinsam genutzt werden. - __Inter-Tenant-Propagation__: - - VLANs können zwischen mehreren Containern innerhalb derselben Organisation propagiert werden, was interne Kommunikation vereinfacht. + - VLANs können zwischen mehreren Teneants einer Organisation propagiert werden, was interne Kommunikation vereinfacht. -### Network performance +### Netzwerkleistung -The network infrastructure ensures low latency for optimal performance: +Die Netzwerkinfrastruktur gewährleistet eine geringe Latenz für optimale Leistung: -- __Intra-AZ latency__: Less than __3 ms__. -- __Inter-AZ latency__: Less than __5 ms__. +- __Intra-AZ-Latenz__: Unter __3 ms__. +- __Inter-AZ-Latenz__: Unter __5 ms__. ### Schlüsselpunkte -1. __Flexibilität__: VLANs können so konfiguriert werden, dass sie sich an Umgebungen mit mehreren Clustern und mehreren Mandanten anpassen lassen. -2. __Hohe Leistung__: Eine minimale Latenz gewährleistet eine schnelle und effiziente Kommunikation zwischen Verfügbarkeitszonen. -3. __Isolation und Sicherheit__: Layer-2-VLANs bieten eine strenge Netzwerksegmentierung zur Sicherung von Daten und Datenströmen. +1. __Flexibilität__: VLANs können so konfiguriert werden, dass sie sich an Multi-Cluster- und Multi-Tenant-Umgebungen anpassen. +2. __Hohe Leistung__: Eine minimale Latenz gewährleistet eine schnelle und effiziente Kommunikation zwischen Verfügbarkeitszonen. +3. __Isolation und Sicherheit__: Layer-2-VLANs bieten eine strenge Netzwerksegmentierung zur Sicherung von Daten und Datenflüssen. ## Block Storage -Cloud Temple offers several classes of storage based on [IBM FlashSystem](https://www.ibm.com/flashsystem/) and [IBM SVC](https://www.ibm.com/products/san-volume-controller) technology. +Cloud Temple offers several classes of storage based on the [IBM FlashSystem](https://www.ibm.com/flashsystem/) and [IBM SVC](https://www.ibm.com/products/san-volume-controller) technologies. -The __IBM SVC__ technology enables delivering the required performance levels for our customers' environments through the large amount of embedded memory cache in the controllers and the ability to distribute a server's total IOPS across multiple SANs. +The __IBM SVC__ technology enables delivering the required performance levels for our clients' environments through the large amount of embedded memory cache in the controllers and the ability to distribute a server's total IOPS across multiple SANs. It is also used to enable replication of your block storage LUNs across availability zones or to facilitate maintenance operations on storage arrays. -The storage is primarily NVMe flash storage dedicated to professional workloads. The drives are used by the storage arrays in [__'Distributed RAID 6'__](https://www.ibm.com/docs/en/flashsystem-5x00/8.6.x?topic=configurations-distributed-raid-array-properties). +The storage is primarily NVMe flash storage dedicated to professional workloads. The drives are utilized by the storage arrays in [__'Distributed RAID 6'__](https://www.ibm.com/docs/en/flashsystem-5x00/8.6.x?topic=configurations-distributed-raid-array-properties). ### Storage Block Security and Encryption -To ensure the confidentiality of your data at rest, our entire block storage infrastructure integrates a robust hardware-based encryption solution. +To ensure the confidentiality of your data at rest, our entire block storage infrastructure integrates robust hardware-based encryption. - **Encryption Type**: Data is encrypted directly on the disks (`Data At Rest`) using the **XTS-AES 256** algorithm. - **Compliance**: This encryption method complies with the **FIPS 140-2** standard, ensuring a high level of validated security. - **Operation**: Encryption is applied at the time data is written to the physical storage medium. -:::warning Attention point regarding replication -It is important to note that this encryption protects data stored on disks. It is not active "on-the-fly", meaning data is not encrypted during storage replication operations between availability zones. Security of transfers is ensured through dedicated, secure communication channels. +:::warning Attention regarding replication +It is important to note that this encryption protects data stored on disks. It is not active "on-the-fly", meaning data is not encrypted during storage replication operations between availability zones. Security of transfers is ensured through dedicated and secure communication channels. ::: The __'Mass Storage'__ storage class offers mechanical disks for archival needs in an economically efficient context. Several performance tiers are available: @@ -145,30 +145,30 @@ The __'Mass Storage'__ storage class offers mechanical disks for archival needs | FLASH - Ultra - 15000 IOPS/To | 1 GiB | csp:(region):iaas:storage:bloc:ultra:v1 | | MASS STORAGE - Archival | 1 TiB | csp:(region):iaas:storage:bloc:mass:v1 | -*__Note__ :* +*__Note__:* -- *Actual performance for a storage class is linked to the volume actually ordered, based on the "IOPS/To" metric, meaning "maximum IOPS per allocated terabyte",* +- *Actual performance for a storage class is tied to the volume actually ordered, based on the "IOPS/To" metric, meaning "maximum IOPS per allocated terabyte",* -> *Thus, a 0.5 To volume in the 'Standard' performance class will have an IOPS limit capped at 750 IOPS,* -> *Similarly, a 10 To volume in the 'Ultra' performance class will have an IOPS limit of 150,000 IOPS,* +> *Thus, a 0.5 To volume in the 'Standard' performance class will have an IOPS limit capped at 750 IOPS,* +> *Similarly, a 10 To volume in the 'Ultra' performance class will have an IOPS limit of 150,000 IOPS,* -- *The IOPS limit is applied per volume, thus per datastore in a VMware environment,* -- *Storage availability is 99.99% measured monthly, including maintenance windows,* -- *There are no restrictions or quotas on read or write operations,* -- *There is no billing based on IOPS,* -- *No performance commitment is provided for the __'Mass Storage'__ class,* -- *The minimum size of a storage LUN is 500 GiB,* -- *When using a storage replication mechanism, performance must be identical across both availability zones,* -- *No "intelligent" optimization mechanisms such as compression or deduplication are implemented: when you reserve 10 TiB of storage, you physically have 10 TiB of usable storage deployed on IBM machines.* +- *The IOPS limit is applied per volume, thus per datastore in a VMware environment,* +- *Storage availability is 99.99% measured monthly, including maintenance windows,* +- *There are no restrictions or quotas on read or write operations,* +- *There is no billing based on IOPS,* +- *No performance commitment is provided for the __'Mass Storage'__ class,* +- *The minimum size for a storage LUN is 500 GiB,* +- *When using storage replication, performance must be identical across both availability zones,* +- *No intelligent optimization mechanisms such as compression or deduplication are implemented: when you reserve 10 TiB of storage, you physically have 10 TiB of usable storage deployed on IBM machines,* - *Storage LUNs are dedicated to the client environment.* -### Usage within the VMware compute offering +### Usage within the VMware Compute Offering Within the context of using block storage in the form of a datastore in Cloud Temple’s VMware compute offering, __you must take several important considerations into account__: -1. __Swap file (.VSWP) creation during virtual machine startup__: When a virtual machine starts up, it creates a .VSWP file equal in size to its allocated memory on disk. Therefore, to successfully start your virtual machines, you must always have free space in your datastore equivalent to the total memory size of all your virtual machines. For example, if your datastore has 1 TiB of block storage and you want to start 10 virtual machines each with 64 GiB of memory, 640 GiB of disk space will be required. Without sufficient free space, virtual machine startup will be limited by the available capacity to create swap files. +1. __Swap file (.VSWP) creation during virtual machine startup__: When a virtual machine starts up, it creates a .VSWP file equal in size to its allocated memory on disk. Therefore, to successfully start your virtual machines, you must always have free space in your datastore equivalent to the total memory size of all your virtual machines. For example, if your datastore has 1 TiB of block storage and you want to start 10 virtual machines each with 64 GiB of memory, you will need 640 GiB of free disk space. Without sufficient space, virtual machine startup will be limited by the available capacity to create swap files. -2. __Free space required for backup snapshots__: The backup service uses instant snapshots. You must therefore always have sufficient free space to allow the creation of a snapshot during a virtual machine backup. The size of the snapshot depends on the amount of write activity from the virtual machine and the time required to perform the backup. Generally, it is recommended to maintain at least 10 % free space for this operation. +2. __Free space required for backup snapshots__: The backup service uses instant snapshots. You must therefore always have sufficient free space to allow the creation of a snapshot during a virtual machine backup. The size of the snapshot depends on the amount of write activity from the virtual machine and the time required to perform the backup. Generally, it is recommended to maintain at least 10 % of free space for this operation. 3. __Management of dynamic disks__: Exercise caution when using dynamic disks. If you do not properly manage their growth, a lack of physical space can result in the virtual machine freezing (in the best case), or crashing with data corruption (in the worst case). It is crucial to closely monitor available space on your datastores when using this type of disk. @@ -176,11 +176,11 @@ Proactive disk space management is essential to ensure the proper operation of y ## Backup Storage -The storage dedicated to backing up your virtual machines is automatically provisioned by the platform, up to the quota ordered. +Der von der Plattform automatisch bereitgestellte Speicher für die Sicherung Ihrer virtuellen Maschinen wird im Rahmen des bestellten Quotas bereitgestellt. -| Reference | Unit | SKU | -|--------------------------|------|------------------------------------------| -| MASS STORAGE - Archiving | 1 TiB | csp:(region):iaas:storage:bloc:backup:v1 | +| Referenz | Einheit | SKU | +|--------------------------|-------|------------------------------------------| +| MASS STORAGE - Archivage | 1 Tio | csp:(region):iaas:storage:bloc:backup:v1 | ### Block Storage Replication @@ -188,19 +188,19 @@ The storage dedicated to backing up your virtual machines is automatically provi To enable the implementation of your business continuity plans, when it is not possible to maintain business continuity using application-level mechanisms and virtual machine replication is not suitable, Cloud Temple offers __block-level storage replication mechanisms between availability zones within a region__. -These replication mechanisms are applied to the storage LUNs of your environments, in addition to backups. The decision to use a replication mechanism for a given environment __depends on various factors, including its criticality, the acceptable data loss tolerance, and the performance requirements for the application__. +These replication mechanisms are applied to the storage LUNs of your environments, complementing backup solutions. The decision to use a replication mechanism for a given environment __depends on various factors, including its criticality, acceptable data loss, and performance requirements for the application__. Cloud Temple provides two types of replication mechanisms deployed in an active/passive configuration: - **Asynchronous replication** (or **'Global Mirror'**): *The **'Global Mirror'** function provides an asynchronous copy process. When a host writes to the primary volume, the confirmation of the I/O completion is received before the write operation finishes on the secondary volume. If a failover operation is initiated, the application must recover and apply all updates that were not confirmed on the secondary volume. If I/O operations on the primary volume are paused briefly, the secondary volume can become an exact match of the primary volume. This function is comparable to a continuous backup process in which the latest updates are always missing. When using Global Mirror for disaster recovery purposes, you must consider how you intend to handle these missing updates.* -- **Synchronous replication** (or **'Metro Mirror'**): *The **'Metro Mirror'** function is a type of remote copy that creates a synchronous copy of data from a primary volume to a secondary volume. With synchronous copies, host applications write to the primary volume but do not receive confirmation that the write operation is complete until the data has been written to the secondary volume. This ensures that both volumes contain identical data once the copy operation is complete. After the initial copy operation finishes, the Metro Mirror function maintains a fully synchronized copy of the source data at the target site at all times. **As of January 1, 2024, the 'Metro Mirror' function is no longer available for sale.*** +- **Synchronous replication** (or **'Metro Mirror'**): *The **'Metro Mirror'** function is a type of remote copy that creates a synchronous copy of data from a primary volume to a secondary volume. With synchronous copies, host applications write to the primary volume but do not receive confirmation that the write operation is complete until the data has been written to the secondary volume. This ensures that both volumes contain identical data once the copy operation is complete. After the initial copy operation finishes, the Metro Mirror function continuously maintains a fully synchronized copy of the source data at the target site. **As of January 1, 2024, the 'Metro Mirror' function is no longer available for sale.*** A site is then designated as "active" (or "primary") and another as "passive" (or "standby"). The business continuity plan is activated in the event of a disaster or during a PRA test. The passive site then takes over from the active site. #### Asynchrone Replikation -Wenn Ihre Workloads kurze Wiederherstellungszeiten erfordern und es nicht akzeptabel oder angemessen ist, Anwendungsreplikationen oder VM-Replikationen zu verwenden, ist es möglich, eine SAN-Speicher-LUN zwischen zwei Verfügbarkeitszonen derselben Region zu replizieren. +Wenn Ihre Workloads kurze Wiederherstellungszeiten erfordern und die Verwendung von Anwendungsreplikationen oder VM-Replikationen nicht akzeptabel oder geeignet ist, können Sie eine SAN-Speicher-LUN zwischen zwei Verfügbarkeitszonen derselben Region replizieren. Diese Lösung ermöglicht ein __RPO von 15 Minuten__ und ein __RTO unter 4 Stunden__. Sie ermöglicht eine deutlich schnellere Wiederinbetriebnahme im Vergleich zur Durchführung einer Sicherungs-Wiederherstellung. @@ -208,10 +208,10 @@ Bei einem in asynchroner Replikation betriebenen Speichervolume („Global Mirro Die Schritte eines Schreibvorgangs sind wie folgt: -1. Ein Hypervisor möchte __einen Schreibvorgang auf einem Global-Mirror-Volumen__ durchführen: Er sendet die Anfrage an den SAN-Controller seiner Verfügbarkeitszone, -2. Der lokale SAN-Controller fordert den SAN-Controller der entfernten Zone auf, den Schreibvorgang durchzuführen, +1. Ein Hypervisor möchte eine __Schreiboperation auf einem Global-Mirror-Volumen__ durchführen: Er sendet die Anfrage an den SAN-Controller seiner Verfügbarkeitszone, +2. Der lokale SAN-Controller fordert den SAN-Controller der entfernten Zone auf, die Schreiboperation durchzuführen, 3. Der lokale SAN-Controller wartet nicht auf die Bestätigung des entfernten SAN-Controllers und führt die Schreiboperation stattdessen lokal durch, -4. Er gibt die __Bestätigung__ an den Hypervisor zurück, der die Anfrage gestellt hat, +4. Er gibt die __Bestätigung__ an den Hypervisor zurück, der die Anfrage initiiert hat, 5. __Die Hypervisoren am entfernten Standort greifen nicht direkt auf die Global-Mirror-LUN zu__: Eine Dienstanforderung ist erforderlich. | SLA | Beschreibung | @@ -219,48 +219,49 @@ Die Schritte eines Schreibvorgangs sind wie folgt: | RPO 15 Min | Im Falle eines Ausfalls im primären Rechenzentrum entspricht die maximal verlorene Datenmenge maximal den letzten 15 Minuten der Schreibvorgänge | | RTO < 4 Std | Im Falle eines Ausfalls im primären Rechenzentrum ist die Wiederinbetriebnahme innerhalb von 4 Stunden garantiert, abhängig von der Komplexität der Umgebung. | -Im Falle der Aktivierung des PRA (Plan zur Wiederherstellung von Aktivitäten) führt das Cloud Temple-Team eine Präsentation der LUN __'Global Mirror'__ an die entfernten Hypervisoren durch, damit diese auf die Daten zugreifen können. Die Einrichtung dieser Lösung erfordert daher, dass auf dem „Standby“-Standort bereits Rechenressourcen und RAM reserviert sind, um im Falle eines Ausfalls die Aktivität wieder aufnehmen zu können. +Im Falle der Aktivierung des Wiederherstellungsplans (PRA) führt das Cloud Temple-Team eine Präsentation der LUN __'Global Mirror'__ an die entfernten Hypervisoren durch, damit diese auf die Daten zugreifen können. Die Implementierung dieser Lösung erfordert daher, dass auf dem 'Standby'-Standort bereits Rechenressourcen und RAM reserviert sind, um im Falle eines Ausfalls die Aktivität wieder aufnehmen zu können. -Die Nutzung dieser Technologie erfordert zudem eine Verdoppelung des Speicherplatzes: Es ist erforderlich, dass der entfernte Standort exakt denselben Speicherplatz wie der lokale Standort bereitstellt. +Die Nutzung dieser Technologie erfordert zudem eine Verdoppelung des Speicherplatzes: Es ist notwendig, dass der entfernte Standort exakt denselben Speicherplatz wie der lokale Standort bereitstellt. -Die Nutzung dieses Mechanismus kann die Leistung der Anwendung um bis zu 10 % beeinträchtigen. __Nur die Speicherklassen 500 IOPS/To, 1500 IOPS/To und 3000 IOPS/To sind kompatibel.__ +Die Nutzung dieses Mechanismus kann die Leistung der Anwendung bis zu 10 % beeinträchtigen. __Nur die Speicherklassen 500 IOPS/To, 1500 IOPS/To und 3000 IOPS/To sind kompatibel.__ -| Referenz | Einheit | SKU | +| Referenz | Einheit | SKU | |------------------------------------|--------|---------------------------------------------------| -| STORAGE - Global Replication SAN | 1 Tio | csp:(region):iaas:storage:licence:globalmirror:v1 | +| STORAGE - Global Replication SAN | 1 TiB | csp:(region):iaas:storage:licence:globalmirror:v1 | *__Hinweis__*: -- *Da die Angebotslösung asynchron ist, kann es im Falle eines Ausfalls vorkommen, dass bestimmte Datenträgeroperationen nicht auf dem entfernten Standort geschrieben wurden. Es besteht daher ein Risiko für die Datenkonsistenz, das im Risikoanalyse-Teil des Wiederherstellungsplans berücksichtigt werden muss.* +- *Da die Angebote asynchron sind, besteht bei einem Ausfall die Möglichkeit, dass bestimmte Datenträgeroperationen nicht auf dem entfernten Standort geschrieben wurden. Es kann daher ein Risiko für die Datenkonsistenz bestehen, das im Risikoanalyse-Teil des Wiederherstellungsplans berücksichtigt werden muss.* - *Die Block-basierte Speicherreplikation erfolgt für virtuelle Maschinen und Anwendungen transparent und wird nicht sichtbar.* -- *Daher ist es wichtig, Replikationsszenarien auf Anwendungsebene oder gegebenenfalls VM-Replikationen vorzuziehen.* -- *Berechnungsleistung und Arbeitsspeicher am Wiederherstellungsstandort können reduziert werden, um die Kosten zu optimieren, sofern eine eingeschränkte Leistung für das Geschäft während der Durchführung des Wiederherstellungsplans akzeptabel ist.* +- *Daher ist es wichtig, Replikations-Szenarien auf Anwendungsebene oder gegebenenfalls VM-Replikationen vorzuziehen.* +- *Berechnungsressourcen und Arbeitsspeicher am Wiederherstellungsstandort können reduziert werden, um die Kosten zu optimieren, sofern eine eingeschränkte Leistung für das Geschäft während der Wiederherstellung akzeptabel ist.* ## VMware Virtualization -The VMware Cloud Temple offering, certified SecNumCloud, is based on the __VMware vSphere__ technology. +The VMware Cloud Temple offering qualified SecNumCloud is based on the __VMware vSphere__ technology. -The platform is managed automatically by Cloud Temple (ensuring security conditions, operational readiness, etc.). It can be controlled via the Shiva console's graphical interface or through the associated APIs. +The platform is managed automatically by Cloud Temple (security compliance maintenance, operational readiness maintenance, ...). +It can be controlled via the graphical interface of the Console or through the associated APIs. -*__Note__*: *For security reasons related to the SecNumCloud certification, -__the customer is not permitted to access the VMware virtualization platform directly__ (no direct access to vCenter, for example). -Indeed, the SecNumCloud certification requires __complete segregation__ between the technical asset management interfaces and the customer's interface (the Shiva console).* +*__Note__*: *For security reasons related to the SecNumCloud qualification, +__the customer is not allowed to access the VMware virtualization platform directly__ (no direct access to vCenter, for example). +Indeed, the SecNumCloud qualification requires __complete segregation__ between the technical asset management interfaces and the customer's interface (the Console).* - The implemented products are VMware ESXi, VMware vCenter, and VMware Replication. - *The virtualization offering's network does not use VMware NSX technology, but is instead managed physically using Juniper technology and the VPLS protocol.* - *The storage does not use VMware vSAN technology, but exclusively IBM SANs via 32G Fiber Channel.* -- *No hidden optimizations are applied (compression, deduplication, etc.).* +- *No hidden optimization techniques are applied (compression, deduplication, ...).* ### Definition of a Compute Node Cluster ('Cpool') The __'Cpool'__ is a grouping of VMware ESXi hypervisors, also known as an *'ESX cluster'*. -All hosts within a __'Cpool'* belong to the **same tenant and the same availability zone (AZ)**. They must necessarily have the same instance type: +All hosts within a __'Cpool'* belong to the __same tenant and the same availability zone (AZ)__. They must necessarily have the same instance type: __It is not possible to mix different compute node models within the same cluster__. -Since all compute nodes are delivered with the maximum physical RAM, a software-level RAM usage limit is enforced at the cluster level to ensure it matches the billed RAM. +Since all compute nodes are delivered with the maximum physical memory, a software-level RAM usage limit is enforced at the cluster level to ensure it matches the billed RAM. -By default, each compute node has 128 GB of RAM enabled within the __'Cpool'*. +By default, each compute node has 128 GB of memory enabled within the __'Cpool'*. A __'Cpool'* can contain a maximum of 32 hypervisors. Beyond this limit, a second cluster must be created. @@ -270,21 +271,21 @@ Storage can be shared among __'Cpool'* clusters. Memory reservation is configurable per cluster. You can reduce or increase the amount of RAM to match your cluster-wide requirements. -__Be careful not to exceed an average memory utilization of 85% per compute node__. +__Be careful not to exceed an average memory usage of 85% per compute node__. Indeed, VMware's technology uses a compression-based optimization method that can significantly impact the performance of your workloads and complicate diagnostics. Similarly, excessive memory pressure on your compute nodes will force the hypervisor to offload part of its memory to disk to meet the needs of virtual machines. This situation, known as __'Ballooning'__, severely impacts the performance of all virtual machines located on the affected datastore. __Diagnosis becomes complicated in this context__, as your monitoring will detect issues at the CPU level rather than at the memory or storage level. -Also keep in mind that the first action the hypervisor performs when starting a virtual machine is to create a __memory swap file (.vswap)__ on disk, with a size equal to the memory allocated to the virtual machine. You must __account for this when sizing your storage__. +Also keep in mind that the first action the hypervisor performs when starting a virtual machine is to create a __memory swap file (.vswap)__ on disk, with a size equal to the virtual machine's memory allocation. You must __take this into account when sizing your storage__. -Each compute node is delivered with 128 GB of memory activated at the __'Cpool'__ level, although it physically has access to all available memory. +Each compute node is delivered with 128 GB of memory enabled at the __'Cpool'__ level, but physically has access to the full amount of allocatable memory. -For example, in a cluster of three hosts of type ```vmware:standard:v2```, the RAM reservation at activation of the _*'Cpool'*_ will be 3 × 128 GB = 384 GB of RAM. +For example, in a cluster of three hosts of type ```vmware:standard:v2```, the RAM reservation upon activation of the _*'Cpool'*_ will be 3 × 128 GB = 384 GB of RAM. You can extend it up to a maximum of 3 × 384 GB = 1,152 GB of memory. Minimum memory for a 'Cpool' = number of hosts × 128 GB of memory - Maximum memory for a 'Cpool' = number of hosts × physical memory capacity of each compute node + Maximum memory for a 'Cpool' = number of hosts × physical memory capacity per compute node ### Cloud Temple Virtual Machine Catalogs @@ -293,31 +294,37 @@ To date, it includes dozens of `Templates` and images ready to be deployed on yo ### Updating Hypervisors -Cloud Temple regularly provides updated builds for hypervisors to ensure security patches are applied. +Cloud Temple regularly provides updates for hypervisors to ensure security patches are applied. However, updating hypervisors remains your responsibility, as we do not have visibility into your business constraints. The update process is fully automated. To ensure service continuity, a minimum of two hypervisors is required per cluster during the update. Make sure you have the necessary permissions to perform these actions. ### VM Affinity Management -__Affinity and anti-affinity rules__ allow you to control the placement of virtual machines on your hypervisors. +__Affinity and anti-affinity rules__ allow you to control the placement of virtual machines (VMs) across your hypervisors. They can be used to manage resource utilization within your __'Cpool'__. For example, they help balance workloads across servers or isolate resource-intensive workloads. -In a __'Cpool'__ environment based on VMware, these rules are frequently used to manage virtual machine behavior during vMotion. +In a __'Cpool'__ environment based on VMware, these rules are frequently used to manage VM behavior during vMotion operations. vMotion enables the migration of virtual machines from one host to another without service interruption. You can configure the following rules via the rule management interface: - __Affinity Rules__: These rules ensure that certain virtual machines run on the same physical host. - They are used to improve performance by keeping virtual machines that communicate frequently together on the same server, thus reducing network latency. Affinity rules are particularly useful in scenarios where performance is critical, such as databases or applications requiring fast inter-server communication. + They are used to improve performance by keeping VMs that communicate frequently together on the same server, thereby reducing network latency. + Affinity rules are particularly useful in scenarios where performance is critical—such as database systems or applications requiring fast inter-server communication. - __Anti-Affinity Rules__: Conversely, these rules ensure that certain virtual machines do not run on the same physical host. - They are essential for availability and resilience—for instance, to prevent all critical machines from being affected in the event of a single host failure. Anti-affinity rules are crucial for high-availability applications, such as in production environments where fault tolerance is a priority. + They are essential for availability and resilience—for instance, to prevent all critical VMs from being affected in the event of a single host failure. + Anti-affinity rules are crucial for high-availability applications, such as in production environments where fault tolerance is a top priority. For example, you would not want both of your Active Directory servers located on the same hypervisor. -When creating a rule, you define the rule type (affinity / anti-affinity), the rule name, its activation status (__'Status'__), and the virtual machines involved within your hypervisor cluster. +When creating a rule, you define: +- The rule type (affinity / anti-affinity), +- The rule name, +- The activation status (__'Status'__), +- And the VMs involved within your hypervisor cluster. -*Note: The affinity/anti-affinity rules available in the console are rules between virtual machines (not between hypervisors and virtual machines).* +*Note: The affinity/anti-affinity rules available in the console are rules between virtual machines (not between hypervisors and VMs).* ### Asynchronous replication of your virtual machines in a VMware environment @@ -332,22 +339,21 @@ A typical example of a machine that does not support VM replication is an FTP se | SLA | Description | |-----------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------| -| RPO of 1H to 24H | In the event of a disaster at the primary datacenter, the maximum amount of data lost corresponds to the last write push to the standby site. | -| RTO < 15 min | Startup of the stopped virtual machine on the remote site. | +| RPO of 1H to 24H | In the event of a disaster at the primary datacenter, the maximum amount of data lost corresponds to the last write push to the standby site. | +| RTO < 15 min | Virtual machine startup operation on the remote site after stopping the VM at the primary site. | -In case of need or failure of a machine at the primary site, the mirrored machine on the standby site is activated. -Recovery requires pre-reserved compute and RAM capacity on the standby site. -The same amount of storage space must be available on the passive site as on the active site. +In case of need or failure of a machine at the primary site, the mirrored machine at the standby site is activated. +Recovery requires reserving compute and RAM capacity at the standby site. It is also necessary to have the same storage space available at the passive site as at the active site. | Reference | Unit | SKU | |-----------------------------------|------|-------------------------------------------------| -| PRA - VMware replication inter-AZ | 1 vm | csp:(region):iaas:vmware:licence:replication:v1 | +| PRA - VMware replication inter-AZ | 1 VM | csp:(region):iaas:vmware:licence:replication:v1 | *__Note__: The minimum RPO must be defined based on the rate of change on the virtual machine.* ## Virtual Machine Backup -Cloud Temple offers a __native, non-optional cross-architecture backup solution__ (mandatory for French secnumcloud certification). +Cloud Temple offers a __native, non-optional cross-architecture backup solution__ (mandatory for the French secnumcloud certification). Backups are stored in a different availability zone and on a physically separate datacenter from the one hosting the virtual machine. They are encrypted using the AES 256-bit symmetric key algorithm (cipher mode `xts-plain64`) to ensure data confidentiality. @@ -356,8 +362,8 @@ This setup protects against major failures in the production datacenter and enab The solution includes: - Hot off-site backup of all disks, -- Instant presentation and booting of a virtual machine from the mass storage infrastructure, followed by hot reloading onto production SANs, -- Partial file restoration from backups, +- Instant presentation and booting of a virtual machine from the mass storage infrastructure, followed by hot reloading onto the production SAN, +- Partial file restoration from backup, - Retention limited solely by allocated mass storage space. This backup infrastructure is based on the *IBM Spectrum Protect Plus* solution — a no-agent architecture, easy to use, enabling automation of backup processes and optimization of mass storage space. @@ -367,13 +373,13 @@ Backup policies are configurable per virtual machine via the [Cloud Temple Conso *__Note:__* -*__Some virtual machines are incompatible with this backup technology__, which relies on the hypervisor’s snapshot mechanisms. These are typically machines with constant disk write workloads. The hypervisor cannot close the snapshot, forcing the virtual machine to be frozen to complete the closure operation. This freeze can last several hours and cannot be interrupted.* +*__Some virtual machines are incompatible with this backup technology__, which relies on the hypervisor’s snapshot mechanisms. These are typically machines with constant disk write workloads. The hypervisor cannot close the snapshot, forcing the virtual machine to be frozen to complete the closure operation. This freeze can last several hours and cannot be stopped.* -*In such cases, the solution is to exclude the disk subject to continuous writes and back up the data using an alternative method.* +*In such cases, the recommended solution is to exclude the disk subject to continuous writes and back up the data using an alternative method.* | Reference | Unit | SKU | | ------------------------------------------------------- | ----- | ------------------------------ | -| BACKUP - Access to IBM Spectrum Protect Plus service | 1 VM | csp:(region):iaas:backup:vm:v1 | +| BACKUP - Access to IBM Spectrum Protect Plus service | 1 VM | csp:(region):iaas:backup:vm:v1 | #### Create a backup policy @@ -382,22 +388,22 @@ To create a new backup policy, you must submit a request to support. Support is Creating a new backup policy is done through a __service request__ specifying: Your Organization's name - A contact name, email address, and phone number to finalize the configuration + A contact person's name, email address, and phone number to finalize the configuration The tenant name The backup policy name The retention characteristics (x days, y weeks, z months, ...) ## Advanced Data Protection (HSM/KMS) -Cloud Temple offers a __virtual machine encryption solution__ based on hardware security modules (HSM) and a key management service (KMS). This feature enhances the protection of sensitive data through centralized and secure key management, seamlessly integrated into the SecNumCloud environment. +Cloud Temple offers a __advanced virtual machine encryption__ solution based on hardware security modules (HSM) and a key management service (KMS). This feature enhances the protection of sensitive data through centralized and secure key management, seamlessly integrated into the SecNumCloud environment. -### Technical Architecture +### Technische Architektur -The solution is based on a robust security infrastructure composed of: +Die Lösung basiert auf einer robusten Sicherheitsinfrastruktur, die folgende Komponenten umfasst: -- __HSM (Hardware Security Module)__ : __Thales Luna S790__ modules certified __FIPS 140-3 Level 3__ -- __KMS (Key Management System)__ : __Thales CipherTrust Manager__ for centralized key management -- __VMware Integration__ : Communication via the __KMIP__ (Key Management Interoperability Protocol) +- __HSM (Hardware Security Module)__ : Module __Thales Luna S790__, zertifiziert nach __FIPS 140-3 Level 3__ +- __KMS (Key Management System)__ : __Thales CipherTrust Manager__ zur zentralen Schlüsselverwaltung +- __VMware-Integration__ : Kommunikation über das Protokoll __KMIP__ (Key Management Interoperability Protocol) #### High Availability Deployment @@ -437,13 +443,13 @@ The system uses a __cryptographic key hierarchy__ to ensure data security: #### Multi-tenant Isolation -- __Cryptographic separation__: Each client has an isolated KMS domain -- __Dedicated keys__: A specific Domain Key per client +- __Cryptographic separation__: Each client has an isolated KMS domain +- __Dedicated keys__: A specific Domain Key per client - __Audit and traceability__: Full logging of actions per domain ### Activation and Usage -VM encryption is activated __with a single click__ from the [Shiva Console](../console/console.md). +VM encryption can be activated __with a single click__ from the [Console](../console/console.md). For a detailed step-by-step guide with screenshots, see the [VM Encryption Tutorial](tutorials/vm_encryption.md). @@ -453,9 +459,9 @@ For a detailed step-by-step guide with screenshots, see the [VM Encryption Tutor - __Deaktivierte virtuelle Maschine__: Die VM muss heruntergefahren sein, bevor die Verschlüsselung durchgeführt wird - __Keine aktive Replikation__: Die VM darf nicht repliziert werden (nicht kompatibel mit Global Mirror) - __Kein Snapshot__: Es darf kein Momentaufnahme vorhanden sein -- __Abonnement für den Dienst__: Das Abonnement für den erweiterten Schutzdienst muss abgeschlossen sein +- __Abonnement für den Dienst__: Der erweiterte Schutzdienst muss abonniert sein -*__Hinweis__: Für weitere Informationen zu den Voraussetzungen und dem vollständigen Prozess siehe den [Leitfaden zur Verschlüsselung von VMs](tutorials/vm_encryption.md).* +*__Hinweis__: Für weitere Informationen zu den Voraussetzungen und dem vollständigen Prozess siehe den [Leitfaden zur VM-Verschlüsselung](tutorials/vm_encryption.md).* ### Limitations and considerations diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md index 31b1f92e..a82ad3cc 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md @@ -52,7 +52,7 @@ import shivaVmBackup_2prod from './images/shiva_vm_backup_2prod.png' ### Virtual Machine Management -The interface for managing your virtual machines is available in the Shiva console under the __'IaaS'__ menu located on the green bar on the left side of the screen. +The interface for managing your virtual machines is available in the Console under the __'IaaS'__ menu located on the green bar on the left side of the screen. ### Liste der virtuellen Maschinen @@ -64,7 +64,7 @@ Für jede virtuelle Maschine stehen Ihnen folgende Informationen zur Verfügung: - ihr Name, - die ihr zugewiesenen Tags, -- ihr Status (ausgeschaltet, eingeschaltet, in Bearbeitung, Host getrennt oder ungültig), +- ihr Status (aus, an, in Bearbeitung, Host getrennt oder ungültig), - ihr Manager (im VMware-Umfeld der zugehörige Vcenter), - ihr Betriebssystem, - die Anzahl virtueller CPUs (vCPU), @@ -82,8 +82,8 @@ Die folgenden Aktionen sind über diese Schnittstelle möglich: -__Ein Warnbanner kann sich oben in der Liste befinden__: Es zeigt an, dass kritische Alarme auf einer oder mehreren Ihrer virtuellen Maschinen ausgelöst wurden. -Der Button __'Anzeigen'__ ermöglicht es Ihnen, die betroffenen virtuellen Maschinen dieser Benachrichtigung anzusehen. +__Ein Warnbanner kann oben in der Liste angezeigt werden__: Es weist darauf hin, dass auf einer oder mehreren Ihrer virtuellen Maschinen kritische Alarme ausgelöst wurden. +Der Button __'Anzeigen'__ ermöglicht es, die betroffenen virtuellen Maschinen dieser Benachrichtigung zu prüfen. @@ -91,11 +91,11 @@ Wenn Sie auf den grünen Dropdown-Pfeil rechts neben einer virtuellen Maschine i -erhalten Sie Zugriff auf alle Informationen zu dieser Maschine: +erhalten Sie Zugriff auf alle verfügbaren Informationen zu dieser Maschine: -Ein schneller Bereich ermöglicht die Ausführung folgender Aktionen: +Ein Schnellbanner ermöglicht die Ausführung folgender Aktionen: @@ -115,7 +115,7 @@ Eine Kurzübersicht bietet eine Visualisierung des __Speichers__, des __CPU-Verb -Im Tab __'Allgemeine Informationen'__ finden Sie detaillierte Informationen zur virtuellen Maschine, wie z. B. das Betriebssystem, den physischen Standort (Datacenter, Datastore usw.), RAM, CPU, IP-Adressen, Protokolle und weitere Details. +Im Tab __'Allgemeine Informationen'__ finden Sie detaillierte Angaben zu Ihrer virtuellen Maschine, wie z. B. das Betriebssystem, der physische Standort (Datacenter, Datastore usw.), RAM, CPU, IP-Adressen, Protokolle und weitere Details. @@ -131,16 +131,16 @@ Ein Tab __'Erweitert'__ ermöglicht den Zugriff auf spezifischere Informationen ### Editing RAM or CPU of a virtual machine -Go to the __'Virtual Machines'__ tab, display the details of a virtual machine, select the __'General Info'__ tab, and click the edit button for the variable you want to modify: +Go to the __'Virtual Machines'__ tab, display the details of a virtual machine, select the __'General Information'__ tab, and click the edit button for the variable you want to modify: -### Disk Modes +### Disk modes You can add different disk modes: - __Persistent__: Changes are immediately and permanently written to the virtual disk. __This is the recommended mode.__ -- __Non-persistent independent__: Changes made to the virtual disk are recorded in a new log file and deleted upon shutdown. Not affected by snapshots. __Not supported by backup.__ +- __Non-persistent independent__: Changes made to the virtual disk are recorded in a new log file and deleted when the virtual machine is powered off. Not affected by snapshots. __Not supported by backup.__ - __Persistent independent__: Changes are immediately and permanently written to the virtual disk. Not affected by snapshots. __Not supported by backup.__ ### Virtual Machine Controller Management @@ -153,7 +153,7 @@ Virtual machines can be equipped with SCSI and NVMe controllers, with a limit of A SCSI controller can be configured with different subtypes: Para Virtual, Bus Logic, LSI Logic, or LSI Logic SAS. -The Para Virtual controller stands out due to its enhanced capabilities. It can support up to 64 disks when the virtual machine's hardware version is compatible with ESXi 6.7 or later. +The Para Virtual controller stands out due to its extended capabilities. It can support up to 64 disks when the virtual machine's hardware version is compatible with ESXi version 6.7 or higher. > __Important__: If you want to change the type of a Para Virtual controller that has more than 15 disks, you must first detach the disks from the affected slots. @@ -180,7 +180,7 @@ Window scaling is automatic. The input entered in the console depends on the keyboard language of your web browser, the keyboard language of the virtual machine, and whether the 'enforce keyboard' option on the left side of the screen is enabled. Below is a summary of the possible scenarios: -| Physical Machine Keyboard Language (input) | Virtual Machine Keyboard Language | 'Enforce Keyboard' Option Selected | Result (output) | +| Physical Machine Keyboard Language (Input) | Virtual Machine Keyboard Language | 'Enforce Keyboard' Option Selected | Result (Output) | |--------------------------------------------|-----------------------------------|------------------------------------|------------------------| | French | French | No | ✅ | | French | French | Yes | Not recommended | @@ -192,10 +192,11 @@ The input entered in the console depends on the keyboard language of your web br | English | English | Yes | Not recommended | __Note__: -- If certain characters do not appear during manual input, you may try using the clipboard instead. +- If certain characters do not appear during manual input, you may try copying them from the clipboard. + +#### Clipboard Functionality +This feature allows you to send an entire string of characters to your virtual machine. It is important to note that the "enforce keyboard" setting affects how this string of characters is transmitted to your virtual machine. If you notice during console input that the "enforce keyboard" option is required, make sure to enable it before using the clipboard. -#### Clipboard Functionality -This feature allows you to send an entire string of characters to your virtual machine. It is important to note that the "enforce keyboard" option affects how this string of characters is transmitted to your virtual machine. If you notice during console input that the "enforce keyboard" option is required, make sure to enable it before using the clipboard. This functionality can be used to send a password, a command, or the content of a configuration file, for example: @@ -220,7 +221,7 @@ Select __'Export as vm-template'__: -Then fill in the required information. Once completed, you will be able to deploy a new virtual machine from this template using the __'New Virtual Machine'__ button or from the __'Catalogues'__ page. It is also possible to export the VM in OVF format. +Then fill in the required information. Once completed, you will be able to deploy a new virtual machine from the template using the __'New Virtual Machine'__ button or from the __'Catalogues'__ page. It is also possible to export the VM in OVF format. __Tip__: It is possible to convert between OVA and OVF files. The most common method uses VMware Converter, but a simple alternative is available using the ```tar``` command. @@ -259,7 +260,7 @@ You can also modify __vAPP__ properties in the advanced options of a virtual mac -You can add a property, modify an existing one, or delete it. Four property types are available: String, Number, Boolean, Password: +You can add a property, modify an existing one, or remove it. Four types of properties are available: String, Number, Boolean, Password: @@ -278,9 +279,9 @@ In this submenu, you have visibility on: As of January 2024, the available hypervisor offering on the Cloud Temple qualified infrastructure is based on VMware. The backup software used is IBM Spectrum Protect Plus. -### Steuerung der VMware-Cluster +### Steuerung von VMware-Clustern -Um die Steuerung der VMware-Cluster zu aktivieren, klicken Sie im Untermenü __'Berechnung'__ des Menüs __'IaaS'__: +Um die Steuerung von VMware-Clustern zu aktivieren, klicken Sie im Untermenü __'Berechnung'__ des Menüs __'IaaS'__: Standardmäßig listet der erste Tab alle Hypervisoren (alle Cluster zusammengefasst): @@ -296,25 +297,25 @@ Für jeden Hypervisor-Cluster steht ein separater Tab zur Verfügung, um die Det Wenn Sie auf einen Cluster klicken, sehen Sie eine Zusammenfassung seiner Zusammensetzung: -- Die Gesamtrechenleistung in GHz, -- Der verfügbare Speicherplatz und das Nutzungsratio, -- Der Gesamtspeicherplatz (alle Speichertypen zusammengefasst) sowie der Anteil der genutzten Kapazität, -- Die Automatisierungsmechanismen bei Ausfall eines Rechenknotens (__'vSphere DRS'__), -- Die Anzahl virtueller Maschinen, -- Die Anzahl der Hypervisoren. +- Gesamtleistung der Berechnung in GHz, +- Gesamtspeicherplatz und Nutzungsratio, +- Gesamtspeicherplatz (alle Speichertypen zusammengefasst) sowie der Anteil der genutzten Kapazität, +- Automatisierungsmechanismen bei Ausfall eines Rechenknotens (__'vSphere DRS'__), +- Anzahl der virtuellen Maschinen, +- Anzahl der Hypervisoren. - + Im Tab __'Hosts'__ werden für jeden Hypervisor folgende Informationen angezeigt: -- Die CPU- und Speichernutzung, -- Die Anzahl der zugeordneten virtuellen Maschinen, -- Die Verfügbarkeit eines neuen Builds für das Betriebssystem des Hypervisors (falls zutreffend), -- Der Status des Hypervisors (in Produktion verbunden, in Wartung, ausgeschaltet usw.), -- Ein Aktionenmenü. +- CPU- und Speichernutzung, +- Anzahl der zugeordneten virtuellen Maschinen, +- Verfügbarkeit eines neuen Builds für das Betriebssystem des Hypervisors (falls zutreffend), +- Status des Hypervisors (in Produktion verbunden, in Wartung, ausgeschaltet usw.), +- Aktionenmenü. @@ -343,38 +344,43 @@ Im Tab __'Hosts'__ stehen mehrere Aktionen zur Verfügung: - Cloud Temple stellt regelmäßig neue Builds für Hypervisoren bereit. Es ist wichtig, Ihre Hypervisoren regelmäßig zu aktualisieren, insbesondere um Sicherheitspatches anwenden zu können. -__Allerdings führen wir die Aktualisierung Ihrer Hypervisoren nicht automatisch durch.__ Cloud Temple hat keine Sichtbarkeit auf die Verfügbarkeitsverpflichtungen Ihrer Workloads. -Daher überlassen wir Ihnen die Umsetzung Ihrer Änderungsmanagement-Prozesse und die zeitliche Planung der Anwendung neuer Builds. - +__Allerdings führen wir die Aktualisierung Ihrer Hypervisoren nicht automatisch durch.__ Cloud Temple hat keine Sichtbarkeit über die Verfügbarkeitsverpflichtungen Ihrer Workloads. +Daher überlassen wir Ihnen die Umsetzung Ihrer Änderungsmanagement-Prozesse und die Anwendung der neuen Builds zum optimalen Zeitpunkt. - Der Aktualisierungsprozess ist vollständig automatisiert. Sie müssen mindestens zwei Hypervisoren in Ihrem Cluster haben, um eine Update-Operation ohne Dienstunterbrechung durchführen zu können. -Sie sehen außerdem alle Affinitäts- und Anti-Affinitätsregeln für Ihren Hypervisor-Cluster im Bereich __'Regeln'__. +Sie sehen auch alle Affinitäts- und Anti-Affinitätsregeln für Ihren Hypervisor-Cluster im Bereich __'Regeln'__. ### VM Affinity Management -__Affinity and anti-affinity rules__ allow you to control the placement of virtual machines across your hypervisors. +__Affinity and anti-affinity rules__ allow you to control the placement of virtual machines (VMs) across your hypervisors. They can be used to manage resource utilization within your __'Cpool'__. For example, they help balance workloads across servers or isolate resource-intensive workloads. -In a __'Cpool'__ environment based on VMware, these rules are commonly used to manage the behavior of virtual machines during vMotion operations. -vMotion enables the migration of virtual machines from one host to another without service interruption. +In a __'Cpool'__ environment based on VMware, these rules are commonly used to manage the behavior of VMs during vMotion operations. +vMotion enables the migration of VMs from one host to another without service interruption. You can configure the following rules via the rule management interface: - __Affinity Rules__: These rules ensure that certain virtual machines run on the same physical host. - They are used to improve performance by keeping virtual machines that communicate frequently together on the same server, thus reducing network latency. Affinity rules are particularly useful in scenarios where performance is critical—such as database systems or applications requiring fast inter-server communication. + They are used to improve performance by keeping VMs that communicate frequently together on the same server, thus reducing network latency. + Affinity rules are particularly useful in scenarios where performance is critical—such as database systems or applications requiring fast inter-server communication. - __Anti-Affinity Rules__: Conversely, these rules ensure that certain virtual machines do not run on the same physical host. - They are essential for availability and resilience—for example, to prevent all critical machines from being affected in the event of a single host failure. Anti-affinity rules are crucial for high-availability applications, such as in production environments where fault tolerance is a priority. - For instance, you would not want both of your Active Directory servers located on the same hypervisor. + They are essential for availability and resilience—for instance, to prevent all critical VMs from being affected in the event of a single host failure. + Anti-affinity rules are crucial for high-availability applications, such as in production environments where fault tolerance is a top priority. + For example, you would not want both of your Active Directory servers located on the same hypervisor. -When creating a rule, you define the rule type (affinity / anti-affinity), the rule name, its activation status (__'Status'__), and the virtual machines involved within your hypervisor cluster. +When creating a rule, you define: +- The rule type (affinity / anti-affinity), +- The rule name, +- Its activation status (__'Status'__), +- And the VMs involved within your hypervisor cluster. -*Note: The affinity/anti-affinity rules available in the console apply only between virtual machines (not between hypervisors and virtual machines).* +*Note: The affinity/anti-affinity rules available in the console apply only between virtual machines (not between hypervisors and VMs).* ## Backup @@ -394,15 +400,15 @@ Creating a new backup policy is done through a __service request__ specifying: ### Assign a backup policy to a virtual machine -When a SLA is assigned to a virtual machine (VM), all disks associated with this VM automatically inherit the same SLA. Subsequently, you can manually trigger a backup execution via the **Backup Policies** tab. If no manual launch is performed, the backup will run automatically according to the schedule defined by the SLA. +When an SLA is assigned to a virtual machine (VM), all disks associated with this VM automatically inherit the same SLA. Subsequently, you can manually trigger a backup execution via the **Backup Policies** tab. If no manual launch is performed, the backup will run automatically according to the schedule defined by the SLA. SecNumCloud requires that a backup policy be assigned to a virtual machine before it is started. Otherwise, you will receive the following notification: -Click on the **Backup Policies** tab in your virtual machine's menu. You can view the backup policy or policies assigned to this VM here. +Click on the __'Backup Policies'__ tab in your virtual machine's menu. You can view the backup policy or policies assigned to this VM here. -To assign a new backup policy to the virtual machine, click the **Add Policy** button and select the desired backup policy. +To assign a new backup policy to the virtual machine, click the __'Add Policy'__ button and select the desired backup policy. @@ -410,7 +416,7 @@ To assign a new backup policy to the virtual machine, click the **Add Policy** b It is also possible to assign an SLA directly to a specific virtual disk of a machine. In this case, the virtual machine does not inherit this SLA applied individually to the disk. However, it is not possible to manually trigger backup execution at the disk level, as this functionality is not supported in Spectrum Protect Plus. -On the other hand, it is possible to exclude certain disks from one or more backup policies (SLAs) of the VM, which allows unassigning one or more SLAs on a per-disk basis. This approach provides the flexibility to manually initiate the backup execution for a specific SLA without affecting all disks of the virtual machine, enabling finer control over backup management. +On the other hand, it is possible to exclude certain disks from one or more backup policies (SLAs) of the VM, thereby allowing the removal of one or more SLAs on a per-disk basis. This approach provides the flexibility to manually initiate backup execution for a specific SLA without affecting all disks of the virtual machine, enabling more granular backup management. Click on the action bar of the disk to which you want to assign a backup policy. Then, click on __'Policies'__ and select the desired backup policy. @@ -424,7 +430,7 @@ In the __'Backup Policies'__ menu of your virtual machine, click the __'Run'__ b -You can also initiate a backup policy from the __'Backups'__ section in your virtual machine's menu. Click the __'Run Backup'__ button, then select the backup you want to run from the dropdown list. +You can also run a backup policy from the __'Backups'__ section in your virtual machine's menu. Click the __'Run Backup'__ button, then select the backup you want to execute from the dropdown list. @@ -434,15 +440,15 @@ In the __'Backup Policies'__ menu of your virtual machine, click the __'Remove'_ -__Warning: It is not possible to remove the last SLA on an powered-on virtual machine:__ +__Warning: It is not possible to remove the last SLA on an active virtual machine:__ ### Deleting a backup policy: case of a suspended backup policy ("held") -When the last resource is disassociated from an SLA policy, the system automatically detects this situation. As a result, all jobs associated with this SLA policy are automatically moved to the "Held" state. It is important to note that direct deletion of the SLA policy is not possible at this stage due to the existence of dependent jobs. To proceed with the deletion of the policy, a specific sequence of steps must be followed. +When the last resource is disassociated from an SLA policy, the system automatically detects this situation. As a result, all jobs associated with this SLA policy are automatically moved to the "Held" ("Suspended") state. It is important to note that direct deletion of the SLA policy is not possible at this stage due to the existence of dependent jobs. To proceed with the deletion of the policy, a specific sequence of steps must be followed. -First, verify that the affected jobs are indeed in the "Held" state. Once confirmed, these jobs can be deleted. Only after removing these dependent jobs can the SLA policy be permanently erased from the system. +First, verify that the affected jobs are indeed in the "Held" state. Once confirmed, these dependent jobs can be deleted. Only after removing these dependent jobs can the SLA policy be permanently erased from the system. A special case requires particular attention: adding a new resource to an SLA policy whose dependent jobs have not been deleted. In this scenario, the job identifiers will be retained. However, it is crucial to note that jobs in the "Held" state will not resume automatically. Manual intervention will be required to reactivate them and allow their execution. @@ -458,18 +464,18 @@ Similarly, it is not possible to start a virtual machine associated with a suspe ### Wiederherstellen einer Sicherung -Der Tab __'Sicherungen'__ im Menü Ihrer virtuellen Maschinen ermöglicht den Zugriff auf die Liste der Sicherungen dieser Maschine. +Der Tab __'Sicherungen'__ im Menü Ihrer virtuellen Maschinen ermöglicht Ihnen den Zugriff auf die Liste der Sicherungen dieser Maschine. Um eine Sicherung wiederherzustellen, klicken Sie auf die Schaltfläche __'Wiederherstellen'__ in der Zeile, die der Sicherung entspricht, die Sie wiederherstellen möchten. -1. __Produktionsmodus__: Der Produktionsmodus ermöglicht die Wiederherstellung nach einem Ausfall am lokalen Standort über den primären Speicher oder einen entfernten Wiederherstellungsstandort. Dabei werden die ursprünglichen Maschinenimages durch die Wiederherstellungsimages ersetzt. Alle Konfigurationen werden im Rahmen der Wiederherstellung übertragen, einschließlich Namen und Identifikatoren, und alle mit der virtuellen Maschine verbundenen Datenkopierarbeiten laufen weiter. Im Rahmen einer Wiederherstellung im Produktionsmodus können Sie wählen, den Speicher in der virtuellen Maschine durch einen virtuellen Datenträger aus einer vorherigen VM-Sicherung zu ersetzen. +1. __Produktionsmodus__: Der Produktionsmodus ermöglicht die Wiederherstellung nach einem Ausfall am lokalen Standort über den primären Speicher oder einen entfernten Wiederherstellungsstandort, wobei die ursprünglichen Maschinenabbilder durch die Wiederherstellungsabbilder ersetzt werden. Alle Konfigurationen werden im Rahmen der Wiederherstellung übertragen, einschließlich Namen und Kennungen, und alle mit der virtuellen Maschine verbundenen Datenkopierarbeiten werden weiterhin ausgeführt. Bei einer Wiederherstellung im Produktionsmodus können Sie wählen, den Speicher in der virtuellen Maschine durch einen virtuellen Datenträger aus einer vorherigen virtuellen Maschinen-Sicherung zu ersetzen. -2. __Testmodus__: Der Testmodus erstellt temporäre virtuelle Maschinen für Entwicklung, Tests, Überprüfung von Momentaufnahmen und Wiederherstellungstests gemäß einem wiederholbaren Zeitplan, ohne Auswirkungen auf die Produktionsumgebung. Testmaschinen laufen so lange, wie erforderlich, um Tests und Überprüfungen durchzuführen, und werden anschließend automatisch bereinigt. Durch die Isolation des Netzwerks können Sie eine sichere Umgebung schaffen, um Ihre Arbeiten durchzuführen, ohne die für die Produktion genutzten virtuellen Maschinen zu beeinträchtigen. Die in Testmodus erstellten virtuellen Maschinen verfügen über eindeutige Namen und Identifikatoren, um Konflikte in Ihrer Produktionsumgebung zu vermeiden. +2. __Testmodus__: Der Testmodus erstellt temporäre virtuelle Maschinen für Entwicklung, Tests, Überprüfung von Momentaufnahmen und Wiederherstellungstests nach einem Ausfall gemäß einem wiederholbaren Zeitplan, ohne Auswirkungen auf die Produktionsumgebungen. Testmaschinen laufen so lange, wie erforderlich, um Tests und Überprüfungen durchzuführen, und werden anschließend automatisch bereinigt. Durch die Isolation des Netzwerks können Sie eine sichere Umgebung schaffen, um Ihre Arbeiten durchzuführen, ohne die für die Produktion genutzten virtuellen Maschinen zu beeinträchtigen. Die in Testmodus erstellten virtuellen Maschinen verfügen über eindeutige Namen und Kennungen, um Konflikte in Ihrer Produktionsumgebung zu vermeiden. -3. __Klonmodus__: Der Klonmodus erstellt Kopien von virtuellen Maschinen für Anwendungsfälle, die dauerhafte oder langfristig laufende Kopien erfordern, beispielsweise zur Datenexploration oder zur Duplizierung einer Testumgebung in einem isolierten Netzwerk. Die in Klonmodus erstellten virtuellen Maschinen verfügen über eindeutige Namen und Identifikatoren, um Konflikte in Ihrer Produktionsumgebung zu vermeiden. Im Klonmodus müssen Sie besonders auf die Ressourcenverbrauch achten, da dieser Modus dauerhafte oder langfristig laufende Maschinen erstellt. +3. __Klonmodus__: Der Klonmodus erstellt Kopien von virtuellen Maschinen für Anwendungsfälle, die dauerhafte oder langfristig laufende Kopien erfordern, beispielsweise zur Datenexploration oder zur Duplizierung eines Testumfelds in einem isolierten Netzwerk. Die in Klonmodus erstellten virtuellen Maschinen verfügen über eindeutige Namen und Kennungen, um Konflikte in Ihrer Produktionsumgebung zu vermeiden. Im Klonmodus müssen Sie besonders auf die Ressourcenverbrauch achten, da dieser Modus dauerhafte oder langfristig laufende Maschinen erstellt. -__Die Wiederherstellung ist standardmäßig im Modus "TEST" konfiguriert, um die Produktion zu schützen__, und Sie können den Namen der wiederhergestellten VM angeben: +__Die Wiederherstellung ist standardmäßig im Modus "TEST" konfiguriert, um die Produktion zu schützen__, und Sie können den Namen der wiederhergestellten VM wählen: diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md index f8b2e03c..01bcf8c1 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md @@ -2,7 +2,7 @@ title: Tutorials --- -Diese Tutorien helfen Ihnen, die IaaS VMWare-Komponente über das Shiva-Portal zu nutzen und zu konfigurieren. +Diese Tutorien helfen Ihnen, die IaaS VMWare-Komponente über das Konsole-Portal zu nutzen und zu konfigurieren. ## Eine VMWare-VM verschlüsseln @@ -19,7 +19,7 @@ Diese Tutorien helfen Ihnen, die IaaS VMWare-Komponente über das Shiva-Portal z ## Schnittstelle -Nach der Anmeldung am Shiva-Webportal finden Sie im Menü __'IaaS'__, Untermenü __'Konfiguration'__ und dem Tab __'vCenters'__, Informationen darüber, ob die Verschlüsselung auf dem betreffenden vStack aktiviert ist. +Nach der Anmeldung am Konsole-Webportal finden Sie im Menü __'IaaS'__, Untermenü __'Konfiguration'__ und dem Tab __'vCenters'__, Informationen darüber, ob die Verschlüsselung auf dem betreffenden vStack aktiviert ist. ![](images/shiva_hsm_kms_000.png) diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md index 26a705ef..0e0b5ad4 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md @@ -1,5 +1,5 @@ --- -title: Bereitstellung aus einer Vorlage +title: Deployment from a Template tags: - iaas_vmware - tutorials @@ -8,40 +8,42 @@ import shivaCatalogsCharger from './images/shiva_catalogs_charger.png'; import shivaCatalogsAjout from './images/shiva_catalogs_ajout.png'; import shivaCatalogsDeployer from './images/shiva_catalogs_deployer.png'; -Dieser Leitfaden ermöglicht es Ihnen, innerhalb von 5 Minuten Ihre ersten Instanzen in der Trusted Cloud bereitzustellen. +This guide will enable you to deploy your first instances on the Cloud of Trust in less than 5 minutes. ## __Voraussetzungen__ -1. Ein Abonnement für das Cloud Temple-Angebot (IaaS-Abonnement). -2. Aktivierte Berechtigungen für den Objektziel __'IaaS'__ +1. Ein abonniertes Cloud Temple-Angebot (Unterzeichnung des IaaS-Angebots). +2. Aktivierte Berechtigungen für den Objekttreiber __'IaaS'__ -## Eine virtuelle Maschine aus einer Vorlage bereitstellen +## Deploy a virtual machine from a Template -Dieser Leitfaden zeigt Schritt für Schritt, wie Sie eine virtuelle Maschine aus einer Vorlage in der Shiva-Konsole bereitstellen. +This guide walks you through the steps to deploy a virtual machine from a Template in the Console. -Gehen Sie im Shiva-Portal zum Reiter "Trusted Cloud" und dann zu "Kataloge". Bevor Sie eine Vorlage bereitstellen können, muss diese in Ihrem privaten Katalog im Reiter "Mein Katalog" geladen sein. +In the Console portal, go to the **"Trusted Cloud"** tab, then **"Catalogs"**. Before you can deploy a Template, it must be uploaded to your private catalog, under the **"My Catalog"** tab. -Dafür haben Sie zwei Möglichkeiten: Entweder importieren Sie Ihre eigene Vorlage direkt in Ihren privaten Katalog oder Sie importieren ein Modell aus dem öffentlichen Katalog von Cloud Temple. +To do this, you have two options: +- Import your own Template directly into your private catalog, or +- Import a template from the public Cloud Temple catalog. -### Eine persönliche Vorlage in den privaten Katalog importieren +### Import a custom template into your private catalog -Klicken Sie im Reiter "Mein Katalog" auf "Dateien veröffentlichen". +In the "My catalog" tab, click on "Publish files". -Folgen Sie dann den Schritten zur Veröffentlichung der Vorlage, indem Sie ihren Namen und eine Beschreibung eingeben und den Speicherort in einer Bibliothek auswählen. +Then follow the template publishing steps by entering its name and description, and selecting its location within a library. -Die Vorlage muss dann in Ihrem privaten Katalog erscheinen. +The template should then appear in your private catalog. -### Eine Vorlage aus dem öffentlichen Katalog importieren +### Import template from public catalog -Klicken Sie im Reiter "Öffentlicher Katalog" auf die Schaltfläche "Zu meinem Katalog hinzufügen" der Vorlage Ihrer Wahl, um sie in Ihren privaten Katalog zu importieren. Diese muss dann in Ihrem privaten Katalog erscheinen. +In the "Public catalog" tab, click the "Add to my catalog" button of the desired template to import it into your private catalog. It should then appear in your private catalog. -### Die Vorlage bereitstellen +### Deploy Template -Sobald die Vorlage in Ihrem privaten Katalog importiert ist, können Sie sie bereitstellen, indem Sie auf "Bereitstellen" klicken. +After importing the template into your private catalog, you can deploy it by clicking on "Deploy". -Folgen Sie dann den verschiedenen Schritten zur Bereitstellung der Ressource, indem Sie ihren physischen Standort (Rechenzentrum, Cluster, Datenspeicher) und andere optionale Konfigurationsparameter auswählen. \ No newline at end of file +Then follow the various steps of resource deployment, selecting its physical location (datacenter, compute cluster, datastore) and other optional configuration parameters. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md index 64ada24a..58214501 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md @@ -1,5 +1,5 @@ --- -title: Verschlüsselung einer VMware-Virtuellen Maschine +title: Encrypt a VMware Virtual Machine tags: - iaas_vmware - tutorials @@ -10,41 +10,41 @@ import shivaHsmKms_002 from './images/shiva_hsm_kms_002.png' import shivaHsmKms_003 from './images/shiva_hsm_kms_003.png' import shivaHsmKms_004 from './images/shiva_hsm_kms_004.png' -Dieses Tutorial hilft Ihnen, eine IaaS VMWare virtuelle Maschine über das Shiva-Portal zu verschlüsseln. +This tutorial guides you through encrypting an IaaS VMware virtual machine from the Console portal. -### Voraussetzungen +### Prerequisites -1. **Schlüsselanbieter (HSM/KMS)** : - - Ein Schlüsselanbieter muss auf dem vStack konfiguriert sein. (Wenn kein Schlüsselanbieter konfiguriert ist, wenden Sie sich bitte über ein Ticket an den Support-Service.) - - Stellen Sie sicher, dass der Schlüsselanbieter ordnungsgemäß aktiviert ist. +1. **Key Provider (HSM/KMS)**: + - A key provider must be configured on the vStack. (If no key provider is configured, please contact support via a ticket.) + - Ensure the key provider is correctly activated. -2. **Status der virtuellen Maschine** : - - Die virtuelle Maschine muss ausgeschaltet sein. - - Die virtuelle Maschine darf sich nicht im 'Test'-SPP-Modus befinden. - - Die virtuelle Maschine darf nicht bereits verschlüsselt sein. - - Die virtuelle Maschine darf keine Snapshots haben. - - Die virtuelle Maschine darf nicht repliziert sein. +2. **Virtual Machine Status**: + - The virtual machine must be powered off. + - The virtual machine must not be in spp mode 'test'. + - The virtual machine must not already be encrypted. + - The virtual machine must not have any snapshots. + - The virtual machine must not be replicated. -### Benutzeroberfläche +### Schnittstelle -Sobald Sie mit dem Shiva-Webportal verbunden sind, finden Sie im Menü **'IaaS'**, Untermenü **'Konfiguration'** und dann auf der Registerkarte **'vCenters'** Informationen darüber, ob die Verschlüsselung auf dem betreffenden vStack aktiviert ist. +Nach der Anmeldung am Web-Portal Console finden Sie unter dem Menü **'IaaS'**, Untermenü **'Konfiguration'** und dem Tab **'vCenters'** Informationen darüber, ob die Verschlüsselung für die betreffende vStack aktiviert ist. -Gehen Sie dann zum Untermenü **'Virtuelle Maschinen'** und wählen Sie die Maschine aus, die Sie verschlüsseln möchten. +Wechseln Sie anschließend zum Untermenü **'Virtuelle Maschinen'** und wählen Sie die virtuelle Maschine aus, die Sie verschlüsseln möchten. -In den allgemeinen Informationen der virtuellen Maschine finden Sie Informationen darüber, ob die Maschine bereits verschlüsselt ist oder nicht. +In den allgemeinen Informationen zur virtuellen Maschine finden Sie Hinweise, ob die Maschine bereits verschlüsselt ist oder nicht. -Wenn die virtuelle Maschine die Voraussetzungen erfüllt, können Sie mit dem Verfahren fortfahren, indem Sie auf die Schaltfläche mit dem Vorhängeschloss-Logo in der Symbolleiste klicken, die **'Virtuelle Maschine verschlüsseln'** anzeigt. +Wenn die virtuelle Maschine die Voraussetzungen erfüllt, können Sie die Prozedur fortsetzen, indem Sie auf die Schaltfläche mit dem Schloss-Symbol in der Werkzeugleiste klicken, die mit **'Virtuelle Maschine verschlüsseln'** beschriftet ist. -Ein Bestätigungsfenster wird angezeigt, wählen Sie Verschlüsseln. +Es erscheint ein Bestätigungsdialogfeld. Wählen Sie **'Verschlüsseln'**. -Sobald die Aktion abgeschlossen ist, sollten Sie sehen, dass sich die Information geändert hat und anzeigt, dass Ihre Maschine verschlüsselt ist. +Nach Abschluss der Aktion sollten Sie die aktualisierte Information sehen, die Ihnen mitteilt, dass Ihre Maschine nun verschlüsselt ist. - + \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/llmaas/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/llmaas/concepts.md index e3fcbabe..cbb01732 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/llmaas/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/llmaas/concepts.md @@ -3,19 +3,19 @@ title: Konzepte sidebar_position: 3 --- -# Concepts and Architecture of LLMaaS +# Konzepte und Architektur von LLMaaS -## Overview +## Überblick -The **LLMaaS** (Large Language Models as a Service) service by Cloud Temple provides secure and sovereign access to the most advanced artificial intelligence models, with the **SecNumCloud certification** from ANSSI. +Der Dienst **LLMaaS** (Large Language Models as a Service) von Cloud Temple bietet einen sicheren und souveränen Zugang zu den fortschrittlichsten Modellen der künstlichen Intelligenz, mit der **SecNumCloud-Zertifizierung** der ANSSI. ## 🏗️ Technische Architektur -### Cloud Infrastructure Temple +### Cloud Temple-Infrastruktur import ArchitectureLLMaaS from './images/llmaas_architecture_001.png'; -Technical Architecture of LLMaaS Cloud Temple +Technische Architektur von LLMaaS Cloud Temple ### Hauptkomponenten @@ -25,31 +25,31 @@ import ArchitectureLLMaaS from './images/llmaas_architecture_001.png'; - **Load Balancing** : Intelligente Verteilung auf 12 GPU-Server - **Monitoring** : Echtzeit-Metriken und Alarmierung -#### 2. **Authentication Service** -- **Secure API Tokens**: Automatic rotation -- **Access Control**: Granular permissions per model -- **Audit Trails**: Full access traceability +#### 2. **Authentifizierungsdienst** +- **Sichere API-Token**: Automatische Rotation +- **Zugriffskontrolle**: Granulare Berechtigungen pro Modell +- **Audit-Trails**: Vollständige Rückverfolgbarkeit der Zugriffe -## 🤖 Models and Tokens +## 🤖 Modelle und Token -### Model Catalog +### Modellkatalog -*Complete catalog: [List of models](./models)* +*Vollständiger Katalog: [Liste der Modelle](./models)* -### Token Management +### Token-Verwaltung -#### **Token Types** -- **Input Tokens**: Your prompt and context -- **Output Tokens**: Response generated by the model -- **System Tokens**: Metadata and instructions +#### **Token-Typen** +- **Eingabe-Token**: Ihr Prompt und der Kontext +- **Ausgabe-Token**: Vom Modell generierte Antwort +- **System-Token**: Metadaten und Anweisungen -#### **Cost Calculation** +#### **Kostenberechnung** ``` -Total cost = (Input tokens × 0.9€/M) + (Output tokens × 4€/M) + (Reasoning output tokens × 21€/M) +Gesamtkosten = (Eingabe-Token × 0,9€/M) + (Ausgabe-Token × 4€/M) + (Reasoning-Ausgabe-Token × 21€/M) ``` #### **Optimierung** -- **Contextfenster**: Wiederverwenden Sie Gespräche, um Kosten zu sparen +- **Kontextfenster**: Wiederverwenden Sie Gespräche, um Kosten zu sparen - **Passende Modelle**: Wählen Sie die Größe entsprechend der Komplexität - **Maximale Tokens**: Begrenzen Sie die Länge der Antworten @@ -69,72 +69,72 @@ total_cost = (estimated_input * 0.9 + response_max * 4) / 1_000_000 print(f"Geschätzter Kostenbetrag: {total_cost:.6f}€") ``` -## 🔒 Security and Compliance +## 🔒 Sicherheit und Compliance -### SecNumCloud Qualification +### SecNumCloud-Qualifizierung -The LLMaaS service is hosted on a technical infrastructure that holds the **SecNumCloud 3.2 qualification** from ANSSI, ensuring: +Der LLMaaS-Dienst wird auf einer technischen Infrastruktur gehostet, die die **SecNumCloud 3.2-Qualifizierung** der ANSSI besitzt, was Folgendes garantiert: -#### **Data Protection** -- **End-to-end Encryption**: TLS 1.3 for all communications -- **Secure Storage**: Data encrypted at rest (AES-256) -- **Isolation**: Dedicated environments per tenant +#### **Datenschutz** +- **End-zu-End-Verschlüsselung**: TLS 1.3 für alle Kommunikationen +- **Sichere Speicherung**: Daten im Ruhezustand verschlüsselt (AES-256) +- **Isolierung**: Dedizierte Umgebungen pro Mandant -#### **Digital Sovereignty** -- **Hosting in France**: Cloud Temple data centers with certifications -- **French Law**: Native GDPR compliance -- **No Exposure**: No data transfers to foreign clouds +#### **Digitale Souveränität** +- **Hosting in Frankreich**: Zertifizierte Cloud Temple-Rechenzentren +- **Französisches Recht**: Native DSGVO-Konformität +- **Keine Exposition**: Keine Datentransfers in ausländische Clouds -#### **Audit and Traceability** -- **Complete logs**: All interactions tracked -- **Retention**: Stored according to legal policies -- **Compliance**: Audit reports available +#### **Audit und Rückverfolgbarkeit** +- **Vollständige Protokolle**: Alle Interaktionen werden verfolgt +- **Aufbewahrung**: Speicherung gemäß gesetzlichen Richtlinien +- **Compliance**: Audit-Berichte verfügbar -### Security Controls +### Sicherheitskontrollen import SecurityControls from './images/llmaas_security_002.png'; -Security Controls LLMaaS +Sicherheitskontrollen LLMaaS -### Prompt Security +### Prompt-Sicherheit -Prompt analysis is a **native and integrated** security feature of the LLMaaS platform. Enabled by default, it aims to detect and prevent attempts at "jailbreaking" or injecting malicious prompts before they even reach the model. This protection is based on a multi-layered approach. +Die Prompt-Analyse ist eine **native und integrierte** Sicherheitsfunktion der LLMaaS-Plattform. Sie ist standardmäßig aktiviert und zielt darauf ab, Versuche von "Jailbreaking" oder Injektion bösartiger Prompts zu erkennen und zu verhindern, bevor sie das Modell überhaupt erreichen. Dieser Schutz basiert auf einem mehrschichtigen Ansatz. -:::tip Contact Support for Disabling -It is possible to disable this security analysis for very specific use cases, although this is not recommended. For any questions regarding this or to request deactivation, please contact Cloud Temple support. +:::tip Support kontaktieren zur Deaktivierung +Es ist möglich, diese Sicherheitsanalyse für sehr spezifische Anwendungsfälle zu deaktivieren, obwohl dies nicht empfohlen wird. Bei Fragen dazu oder zur Beantragung der Deaktivierung wenden Sie sich bitte an den Cloud Temple-Support. ::: -#### 1. Structural Analysis (`check_structure`) -- **Malformed JSON detection**: The system checks whether the prompt starts with a `{` and attempts to parse it as JSON. If parsing succeeds and the JSON contains suspicious keywords (e.g., "system", "bypass"), or if parsing fails unexpectedly, this may indicate an injection attempt. -- **Unicode normalization**: The prompt is normalized using `unicodedata.normalize('NFKC', prompt)`. If the original prompt differs from its normalized version, this may indicate the use of deceptive Unicode characters (homoglyphs) to bypass filters. For example, "аdmin" (Cyrillic) instead of "admin" (Latin). +#### 1. Strukturelle Analyse (`check_structure`) +- **Überprüfung auf fehlerhaftes JSON**: Das System prüft, ob der Prompt mit einem `{` beginnt und versucht, ihn als JSON zu parsen. Wenn der Parsevorgang erfolgreich ist und der JSON verdächtige Schlüsselwörter enthält (z. B. "system", "bypass"), oder wenn der Parsevorgang unerwartet fehlschlägt, kann dies auf eine Injektionsversuch hinweisen. +- **Unicode-Normalisierung**: Der Prompt wird mittels `unicodedata.normalize('NFKC', prompt)` normalisiert. Wenn sich der ursprüngliche Prompt von seiner normalisierten Version unterscheidet, kann dies auf die Verwendung von täuschenden Unicode-Zeichen (Homoglyphen) hindeuten, um Filter zu umgehen. Beispielsweise "аdmin" (kyrillisch) anstelle von "admin" (lateinisch). -#### 2. Detection von verdächtigen Mustern (`check_patterns`) +#### 2. Erkennung verdächtiger Muster (`check_patterns`) - Das System verwendet reguläre Ausdrücke (`regex`), um bekannte Angriffsmuster bei Prompt-Attacken zu erkennen, und zwar in mehreren Sprachen (Französisch, Englisch, Chinesisch, Japanisch). - **Beispiele für erkannte Muster**: - **Systembefehle**: Schlüsselwörter wie „ignore the instructions“, „ignore instructions“, „忽略指令“, „指示を無視“. - - **HTML-Injektion**: Versteckte oder schädliche HTML-Tags, beispielsweise `
`, ``. - - **Markdown-Injektion**: Schädliche Markdown-Links, beispielsweise `[texte](javascript:...)`, `[text](data:...)`. - - **Wiederholte Sequenzen**: Übermäßige Wiederholung von Wörtern oder Sätzen wie „oublie oublie oublie“, „forget forget forget“. - - **Spezielle/Sonderzeichen/Mischformen**: Verwendung ungewöhnlicher Unicode-Zeichen oder das Mischen von Schriftsystemen, um Befehle zu verschleiern (z. B. „s\u0443stème“). + - **HTML-Injektion**: Versteckte oder schädliche HTML-Tags, beispielsweise `

- Entdecken Sie das Adressierungsschema, die Ingress-Controller und erfahren Sie, wie Sie Ihre Dienste sicher verfügbar machen. + Erfahren Sie mehr über das Adressierungsschema, die Ingress-Controller und die sichere Bereitstellung Ihrer Dienste.

@@ -111,7 +112,7 @@ Einige Aktionen sind **nicht erlaubt**:

- Lernen Sie, wie Sie mit Capsule Tenants erstellen und Berechtigungen für Ihre Teams delegieren. + Lernen Sie, wie Sie mit Capsule Tenants erstellen und Berechtigungen für Ihre Teams delegieren können.

diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/gapi.png b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/gapi.png new file mode 100644 index 00000000..49e59818 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/gapi.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencost.png b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencost.png new file mode 100644 index 00000000..d845e487 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencost.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp.png b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp.png new file mode 100644 index 00000000..a73ef003 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp2.png b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp2.png new file mode 100644 index 00000000..04b4e033 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp2.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp3.png b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp3.png new file mode 100644 index 00000000..33a02426 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/images/opencostmcp3.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/networking.md b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/networking.md index 04d5825d..5a1061ec 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/networking.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/networking.md @@ -11,10 +11,10 @@ import cillium from './images/cillium.png' Dieser Leitfaden soll Sie mit den grundlegenden Netzwerkkonzepten des Angebots **Managed Kubernetes** vertraut machen. Am Ende dieses Leitfadens können Sie: - Den IP-Adressraum Ihres Clusters (Knoten, Pods, Services) verstehen. -- Die verschiedenen Mechanismen kennen, um Ihre Anwendungen verfügbar zu machen (Ingress, LoadBalancer). +- Die verschiedenen Mechanismen kennen, um Ihre Anwendungen zugänglich zu machen (Ingress, LoadBalancer). - Netzwerkflüsse und Sicherheitsrichtlinien mit Hubble visualisieren. -Als **Beispiel** verwenden wir einen Cluster namens **"ctodev"**, dessen zugeordneter Bereich **10.20.0.0/22** ist. +Als **Beispiel** dient ein Cluster namens **"ctodev"**, dessen zugeordneter Bereich **10.20.0.0/22** ist. :::warning Definition der IP-Bereiche Der private IP-Bereich X.Y.Z.0/22 (RFC 1918) wird beim Einrichten des Clusters mit dem Kunden festgelegt und kann später nicht mehr geändert werden. @@ -22,15 +22,15 @@ Als **Beispiel** verwenden wir einen Cluster namens **"ctodev"**, dessen zugeord ## IP Addressing Plan -Your Managed Kubernetes cluster is equipped with a multi-zone VLAN with an IPv4 address range of /22. +Your Managed Kubernetes cluster is provisioned with a multi-zone VLAN using an IPv4 address range of /22. The **example** range 10.20.0.0/22 is logically divided into sub-ranges. - - 10.20.0.0/24 is assigned to cluster Nodes: + - 10.20.0.0/24 is allocated to cluster Nodes: - - 10.20.0.10 : ctodev-gitrunner (the machine that manages the infrastructure) + - 10.20.0.10 : ctodev-gitrunner (the machine managing the infrastructure) - - 10.20.0.20 : virtual IP (load-balanced) for the Kubernetes API service + - 10.20.0.20 : Virtual IP (load-balanced) for the Kubernetes API service - 10.20.0.21 : ctodev-cp-01 (control plane 01) - 10.20.0.22 : ctodev-cp-02 (control plane 02) - 10.20.0.23 : ctodev-cp-03 (control plane 03) @@ -59,7 +59,7 @@ The **example** range 10.20.0.0/22 is logically divided into sub-ranges. - Services: 10.95.0.0/12 :::warning Pod and Service Ranges -The Pod and Service ranges are defined with the client during cluster setup and cannot be modified afterward. +The Pod and Service ranges are defined during cluster setup with the client and cannot be modified afterward. ::: ## Using MetalLB @@ -114,7 +114,7 @@ spec: ## Public IPs -Your Managed Kubernetes cluster was delivered with 2 public IPv4 addresses by default. +Your Managed Kubernetes cluster was initially delivered with 2 public IPv4 addresses. The first IP is used on port 6443 for the Kubernetes API (in our example: ctodev.mk.ms-cloud-temple.com:6443). @@ -125,7 +125,7 @@ The second public IP is NATed to the ingress controller *"nginx-external"* on po Applications exposed via the ingress class *"nginx-external"* will therefore be directly accessible from the internet using this IP. -*If you wish to modify the firewall rules (add/remove allowed IPs), you must submit a support request.* +*If you wish to modify firewall rules (add/remove allowed IPs), you must submit a support request.* *It is possible to add additional public IPs if desired.* @@ -138,7 +138,7 @@ Für den internen DNS (CoreDNS) hat der Cluster folgende Einstellungen: Dieser interne Domain-Name ist entscheidend für die Kommunikation zwischen Services innerhalb des Clusters. Er ermöglicht es einer Anwendung, eine andere Anwendung über einfach nur ihren Kubernetes-Service-Namen aufzurufen, ohne die interne IP-Adresse kennen zu müssen. -Beispielsweise ist ein Service namens `api-backend` im Namespace `production` automatisch über die Adresse `api-backend.production.svc.ctodev-cluster.local` auflösbar. +Beispiel: Ein Service namens `api-backend` im Namespace `production` ist automatisch über die Adresse `api-backend.production.svc.ctodev-cluster.local` auflösbar. --- @@ -149,7 +149,7 @@ Wenn Sie eine Anwendung mit dieser Ingress-Klasse bereitstellen, können Sie dar ## Hubble: Network Observability within Reach -Hubble is a graphical and command-line interface to visualize and understand network traffic flows within your cluster. Built on Cilium, it provides real-time, detailed mapping of services, dependencies, and network policies. +Hubble is a graphical and command-line interface to visualize and understand network traffic flows in your cluster. Built on Cilium, it provides real-time, detailed mapping of services, dependencies, and network policies. With Hubble, you can: - **Visualize traffic flows** between your pods and services. @@ -159,9 +159,9 @@ With Hubble, you can: ### Access the Hubble Interface -The Hubble graphical interface is exposed via an internal URL of your cluster. Access is not possible through `kubectl port-forwarding` because users do not have sufficient permissions on the `kube-system` namespace. +The Hubble graphical interface is exposed via an internal URL of your cluster. Access is not possible through `kubectl port-forward` because users do not have sufficient permissions on the `kube-system` namespace. -To access it, you must be connected to the cluster's internal network (for example, via a bastion host or a VPN). Use the following URL: +To access it, you must be connected to the cluster's internal network (e.g., via a bastion host or VPN). Use the following URL: `http://hubble.internal..mk.ms-cloud-temple.com` @@ -175,9 +175,9 @@ kubectl get ingress hubble-ui -n kube-system ### Erstellung interner DNS-Zonen (privater Cluster) -Um die Sicherheit zu erhöhen und den Zugriff auf Ihre Dienste sowie die Kubernetes-API von Ihrem internen Netzwerk aus zu vereinfachen, wird empfohlen, eine interne DNS-Zone zu erstellen. Diese Zone ermöglicht die Auflösung der Domänennamen Ihrer Ingress-Ressourcen sowie der Kubernetes-API auf ihre jeweiligen privaten IP-Adressen und verhindert so den Datenverkehr über öffentliche Netzwerke. +Um die Sicherheit zu erhöhen und den Zugriff auf Ihre Dienste sowie die Kubernetes-API von Ihrem internen Netzwerk aus zu vereinfachen, wird empfohlen, eine interne DNS-Zone zu erstellen. Diese Zone ermöglicht die Auflösung der Domänennamen Ihrer Ingress-Ressourcen und der Kubernetes-API auf ihre jeweiligen privaten IP-Adressen, wodurch der Datenverkehr nicht mehr über öffentliche Netzwerke geleitet werden muss. -**Beispielkonfiguration für unseren Cluster „ctodev“ mit dem zugewiesenen Bereich 10.20.0.0/22:** +**Beispielkonfiguration für unseren Cluster „ctodev“, dessen zugewiesener Bereich 10.20.0.0/22 ist:** Basierend auf den URLs im Schnellstartleitfaden können Sie Ihre interne DNS-Konfiguration wie folgt einrichten: @@ -197,9 +197,10 @@ Basierend auf den URLs im Schnellstartleitfaden können Sie Ihre interne DNS-Kon - `k10.external-secured -> 10.20.1.129` - `grafana.external-secured -> 10.20.1.129` - `harbor.external-secured -> 10.20.1.129` - - `kubecost.external-secured -> 10.20.1.129` + - `opencost.external-secured -> 10.20.1.129` + - `opencost-mcp.external-secured -> 10.20.1.129` -Diese Konfiguration stellt sicher, dass der Datenverkehr zu API und internen Diensten innerhalb Ihres privaten Netzwerks bleibt und den besten Sicherheitspraktiken entspricht. +Diese Konfiguration stellt sicher, dass der Datenverkehr zu API und internen Diensten innerhalb Ihres privaten Netzwerks bleibt und den Sicherheitsbest Practices entspricht.
@@ -219,6 +220,6 @@ Diese Konfiguration stellt sicher, dass der Datenverkehr zu API und internen Die Dieses Dokument erläutert grundlegende Netzwerkkonzepte. Für einen Produktionsbetrieb ist es entscheidend, zusätzliche Sicherheitsmaßnahmen zu ergreifen: - **Verwenden Sie sichere Images**: Verwenden Sie bevorzugt Images aus Ihrem sicheren Unternehmens-Registry wie **Harbor**, anstatt öffentliche Images. -- **Steuern Sie Netzwerkflüsse**: Implementieren Sie `NetworkPolicies`, um den Datenverkehr auf nur die für Ihre Anwendungen erforderlichen Kommunikationswege zu beschränken. -- **Wenden Sie Governance-Politiken an**: Nutzen Sie Tools wie **Kyverno**, um Sicherheitsregeln durchzusetzen (z. B. Verbote von „root“-Containern, Anforderung von Ressourcenanforderungen und -Grenzen). +- **Kontrollieren Sie Netzwerkflüsse**: Setzen Sie `NetworkPolicies` ein, um Kommunikationen auf nur die erforderlichen Datenströme zwischen Ihren Anwendungen zu beschränken. +- **Implementieren Sie Governance-Politiken**: Nutzen Sie Tools wie **Kyverno**, um Sicherheitsregeln durchzusetzen (z. B. Verbote von „root“-Containern, Pflicht zur Angabe von `requests` und `limits` für Ressourcen usw.). ::: \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingcapsule.md b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingcapsule.md index 4a802bfb..afee97cc 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingcapsule.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingcapsule.md @@ -1,5 +1,5 @@ --- -title: Permissions mit Capsule verwalten +title: Manage Permissions with Capsule --- ## Ziele @@ -17,7 +17,7 @@ Capsule is a Kubernetes controller that introduces the concept of **Tenant** to Upon delivery of your cluster, the Cloud Temple teams have created a first Tenant for you and appointed you as its **Tenant Owner**. :::tip -By default, your first Tenant is called `default`, and the owner service account is `defaultapp`. +By default, your first Tenant is named `default`, and the owner service account is `defaultapp`. ::: For more information about the project, you can visit the [official Capsule website](https://projectcapsule.dev/). @@ -26,7 +26,7 @@ For more information about the project, you can visit the [official Capsule webs As a `Tenant Owner`, you do not have the permissions to list the `Tenant` resource directly. The name of your Tenant is provided to you by the Cloud Temple teams during service delivery. -If you have forgotten your Tenant name, you can retrieve it by inspecting the labels of the Namespaces you have access to. The following command lists all namespaces that are attached to a Capsule Tenant and displays their labels: +If you have forgotten your Tenant name, you can retrieve it by inspecting the labels of the Namespaces you have access to. The following command lists all namespaces that are associated with a Capsule Tenant and displays their labels: ```bash kubectl get ns -l capsule.clastix.io/tenant --show-labels @@ -74,8 +74,12 @@ One of the greatest advantages of Capsule is that all security policies, resourc This ensures your projects adhere to consumption limits (CPU, memory, storage) and security rules (such as default network policies or security constraints defined by **Kyverno**) set for your environment, without needing to reconfigure them for each Namespace. +:::info +Specific quotas have been set on your Capsule Tenant to limit the use of persistent storage (Ceph-Block and Ceph-FileSystem) to the total available space within the cluster. If you need to modify these quotas for a specific project, please submit a request to Cloud Temple support. +::: + ## Schlussfolgerung -Mit Capsule verfügen Sie über vollständige Autonomie zur Verwaltung der Namespaces Ihrer Teams, gleichzeitig profitieren Sie von einem sicheren und vorab konfigurierten Rahmen, der von den Cluster-Administratoren bereitgestellt wird. Sie können Namespaces beliebig erstellen, ändern und löschen, wobei die erforderlichen Sicherheitsmaßnahmen automatisch angewendet werden. +Mit Capsule verfügen Sie über vollständige Autonomie zur Verwaltung der Namespaces Ihrer Teams, während Sie gleichzeitig einen sicheren und vorab konfigurierten Rahmen durch die Cluster-Administratoren nutzen. Sie können Namespaces beliebig erstellen, ändern und löschen, wobei die erforderlichen Sicherheitsmaßnahmen automatisch angewendet werden. Wenn Sie einen neuen Tenant erstellen müssen, um einen weiteren Satz von Projekten oder Teams zu isolieren, können Sie dies beim Cloud Temple-Support beantragen. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usinggapi.md b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usinggapi.md new file mode 100644 index 00000000..af05dd03 --- /dev/null +++ b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usinggapi.md @@ -0,0 +1,226 @@ +--- +title: Cilium Gateway API verwenden +--- + +import gapischema from './images/gapi.png' + +## Introduction + +The API Gateway is the new Kubernetes standard for managing incoming traffic. It replaces the traditional Ingress resource by offering greater flexibility, advanced features (such as advanced routing, load balancing, etc.), and improved separation of responsibilities. + +In your Managed Kubernetes Cloud Temple cluster, **Cilium** is used as the CNI and natively implements support for the Gateway API. + +:::info Supported versions +This documentation applies to clusters using **Cilium 1.8.4 or later**. +The **Gateway API CRDs in version 1.4** are pre-installed on your cluster. +::: + +## Ziele + +Dieser Leitfaden führt Sie Schritt für Schritt durch: + +- Verständnis der grundlegenden Ressourcen der Gateway API (GatewayClass, Gateway, HTTPRoute). +- Bereitstellung einer Testanwendung. +- Exponieren dieser Anwendung über eine Cilium-Gateway. +- Testen des Zugriffs. + +## Voraussetzungen + +- Ein funktionsfähiger Managed Kubernetes-Cluster von Cloud Temple. +- Das Tool `kubectl` ist konfiguriert, um auf Ihren Cluster zuzugreifen. +- Das Tool `cilium`. + +## Key Concepts + +Gateway API breaks down network configuration into three main resources: + +1. **GatewayClass**: Defines the type of controller (here, `io.cilium/gateway`). +2. **Gateway**: Instantiates a network entry point (load balancer). +3. **HTTPRoute**: Defines routing rules (paths, headers) to Kubernetes Services. + +Schema GAPI + +## Step 1: Check Version and GatewayClass + +You can verify that your cluster is using a compatible version of Cilium (1.8.4+) using the following commands: + +```bash +cilium status +cilium config view | grep -w "enable-gateway-api" +``` + +Next, ensure that the Cilium `GatewayClass` is available in your cluster: + +```bash +kubectl get gatewayclass +``` + +You should see output similar to: + +```text +NAME CONTROLLER ACCEPTED AGE +cilium io.cilium/gateway True 2d +``` + +:::info Note +If no GatewayClass is listed, make sure the Gateway API feature is enabled in your Cilium installation. +::: + +## Step 2: Deploy a demonstration application + +We will deploy a simple application that returns information about the pod (echo-server). + +Create a file `apps.yaml`: + +```yaml +apiVersion: apps/v1 +kind: Deployment +metadata: + name: echo-server + labels: + app: echo-server +spec: + replicas: 2 + selector: + matchLabels: + app: echo-server + template: + metadata: + labels: + app: echo-server + spec: + containers: + - name: echo-server + image: ealen/echo-server:latest + ports: + - containerPort: 80 +--- +apiVersion: v1 +kind: Service +metadata: + name: echo-service + labels: + app: echo-server +spec: + selector: + app: echo-server + ports: + - port: 80 + targetPort: 80 +``` + +Apply the configuration: + +```bash +kubectl apply -f apps.yaml +``` + +## Step 3: Create the Gateway + +The Gateway will request the creation of a LoadBalancer to receive traffic. + +Create a file `gateway.yaml`: + +```yaml +apiVersion: gateway.networking.k8s.io/v1 +kind: Gateway +metadata: + name: my-gateway +spec: + gatewayClassName: cilium + listeners: + - protocol: HTTP + port: 80 + name: web-gw + allowedRoutes: + namespaces: + from: Same +``` + +Apply the configuration: + +```bash +kubectl apply -f gateway.yaml +``` + +Check that the Gateway has obtained an IP address (this may take a few moments while the LoadBalancer is provisioned by the Temple Cloud infrastructure): + +```bash +kubectl get gateway my-gateway +``` + +Wait until the `PROGRAMMED` field is `True` and the `ADDRESS` field displays an IP. + +## Step 4: Create an HTTPRoute + +Now that we have a "gateway", we need to route traffic to our service. + +Create a file named `httproute.yaml`: + +```yaml +apiVersion: gateway.networking.k8s.io/v1 +kind: HTTPRoute +metadata: + name: echo-route +spec: + parentRefs: + - name: my-gateway + rules: + - matches: + - path: + type: PathPrefix + value: / + backendRefs: + - name: echo-service + port: 80 +``` + +Apply the configuration: + +```bash +kubectl apply -f httproute.yaml +``` + +## Step 5: Test the access + +Retrieve the IP address of your Gateway: + +```bash +kubectl get gateway my-gateway -o jsonpath='{.status.addresses[0].value}' +``` + +Send a request to this IP address to test the connection: + +```bash +curl http://10.200.205.2 +``` + +You should receive a JSON response from the `echo-server` application indicating the details of the pod that responded. + +## Advanced Features (Example: Canary Release) + +Gateway API greatly simplifies advanced deployment scenarios, such as Canary Releases (weighted traffic distribution). + +Assume we have a v2 version of our application. We can route 90% of the traffic to v1 and 10% to v2 simply by adjusting the weights in `backendRefs`: + +```yaml +apiVersion: gateway.networking.k8s.io/v1 +kind: HTTPRoute +metadata: + name: echo-route-canary +spec: + parentRefs: + - name: my-gateway + rules: + - backendRefs: + - name: echo-service + port: 80 + weight: 90 + - name: echo-service-v2 + port: 80 + weight: 10 +``` + +## Schlussfolgerung + +Sie haben eine moderne Infrastruktur zur Bereitstellung von Diensten mit der Cilium Gateway API eingerichtet. Dieser standardisierte Ansatz, der semantisch reichhaltiger als Ingress ist, wird empfohlen, um die erweiterten Funktionen des Kubernetes-Netzwerks optimal nutzen zu können. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingharbor.md b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingharbor.md index b54d136e..b2f7aa90 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingharbor.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingharbor.md @@ -1,44 +1,44 @@ --- -title: Harbor nutzen +title: Harbor verwenden --- -Harbor ist eine OCI-Artefakt-Registry (Container-Images, Helm-Charts, SBOMs, Signaturen usw.), die eine detaillierte Projektverwaltung, Zugriffskontrolle, Schwachstellen-Scans, Aufbewahrungsrichtlinien und Signaturverwaltung bietet. Dieser Leitfaden erklärt, wie Sie Harbor mit Cloud Temple Managed Kubernetes nutzen können, von der Verbindung zur Registry bis zur Integration in Ihre Kubernetes-Deployments und CI/CD-Pipelines. +Harbor ist ein OCI-Artifact-Registry (Containerimages, Helm-Charts, SBOMs, Signaturen usw.), die eine fein abgestimmte Projektverwaltung, Zugriffssteuerung, Vulnerabilitätsscans, Retentionsrichtlinien und Signaturverwaltung bietet. Dieser Leitfaden erklärt, wie Sie Harbor mit Cloud Temple Managed Kubernetes verwenden, von der Verbindung zur Registry bis hin zur Integration in Ihre Kubernetes-Deployment und CI/CD-Pipelines. :::note -Ersetzen Sie in diesem Leitfaden die folgenden Variablen durch Ihre Werte: +Ersetzen Sie in diesem Leitfaden die folgenden Variablen durch Ihre eigenen Werte: -- ``: Ihr Cluster-Code (z. B.: `ctodev`) -- ``: öffentliche Harbor-URL, aufgebaut wie folgt: `harbor.external-secured..mk.ms-cloud-temple.com` (z. B.: `harbor.external-secured.ctodev.mk.ms-cloud-temple.com`) +- ``: Cluster-Code (z. B. `ctodev`) +- ``: Öffentliche Harbor-URL, die wie folgt aufgebaut ist: `harbor.external-secured..mk.ms-cloud-temple.com` (z. B. `harbor.external-secured.ctodev.mk.ms-cloud-temple.com`) - ``: Name Ihres Harbor-Projekts - ``: Ziel-Kubernetes-Namespace -- `` / ``: Anmeldedaten eines Harbor-Roboterkontos +- `` / ``: Anmeldeinformationen eines Harbor-Robot-Accounts ::: ## Voraussetzungen -- Zugriff auf die Konsole und den Managed Kubernetes-Dienst -- Ein bestehendes Harbor-Projekt (oder Rechte, eines zu erstellen) +- Zugriff auf die Console und den Managed Kubernetes-Service +- Ein vorhandenes Harbor-Projekt (oder Berechtigungen zum Erstellen eines neuen) - Lokal installierte Tools: - Docker oder Podman - kubectl (auf Ihrem Cluster konfiguriert) - - Helm v3.8+ (OCI-Support) + - Helm v3.8+ (OCI-Unterstützung) - Optional: `cosign` für Image-Signaturen -- Ausgehender Netzwerkzugriff auf `` über HTTPS (443) -- Kein zusätzliches Zertifikat erforderlich: Das TLS-Zertifikat von Harbor ist öffentlich und anerkannt +- Ausgehender Netzwerkzugriff auf `` über HTTPS (Port 443) +- Keine zusätzlichen Zertifikate erforderlich: Das TLS-Zertifikat von Harbor ist öffentlich und allgemein anerkannt -## Wichtige Konzepte +## Grundlegende Konzepte -- Projekt: logischer Raum (öffentlich oder privat), der Repositories enthält. +- Projekt: logischer Bereich (öffentlich oder privat), der Repositories enthält. - Repository: Sammlung von Tags für ein bestimmtes Image (`/app-web:1.0.0`). -- Roboterkonten: technische Identitäten mit eingeschränkten Rechten, bestimmt für CI/CD. -- Schwachstellen-Scans: automatische Analyse (z. B. Trivy) beim Upload und auf Abruf. -- Richtlinien: Unveränderlichkeit von Tags, Aufbewahrung, Sicherheitsregeln. -- OCI-Artefakte: Images, Helm-Charts (OCI), SBOM, Signaturen. +- Robot-Konten: technische Identitäten mit eingeschränkten Berechtigungen, vorgesehen für CI/CD. +- Sicherheitsüberprüfungen: automatisierte Analyse (z. B. Trivy) beim Hochladen und auf Anfrage. +- Richtlinien: Unveränderlichkeit von Tags, Aufbewahrungsdauer, Sicherheitsregeln. +- OCI-Artefakte: Images, Helm-Charts (OCI), SBOMs, Signaturen. -## Verbindung zur Registry (Docker / Podman) +## Verbindung zur Registry herstellen (Docker / Podman) -Bevorzugen Sie ein **Roboterkonto**, das dem Projekt für CI/CD-Operationen zugeordnet ist. +Bevorzugen Sie ein **Robot-Konto**, das mit dem Projekt verknüpft ist, für CI/CD-Operationen. ```bash # Docker @@ -48,26 +48,26 @@ docker login podman login ``` -- Benutzer: `` (z. B.: `robot$meinprojekt+pusher`) +- User: `` (z. B. `robot$meinprojekt+pusher`) - Passwort: `` :::tip Zertifikate -Die von Cloud Temple verwaltete Harbor-Instanz verfügt über ein anerkanntes öffentliches Zertifikat. Normalerweise ist keine zusätzliche CA-Konfiguration in Docker oder Podman erforderlich. +Die von Cloud Temple betriebene Harbor-Instanz verwendet ein öffentlich anerkanntes Zertifikat. Eine zusätzliche CA-Konfiguration ist in Docker oder Podman normalerweise nicht erforderlich. ::: ## Ein Projekt erstellen -Über die Harbor-Benutzeroberfläche: +Über die Harbor-UI: -- Projects > New Project -- Name: ``, Sichtbarkeit: Private (empfohlen) -- Optionen: Unveränderlichkeit von Tags aktivieren, Auto-Scan beim Push usw. +- Projekte > Neues Projekt +- Name: ``, Sichtbarkeit: Privat (empfohlen) +- Optionen: Tag-Unveränderlichkeit aktivieren, Auto-Scan bei Push, usw. :::info Best Practices -- Ein Projekt pro Anwendung oder funktionalem Bereich. +- Ein Projekt pro Anwendung oder Funktionsbereich. - Rollen einschränken (Maintainer, Developer, Guest). -- Auto-Scan und Aufbewahrungsrichtlinien aktivieren. +- Automatische Scans und Aufbewahrungsrichtlinien aktivieren. ::: @@ -76,26 +76,26 @@ Die von Cloud Temple verwaltete Harbor-Instanz verfügt über ein anerkanntes ö Beispiel mit Docker: ```bash -# Lokal bauen +# Lokales Erstellen docker build -t app-web:1.0.0 . -# Tag für Harbor +# Tag to Harbor docker tag app-web:1.0.0 //app-web:1.0.0 -# Pushen +# Push docker push //app-web:1.0.0 ``` -Empfohlene Organisation: +Empfohlene Struktur: -- `/:` (z. B.: `payments/api:2.3.4`) -- Unveränderlichkeit von Tags zur Vermeidung von Überschreibungen +- `/:` (z. B. `payments/api:2.3.4`) +- Unveränderlichkeit der Tags, um Überschreibungen zu vermeiden - Semantische Tags: `1.2.3`, `1.2`, `latest` (verwenden Sie `latest` mit Vorsicht) ## Ein Image pullen ```bash -docker pull //app-web:1.0.0 +docker pull //app-web:1.0.0 ``` Überprüfen Sie die Scan-Ergebnisse und die Signatur (falls aktiviert) vor der Promotion in die Produktion. @@ -116,9 +116,9 @@ kubectl create secret docker-registry harbor-pull-secret \ Der Parameter --docker-email ist in neueren kubectl-Versionen nicht mehr erforderlich (und kann ignoriert werden). ::: -### 2) Das Secret in Ihren Workloads referenzieren +### 2) Referenzieren des Geheimnisses in Ihren Workloads -- Über das ServiceAccount: +- Über den ServiceAccount: ```yaml apiVersion: v1 @@ -157,9 +157,9 @@ spec: - containerPort: 8080 ``` -### 3) Den Pull vom Cluster testen (optional) +### 3) Testen des Pulls vom Cluster aus (optional) -Überprüfen Sie schnell, ob der Knoten Ihr Image mit dem Secret ziehen kann: +Stellen Sie schnell sicher, dass der Knoten Ihre Image mit dem Secret abrufen kann: ```bash kubectl run pull-check --rm -it --image=//app-web:1.0.0 \ @@ -167,53 +167,53 @@ kubectl run pull-check --rm -it --image=//app-web:1.0.0 \ -n --command -- sh -c 'echo OK' ``` -Für eine Promotion in die Produktion bevorzugen Sie die Verwendung eines Digests: +Für eine Promotion in die Produktion empfiehlt sich die Verwendung eines Digits: ```yaml image: //app-web@sha256: ``` -## Roboterkonten und Berechtigungen +## Robot-Konten und Berechtigungen -- Projects > `` > Robot Accounts > New Robot -- Scopes: auf notwendige Aktionen beschränken (`pull` für Runtime, `push` für CI) -- Ablauf: Dauer und Rotationsprozess definieren -- Token als Secret speichern (Kubernetes/CI) +- Projekte > `` > Robot-Konten > Neuer Robot +- Bereiche: auf notwendige Aktionen beschränken (`pull` für Runtime, `push` für CI) +- Ablauf: definieren Sie eine Dauer und einen Rotationsprozess +- Speichern Sie das Token sicher (Kubernetes/CI) -:::caution Minimale Rechte -Verwenden Sie keine persönlichen Konten für Ihre Pipelines. Bevorzugen Sie einen Roboter pro Projekt oder sogar pro Umgebung. +:::caution Least Privilege +Verwenden Sie keine persönlichen Konten für Ihre Pipelines. Bevorzugen Sie einen Robot pro Projekt oder sogar pro Umgebung. ::: ## Schwachstellen-Scans -- "Scan on push" auf Projektebene aktivieren -- Auf Abruf über die UI oder API auslösen +- Aktivieren Sie "Scan on push" auf Projektebene +- Manuell über UI oder API auslösen - Richtlinien konfigurieren: Pull blockieren, wenn Schweregrad >= `High` (gemäß Governance) -Sie können Berichte exportieren (JSON) oder CVEs und betroffene Layer anzeigen. +Sie können Berichte exportieren (JSON) oder betroffene CVEs und Layer anzeigen. ## Aufbewahrung und Unveränderlichkeit -- Aufbewahrung: zum Beispiel die letzten `N` Tags behalten, die einem Muster entsprechen (z. B.: `release-*`) -- Unveränderlichkeit: Überschreiben vorhandener Tags verhindern -- Garbage Collection: durch die Harbor-Administration geplant (löscht verwaiste Blobs) +- Aufbewahrung: Beibehaltung beispielsweise der letzten `N` Tags, die einem Muster entsprechen (z. B. `release-*`) +- Unveränderlichkeit: Verhinderung der Überschreibung vorhandener Tags +- Garbage Collection: Wird von der Harbor-Administration geplant (entfernt verwaiste Blobs) -Diese Mechanismen reduzieren Speicherkosten und stärken die Nachvollziehbarkeit. +Diese Mechanismen reduzieren die Speicherkosten und stärken die Nachvollziehbarkeit. ## Helm-Charts (OCI) -Helm v3.8+ unterstützt OCI nativ. +Helm ab Version 3.8+ unterstützt OCI nativ. ```bash -# Anmeldung +# Verbindung helm registry login \ --username '' \ --password '' -# Chart-Paketierung +# Packaging des Charts helm package charts/myapp -# Chart pushen +# Push the chart helm push myapp-0.1.0.tgz oci:////charts # Pull / Install @@ -221,30 +221,30 @@ helm pull oci:////charts/myapp --version 0.1.0 helm install myapp oci:////charts/myapp --version 0.1.0 -n ``` -## Signaturen und SBOM (Supply Chain) +## Signaturen und SBOM (Lieferkette) Mit `cosign`: ```bash -# Login (falls erforderlich, um Public Key von Harbor abzurufen) +# Anmeldung (falls erforderlich, um öffentlichen Schlüssel in Harbor abzurufen) cosign login -# Ein Image signieren (lokaler Schlüssel oder KMS) -cosign sign //app-web:1.0.0 +# Sign a container image (local key or KMS) +cosign sign //app-web:1.0.0 -# Signatur überprüfen -cosign verify //app-web:1.0.0 +# Verify Signature +cosign verify //app-web:1.0.0 ``` :::note -Bei älteren Versionen von cosign kann es erforderlich sein, COSIGN_EXPERIMENTAL=1 zu exportieren. +Bei älteren Versionen von cosign muss möglicherweise COSIGN_EXPERIMENTAL=1 exportiert werden. ::: -Harbor kann Attestierungen (Signaturen, SBOM) anzeigen und Signaturrichtlinien durchsetzen. +Harbor kann Attestierungen (Signaturen, SBOMs) anzeigen und Signaturrichtlinien durchsetzen. ## CI/CD-Integration -### Beispiel GitLab CI +### GitLab CI Beispiel ```yaml stages: [build, push] @@ -268,7 +268,7 @@ build: ### Beispiel GitHub Actions ```yaml -name: Build and Push +name: Build und Push on: [push] jobs: @@ -293,25 +293,25 @@ jobs: //app-web:${{ github.sha }} ``` -## Fehlerbehebung +## Troubleshooting - `denied: requested access to the resource is denied` - - Rechte des Roboterkontos am Projekt und/oder Repo-Namen überprüfen + - Überprüfen Sie die Berechtigungen des Robot-Kontos für das Projekt und/oder den Repository-Namen - `name unknown` / `manifest unknown` - - Projekt nicht vorhanden, Repo falsch geschrieben, Tag nicht vorhanden + - Projekt existiert nicht, Tippfehler im Repository-Namen oder Tag existiert nicht - `x509: certificate signed by unknown authority` - - Zertifikatsspeicher des Runners aktualisieren (ca-certificates), auf abfangenden TLS-Proxy prüfen; Proxy-CA falls nötig hinzufügen und/oder Systemuhr synchronisieren + - Aktualisieren Sie den Zertifikatsspeicher des Runners (ca-certificates), prüfen Sie auf TLS-Proxy-Interception; fügen Sie ggf. die CA des Proxys hinzu und/oder synchronisieren Sie die Systemuhr - 401/403 beim Pull in Kubernetes - - Secret `imagePullSecrets` fehlt oder Anmeldedaten abgelaufen + - Fehlendes `imagePullSecrets`-Secret oder abgelaufene Anmeldeinformationen - `413 Request Entity Too Large` - - Image-Größe zu groß für Ingress/Registry-Konfiguration; Image optimieren oder Konfiguration anpassen (über Cloud Temple-Support) + - Image-Größe zu groß im Vergleich zur Ingress/Registry-Konfiguration; Image optimieren oder Konfiguration anpassen (via Cloud Temple Support) ## Best Practices -- Projekte standardmäßig privat, Trennung Dev/Preprod/Prod -- Dedizierte Roboterkonten, regelmäßige Token-Rotation -- Unveränderlichkeit von Tags und Promotion per Digest +- Standardmäßig private Projekte, Trennung von Dev/Preprod/Prod-Umgebungen +- Dedizierte Robot-Konten, regelmäßige Rotation von Tokens +- Unveränderliche Tags, Promotion via Digest - Scan-Richtlinie: Schweregrad-Schwellenwert und dokumentierte Behebung - Strenge Aufbewahrung, geplante Löschung veralteter Artefakte -- Protokollierung/Audit: Zugriffs-/Aktivitätsprotokolle exportieren und aufbewahren -- SBOM- und Signatur-Integration für Supply-Chain-Sicherheit +- Logging/Auditing: Export und Aufbewahrung von Zugriffs-/Aktivitätsprotokollen +- SBOM-Integration und Signierung für die Integrität der Lieferkette diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkasten.md b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkasten.md index 7dc87afa..2053c516 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkasten.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkasten.md @@ -1,5 +1,5 @@ --- -title: Back up your applications with Veeam Kasten +title: Ihre Anwendungen mit Veeam Kasten sichern --- import k10dashboard from './images/k10dashboard.png' @@ -8,15 +8,15 @@ import k10infrabackups from './images/k10infrabackups.png' ## Einführung -Veeam Kasten K10 ist eine Backup- und Wiederherstellungslösung, die speziell für Kubernetes-Umgebungen entwickelt wurde. Im Managed Kubernetes-Service von Cloud Temple ist Kasten integriert, sodass Sie Ihre Anwendungen schützen, im Bedarfsfall Daten wiederherstellen und die Kontinuität Ihrer Aktivitäten sicherstellen können. +Veeam Kasten K10 ist eine Backup- und Wiederherstellungslösung, die speziell für Kubernetes-Umgebungen entwickelt wurde. Im Managed Kubernetes-Service von Cloud Temple ist Kasten integriert, damit Sie Ihre Anwendungen schützen, im Bedarfsfall Daten wiederherstellen und die Kontinuität Ihrer Aktivitäten sicherstellen können. -Dieser Leitfaden führt Sie durch die grundlegenden Schritte zum Sichern und Wiederherstellen einer Anwendung mithilfe von Kasten. +In diesem Tutorial führen wir Sie Schritt für Schritt durch die grundlegenden Aktionen zum Sichern und Wiederherstellen einer Anwendung mit Kasten. ## Voraussetzungen Stellen Sie sicher, dass Sie Folgendes bereitstellen: - Ein aktiver Managed Kubernetes-Cluster. -- Die ID Ihres Clusters (z. B. `ctodev`). +- Die Bezeichnung Ihres Clusters (z. B. `ctodev`). - Eine in Ihrem Cluster bereitgestellte Anwendung, die Sie sichern möchten. ## 1. Access the Kasten Dashboard @@ -24,8 +24,8 @@ Stellen Sie sicher, dass Sie Folgendes bereitstellen: The Kasten dashboard is accessible via a secure URL, constructed using your cluster's identifier. 1. **Build the access URL**: - The URL follows this pattern: `https://k10.external-secured..mk.ms-cloud-temple.com` - Replace `` with your cluster's identifier. For example, if your identifier is `ctodev`, the URL will be: `https://k10.external-secured.ctodev.mk.ms-cloud-temple.com`. + The URL follows this pattern: `https://k10.external-secured..mk.ms-cloud-temple.com/k10/` + Replace `` with your cluster's identifier. For example, if your identifier is `ctodev`, the URL will be: `https://k10.external-secured.ctodev.mk.ms-cloud-temple.com/k10/`. 2. **Access the URL** in your browser. @@ -51,12 +51,12 @@ No configuration is required on your part. The storage location is already set u The Veeam Kasten service is included in the Managed Kubernetes offering. Backup storage on our sovereign S3 is billed on a pay-per-use basis. Please consult our pricing grid for more details. ::: -## 3. Create a backup policy +## 3. Create a Backup Policy A backup policy (`Policy`) is a set of rules that define when and how to back up your applications. -:::warning Existing backup policy -A backup policy named `infra-backups` is already configured in your Kasten instance. This policy ensures that the essential components delivered with the cluster are backed up. +:::warning Existing Backup Policy +A backup policy named `infra-backups` is already configured in your Kasten instance. This policy ensures the backup of essential components included with the cluster. diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkubecosts.md b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkubecosts.md index 7be6f532..085bbaeb 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkubecosts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingkubecosts.md @@ -1,6 +1,14 @@ --- -title: Kostenverfolgung mit Kubecost +title: Track costs with Kubecost --- +:::info[Evolution of the FinOps tool] +The product **KubeCost**, although still functional on your cluster, is gradually being replaced by **OpenCost**, its open-source successor. + +**OpenCost** is now the recommended and actively maintained solution by the Cloud Native Computing Foundation (CNCF) community. + +We encourage you to start using OpenCost to benefit from the latest features and improved integration. +::: + import kubecostsallocations from './images/kubecostsallocations.png' ## Ziele @@ -13,7 +21,7 @@ Dieser Leitfaden führt Sie in **Kubecost** ein, das Monitoring- und Kostenoptim ## What is Kubecost? -Kubecost is an open-source solution that provides real-time visibility into the costs of your Kubernetes environments. It helps you understand precisely what is consuming resources within your cluster and how that translates into cost. +Kubecost is an open-source solution that provides real-time visibility into the costs of your Kubernetes environments. It helps you understand precisely what is consuming resources within your cluster and how this translates into cost. In the Managed Kubernetes offering, Kubecost is pre-installed and pre-configured to give you a clear view of your expenses. It is directly integrated with the actual cloud infrastructure costs from Temple Cloud, meaning the estimates displayed accurately reflect your billing. @@ -29,16 +37,16 @@ Access to this URL is restricted to the IP addresses you have declared with Clou ## Explore Cost Distribution (Allocations) -The main page of Kubecost is the **Allocations** dashboard. This is where you can visualize your resource consumption. +The main page in Kubecost is the **Allocations** dashboard. This is where you can visualize your resource consumption. -By default, costs are aggregated by **Namespace**. Use the "Aggregate by" dropdown menu to change the view and analyze costs by: +By default, costs are aggregated by **Namespace**. Use the "Aggregate by" dropdown menu to switch views and analyze costs by: - `Deployment`, `StatefulSet`, etc. - `Controller` - `Label` (very useful if you use labels to identify your teams or projects. For example, you could use the capsule tenant label.) You can also adjust the analysis period (default: "Last 7 days") to visualize costs over a different timeframe. - +Kubecost UI ## Analyze the cost of infrastructure (Assets) @@ -47,7 +55,7 @@ The **Assets** section provides a detailed view of the costs associated with the - Persistent disks - Network costs -This allows you to understand the cost distribution across compute, storage, and network resources. +This enables you to understand the cost distribution across computing, storage, and networking resources. ## Identify optimization opportunities (Savings) @@ -62,4 +70,4 @@ Each recommendation comes with an estimate of the monthly savings you could achi ## Schlussfolgerung -Kubecost ist ein leistungsstarkes Werkzeug, um die Kosten Ihres Kubernetes-Clusters unter Kontrolle zu halten. Durch regelmäßige Untersuchung der Dashboards „Allocations“, „Assets“ und „Savings“ können Sie nicht nur verstehen, wohin Ihr Geld fließt, sondern auch fundierte Maßnahmen ergreifen, um die Effizienz Ihrer Anwendungen zu optimieren und Ihre Rechnung zu senken. \ No newline at end of file +Kubecost ist ein leistungsstarkes Tool, um die Kosten Ihres Kubernetes-Clusters unter Kontrolle zu halten. Durch regelmäßige Überprüfung der Dashboards „Allocations“, „Assets“ und „Savings“ können Sie nicht nur verstehen, wohin Ihr Geld geht, sondern auch fundierte Maßnahmen ergreifen, um die Effizienz Ihrer Anwendungen zu optimieren und Ihre Rechnung zu senken. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingopencost.md b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingopencost.md new file mode 100644 index 00000000..4634575e --- /dev/null +++ b/i18n/de/docusaurus-plugin-content-docs/current/managed_kubernetes/tutorials/usingopencost.md @@ -0,0 +1,122 @@ +--- +title: Cost Tracking with OpenCost +--- +import opencostui from './images/opencost.png' +import opencostmcp from './images/opencostmcp.png' +import opencostmcp2 from './images/opencostmcp2.png' +import opencostmcp3 from './images/opencostmcp3.png' + +## Ziele + +Dieser Leitfaden führt Sie in **OpenCost** ein, das integrierte Kostenüberwachungs- und Optimierungstool für Ihren **Managed Kubernetes**-Cluster. Am Ende dieses Leitfadens können Sie: + +- **Auf die OpenCost-Oberfläche zugreifen**. +- **Die Struktur der Oberfläche und die verfügbaren Ansichten verstehen**. +- **Die Kostenverteilung Ihrer Anwendungen und Ihrer Infrastruktur analysieren**. + +## What is OpenCost? + +OpenCost is an open-source, CNCF (Cloud Native Computing Foundation) standard solution that provides real-time visibility into the costs of your Kubernetes environments. It helps you precisely understand what is consuming resources within your cluster and how this translates into cost. + +In the Managed Kubernetes offering, OpenCost is pre-installed and pre-configured to give you a clear view of your expenses. It is directly configured with the actual infrastructure costs from Temple Cloud. + +## Access the OpenCost Interface + +The OpenCost interface is exposed via a secure URL specific to your cluster. To access it, use the following URL, replacing `identifiant` with your cluster's identifier (for example, `ctodev`): + +`https://opencost.external-secured.identifiant.mk.ms-cloud-temple.com` + +:::info +Access to this URL is restricted to the IP addresses you have declared with Cloud Temple support. If you are unable to access it, please contact support to verify your firewall rules. +::: + +OpenCost UI + +## Explore Cost Distribution (Allocations) + +The main and most detailed view in OpenCost is the **Allocations** dashboard. This is where you can visualize your resource consumption in real time. + +This view allows you to break down costs by native Kubernetes concepts. The "Aggregate by" dropdown is your primary tool for analysis, enabling you to group costs by: + +- **Namespace**: To get a view per environment or team. +- **Deployment**, **StatefulSet**, etc.: To analyze the cost of a specific application. +- **Controller**: For a more technical perspective. + +### Aggregation by Labels + +For even more granular financial analysis, OpenCost can aggregate costs based on **Kubernetes labels**. There is no direct "Label" option in the menu, but OpenCost ingests your labels and enables you to create custom aggregations. For this, a consistent labeling strategy is essential. For example, using labels such as `team: backend` or `product: api-gateway` allows you to analyze costs precisely aligned with your organizational structure. + +For this type of analysis, you must use OpenCost's AI integration. + +## Advanced Usage: Integration with an AI (MCP Server) + +For advanced users, OpenCost can be directly queried from the conversational assistant Cline (or others) via the **MCP (Multi-purpose Co-processor) server** system. This enables you to script requests and retrieve cost data directly within your conversations. + +### 1. Configuration du MCP OpenCost dans Cline + +Um Cline mit Ihrer OpenCost-Instanz zu verbinden, müssen Sie die folgende Konfiguration in Ihre Datei `cline_mcp_settings.json` hinzufügen. Diese Datei befindet sich normalerweise im Konfigurationsverzeichnis von Cline. + +Wir empfehlen, einen MCP-Server mit dem Namen „opencost-xxxxx“ zu erstellen, wobei xxxxx der Name Ihres verwalteten Kubernetes-Clusters ist. +Die URL des MCP-Servers hat folgendes Format: `https://opencost-mcp.external-secured.identifiant.mk.ms-cloud-temple.com` +Beispiel für den Cluster „bestie“: + +```json +{ + "mcpServers": { + "opencost-bestie": { + "disabled": false, + "timeout": 60, + "type": "streamableHttp", + "url": "https://opencost-mcp.external-secured.bestie.mk.ms-cloud-temple.com", + "headers": { + "Authorization": "Basic " + } + } + } +} +``` + +Um den Wert für `` aus Ihren Anmeldeinformationen zu generieren, verwenden Sie eine der folgenden Befehle: + +**Für Linux/macOS:** +```bash +echo -n 'finopsadm:VOTRE_MOT_DE_PASSE' | base64 +``` + +**Für Windows (PowerShell):** +```powershell +$credentials = [System.Text.Encoding]::UTF8.GetBytes("finopsadm:VOTRE_MOT_DE_PASSE") +[System.Convert]::ToBase64String($credentials) +``` + +Nachdem Sie diese Datei gespeichert haben, lädt Cline den MCP `opencost-xxxxx` automatisch beim Start. + +### 2. Query OpenCost using MCP + +:::tip Prerequisites +To interact with MCP using natural language, the underlying AI must have access to language models (LLMs), either locally (e.g., LMStudio) or via connections to public services such as GPT-5 or Gemini, or by using our **[LLM-as-a-Service](/docs/llmaas/llmaas)** sovereign offering. +::: + +After setup, you can use LLM tools to perform natural language queries against this MCP server. + +#### Beispiel: + +"Verwende den MCP 'opencost-bestie' und sag mir, welcher Prozentsatz der Clusterkosten nicht einer Ressource zugewiesen ist." +Sie erhalten Folgendes: +IA-Antwort opencost + +#### Example 2: + +"Use the MCP 'opencost-bestie', and list me the costs associated with persistent volumes from yesterday" + +IA response opencost 2 + +#### Beispiel 3: + +"Verwende den MCP opencost-bestie und gib mir den Prozentsatz der Clusterkosten an, die der Anwendung mit dem Label »nginx« zugewiesen sind. (Filter der Form filter: »label:app:frontend«)" + +IA-Antwort opencost 3 + +## Schlussfolgerung + +OpenCost bietet Ihnen leistungsstarke Werkzeuge zur detaillierten und Echtzeit-Analyse der Kosten Ihres Kubernetes-Clusters. Durch die hauptsächliche Nutzung der Ansicht **Allocations** und deren Kombination mit einer gut durchdachten Labeling-Strategie erhalten Sie eine klare Übersicht über Ihre Ausgaben, die sowohl Ihren technischen Bereitstellungen als auch Ihrer internen Organisation entspricht. Die Nutzung von LLMs und des MCP-Servers opencost ermöglicht eine noch tiefere Auswertung der Daten. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/marketplace/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/marketplace/quickstart.md index 875ae814..3bc5f06e 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/marketplace/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/marketplace/quickstart.md @@ -6,7 +6,7 @@ import marketplaceSolutionDetails from './images/marketplace_solution_details.pn # QuickStart für die Cloud Temple Marketplace -Diese Seite führt Sie durch die ersten Schritte zur Nutzung der **Cloud Temple Marketplace** über die Konsole. Befolgen Sie diese Anweisungen, um die verfügbaren Lösungen kennenzulernen und diese schnell bereitzustellen. +Diese Seite führt Sie durch die ersten Schritte zur Nutzung der **Cloud Temple Marketplace** über die Konsole. Befolgen Sie diese Anleitung, um die verfügbaren Lösungen kennenzulernen und diese schnell bereitzustellen. ## Voraussetzungen @@ -14,11 +14,11 @@ Stellen Sie sicher, dass die folgenden Punkte erfüllt sind, bevor Sie beginnen: 1. **Aktivierte Abonnement**: Um Bereitstellungen durchführen zu können, muss Ihre Organisation mindestens ein Cloud Temple-Service-Abonnement (IaaS OpenSource oder IaaS VMware) abgeschlossen haben. Im Rahmen der Zusammenarbeit mit unseren Partnern ist kein spezifisches Abonnement erforderlich. 2. **Benutzerberechtigungen**: Ihr Benutzerkonto muss über die erforderlichen Berechtigungen verfügen, um auf die Konsole zugreifen zu können, sowie über Schreibrechte für die Zielumgebungen, wenn Sie Ressourcen bereitstellen möchten. -3. **Zielumgebung**: Sie müssen über einen konfigurierten Tenant verfügen, der für die Bereitstellung von Lösungen verwendet werden kann. +3. **Zielumgebung**: Sie müssen über einen konfigurierten Tenant verfügen, der für die Bereitstellung von Lösungen geeignet ist. ## Access to the Marketplace -### 1. Access via the Shiva Console +### 1. Access via the Console After logging into the Cloud Temple console, you can access the Marketplace in several ways: diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/internet/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/network/internet/concepts.md index 83bd43f6..be330f76 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/network/internet/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/internet/concepts.md @@ -1,149 +1,119 @@ - - --- title: Konzepte --- +## Cloud Internet Infrastructure +CloudTemple operates as a **Cloud Service Provider (CSP)** with an independent, highly resilient, and secure Internet infrastructure. Our operator-grade connectivity is based on our own Autonomous System Number (ASN), giving us full control over routing and ensuring high availability for all our services. -## Internet-Cloud-Infrastruktur - -CloudTemple betreibt als **Cloud-Service-Anbieter (CSP)** eine eigenständige, hochverfügbare und sichere Internet-Infrastruktur. Unsere Operator-Connectivity basiert auf einer eigenen AS-Nummer (Autonome Systemnummer), die uns eine vollständige Kontrolle über den Routing gewährleistet und eine hohe Verfügbarkeit für alle unsere Dienste sicherstellt. - -Diese eigenständige Infrastruktur ermöglicht es uns, eine Internet-Connectivity mit fortgeschrittenen Funktionen anzubieten, die sich an alle Arten von CloudTemple-Angeboten anpassen, von dediziertem Hosting bis hin zu IaaS-Lösungen über PaaS-Dienste. - - +This independent infrastructure enables us to offer advanced Internet connectivity features, tailored to all CloudTemple service offerings—from dedicated hosting to IaaS solutions and PaaS services. ## Netzwerkarchitektur und Redundanz -Unser Netzwerk verfügt über eine redundante Architektur, die darauf abzielt, die Leistung zu optimieren und die Dienstverfügbarkeit zu gewährleisten. CloudTemple verfügt über ein eigenständiges, unabhängiges System mit einem Satz öffentlicher IP-Präfixe, die zugewiesen wurden, um eine direkte globale Verbindung zu ermöglichen. - -Diese Verbindung basiert auf **zwei unterschiedlichen Wegen**, um die Resilienz zu maximieren: - -**Transit-Verbindung:** Zwei Haupt-Transit-Anbieter sorgen für globale Redundanz und ermöglichen einen optimalen Traffic-Routing über das Internet zu unseren Infrastrukturen. - -**Exchange-Points:** Unsere Präsenz an zwei Exchange-Points (IXP) in Paris ermöglicht es, die Latenz für europäische Nutzer erheblich zu reduzieren und die Leistung regionaler Dienste zu verbessern. Dieser Ansatz gewährleistet zudem eine natürliche Redundanz gegenüber Ausfällen der Anbieter. - -Die Verwendung des BGP4-Protokolls gewährleistet einen effizienten Routing Ihrer Internet-Flüsse zur aktiven Gateway-Architektur, insbesondere in Szenarien mit Multi-Zonen-Verfügbarkeits-Deployment, wie beispielsweise Firewall-Cluster, die zwischen zwei Verfügbarkeitszonen verteilt sind. - - - -## Integrierter DDoS-Schutz - -Alle eingehenden Traffic zu CloudTemple-Infrastruktur profitieren von einem fortschrittlichen DDoS-Schutz, der von **F5**, einem weltweit führenden Unternehmen in Netzwerksicherheit, gewährleistet wird. Dieser Schutz funktioniert transparent und automatisch. - -Volumetrische Angriffe werden direkt an der Netzwerkrandstelle von F5 erkannt und abgemildert, noch bevor sie das CloudTemple-Netzwerk erreichen. Dieser Vorfilter schützt vor Überlastungen, die unsere Internetverbindungen beeinträchtigen könnten, und stellt sicher, dass nur legitime Anfragen unsere Infrastrukturen erreichen. +Unser Netzwerk verfügt über eine redundant ausgelegte Architektur, die darauf abzielt, die Leistung zu optimieren und die kontinuierliche Verfügbarkeit des Dienstes sicherzustellen. CloudTemple verfügt über ein eigenständiges, unabhängiges System mit einem Satz öffentlicher IP-Präfixe, das eine direkte globale Konnektivität gewährleistet. -**Alle CloudTemple-Dienste** profitieren diesen Schutz kostenlos, einschließlich Kundenpräfixe, die zu unserer Infrastruktur migriert werden können. Dieser integrierte Ansatz verwandelt eine Sicherheitsanforderung in einen operativen Vorteil für unsere Kunden. +Diese Konnektivität basiert auf **zwei getrennten Wegen**, um die Resilienz zu maximieren: +**Transit-Konnektivität:** Zwei Haupt-Transit-Provider sorgen für globale Redundanz und ermöglichen einen optimalen Routing des Internet-Traffics zu unseren Infrastrukturen. +**Internet Exchange Points (IXP):** Unser Vorhandensein an zwei Internet Exchange Points (IXP) in Paris ermöglicht eine signifikante Reduzierung der Latenz für europäische Nutzer und verbessert die Leistung regionaler Dienste. Diese Vorgehensweise gewährleistet zudem eine natürliche Redundanz gegenüber Ausfällen von Anbietern. -## Zuweisung öffentlicher IP-Adressen +Die Verwendung des BGP4-Protokolls sorgt für eine effiziente Weiterleitung Ihres Internet-Verkehrs zur aktiven Gateway-Instanz Ihrer Architektur, insbesondere in Szenarien mit Multi-Zone-Deployment, wie beispielsweise bei Clustern von Firewalls, die über zwei Verfügbarkeitszonen verteilt sind. -CloudTemple bietet ein flexibles System zur Zuweisung von öffentlichen Provider Aggregated (PA)-IP-Adressen, mit dem Kunden öffentliche IP-Adressen **einzelnen** nach ihren spezifischen Anforderungen reservieren können. +## Integrated DDoS Protection +All incoming traffic to the CloudTemple infrastructure benefits from advanced DDoS protection provided by **F5**, a global leader in network security. This protection operates transparently and automatically. +Volumetric attacks are detected and mitigated directly at the F5 network edge, well before reaching the CloudTemple network. This upstream filtering ensures that no congestion can affect our Internet connections, and only legitimate requests reach our infrastructure. -### Buchungsprozess +**All CloudTemple services** are protected at no additional cost, including customer prefixes that can be migrated to our infrastructure. This integrated approach transforms a security requirement into an operational advantage for our customers. -Die Buchung von öffentlichen IP-Adressen erfolgt direkt über die CloudTemple-Konsole und bietet eine selbstständige und sofortige Verwaltung: +## Assignment of Public IP Addresses -**Über die API der Konsole:** Integration in Ihre Automatisierungs- und Bereitstellungs-Workflows möglich. +CloudTemple offers a flexible system for assigning Provider Aggregated (PA) public IP addresses, allowing clients to reserve public IP addresses **individually** according to their specific requirements. -**Über die Web-Konsole:** Eine intuitive Oberfläche, die über den *Internet*-Bereich Ihres Kundenportals zugänglich ist. +### Reservation process -Der Buchungsprozess folgt diesen einfachen Schritten: Anmeldung an der Konsole, Navigation zu *Internet* > *Adressen verwalten*, Auswahl von *Neue Adresse buchen*, Auswahloption zwischen IPv4 oder IPv6, dann Bestätigung der Bestellung. +The reservation of public IP addresses is performed directly via the CloudTemple console, enabling self-service and immediate management: +**Via the console API:** Integration possible into your automation and provisioning workflows. +**Via the web console:** Intuitive interface accessible from the *Internet* section of your client area. -### Abrechnung +The reservation process follows these simple steps: log in to the console, navigate to *Internet* > *Manage IP addresses*, select *Reserve a new address*, choose between IPv4 or IPv6, then confirm the order. -Die Abrechnung der öffentlichen IP-Adressen erfolgt pro Arbeitseinheit (AE) und beginnt mit der Reservierung der Adresse, wodurch eine vollständige Kostentransparenz gewährleistet wird. +### Billing -| Referenz | Einheit | SKU | -|----------|---------|-----| -| Netzwerk - Dedicated IPv4-Adresse | 1 IPv4 | RSIP-IP4-UNIT | -| Netzwerk - Dedicated IPv6-Adresse | 1 IPv6 | RSIP-IP6-UNIT | +Billing for public IP addresses is based on unit of work (UoW) and starts as soon as the IP address is reserved, ensuring full cost transparency. +| Reference | Unit | SKU | +|-----------|------|-----| +| Network - Dedicated Public IPv4 | 1 IPv4 | RSIP-IP4-UNIT | +| Network - Dedicated Public IPv6 | 1 IPv6 | RSIP-IP6-UNIT | +## IPv4 Blocks -## IPv4-Bereiche +The delivery of IPv4 addresses is subject to __available stock__ for our customers, per IP address. -Die Lieferung einer IPv4-Adresse erfolgt __innerhalb des verfügbaren Lagerbestands__ für unsere Kunden, pro IP-Adresse. +To order IPv4 addresses, go to the __*'Public IPs'*__ menu under Networks in the green bar on the left, and click the __*"Order IPv4 addresses or IPv6 prefixes"*__ button. -Die Bestellung von IPv4-Adressen erfolgt im Menü __*'Öffentliche IPs'*__ des Netzwerkmenüs im linken grünen Balken über den Button __*"IPv4-Adressen oder IPv6-Präfixe bestellen"*__. +You can also view the address blocks assigned to you in the same menu. -Es ist möglich, die Ihnen zugewiesenen Adressbereiche in diesem Menü anzuzeigen. - -| Referenz | Einheit | SKU | +| Reference | Unit | SKU | | ----------------------------- | ------ | ---------------------------- | -| Netzwerk - Dedicated IPv4-Öffentlich | IPv4/32 | csp:(region):network:ipv4:v2 | - +| Public IPv4 Network | IPv4/32 | csp:(region):network:ipv4:v2 | +## IPv6 Blocks -## IPv6-Blöcke +The IPv6 prefix command is performed from the __*'Public IPs'*__ menu under Networks in the green sidebar, using the __*"Order IPv4 addresses or IPv6 prefixes"*__ button. -Die IPv6-Präfixe werden über das Menü __*'Öffentliche IPs'*__ im Netzwerk-Menü in der grünen Leiste auf der linken Seite über den Button __*"IPv4-Adressen oder IPv6-Präfixe bestellen"*__ bestellt. +You can also view the prefixes assigned to you within the same menu. -Es ist möglich, die Ihnen zugewiesenen Präfixe in diesem Menü anzuzeigen. - -| Referenz | Einheit | SKU | +| Reference | Unit | SKU | | ------------------------------------- | ------- | ---------------------------- | -| Netzwerk - Dedicated IPv6-Öffentliche Bereiche | IPv6/48 | csp:(region):network:ipv6:v1 | - - - -## Migration von IP-Präfixen der Kunden - -CloudTemple begleitet Kunden, die ihre eigenen IP-Präfixe in unsere Infrastruktur migrieren möchten, und erleichtert damit die Migrationprojekte, während die bestehende Netzwerkidentität erhalten bleibt. - +| Network - Dedicated Public IPv6 Range | IPv6/48 | csp:(region):network:ipv6:v1 | +## IP Prefix Migration for Clients -### Vorteile der Migration +CloudTemple supports clients wishing to migrate their own IP prefixes to our infrastructure, thereby facilitating migration projects while preserving existing network identity. -Diese Vorgehensweise ermöglicht es, Ihre IP-Identität während der Migration zu CloudTemple zu bewahren, was eine perfekte Kontinuität für Ihre Anwendungen und Kunden gewährleistet. Sie behalten die vollständige Kontrolle über die Nutzung Ihrer IP-Adressen und profitieren gleichzeitig von der CloudTemple-Infrastruktur. +### Benefits of the migration +This approach allows you to retain your IP identity when migrating to CloudTemple, ensuring seamless continuity for your applications and clients. You maintain full control over the use of your IP addresses while benefiting from the CloudTemple infrastructure. +### Integration Process -### Integrationsprozess +Your IP prefix (e.g. `203.0.113.0/24`) is integrated into the CloudTemple backbone network and advertised from our AS. Once integrated, the prefix can be freely assigned to your virtual machines, load balancers, or other services. -Ihr IP-Präfix (z. B. `203.0.113.0/24`) wird in das Backbone-Netzwerk von CloudTemple integriert und von unserem AS angekündigt. Sobald es integriert ist, kann das Präfix frei Ihren virtuellen Maschinen, Lastverteilern oder anderen Diensten zugeordnet werden. +**All addresses within the migrated prefix automatically benefit from F5 anti-DDoS protection**, without additional configuration or extra cost. -**Alle Adressen des migrierten Präfixes profitieren automatisch von der F5-DDoS-Schutzfunktion**, ohne zusätzliche Konfiguration oder Kosten. +### Requirements +Migrating IP prefixes requires that the prefix be registered with a recognized Internet registry (ARIN, RIPE, APNIC, etc.) and that you are its legitimate owner. BGP management can be handled by your own team or supported by CloudTemple's technical team, according to your preferences. +## Reserved Internet Bandwidth -### Voraussetzungen +Internet bandwidth can be reserved in increments of 100 Mbps. The maximum available capacity for a gateway is 10 Gbps, potentially limited by the technical specifications of your gateway. -Die Migration von IP-Präfixen erfordert, dass das Präfix in einem anerkannten Internet-Registry (ARIN, RIPE, APNIC usw.) registriert ist und Sie dessen rechtmäßiger Eigentümer sind. Die BGP-Verwaltung kann von Ihrem Team übernommen werden oder Sie können den technischen Support von CloudTemple in Anspruch nehmen, je nach Ihren Vorlieben. +Billing is based on the 95th percentile over the billing period, typically one month. You may therefore occasionally benefit from bursts exceeding your reserved capacity. - - -## Bandbreitenreservierung im Internet - -Die Internet-Bandbreite kann in 100 Mbps-Schritten reserviert werden. Die maximale verfügbare Kapazität für eine Gateway beträgt 10 Gbps, möglicherweise begrenzt durch die technischen Eigenschaften Ihrer Gateway. - -Die Abrechnung erfolgt nach dem 95. Perzentil während des Abrechnungszeitraums, üblicherweise einem Monat. Sie können daher gelegentlich einen Burst über Ihre reservierte Kapazität hinaus nutzen. - -| Referenz | Einheit | SKU | +| Reference | Unit | SKU | | ----------------------------------------- | -------- | --------------------------------------- | -| Netzwerk - Reservierte Internet-Bandbreite | 100 Mbps | csp:(region):network:trafic:internet:v1 | - -__*Hinweis:*__ -*Es gibt keine volumetrische Abrechnung im Sinne von 'Egress-Gebühren'. Sie zahlen nur die Reservierung der Bandbreite.* - +| Network - Reserved Internet Bandwidth | 100 Mbps | csp:(region):network:trafic:internet:v1 | +__*Note:*__ +*There is no __volume-based billing__ of the type __'egress fees'__. You only pay for the reserved bandwidth.__* -## Verfügbarkeit nach Angebot +## Availability by Offer -Alle diese Internet-Verbindungs-Funktionen sind auf allen CloudTemple-Angeboten verfügbar und gewährleisten eine einheitliche Erfahrung, unabhängig vom verwendeten Diensttyp. +All of these Internet connectivity features are available across all CloudTemple offers, ensuring a consistent experience regardless of the service type used. -| Angebot | Internetverbindung | DDoS-Schutz | RSIP-Verwaltung | Präfixmigration | -|---------|--------------------|----------------|------------------|-----------------| +| Offer | Internet Connectivity | DDoS Protection | RSIP Management | Prefix Migration | +|-------|----------------------|------------------|---------------|-------------------| | Dedicated Hosting | ✓ | ✓ | ✓ | ✓ | | Shared Hosting | ✓ | ✓ | ✓ | ✓ | | IaaS VMware | ✓ | ✓ | ✓ | ✓ | | IaaS OpenSource | ✓ | ✓ | ✓ | ✓ | | PaaS OpenShift | ✓ | ✓ | ✓ | ✓ | -Dieser einheitliche Ansatz stellt sicher, dass alle unsere Kunden einen qualitativ hochwertigen Operator-Internetzugang, integrierte Sicherheit und fortgeschrittene Funktionen genießen, unabhängig von ihrer technologischen Wahl. +This unified approach ensures that all our customers benefit from high-quality carrier-grade Internet access, integrated security, and advanced features, regardless of their technological choice. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/internet/tutorials/pfSense.md b/i18n/de/docusaurus-plugin-content-docs/current/network/internet/tutorials/pfSense.md index 60c04c27..5e23181b 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/network/internet/tutorials/pfSense.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/internet/tutorials/pfSense.md @@ -22,25 +22,25 @@ This guide will help you deploy your __open source pfSense firewall__ in the Clo Die Voraussetzungen für diese Anleitung sind: -1. Ein abgeschlossener Cloud Temple-Vertrag: Sie müssen über Ihre Organisation, Ihren Mandanten und Ihre Zugangsdaten verfügen, +1. Ein Abonnement für das Cloud Temple-Angebot: Sie müssen über Ihre Organisation, Ihren Mandanten und Ihre Zugangsdaten verfügen. 2. Berechtigungen für das Compute-Modul. -In diesem Dokument werden die Schritte zur Bereitstellung eines virtuellen Firewalls mit pfSense beschrieben. +In diesem Dokument werden die Schritte beschrieben, die zum Bereitstellen eines virtuellen Firewalls pfSense erforderlich sind. ## Deploy a pfSense open source firewall [pfSense](https://www.pfsense.org) is an open source project based on FreeBSD that enables the deployment of a virtual firewall. -A pfSense firewall is managed via a web interface, so you need a second machine with a graphical interface that has an IP address in the same LAN network as the firewall in order to configure it. +A pfSense firewall is managed via a web interface, so you need a second machine with a graphical interface that has an IP address within the same LAN network as the firewall in order to configure it. We will need a set of two virtual machines: - The first one will be the machine on which we deploy the firewall. - The second one will be the machine from which we administer the firewall. -### Request an internet access delivery +### Request an internet connectivity delivery -The first step is to retrieve [the internet access information here](https://docs.cloud-temple.com/network/internet/quickstart#gestion-de-vos-connectivites-internet). +The first step is to retrieve [your internet access information here](https://docs.cloud-temple.com/network/internet/quickstart#gestion-de-vos-connectivites-internet). You must have the following information: - public prefix @@ -56,12 +56,12 @@ You must have the following information: Anschließend können Sie Ihre pfSense-VM bereitstellen: -1. __Installation der Firewall__ über den pfSense-Template in Shiva: +1. __Installation der Firewall__ über den pfSense-Vorlage in der Konsole: - [(Über die Konsole bereitstellen)](../../../iaas_vmware/tutorials/deploy_vm_template) - [(Über Terraform bereitstellen)](../../../iaas_vmware/tutorials/deploy_vm_terraform). -2. __Konfiguration der LAN- und WAN-Schnittstellen__ der Firewall: Die WAN-Schnittstelle muss in Ihrem vLAN Internet liegen; ihre IP-Adresse wird aus dem Ihnen vom CDS bereitgestellten IP-Adressbereich entnommen sowie die Standard-Gateway-Adresse. -3. __Bereitstellung der zweiten Management-Maschine__. -4. __Konfiguration der Schnittstelle__ der Management-VM: Diese Maschine muss sich im selben Netzwerk befinden wie die LAN-Schnittstelle der Firewall. +2. __Konfiguration der LAN- und WAN-Schnittstellen__ der Firewall: Die WAN-Schnittstelle muss in Ihrem vLAN Internet befinden; ihre IP-Adresse wird aus dem Ihnen vom CDS bereitgestellten IP-Adressbereich entnommen sowie die Standard-Gateway-Adresse. +3. __Installation der zweiten Management-Maschine__. +4. __Konfiguration der Schnittstelle__ der Management-VM: Diese Maschine muss sich im selben Netzwerk befinden wie das Netzwerk, in dem die LAN-Schnittstelle der Firewall konfiguriert wurde. ### Zugriff auf die Firewall @@ -95,11 +95,11 @@ This step involves configuring the BGP neighbors on the firewall. In the Neighbors section, click on **+Add** to start creating your BGP neighbors. -- For each neighbor: enter its IP address in __'General Options > Name/address'__: +- For each neighbor: enter its IP address in **'General Options > Name/address'**: -- Enter the remote AS (corresponding to the cloud temple's AS number) in the Basic Options as follows: +- Enter the remote AS (corresponding to the Cloud Temple AS number) in the Basic Options as follows: @@ -107,11 +107,11 @@ In the Neighbors section, click on **+Add** to start creating your BGP neighbors -- Check the box that defines the neighbor type. In our case, it is a ``route`` server: +- Check the box that defines the neighbor type. In our case, it is a **route server**: -- Lastly, don't forget to save your changes by clicking on __'Save'__: +- Lastly, don't forget to save your changes by clicking on **'Save'**: diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/private_network.md b/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/private_network.md index d4fa60a8..624e35e8 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/private_network.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/private_network.md @@ -1,5 +1,6 @@ --- title: Übersicht +slug: /network/private_network --- Cloud Temple bietet eine Private-Networks-Lösung, die entwickelt wurde, um die Anforderungen von Unternehmen an sichere, leistungsstarke und flexible Konnektivität zu erfüllen. Basierend auf einer innovativen Architektur mit VPLS-Technologie bietet diese Lösung ein privates, transparentes und erweiterbares Layer-2-Netzwerk über alle Verfügbarkeitszonen hinweg. diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/tutorials.md index 0ca815f1..a22ddc2b 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/tutorials.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/private_network/tutorials.md @@ -2,9 +2,10 @@ title: Tutorials --- +Diese Tutorials helfen Ihnen bei der Konfiguration und Nutzung unserer Private-Networks-Dienste.
-

FAQ

+

Tutorials

Derzeit sind keine Tutorials verfügbar, aber wir arbeiten aktiv daran. Schauen Sie bald wieder vorbei, um mehr zu erfahren!

- Zur Startseite → + Zur Startseite →
diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/concepts.md new file mode 100644 index 00000000..d2b0e90f --- /dev/null +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/concepts.md @@ -0,0 +1,49 @@ +--- +title: Konzepte +--- + +# VPC-Konzepte + +## Definition und Positionierung + +Die **VPC (Virtual Private Cloud)** ist ein verwalteter Netzwerkdienst, der die Erstellung isolierter, sicherer und kontrollierbarer privater Netzwerke über die Cloud Temple-Konsole ermöglicht. Sie wurde entwickelt, um ein Cloud-natives Erlebnis zu bieten und die Netzwerk- und Sicherheitskonfiguration zu automatisieren. + +Stand Januar 2026 ermöglichen VPC-Privatnetzwerke die Verbindung von **IaaS Open Source**- und **IaaS VMware**-Diensten. Die Verbindung mit **Bare Metal**-Servern wird in einem zukünftigen Update verfügbar sein. + +## Architektur + +Die VPC basiert auf einer redundanten und hochverfügbaren Architektur, die den inter-AZ-Backbone mit geringer Latenz von Cloud Temple nutzt. + +### Schlüsselkomponenten + +* **VPC-Router**: Im Herzen jeder VPC verwaltet er das dynamische Routing zwischen verschiedenen privaten Netzwerken (Ost-West-Verkehr). +* **Private Netzwerke (VLANs)**: Layer-2-Netzwerksegmente, die Ihre Ressourcen (VMs, Server) verbinden. Sie erstrecken sich nativ über mehrere Verfügbarkeitszonen (AZ) ohne IP-Rekonfiguration. +* **Externes Gateway**: Optionaler Ein- und Ausgangspunkt für Internetverkehr (Nord-Süd). Es integriert NAT- und Flussmanagementfunktionen. + +### Isolierung und Sicherheit + +Die VPC garantiert eine strikte Isolierung: +* Jede VPC ist eine unabhängige Netzwerkentität. +* Die Bereitstellung erfolgt auf dedizierten Ressourcen (für IaaS Open Source-Kunden), wodurch sichergestellt wird, dass keine Netzwerkressourcen geteilt werden. +* Der Dienst durchläuft derzeit die **SecNumCloud**-Qualifizierung. + +## Hauptfunktionen + +| Funktion | Beschreibung | Verfügbarkeit | +|----------|--------------|---------------| +| **Regionale private Netzwerke** | Multi-AZ-Bereitstellung und transparente L2-Weiterleitung. | H2 2025 | +| **Natives Routing** | Automatische Kommunikation zwischen privaten Netzwerken derselben VPC. | H2 2025 | +| **IPAM & DHCP** | Automatische Verwaltung von Adresspools und dynamische Zuweisung. | H2 2025 | +| **Internetzugang** | Konfigurierbar über Gateway (NAT, DNAT, Kontrollierter Egress). | H2 2025 | +| **Floating IPs** | Flexible Bereitstellung von Diensten im Internet. | H2 2025 | +| **Mikro-Segmentierung** | Netzwerkrichtliniengruppen für erweiterte Sicherheit. | H1 2026 | +| **Beobachtbarkeit** | Protokolle und Metriken zur Netzwerkleistung. | H1 2026 | +| **DNS-Dienst** | Interne und externe Namensauflösung. | H2 2026 | +| **VPN & Cloud Connect** | Sichere Konnektivität zu On-Premise und Public Clouds. | H2 2026 | + +## Anwendungsfälle + +* **Hosting kritischer Anwendungen**, die eine starke Isolierung erfordern. +* **Multi-Projekt-Segmentierung** (Prod, Pre-Prod, Dev). +* **Testumgebungen**, flüchtig und isoliert. +* **Souveräne Netzwerkbasis** für sensible Daten. diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/new_tab_network.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/new_tab_network.png new file mode 100644 index 00000000..10df5dfb Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/new_tab_network.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc.png new file mode 100644 index 00000000..bf8d678d Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_activate_gatewat_modale.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_activate_gatewat_modale.png new file mode 100644 index 00000000..60f5e501 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_activate_gatewat_modale.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_activate_gateway_button.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_activate_gateway_button.png new file mode 100644 index 00000000..2ae9e094 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_activate_gateway_button.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_another_way_to_activate_gateway.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_another_way_to_activate_gateway.png new file mode 100644 index 00000000..6076c209 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_another_way_to_activate_gateway.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_create_button.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_create_button.png new file mode 100644 index 00000000..4c487e04 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_create_button.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_create_modale.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_create_modale.png new file mode 100644 index 00000000..e38baf6d Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_create_modale.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_details_view.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_details_view.png new file mode 100644 index 00000000..03106a11 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_details_view.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_new_private_network.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_new_private_network.png new file mode 100644 index 00000000..0201901d Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_new_private_network.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips.png new file mode 100644 index 00000000..d39542bd Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips_associate_png.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips_associate_png.png new file mode 100644 index 00000000..e13f1dea Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips_associate_png.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips_new_modale.png b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips_new_modale.png new file mode 100644 index 00000000..74244108 Binary files /dev/null and b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/images/vpc_static_ips_new_modale.png differ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/quickstart.md new file mode 100644 index 00000000..5c3f4ac6 --- /dev/null +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/quickstart.md @@ -0,0 +1,71 @@ +--- +title: Schnellstart +--- +import newTabNetwork from './images/new_tab_network.png' +import vpcCreateButton from './images/vpc_create_button.png' +import vpcCreateModal from './images/vpc_create_modale.png' +import vpcOverview from './images/vpc.png' +import vpcDetailsView from './images/vpc_details_view.png' +import vpcNewPrivateNetwork from './images/vpc_new_private_network.png' +import vpcActivateGatewayButton from './images/vpc_activate_gateway_button.png' +import vpcActivateGatewayModal from './images/vpc_activate_gatewat_modale.png' + +# VPC-Schnellstart + +Dieser Leitfaden führt Sie durch die Erstellung Ihrer ersten Virtual Private Cloud (VPC) und die Bereitstellung Ihrer ersten privaten Netzwerke. + +## Voraussetzungen + +Derzeit erfordert die Aktivierung des VPC-Dienstes ein Abonnement für ein **IaaS Open Source**-Angebot. (Diese Bedingung wird später aufgehoben). + +## Schritt 1: Zugriff auf die Konsole + +1. Melden Sie sich an der Cloud Temple-Konsole an. +2. Wählen Sie im Navigationsmenü **Network** und dann **VPC**. + + + +## Schritt 2: Erstellen einer VPC + +1. Klicken Sie auf die Schaltfläche **VPC erstellen**. + + +2. Füllen Sie das geführte Formular aus: + * **VPC-Name**: Wählen Sie einen eindeutigen Namen zur Identifizierung Ihrer Umgebung. + * **Beschreibung**: (Optional) Fügen Sie eine Beschreibung hinzu. + + +3. Bestätigen Sie die Erstellung. + +> **Hinweis**: Die VPC-Bereitstellung ist vollautomatisch und dauert in der Regel weniger als eine Stunde. + + + +## Schritt 3: Erstellen privater Netzwerke + +Sobald Ihre VPC aktiv ist: + +1. Greifen Sie auf die Details Ihrer VPC zu, indem Sie auf deren Namen klicken. + + +2. Gehen Sie zum Reiter **Private Netzwerke**. +3. Klicken Sie auf **Netzwerk hinzufügen**. +4. Konfigurieren Sie Ihr Netzwerk: + * **Name**: Name des Netzwerksegments (z. B. `backend`, `frontend`). + * **CIDR**: IP-Adressbereich (z. B. `192.168.1.0/24`). + + + +## Schritt 4: Gateway aktivieren (Optional) + +Um Ihren privaten Netzwerken über ein sicheres Gateway Internetzugang zu gewähren: + +1. Klicken Sie auf die Schaltfläche zur Gateway-Aktivierung. + + +2. Bestätigen Sie die Aktivierung im modalen Fenster. + + +## Schritt 5: Verbinden Ihrer Ressourcen + +Ihre privaten Netzwerke sind jetzt in allen Verfügbarkeitszonen (AZ) der Region verfügbar. Sie können Ihre IaaS Open Source-VMs oder Server direkt über deren jeweilige Konfigurationsschnittstellen verbinden. diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/tutorials.md new file mode 100644 index 00000000..1200eb23 --- /dev/null +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/tutorials.md @@ -0,0 +1,11 @@ +--- +title: Tutorials +--- + +Diese Tutorials helfen Ihnen, eine Cloud Temple VPC über das Konsolenportal bereitzustellen und zu verwalten. + +
+

Tutorials

+

Derzeit sind keine Tutorials verfügbar, aber wir arbeiten aktiv daran. Schauen Sie bald wieder vorbei, um mehr zu erfahren!

+ Zur Startseite → +
diff --git a/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/vpc.md b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/vpc.md new file mode 100644 index 00000000..3bbec548 --- /dev/null +++ b/i18n/de/docusaurus-plugin-content-docs/current/network/vpc/vpc.md @@ -0,0 +1,26 @@ +--- +title: Übersicht +slug: /network/vpc +--- + +Die Cloud Temple VPC (Virtual Private Cloud) ist ein verwalteter Netzwerkdienst, der es Ihnen ermöglicht, private, isolierte und sichere Umgebungen auf vollautomatische Weise zu erstellen. Entwickelt für ein Cloud-natives Erlebnis, vereinfacht er das Flussmanagement, den Internetzugang und die IP-Adressierung und gewährleistet gleichzeitig die Souveränität Ihrer Daten. + +Der Dienst ermöglicht es Ihnen, Ihre privaten Netzwerke bereitzustellen und zu verwalten, ohne sich um die Komplexität manueller Konfigurationen kümmern zu müssen, mit einer Hochverfügbarkeit von 99,99 %. + +
+
+

Konzepte

+

Entdecken Sie die Architektur, die Komponenten (Private Netzwerke, Gateway) und die Vorteile der VPC.

+ Konzepte erkunden → +
+
+

Schnellstart

+

Erstellen Sie Ihre erste VPC und konfigurieren Sie Ihre privaten Netzwerke in wenigen Minuten.

+ Schnellstart starten → +
+
+

Tutorials

+

Schritt-für-Schritt-Anleitungen für fortgeschrittene Anwendungsfälle (Peering, VPN usw.).

+ Tutorials entdecken → +
+
diff --git a/i18n/de/docusaurus-plugin-content-docs/current/paas_openshift/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/paas_openshift/quickstart.md index 1ffc22a2..dd2b7fb3 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/paas_openshift/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/paas_openshift/quickstart.md @@ -8,11 +8,9 @@ import oshiftMenu_002 from './images/oshift_menu_002.png' import oshiftMenu_003 from './images/oshift_menu_003.png' import oshiftOrder_001 from './images/oshift_order_001.png' -# QuickStart für das OpenShift-Angebot +# QuickStart for the OpenShift Offering -Diese Seite führt Sie durch die ersten Schritte zur Nutzung des **OpenShift**-Angebots über die Cloud Temple-Konsole. Befolgen Sie diese Anweisungen, um die verfügbaren Menüs und Funktionen kennenzulernen. - ---- +This page guides you through the initial steps to use the **OpenShift** offering from the Cloud Temple console. Follow these instructions to explore the available menus and features. ## Voraussetzungen @@ -56,7 +54,7 @@ Das Untermenü **Clusters** zeigt Ihnen eine Tabelle mit allen verfügbaren Open ### 2. Cluster Details -When you click on a **cluster name** in the list, a detailed page is displayed with complete cluster information: +When you click on a **cluster name** in the list, a detailed page appears displaying complete cluster information: **Connectivity Information:** - **Access URL**: Web interface of the cluster @@ -97,7 +95,7 @@ Here are the connection and configuration details specific to your OpenShift env To access the various OpenShift components, ensure your tenant is whitelisted in the console (see documentation: [Cloud Temple Documentation](https://docs.cloud-temple.com/)). -- __Shiva Tenant URL__: +- __Tenant Console URL__: [https://__your-tenant-id__.shiva.cloud-temple.com/](https://**your-tenant-id**.shiva.cloud-temple.com/) - __OpenShift UI__: @@ -109,12 +107,12 @@ To access the various OpenShift components, ensure your tenant is whitelisted in - __GitOps (ARGOCD)__: [https://gitops-ocp01-__your-tenant-id__.paas.cloud-temple.com/applications](https://gitops-ocp01-**your-tenant-id**.paas.cloud-temple.com/applications) -#### Connection to the cluster via CLI +#### Verbindung zum Cluster über die Befehlszeile (CLI) -To connect via the command line interface (CLI), use the following command: +Verwenden Sie den folgenden Befehl, um sich über die Befehlszeile (CLI) zu verbinden: ```bash -oc login https://api-ocp01-{your-id}.paas.cloud-temple.com/ --web +oc login https://api-ocp01-{Ihre-ID}.paas.cloud-temple.com/ --web ``` #### Zugriff auf den Registry @@ -136,7 +134,7 @@ docker push registry-ocp01-{Ihr-ID}.paas.cloud-temple.com//temp:lates #### Configuration of Routers and Load Balancers -The platform provides flexible options for __traffic routing__ and __load balancing__: +The platform offers flexible options for __traffic routing__ and __load balancing__: - By default, private load balancers are used for routes and ingresses. - Domains: @@ -153,11 +151,11 @@ metadata: ct-router-type: public ``` -#### IaaS Connectivity +#### IaaS Networking Network configurations play a crucial role in securing communications with OpenShift. -- __Connectivity Network__: 100.67.0.0/28 -- __Private Load Balancer VIP__: 100.67.0.3 +- __Interconnection Network__: 100.67.0.0/28 +- __Private Load Balancer VIP__: 100.67.0.3 Ensure your firewall has a dedicated interface and permits traffic between the specified networks. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/storage/oss/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/storage/oss/quickstart.md index a7da7507..98e7a83d 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/storage/oss/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/storage/oss/quickstart.md @@ -38,7 +38,7 @@ Der Cloud Object Storage Temple ist ein hochsicherer und SecNumCloud-zertifizier Added `cloudtemple-fr1` successfully. ``` - Ersetzen Sie `VOTRE_NAMESPACE` durch Ihren Namespace. Dieser Wert ist in der Cloud Temple-Konsole im Detail eines Buckets verfügbar. - - Ersetzen Sie `VOTRE_CLE_ACCES` und `VOTRE_CLE_SECRETE` durch Ihre Zugriffsschlüssel für das Speicherkonto. + - Ersetzen Sie `VOTRE_CLE_ACCES` und `VOTRE_CLE_SECRETE` durch die Zugriffsschlüssel Ihres Speicherkontos. @@ -106,7 +106,7 @@ Der Cloud Object Storage Temple ist ein hochsicherer und SecNumCloud-zertifizier Im Tab '__Einstellungen__' können Sie die detaillierten Informationen Ihres S3-Buckets einsehen: - **Wichtiger Hinweis**: Der Begriff '__Löschschutz__' bezieht sich auf die Schutzdauer der Daten und nicht auf eine geplante Löschung. Die Daten bleiben während der gesamten konfigurierten Dauer zugänglich. Um eine automatische Löschung der Daten nach Ablauf der Aufbewahrungsfrist zu erreichen, ist die Definition einer Lebenszyklusrichtlinie (lifecycle) erforderlich. + **Wichtiger Hinweis**: Der Begriff '__Löschschutz__' bezieht sich auf die Schutzdauer der Daten und nicht auf eine geplante Löschung. Die Daten bleiben während der gesamten konfigurierten Periode zugänglich. Um eine automatische Löschung der Daten nach Ablauf der Aufbewahrungsfrist zu ermöglichen, ist die Definition einer Lebenszyklusrichtlinie (lifecycle) erforderlich. **Beispiel für eine Lebenszyklusrichtlinie** (`lifecycle.json`): @@ -125,7 +125,7 @@ Der Cloud Object Storage Temple ist ein hochsicherer und SecNumCloud-zertifizier "Days": 30 // löscht nach 30 Tagen }, "NoncurrentVersionExpiration": { - "NoncurrentDays": 7 // löscht ältere Versionen 7 Tage nach Erstellung einer neuen Version + "NoncurrentDays": 7 // löscht alte Versionen 7 Tage nach Erstellung einer neuen Version } } ] @@ -234,7 +234,7 @@ Der Cloud Object Storage Temple ist ein hochsicherer und SecNumCloud-zertifizier ## Erstellung eines S3-Buckets - Die Erstellung eines neuen Buckets erfolgt durch Klicken auf die Schaltfläche '__Neuer Bucket__' oben rechts auf dem Bildschirm: + Die Erstellung eines neuen Buckets erfolgt durch Klicken auf die Schaltfläche '__Neuer Bucket__' in der oberen rechten Ecke des Bildschirms: Es öffnet sich ein Fenster, in dem Sie folgende Angaben machen müssen: 1. Die **Region** für die Erstellung Ihres Buckets, @@ -282,12 +282,12 @@ Der Cloud Object Storage Temple ist ein hochsicherer und SecNumCloud-zertifizier Account associations with buckets and access restriction configurations are performed in the '__Policies__' tab of the bucket. - This interface allows you to grant storage account access to the bucket according to four predefined roles (Maintainer, Writer and Reader, Writer, Reader). + This interface allows you to grant storage account access to the bucket according to four predefined roles (read_only, read_write, write_only, maintainer). - Fine-grained access policy management via the AWS client (`put-bucket-policy`) is an advanced operation. For most use cases, we recommend using the Cloud Temple console for simplified and secure configuration. + Fine-grained access policy management via the AWS client (`put-bucket-policy`) is an advanced operation. For most use cases, we recommend using the Cloud Temple console for a simplified and secure configuration. - Fine-grained access policy management via the `mc` client (`policy` commands) is an advanced operation. For most use cases, we recommend using the Cloud Temple console for simplified and secure configuration. + Fine-grained access policy management via the `mc` client (`policy` commands) is an advanced operation. For most use cases, we recommend using the Cloud Temple console for a simplified and secure configuration. \ No newline at end of file diff --git a/i18n/de/docusaurus-plugin-content-docs/current/terraform/concepts.md b/i18n/de/docusaurus-plugin-content-docs/current/terraform/concepts.md index 38d2fff6..68eb2d4b 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/terraform/concepts.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/terraform/concepts.md @@ -2,29 +2,29 @@ title: Konzepte --- -# Terraform-Konzepte im Cloud Temple Provider +# Konzepte von Terraform im Cloud Temple Provider -Diese Seite präsentiert die grundlegenden Konzepte, die notwendig sind, um den Cloud Temple Terraform Provider effektiv zu verstehen und zu nutzen. +Diese Seite stellt die grundlegenden Konzepte vor, die notwendig sind, um den Terraform Cloud Temple Provider zu verstehen und effektiv zu nutzen. ## Infrastructure as Code (IaC) -Infrastructure as Code ist ein Ansatz, bei dem IT-Infrastruktur durch menschenlesbare Konfigurationsdateien verwaltet und bereitgestellt wird, anstatt durch manuelle Konfiguration oder interaktive Tools. +Infrastructure as Code ist ein Ansatz, bei dem die Verwaltung und Bereitstellung von IT-Infrastruktur mithilfe von für Menschen lesbaren Konfigurationsdateien erfolgt, anstatt manuell oder über interaktive Tools. ### Vorteile von IaC mit Terraform -- **Versionierung**: Infrastruktur wird in Dateien definiert, die versioniert werden können (Git) +- **Versionskontrolle**: Die Infrastruktur wird in Dateien definiert, die versioniert werden können (Git) - **Zusammenarbeit**: Teams können gemeinsam an derselben Infrastruktur arbeiten - **Automatisierung**: Reduzierung menschlicher Fehler und Zeitersparnis - **Dokumentation**: Der Code beschreibt die Infrastruktur explizit -- **Reproduzierbarkeit**: Bereitstellung identischer Umgebungen in Minuten +- **Reproduzierbarkeit**: Bereitstellung identischer Umgebungen innerhalb weniger Minuten -## Terraform Provider +## Terraform-Provider -Ein Terraform Provider ist ein Plugin, das Terraform die Interaktion mit einer spezifischen API ermöglicht. Der Cloud Temple Provider fungiert als Abstraktionsschicht zwischen Ihren Terraform-Konfigurationsdateien und den Cloud Temple APIs. +Ein Terraform-Provider ist ein Plugin, das es Terraform ermöglicht, mit einer bestimmten API zu interagieren. Der Cloud Temple Provider fungiert als Abstraktionsschicht zwischen Ihren Terraform-Konfigurationsdateien und den Cloud Temple APIs. ### Provider-Deklaration -Der Provider muss in einem `terraform`-Block mit `required_providers` deklariert werden: +Der Provider muss innerhalb eines `terraform`-Blocks mit `required_providers` deklariert werden: ```hcl terraform { @@ -46,10 +46,10 @@ provider "cloudtemple" { Der Provider authentifiziert sich bei den Cloud Temple APIs mit: -1. **Client ID**: Eindeutiger Identifikator für Ihre Anwendung -2. **Secret ID**: Geheimer Schlüssel, der mit der Client ID verknüpft ist +1. **Client ID**: Eindeutige Kennung für Ihre Anwendung +2. **Secret ID**: Geheimer Schlüssel, der mit der Client ID verbunden ist -Diese Anmeldeinformationen werden über die Cloud Temple Konsole generiert und ermöglichen es dem Provider, Operationen in Ihrem Namen auszuführen. +Diese Anmeldeinformationen werden über die Cloud Temple-Konsole generiert und ermöglichen es dem Provider, Operationen in Ihrem Namen durchzuführen. :::info Best Practices Speichern Sie Ihre Anmeldeinformationen in Umgebungsvariablen oder einem Secrets-Manager, niemals direkt im Code. @@ -57,7 +57,7 @@ Diese Anmeldeinformationen werden über die Cloud Temple Konsole generiert und e ## Ressourcen -Eine Ressource repräsentiert eine Infrastrukturkomponente, die erstellt, gelesen, aktualisiert oder gelöscht werden kann (CRUD-Operationen). +Eine Ressource stellt eine Infrastrukturkomponente dar, die erstellt, gelesen, aktualisiert oder gelöscht werden kann (CRUD-Operationen). ```hcl resource "cloudtemple_compute_virtual_machine" "web" { @@ -70,32 +70,32 @@ resource "cloudtemple_compute_virtual_machine" "web" { } ``` -### Cloud Temple Ressourcentypen +### Cloud Temple-Ressourcentypen -#### VMware IaaS +#### IaaS VMware -- `cloudtemple_compute_virtual_machine`: Virtuelle Maschine -- `cloudtemple_compute_virtual_disk`: Virtuelle Festplatte -- `cloudtemple_compute_network_adapter`: Netzwerkschnittstelle -- `cloudtemple_compute_virtual_controller`: Gerätecontroller +- `cloudtemple_compute_virtual_machine` : Virtuelle Maschine +- `cloudtemple_compute_virtual_disk` : Virtuelle Festplatte +- `cloudtemple_compute_network_adapter` : Netzwerkadapter +- `cloudtemple_compute_virtual_controller` : Gerätecontroller -#### OpenSource IaaS +#### IaaS Open Source -- `cloudtemple_compute_iaas_opensource_virtual_machine`: Virtuelle Maschine -- `cloudtemple_compute_iaas_opensource_virtual_disk`: Festplatte -- `cloudtemple_compute_iaas_opensource_network_adapter`: Netzwerkschnittstelle -- `cloudtemple_compute_iaas_opensource_replication_policy`: Replikationsrichtlinie +- `cloudtemple_compute_iaas_opensource_virtual_machine` : Virtuelle Maschine +- `cloudtemple_compute_iaas_opensource_virtual_disk` : Virtuelle Festplatte +- `cloudtemple_compute_iaas_opensource_network_adapter` : Netzwerkschnittstelle +- `cloudtemple_compute_iaas_opensource_replication_policy` : Replikationsrichtlinie #### Object Storage -- `cloudtemple_object_storage_bucket`: S3-Bucket -- `cloudtemple_object_storage_storage_account`: Speicherkonto -- `cloudtemple_object_storage_acl_entry`: Bucket-ACL -- `cloudtemple_object_storage_global_access_key`: Globaler Zugriffsschlüssel für Namespace +- `cloudtemple_object_storage_bucket` : S3-Bucket +- `cloudtemple_object_storage_storage_account` : Speicherkonto +- `cloudtemple_object_storage_acl_entry` : ACL eines Buckets +- `cloudtemple_object_storage_global_access_key`: Globale Zugriffsschlüssel für den Namespace ### Attribute und Argumente -Jede Ressource hat: +Jede Ressource verfügt über: - **Argumente**: Werte, die Sie konfigurieren (Eingaben) - **Attribute**: Werte, die von der Ressource zurückgegeben werden (Ausgaben) @@ -108,23 +108,23 @@ resource "cloudtemple_compute_virtual_machine" "example" { cpu = 4 # Attribute (automatisch berechnet) - # id, moref, machine_manager_id, etc. + # id, moref, machine_manager_id, usw. } -# Verweis auf ein Attribut +# Referenz auf ein Attribut output "vm_id" { value = cloudtemple_compute_virtual_machine.example.id } ``` -## Datasources +## Datenquellen -Datasources ermöglichen es Ihnen, Informationen über bestehende Ressourcen abzurufen, ohne sie zu verwalten. Sie sind **nur lesbar**. +Datenquellen ermöglichen die Abfrage von Informationen zu vorhandenen Ressourcen, ohne diese zu verwalten. Sie sind **schreibgeschützt**. -### Verwendung von Datasources +### Verwendung von Datenquellen ```hcl -# Abrufen eines bestehenden Datacenters +# Abrufen eines vorhandenen Datacenters data "cloudtemple_compute_virtual_datacenter" "dc" { name = "DC-EQX6" } @@ -143,14 +143,14 @@ resource "cloudtemple_compute_virtual_machine" "web" { } ``` -### Hauptdatasources +### Hauptdatenquellen -Die vollständige Liste der verfügbaren Datasources im Cloud Temple Terraform Provider finden Sie in der [Terraform-Dokumentation](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest/docs) +Sie finden die vollständige Liste der verfügbaren Datenquellen im Terraform Cloud Temple Provider in der [Terraform-Dokumentation](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest/docs) #### Compute-Infrastruktur -| Datasource | Beschreibung | -|------------|-------------| +| Datenquelle | Beschreibung | +|-------------|--------------| | `cloudtemple_compute_virtual_datacenter` | Virtuelles Datacenter | | `cloudtemple_compute_host_cluster` | Host-Cluster | | `cloudtemple_compute_datastore_cluster` | Datastore-Cluster | @@ -160,33 +160,33 @@ Die vollständige Liste der verfügbaren Datasources im Cloud Temple Terraform P #### Templates und Marketplace -| Datasource | Beschreibung | -|------------|-------------| +| Datenquelle | Beschreibung | +|-------------|--------------| | `cloudtemple_compute_content_library` | Inhaltsbibliothek | -| `cloudtemple_compute_content_library_item` | Bibliothekselement | +| `cloudtemple_compute_content_library_item` | Element einer Bibliothek | | `cloudtemple_marketplace_item` | Cloud Temple Marketplace-Element | -| `cloudtemple_compute_iaas_opensource_template` | Template im OpenSource IaaS-Katalog | +| `cloudtemple_compute_iaas_opensource_template` | Template im IaaS OpenSource-Katalog | #### Backup -| Datasource | Beschreibung | -|------------|-------------| -| `cloudtemple_backup_sla_policy` | VMware Backup-SLA-Richtlinie | -| `cloudtemple_backup_iaas_opensource_policy` | OpenSource Backup-Richtlinie | +| Datenquelle | Beschreibung | +|-------------|--------------| +| `cloudtemple_backup_sla_policy` | SLA-Richtlinie für VMware-Backup | +| `cloudtemple_backup_iaas_opensource_policy` | Backup-Richtlinie für OpenSource | #### Object Storage -| Datasource | Beschreibung | -|------------|-------------| -| `cloudtemple_object_storage_role` | Verfügbare Rollen für ACLs | +| Datenquelle | Beschreibung | +|-------------|--------------| +| `cloudtemple_object_storage_role` | Verfügbare Rollen für ACL | | `cloudtemple_object_storage_bucket_files` | Dateien in einem Bucket | -| `cloudtemple_object_storage_storage_account` | Bestehendes Speicherkonto | +| `cloudtemple_object_storage_storage_account` | Vorhandenes Speicherkonto | -## Terraform State +## Terraform-State -Der Terraform State ist eine Datei, die die Zuordnung zwischen Ihrer Konfiguration und den tatsächlichen Ressourcen in der Cloud aufrechterhält. +Der Terraform-State ist eine Datei, die die Zuordnung zwischen Ihrer Konfiguration und den tatsächlichen Ressourcen in der Cloud verwaltet. -### terraform.tfstate Datei +### Terraform-State-Datei ```json { @@ -204,9 +204,9 @@ Der Terraform State ist eine Datei, die die Zuordnung zwischen Ihrer Konfigurati } ``` -### Remote Backend +### Remote-Backend -Für die Teamzusammenarbeit speichern Sie den State in einem Remote-Backend: +Für ein Teamprojekt speichern Sie den State in einem entfernten Backend: ```hcl terraform { @@ -219,18 +219,18 @@ terraform { ``` :::warning - Die `terraform.tfstate`-Datei enthält sensible Informationen. Committen Sie sie niemals in Git und verwenden Sie ein sicheres Backend für die Speicherung. + Die Datei `terraform.tfstate` enthält sensible Informationen. Commiten Sie sie niemals in Git und verwenden Sie ein sicheres Backend für die Speicherung. ::: :::info - OpenTofu bietet standardmäßig State-Verschlüsselung ([OpenTofu - State and Plan Encryption](https://opentofu.org/docs/language/state/encryption/)) + OpenTofu bietet die Verschlüsselung des States standardmäßig an ([OpenTofu - State and Plan Encryption](https://opentofu.org/docs/language/state/encryption/)) ::: ## Terraform-Lebenszyklus ### 1. Initialisierung (terraform init) -Initialisieren Sie das Arbeitsverzeichnis und laden Sie den Cloud Temple Provider herunter: +Initialisiert das Arbeitsverzeichnis und lädt den Cloud Temple Provider herunter: ```bash terraform init @@ -239,52 +239,52 @@ terraform init Dieser Befehl: - Lädt den Provider aus dem Terraform Registry herunter - Initialisiert das Backend (falls konfiguriert) -- Erstellt das `.terraform/`-Verzeichnis +- Erstellt das Verzeichnis `.terraform/` ### 2. Planung (terraform plan) -Erzeugen Sie einen Ausführungsplan, der die anzuwendenden Änderungen zeigt: +Erstellt einen Ausführungsplan, der die Änderungen anzeigt, die angewendet werden: ```bash terraform plan ``` -Der Plan zeigt: -- **Zu erstellende Ressourcen** (`+`) -- **Zu ändernde Ressourcen** (`~`) -- **Zu löschende Ressourcen** (`-`) -- **Neu zu erstellende Ressourcen** (`-/+`) +Der Plan zeigt an: +- **Ressourcen, die erstellt werden** (`+`) +- **Ressourcen, die geändert werden** (`~`) +- **Ressourcen, die entfernt werden** (`-`) +- **Ressourcen, die neu erstellt werden** (`-/+`) ### 3. Anwendung (terraform apply) -Wenden Sie Änderungen an, um den gewünschten Zustand zu erreichen: +Wendet die Änderungen an, um den gewünschten Zustand zu erreichen: ```bash terraform apply ``` Terraform: -1. Erzeugt einen Plan -2. Fragt nach Bestätigung (außer mit `--auto-approve`) -3. Wendet Änderungen an +1. Generiert einen Plan +2. Fordert Bestätigung an (außer bei Verwendung von `--auto-approve`) +3. Wendet die Änderungen an 4. Aktualisiert den State ### 4. Zerstörung (terraform destroy) -Zerstören Sie alle verwalteten Ressourcen: +Zerstört alle verwalteten Ressourcen: ```bash terraform destroy ``` :::danger Achtung - Dieser Befehl löscht alle Ressourcen dauerhaft. Mit Vorsicht verwenden. + Dieser Befehl löscht alle Ressourcen endgültig. Verwenden Sie ihn vorsichtig. ::: -### 5. Weitere nützliche Befehle +### 5. Andere nützliche Befehle ```bash -# Aktuellen State anzeigen +# Aktuellen Zustand anzeigen terraform show # Ressourcen auflisten @@ -309,7 +309,7 @@ Terraform analysiert automatisch Abhängigkeiten zwischen Ressourcen. Terraform erkennt Referenzen zwischen Ressourcen: ```hcl -# Die Datasource wird zuerst ausgewertet +# Die Datenquelle wird zuerst ausgewertet data "cloudtemple_compute_virtual_datacenter" "dc" { name = "DC-EQX6" } @@ -344,7 +344,7 @@ resource "cloudtemple_compute_virtual_machine" "web" { } ``` -## Variablen und Outputs +## Variablen und Ausgaben ### Eingabevariablen @@ -370,9 +370,9 @@ resource "cloudtemple_compute_virtual_machine" "example" { } ``` -### Outputs +### Ausgaben -Geben Sie Informationen nach der Anwendung preis: +Exponieren Sie Informationen nach der Anwendung: ```hcl output "vm_id" { @@ -388,7 +388,7 @@ output "vm_moref" { ## Module -Module ermöglichen es Ihnen, Konfigurationen zu gruppieren und wiederzuverwenden: +Module ermöglichen die Gruppierung und Wiederverwendung von Konfigurationen: ```hcl # modules/vm/main.tf @@ -419,15 +419,15 @@ module "db_server" { ## Best Practices -### Dateiorganisation +### Dateistruktur ``` . ├── main.tf # Hauptressourcen ├── variables.tf # Variablendeklarationen -├── outputs.tf # Output-Deklarationen +├── outputs.tf # Ausgabedeklarationen ├── versions.tf # Terraform- und Provider-Versionen -├── terraform.tfvars # Variablenwerte (nicht committen) +├── terraform.tfvars # Variablenwerte (nicht commiten) └── modules/ # Wiederverwendbare Module └── vm/ ├── main.tf @@ -435,13 +435,13 @@ module "db_server" { └── outputs.tf ``` -### Secrets-Verwaltung +### Geheimnisverwaltung ```hcl # ❌ Zu vermeiden provider "cloudtemple" { client_id = "12345678-1234-1234-1234-123456789abc" - secret_id = "klartext-secret" + secret_id = "klartext-geheimnis" } # ✅ Empfohlen @@ -469,5 +469,5 @@ resource "cloudtemple_compute_virtual_machine" "web" { ## Nächste Schritte -- [Erste Schritte](quickstart.md): Erstellen Sie Ihre erste Infrastruktur mit Terraform -- [Tutorials](tutorials.md): Praktische Beispiele für jeden Service +- [Schnellstartanleitung](quickstart.md): Erstellen Sie Ihre erste Infrastruktur mit Terraform +- [Tutorials](tutorials.md): Praktische Beispiele für jeden Dienst diff --git a/i18n/de/docusaurus-plugin-content-docs/current/terraform/quickstart.md b/i18n/de/docusaurus-plugin-content-docs/current/terraform/quickstart.md index 95cfe5b5..136f3547 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/terraform/quickstart.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/terraform/quickstart.md @@ -1,19 +1,19 @@ --- -title: Erste Schritte +title: Getting Started Guide --- -# Schnellstartanleitung +# Quick Start Guide -Diese Anleitung führt Sie Schritt für Schritt durch die Bereitstellung Ihrer ersten Cloud Temple-Infrastruktur mit Terraform. +This guide walks you step by step through deploying your first Cloud Temple infrastructure with Terraform. ## Voraussetzungen -Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen: +Stellen Sie sicher, dass Sie Folgendes besitzen, bevor Sie beginnen: - Ein aktives Cloud Temple-Konto -- Zugriff auf die [Cloud Temple Console](https://shiva.cloud-temple.com) +- Zugriff auf die [Cloud Temple-Konsole](https://shiva.cloud-temple.com) - API-Schlüssel (Client ID und Secret ID) -- Terraform auf Ihrem Computer installiert (Version 1.0 oder höher) +- Terraform auf Ihrer Maschine installiert (Version 1.0 oder höher) ## Schritt 1: Terraform installieren @@ -40,31 +40,31 @@ Laden Sie die ausführbare Datei von [terraform.io](https://www.terraform.io/dow choco install terraform ``` -### Überprüfung der Installation +### Installation verification ```bash terraform version ``` -Sie sollten eine ähnliche Ausgabe sehen: +You should see output similar to: ``` Terraform v1.6.0 ``` -## Schritt 2: Ihren API-Schlüssel erhalten +## Schritt 2: API-Schlüssel erhalten -### Generieren eines API-Schlüssels in der Console +### Generating an API Key in the Console -Diese Zugangsdaten können über die Cloud Temple Console generiert werden, indem Sie [dieser Anleitung](https://docs.cloud-temple.com/console/api#cl%C3%A9s-api) folgen. +These credentials can be generated in the Cloud Temple Console by following [this procedure](https://docs.cloud-temple.com/console/api#api-keys). -:::warning Sicherheit - Bewahren Sie diese Zugangsdaten sicher auf. Die Secret ID wird nur einmal angezeigt. +:::warning Security + Store these credentials securely. The Secret ID will be displayed only once. ::: -### Konfigurieren von Umgebungsvariablen +### Konfiguration der Umgebungsvariablen -Exportieren Sie Ihre Zugangsdaten als Umgebungsvariablen: +Exportieren Sie Ihre Anmeldeinformationen als Umgebungsvariablen: **Linux/macOS:** @@ -89,7 +89,7 @@ mkdir terraform-cloudtemple-quickstart cd terraform-cloudtemple-quickstart ``` -### Provider-Konfigurationsdatei erstellen +### Erstellen der Konfigurationsdatei für den Provider Erstellen Sie eine Datei `versions.tf`: @@ -106,20 +106,20 @@ terraform { } provider "cloudtemple" { - # Zugangsdaten werden automatisch aus Umgebungsvariablen abgerufen - # CLOUDTEMPLE_CLIENT_ID und CLOUDTEMPLE_SECRET_ID + # Die Anmeldeinformationen werden automatisch aus den Umgebungsvariablen + # CLOUDTEMPLE_CLIENT_ID und CLOUDTEMPLE_SECRET_ID abgerufen } ``` ## Schritt 4: Terraform initialisieren -Initialisieren Sie Ihr Terraform-Projekt, um den Provider herunterzuladen: +Initialize your Terraform project to download the provider: ```bash terraform init ``` -Sie sollten sehen: +You should see: ``` Initializing the backend... @@ -134,57 +134,57 @@ Terraform has been successfully initialized! ## Schritt 5: Ihre erste Ressource erstellen -### Einfaches Beispiel: VMware virtuelle Maschine +### Einfaches Beispiel: Virtuelle Maschine VMware Erstellen Sie eine Datei `main.tf` mit einer minimalen Konfiguration: ```hcl -# Abrufen notwendiger vorhandener Ressourcen +# Retrieval of existing resources required data "cloudtemple_compute_machine_manager" "vc-vstack-01" { - name = "vc-vstack-001-t0001" # Passen Sie den Namen Ihres vCenters an + name = "vc-vstack-001-t0001" # Adapt with your vCenter name } data "cloudtemple_compute_virtual_datacenter" "dc" { - name = "DC-EQX6" # Passen Sie den Namen Ihres Rechenzentrums an + name = "DC-EQX6" # Adapt with your datacenter name machine_manager_id = data.cloudtemple_compute_machine_manager.vc-vstack-01.id } data "cloudtemple_compute_host_cluster" "cluster" { - name = "clu001-ucs01" # Passen Sie den Namen Ihres Clusters an + name = "clu001-ucs01" # Adapt with your cluster name machine_manager_id = data.cloudtemple_compute_machine_manager.vc-vstack-01.id } data "cloudtemple_compute_datastore_cluster" "datastore" { - name = "sdrs001-LIVE" # Passen Sie den Namen Ihres Datastore-Clusters an + name = "sdrs001-LIVE" # Adapt with your datastore cluster name machine_manager_id = data.cloudtemple_compute_machine_manager.vc-vstack-01.id } data "cloudtemple_backup_sla_policy" "daily" { - name = "sla001-daily-par7s" # Backup-Richtlinie + name = "sla001-daily-par7s" # Backup policy } -# Erstellen einer virtuellen Maschine +# Creating a virtual machine resource "cloudtemple_compute_virtual_machine" "my_first_vm" { name = "terraform-vm-01" - # Hardware-Konfiguration - memory = 4 * 1024 * 1024 * 1024 # 4 GB in Bytes + # Hardware configuration + memory = 4 * 1024 * 1024 * 1024 # 4 GB in bytes cpu = 2 num_cores_per_socket = 1 - # Flexibilitätsoptionen + # Flexibility options cpu_hot_add_enabled = true memory_hot_add_enabled = true - # Standort + # Location datacenter_id = data.cloudtemple_compute_virtual_datacenter.dc.id host_cluster_id = data.cloudtemple_compute_host_cluster.cluster.id datastore_cluster_id = data.cloudtemple_compute_datastore_cluster.datastore.id - # Betriebssystem + # Guest operating system guest_operating_system_moref = "ubuntu64Guest" - # Backup-Richtlinie + # Backup policy backup_sla_policies = [ data.cloudtemple_backup_sla_policy.daily.id ] @@ -197,31 +197,31 @@ resource "cloudtemple_compute_virtual_machine" "my_first_vm" { } } -# Output zur Anzeige der VM-ID +# Output to display the VM ID output "vm_id" { - description = "ID der erstellten virtuellen Maschine" + description = "ID of the created virtual machine" value = cloudtemple_compute_virtual_machine.my_first_vm.id } output "vm_moref" { - description = "Managed Object Reference der VM" + description = "Managed Object Reference of the VM" value = cloudtemple_compute_virtual_machine.my_first_vm.moref } ``` -:::note Namen anpassen - Die Namen der Rechenzentren, Cluster und Datastores müssen mit denen in Ihrer Cloud Temple-Umgebung übereinstimmen. Überprüfen Sie die Console, um verfügbare Ressourcen zu identifizieren. +:::note Adaptation of names + The names of datacenters, clusters, and datastores must match those available in your Cloud Temple environment. Check the console to identify the available resources. ::: ## Schritt 6: Änderungen planen -Bevor Sie die Änderungen anwenden, visualisieren Sie, was erstellt wird: +Before applying the changes, visualize what will be created: ```bash terraform plan ``` -Terraform zeigt einen detaillierten Plan an: +Terraform displays a detailed plan: ``` Terraform will perform the following actions: @@ -243,67 +243,67 @@ Plan: 1 to add, 0 to change, 0 to destroy. ## Schritt 7: Konfiguration anwenden -Stellen Sie Ihre Infrastruktur bereit: +Bereiten Sie Ihre Infrastruktur bereit: ```bash terraform apply ``` -Terraform fragt nach Bestätigung: +Terraform fordert Ihre Bestätigung an: ``` -Do you want to perform these actions? - Terraform will perform the actions described above. - Only 'yes' will be accepted to approve. +Möchten Sie diese Aktionen durchführen? + Terraform wird die oben beschriebenen Aktionen durchführen. + Nur "yes" wird akzeptiert, um die Bestätigung zu geben. - Enter a value: + Geben Sie einen Wert ein: ``` -Geben Sie `yes` ein und drücken Sie Enter. +Geben Sie `yes` ein und drücken Sie die Eingabetaste. Terraform erstellt die Ressourcen: ``` -cloudtemple_compute_virtual_machine.my_first_vm: Creating... -cloudtemple_compute_virtual_machine.my_first_vm: Still creating... [10s elapsed] -cloudtemple_compute_virtual_machine.my_first_vm: Still creating... [20s elapsed] -cloudtemple_compute_virtual_machine.my_first_vm: Creation complete after 25s [id=12345678-1234-1234-1234-123456789abc] +cloudtemple_compute_virtual_machine.my_first_vm: Erstellung wird ausgeführt... +cloudtemple_compute_virtual_machine.my_first_vm: Erstellung wird ausgeführt... [10s vergangen] +cloudtemple_compute_virtual_machine.my_first_vm: Erstellung wird ausgeführt... [20s vergangen] +cloudtemple_compute_virtual_machine.my_first_vm: Erstellung abgeschlossen nach 25s [id=12345678-1234-1234-1234-123456789abc] -Apply complete! Resources: 1 added, 0 changed, 0 destroyed. +Anwendung abgeschlossen! Ressourcen: 1 hinzugefügt, 0 geändert, 0 entfernt. -Outputs: +Ausgaben: vm_id = "12345678-1234-1234-1234-123456789abc" vm_moref = "vm-123" ``` -:::success Glückwunsch! - Sie haben gerade Ihre erste Cloud Temple virtuelle Maschine mit Terraform erstellt! +:::success Herzlichen Glückwunsch! + Sie haben soeben Ihre erste virtuelle Maschine Cloud Temple mit Terraform erstellt! ::: ## Schritt 8: Erstellung überprüfen -### In der Cloud Temple Console +### In the Cloud Temple console -1. Melden Sie sich bei der [Cloud Temple Console](https://shiva.cloud-temple.com) an -2. Navigieren Sie zu **IaaS VMWare** > **Virtuelle Maschinen** -3. Sie sollten Ihre virtuelle Maschine `terraform-vm-01` sehen +1. Log in to the [Cloud Temple Console](https://shiva.cloud-temple.com) +2. Navigate to **IaaS VMWare** > **Virtual Machines** +3. You should see your Virtual Machine `terraform-vm-01` -### Mit Terraform +### With Terraform -Aktuellen Zustand anzeigen: +Display the current state: ```bash terraform show ``` -Verwaltete Ressourcen auflisten: +List the managed resources: ```bash terraform state list ``` -Outputs anzeigen: +Display the outputs: ```bash terraform output @@ -317,9 +317,9 @@ terraform output resource "cloudtemple_compute_virtual_machine" "my_first_vm" { name = "terraform-vm-01" - memory = 8 * 1024 * 1024 * 1024 # 8 GB statt 4 GB + memory = 8 * 1024 * 1024 * 1024 # 8 GB anstelle von 4 GB cpu = 2 - # ... Rest der Konfiguration + # ... restliche Konfiguration } ``` @@ -333,28 +333,28 @@ terraform apply Terraform erkennt die Änderung und aktualisiert die VM: ``` -cloudtemple_compute_virtual_machine.my_first_vm: Refreshing state... [id=xxx] +cloudtemple_compute_virtual_machine.my_first_vm: Zustand wird aktualisiert... [id=xxx] -Terraform will perform the following actions: +Terraform wird die folgenden Aktionen ausführen: - # cloudtemple_compute_virtual_machine.my_first_vm will be updated in-place + # cloudtemple_compute_virtual_machine.my_first_vm wird in-place aktualisiert ~ resource "cloudtemple_compute_virtual_machine" "my_first_vm" { ~ memory = 4294967296 -> 8589934592 - # (andere Attribute unverändert) + # (andere Attribute bleiben unverändert) } -Plan: 0 to add, 1 to change, 0 to destroy. +Plan: 0 hinzuzufügen, 1 zu ändern, 0 zu entfernen. ``` ## Schritt 10: Ressourcen zerstören -Wenn Sie mit dem Testen fertig sind, löschen Sie die erstellten Ressourcen: +When you have finished your tests, delete the created resources: ```bash terraform destroy ``` -Terraform zeigt an, was gelöscht wird, und fragt nach Bestätigung: +Terraform displays what will be deleted and asks for confirmation: ``` cloudtemple_compute_virtual_machine.my_first_vm: Refreshing state... [id=xxx] @@ -378,7 +378,7 @@ Do you really want to destroy all resources? Enter a value: ``` -Geben Sie `yes` ein, um die Löschung zu bestätigen. +Type `yes` to confirm deletion. ## Empfohlene Projektstruktur @@ -391,25 +391,25 @@ terraform-cloudtemple/ ├── variables.tf # Variablendeklarationen ├── outputs.tf # Output-Deklarationen ├── terraform.tfvars # Variablenwerte (nicht versionieren) -├── .gitignore # Git-Ausschlüsse -└── README.md # Projektdokumentation +├── .gitignore # Git-Ausnahmen +└── README.md # Projekt-Dokumentation ``` -### Beispiel .gitignore +### Beispiel einer .gitignore-Datei ```gitignore -# Terraform-Dateien +# Terraform Files .terraform/ *.tfstate *.tfstate.* terraform.tfvars .terraform.lock.hcl -# Crash-Dateien +# Crash Files crash.log crash.*.log -# Sensible Variablendateien +# Sensitive variable files *.auto.tfvars override.tf override.tf.json @@ -417,28 +417,28 @@ override.tf.json *_override.tf.json ``` -## Wichtige Terraform-Befehle +## Essentielle Terraform-Befehle | Befehl | Beschreibung | |--------|--------------| -| `terraform init` | Arbeitsverzeichnis initialisieren | -| `terraform validate` | Konfigurationssyntax validieren | -| `terraform fmt` | Dateien automatisch formatieren | -| `terraform plan` | Ausführungsplan anzeigen | -| `terraform apply` | Änderungen anwenden | -| `terraform destroy` | Alle Ressourcen zerstören | -| `terraform show` | Aktuellen Zustand anzeigen | -| `terraform output` | Output-Werte anzeigen | -| `terraform state list` | Verwaltete Ressourcen auflisten | +| `terraform init` | Initialisiert das Arbeitsverzeichnis | +| `terraform validate` | Überprüft die Syntax der Konfiguration | +| `terraform fmt` | Formatiert die Dateien automatisch | +| `terraform plan` | Zeigt den Ausführungsplan an | +| `terraform apply` | Wendet die Änderungen an | +| `terraform destroy` | Zerstört alle Ressourcen | +| `terraform show` | Zeigt den aktuellen Zustand an | +| `terraform output` | Zeigt die Werte der Outputs an | +| `terraform state list` | Listet die verwalteten Ressourcen auf | ## Best Practices -### 1. Variablen verwenden +### 1. Verwenden Sie Variablen ```hcl # variables.tf variable "environment" { - description = "Bereitstellungsumgebung" + description = "Deployment environment" type = string default = "dev" } @@ -454,7 +454,7 @@ resource "cloudtemple_compute_virtual_machine" "vm" { } ``` -### 2. Mit Modulen organisieren +### 2. Organize with modules ```hcl # modules/vm/main.tf @@ -475,7 +475,7 @@ module "web_vm" { } ``` -### 3. Remote Backend verwenden +### 3. Verwenden Sie einen entfernten Backend-Server ```hcl terraform { @@ -487,27 +487,28 @@ terraform { } ``` -### 4. Code kommentieren +### 4. Kommentieren Sie Ihren Code ```hcl -# Virtuelle Maschine für Produktions-Webserver -# CPU und Speicher dimensioniert für 1000 Req/s +# Virtual Machine for the Production Web Server + +# CPU and memory sized to handle 1000 req/s resource "cloudtemple_compute_virtual_machine" "web_prod" { name = "web-prod-01" - # Hardware-Konfiguration basierend auf internen Benchmarks + # Hardware configuration based on internal benchmarks memory = 16 * 1024 * 1024 * 1024 # 16 GB cpu = 8 # ... } ``` -### 5. Datasources verwenden +### 5. Verwenden Sie Datenquellen -Erstellen Sie nicht neu, was bereits existiert. Verwenden Sie Datasources, um auf vorhandene Ressourcen zu verweisen: +Erstellen Sie nicht erneut, was bereits vorhanden ist. Verwenden Sie Datenquellen, um auf bestehende Ressourcen zu verweisen: ```hcl -# Vorhandenes Netzwerk referenzieren +# Reference an existing network data "cloudtemple_compute_network" "prod_network" { name = "PROD-VLAN-100" } @@ -518,26 +519,26 @@ resource "cloudtemple_compute_network_adapter" "nic" { } ``` -## Fehlerbehebung +## Troubleshooting ### Fehler: "Error: Failed to query available provider packages" -**Ursache**: Verbindungsproblem zum Terraform Registry. +**Ursache**: Netzwerkproblem beim Zugriff auf den Terraform Registry. -**Lösung**: Überprüfen Sie Ihre Internetverbindung und versuchen Sie `terraform init` erneut. +**Lösung**: Überprüfen Sie Ihre Internetverbindung und versuchen Sie es erneut mit `terraform init`. -### Fehler: "Error: failed to login" +### Error: "Error: failed to login" ``` Error: failed to login: Unexpected response code: 401 ``` -**Ursache**: Ungültige oder abgelaufene Zugangsdaten. +**Cause**: Invalid or expired credentials. -**Lösung**: -1. Überprüfen Sie Ihre Umgebungsvariablen -2. Generieren Sie einen neuen API-Schlüssel in der Console -3. Überprüfen Sie die Berechtigungen Ihres API-Schlüssels +**Solution**: +1. Check your environment variables +2. Generate a new API key in the console +3. Verify the permissions of your API key ### Fehler: "Error: resource not found" @@ -545,22 +546,22 @@ Error: failed to login: Unexpected response code: 401 Error: failed to find datastore named "ds002-t0001-r-stw1-data13-th3s" ``` -**Ursache**: Die referenzierte Ressource (Rechenzentrum, Cluster usw.) existiert nicht oder Sie haben keinen Zugriff darauf. +**Ursache**: Die referenzierte Ressource (Datacenter, Cluster usw.) existiert nicht oder Sie haben keinen Zugriff darauf. -**Lösung**: -1. Überprüfen Sie den genauen Namen (oder uuid) in der Cloud Temple Console -2. Überprüfen Sie Ihre Zugriffsrechte auf diese Ressource +**Lösung**: +1. Überprüfen Sie den genauen Namen (oder die UUID) in der Cloud Temple-Konsole +2. Überprüfen Sie Ihre Zugriffsrechte für diese Ressource ## Nächste Schritte -Nachdem Sie die Grundlagen beherrschen, erkunden Sie erweiterte Tutorials: +Nachdem Sie die Grundlagen beherrschen, erkunden Sie nun die fortgeschrittenen Tutorials: -- [VMware IaaS Tutorials](tutorials.md#iaas-vmware): Erweiterte VM-Bereitstellung, Disk-Verwaltung, Netzwerkkonfiguration -- [OpenSource IaaS Tutorials](tutorials.md#iaas-opensource): XCP-ng virtuelle Maschinen, Replikation, Hochverfügbarkeit -- [Object Storage Tutorials](tutorials.md#object-storage): Bucket-Erstellung, ACL-Verwaltung, S3-Integration +- [IaaS VMware-Tutorials](tutorials.md#iaas-vmware): Fortgeschrittener VM-Deploy, Disk-Management, Netzwerkkonfiguration +- [IaaS OpenSource-Tutorials](tutorials.md#iaas-opensource): Virtuelle Maschinen mit XCP-ng, Replikation, Hochverfügbarkeit +- [Object Storage-Tutorials](tutorials.md#object-storage): Erstellung von Buckets, Verwaltung von ACLs, S3-Integration ## Zusätzliche Ressourcen -- [Terraform Registry - Cloud Temple Provider](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple) +- [Terraform Registry - Provider Cloud Temple](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple) - [Cloud Temple Console](https://shiva.cloud-temple.com) -- [Cloud Temple Terraform Konzepte](concepts.md) +- [Terraform Cloud Temple Konzepte](concepts.md) diff --git a/i18n/de/docusaurus-plugin-content-docs/current/terraform/terraform.md b/i18n/de/docusaurus-plugin-content-docs/current/terraform/terraform.md index c81a5822..4a68c53c 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/terraform/terraform.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/terraform/terraform.md @@ -2,90 +2,90 @@ title: Übersicht --- -Der Cloud Temple Terraform Provider ermöglicht es Ihnen, Ihre Cloud Temple Konto-Infrastruktur mit dem Infrastructure as Code (IaC) Ansatz zu verwalten. Er bietet eine vollständige Integration mit den Cloud Temple Infrastrukturdiensten und ermöglicht es Ihnen, Ihre Cloud-Ressourcen deklarativ und reproduzierbar bereitzustellen, zu konfigurieren und zu verwalten. +Der Terraform Cloud Temple Provider ermöglicht es Ihnen, die Infrastruktur Ihres Cloud Temple-Kontos mithilfe des Infrastructure as Code (IaC)-Ansatzes zu verwalten. Er bietet eine vollständige Integration mit den Cloud Temple-Infrastrukturdiensten und ermöglicht es Ihnen, Ihre Cloud-Ressourcen deklarativ und reproduzierbar bereitzustellen, zu konfigurieren und zu verwalten. ## Hauptfunktionen - **Infrastructure as Code**: Definieren Sie Ihre Infrastruktur in versionierbaren Konfigurationsdateien -- **Deklaratives Management**: Beschreiben Sie den gewünschten Zustand Ihrer Infrastruktur, Terraform kümmert sich um den Rest +- **Deklarative Verwaltung**: Beschreiben Sie den gewünschten Zustand Ihrer Infrastruktur, Terraform kümmert sich um den Rest - **Vollständige Automatisierung**: Automatisieren Sie die Bereitstellung und Verwaltung Ihrer Ressourcen -- **Reproduzierbarkeit**: Stellen Sie identische Umgebungen zuverlässig bereit -- **Abhängigkeitsverwaltung**: Terraform verwaltet automatisch die Reihenfolge der Ressourcenerstellung +- **Reproduzierbarkeit**: Bereitstellen identischer Umgebungen zuverlässig +- **Abhängigkeitsverwaltung**: Terraform verwaltet automatisch die Erstellungsreihenfolge der Ressourcen ## Abgedeckte Produkte -Der Cloud Temple Terraform Provider unterstützt die folgenden Dienste: +Der Terraform Cloud Temple Provider unterstützt die folgenden Dienste: -### VMware IaaS +### IaaS VMware -Verwalten Sie Ihre VMware virtuellen Maschinen mit allen erweiterten Virtualisierungsfunktionen: +Verwalten Sie Ihre VMware-basierten virtuellen Maschinen mit allen erweiterten Virtualisierungsfunktionen: -- **Virtuelle Maschinen**: Erstellung und Konfiguration virtueller Maschinen -- **Virtuelle Festplatten**: Erstellung und Konfiguration virtueller Festplatten -- **Netzwerkadapter**: Verwaltung der Netzwerkadapter virtueller Maschinen +- **Virtuelle Maschinen**: Erstellung und Konfiguration von virtuellen Maschinen +- **Virtuelle Festplatten**: Erstellung und Konfiguration von virtuellen Festplatten +- **Netzwerkadapter**: Verwaltung von Netzwerkadaptern für virtuelle Maschinen - **Virtuelle Controller**: Verwaltung von Festplattencontrollern und anderen Geräten -- **Cloud-Init**: Automatisierte Startkonfiguration +- **Cloud-Init**: Automatisierte Konfiguration beim Start - **Backup**: Integration mit Cloud Temple Backup-Richtlinien -### OpenSource IaaS +### IaaS OpenSource -Bereitstellung und Verwaltung virtueller Maschinen auf OpenSource-Infrastruktur basierend auf XCP-ng: +Bereitstellen und Verwalten von virtuellen Maschinen auf der OpenSource-Infrastruktur basierend auf XCP-ng: -- **Virtuelle Maschinen**: Erstellung und Verwaltung virtueller Maschinen -- **Virtuelle Festplatten**: Erstellung und Konfiguration virtueller Festplatten -- **Netzwerkadapter**: Erstellung und Konfiguration der Netzwerkadapter virtueller Maschinen +- **Virtuelle Maschinen**: Erstellung und Verwaltung von virtuellen Maschinen +- **Virtuelle Festplatten**: Erstellung und Konfiguration von virtuellen Festplatten +- **Netzwerkadapter**: Erstellung und Konfiguration von Netzwerkadaptern für virtuelle Maschinen - **Replikation**: Datenreplikationsrichtlinien -- **Hochverfügbarkeit**: HA-Konfiguration (disabled, restart, best-effort) -- **Cloud-Init**: NoCloud-kompatible automatisierte Konfiguration +- **Hochverfügbarkeit**: HA-Konfiguration (deaktiviert, Neustart, Best-Effort) +- **Cloud-Init**: Automatisierte Konfiguration kompatibel mit NoCloud - **Backup**: Integration mit Cloud Temple Backup-Richtlinien -### Objektspeicher +### Object Storage -Verwalten Sie Ihre S3-kompatiblen Objektspeicherplätze: +Verwalten Sie Ihre S3-kompatiblen Speicherbereiche: -- **Buckets**: Bucket-Erstellung und -Konfiguration -- **Speicherkonten**: S3-Identitäts- und Credential-Verwaltung -- **ACL**: Granulare Bucket-Zugriffskontrolle -- **Versionierung**: Objektversionsverwaltung +- **Buckets**: Erstellung und Konfiguration von Buckets +- **Speicherkonten**: Verwaltung von S3-Identitäten und Anmeldeinformationen +- **ACL**: Granulare Zugriffskontrolle für Buckets +- **Versionierung**: Verwaltung von Objektversionen ## Voraussetzungen -Bevor Sie den Cloud Temple Terraform Provider verwenden, stellen Sie sicher, dass Sie über Folgendes verfügen: +Stellen Sie sicher, dass Sie Folgendes besitzen, bevor Sie den Terraform Cloud Temple Provider verwenden: -### Zugriff auf die Cloud Temple Konsole +### Zugriff auf die Cloud Temple-Konsole -Sie müssen Zugriff auf die [Cloud Temple Konsole](https://shiva.cloud-temple.com) mit entsprechenden Rechten auf dem Tenant haben, an dem Sie arbeiten möchten. +Sie müssen Zugriff auf die [Cloud Temple-Konsole](https://shiva.cloud-temple.com) mit den entsprechenden Berechtigungen für den Mandanten haben, an dem Sie arbeiten möchten. ### API-Schlüssel Der Provider benötigt Cloud Temple API-Anmeldeinformationen: -- **Client ID**: Client-Identifikator für die Authentifizierung -- **Secret ID**: Mit der Client-ID verknüpftes Geheimnis +- **Client ID**: Client-Identifikator zur Authentifizierung +- **Secret ID**: Geheimnis, das dem Client ID zugeordnet ist -Diese Anmeldeinformationen können über die Cloud Temple Konsole generiert werden, indem Sie [dieser Prozedur](https://docs.cloud-temple.com/console/api#cl%C3%A9s-api) folgen. +Diese Anmeldeinformationen können über die Cloud Temple-Konsole generiert werden, indem Sie [diesem Verfahren](https://docs.cloud-temple.com/console/api#cl%C3%A9s-api) folgen. ### Rechte und Berechtigungen -Abhängig von den Ressourcen, die Sie verwalten möchten, müssen Sie über die entsprechenden Rollen verfügen: +Je nach den Ressourcen, die Sie verwalten möchten, müssen Sie über die entsprechenden Rollen verfügen: -#### Für VMware IaaS +#### Für IaaS VMware - `compute_iaas_vmware_infrastructure_read` - `compute_iaas_vmware_infrastructure_write` - `compute_iaas_vmware_management` - `compute_iaas_vmware_read` - `compute_iaas_vmware_virtual_machine_power` -- `backup_iaas_spp_read` und `backup_iaas_spp_write` (für Backup) +- `backup_iaas_spp_read` und `backup_iaas_spp_write` (für die Sicherung) -#### Für OpenSource IaaS +#### Für IaaS Open Source - `compute_iaas_opensource_management` - `compute_iaas_opensource_read` - `compute_iaas_opensource_virtual_machine_power` -- `backup_iaas_opensource_read` und `backup_iaas_opensource_write` (für Backup) +- `backup_iaas_opensource_read` und `backup_iaas_opensource_write` (für die Sicherung) -#### Für Objektspeicher +#### Für Object Storage - `object-storage_write` - `object-storage_read` @@ -103,32 +103,32 @@ Der Cloud Temple Provider ist kompatibel mit: - **Terraform**: Version 1.0 und höher - **OpenTofu**: Kompatibel mit aktuellen Versionen -## Protokollierung und Debugging +## Logging und Debugging -Um detaillierte Provider-Protokollierung zu aktivieren: +Um die detaillierte Protokollierung für den Provider zu aktivieren: ```bash -# DEBUG-Level-Protokollierung +# Debug-Protokollierung export TF_LOG=DEBUG terraform apply -# JSON-Format-Protokollierung +# JSON-Format für Protokollierung export TF_LOG=JSON terraform apply -# Protokolle in eine Datei speichern +# Loggen in eine Datei speichern export TF_LOG_PATH=./terraform.log terraform apply ``` ## Support und Ressourcen -- **Offizielle Dokumentation**: [Terraform Registry](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest/docs) -- **Quellcode**: [GitHub](https://github.com/Cloud-Temple/terraform-provider-cloudtemple) -- **Issues**: [GitHub Issues](https://github.com/Cloud-Temple/terraform-provider-cloudtemple/issues) +- **Offizielle Dokumentation** : [Terraform Registry](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest/docs) +- **Quellcode** : [GitHub](https://github.com/Cloud-Temple/terraform-provider-cloudtemple) +- **Fehlermeldungen** : [GitHub Issues](https://github.com/Cloud-Temple/terraform-provider-cloudtemple/issues) ## Nächste Schritte -- [Konzepte](concepts.md): Verstehen Sie die wichtigsten Provider-Konzepte -- [Erste Schritte](quickstart.md): Erstellen Sie Ihre erste Infrastruktur +- [Konzepte](concepts.md): Verstehen Sie die Schlüsselkonzepte des Providers +- [Schnellstartanleitung](quickstart.md): Erstellen Sie Ihre erste Infrastruktur - [Tutorials](tutorials.md): Praktische Beispiele und Anwendungsfälle diff --git a/i18n/de/docusaurus-plugin-content-docs/current/terraform/tutorials.md b/i18n/de/docusaurus-plugin-content-docs/current/terraform/tutorials.md index 66831cdd..520caffb 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/terraform/tutorials.md +++ b/i18n/de/docusaurus-plugin-content-docs/current/terraform/tutorials.md @@ -2,26 +2,26 @@ title: Tutorials --- -# Cloud Temple Terraform Tutorials +# Terraform Cloud Temple Tutorials -Diese Seite enthält praktische Tutorials zur Verwendung des Cloud Temple Terraform Providers mit verschiedenen Diensten. +This page gathers practical tutorials for using the Terraform Cloud Temple provider with various services. ## Inhaltsverzeichnis -- [VMware IaaS](#vmware-iaas) -- [OpenSource IaaS](#opensource-iaas) -- [Objektspeicher](#objektspeicher) +- [IaaS VMware](#iaas-vmware) +- [IaaS OpenSource](#iaas-opensource) +- [Objekt-Speicher](#stockage-objet) -## VMware IaaS +## IaaS VMware -### Eine leere VM erstellen +### Erstellen einer leeren VM -**Ziel**: Erstellen Sie eine einfache VMware-Virtual Machine ohne Betriebssystem. +**Ziel**: Erstellen einer einfachen VMware-VM ohne Betriebssystem. **Voraussetzungen**: -- Zugriff auf ein Cloud Temple Rechenzentrum +- Zugriff auf ein Cloud Temple Datacenter - Konfigurierte API-Anmeldeinformationen -- Erforderliche Berechtigungen: +- Erforderliche Berechtigungen - `compute_iaas_vmware_read` - `compute_iaas_vmware_management` - `compute_iaas_vmware_virtual_machine_power` @@ -35,7 +35,7 @@ Diese Seite enthält praktische Tutorials zur Verwendung des Cloud Temple Terraf **Code**: ```hcl -# Erforderliche Ressourcen abrufen +# Retrieval of required resources data "cloudtemple_compute_virtual_datacenter" "dc" { name = "DC-EQX6" } @@ -48,25 +48,25 @@ data "cloudtemple_compute_datastore_cluster" "datastore" { name = "sdrs001-LIVE" } -# Leere VM erstellen +# Creating an empty VM resource "cloudtemple_compute_virtual_machine" "empty_vm" { name = "vm-empty-01" - # Hardware-Konfiguration + # Hardware configuration memory = 4 * 1024 * 1024 * 1024 # 4 GB cpu = 2 num_cores_per_socket = 1 - # Hot-Add aktiviert + # Hot-add enabled cpu_hot_add_enabled = true memory_hot_add_enabled = true - # Standort + # Location datacenter_id = data.cloudtemple_compute_virtual_datacenter.dc.id host_cluster_id = data.cloudtemple_compute_host_cluster.cluster.id datastore_cluster_id = data.cloudtemple_compute_datastore_cluster.datastore.id - # Gast-Betriebssystem + # Guest operating system guest_operating_system_moref = "ubuntu64Guest" tags = { @@ -79,18 +79,16 @@ resource "cloudtemple_compute_virtual_machine" "empty_vm" { **Erklärungen**: - `guest_operating_system_moref`: Definiert den OS-Typ für VMware Tools-Treiber - Die VM wird ohne Festplatte oder Netzwerk erstellt (separat hinzuzufügen) -- Hot-Add-Optionen ermöglichen das Hinzufügen von CPU/RAM im laufenden Betrieb - ---- +- Hot-add-Optionen ermöglichen das Hinzufügen von CPU/RAM im laufenden Betrieb -### Eine VM aus dem Marketplace erstellen +### VM aus der Marketplace erstellen -**Ziel**: Bereitstellen einer VM aus einem Cloud Temple Marketplace-Image. +**Ziel**: Bereitstellung einer VM aus einem Image aus der Cloud Temple Marketplace. **Code**: ```hcl -# Marketplace-Element abrufen +# Retrieval of a Marketplace Item data "cloudtemple_marketplace_item" "ubuntu_2404" { name = "Ubuntu 24.04 LTS" } @@ -111,14 +109,14 @@ data "cloudtemple_backup_sla_policy" "daily" { name = "sla001-daily-par7s" } -# Bereitstellung aus dem Marketplace +# Deployment from the Marketplace resource "cloudtemple_compute_virtual_machine" "marketplace_vm" { name = "ubuntu-marketplace-01" - # Marketplace-Quelle + # Marketplace Source marketplace_item_id = data.cloudtemple_marketplace_item.ubuntu_2404.id - # Konfiguration + # Configuration memory = 8 * 1024 * 1024 * 1024 # 8 GB cpu = 4 num_cores_per_socket = 2 @@ -139,26 +137,24 @@ resource "cloudtemple_compute_virtual_machine" "marketplace_vm" { } ``` -**Erklärungen**: -- `marketplace_item_id`: Verweist auf ein einsatzbereites Image -- `datastore_id`: Spezifischer Datastore erforderlich für Marketplace-Bereitstellung -- Das Image enthält bereits ein konfiguriertes Betriebssystem - ---- +**Explanations**: +- `marketplace_item_id`: References a ready-to-use image +- `datastore_id`: Specific datastore required for Marketplace deployment +- The image already includes a pre-configured operating system -### Eine VM aus der Content Library erstellen +### VM aus Content Library erstellen -**Ziel**: Bereitstellen einer VM aus einer VMware Content Library-Vorlage. +**Ziel**: Bereitstellung einer VM aus einem Template der VMware Content Library. **Code**: ```hcl -# Content Library abrufen +# Retrieval of the Content Library data "cloudtemple_compute_content_library" "public" { name = "PUBLIC" } -# Spezifisches Element abrufen +# Retrieval of a specific item data "cloudtemple_compute_content_library_item" "centos" { content_library_id = data.cloudtemple_compute_content_library.public.id name = "centos-8-template" @@ -184,11 +180,11 @@ data "cloudtemple_compute_network" "vlan" { name = "VLAN_201" } -# Bereitstellung aus Content Library +# Deployment from Content Library resource "cloudtemple_compute_virtual_machine" "content_library_vm" { name = "centos-from-cl-01" - # Content Library-Quelle + # Source Content Library content_library_id = data.cloudtemple_compute_content_library.public.id content_library_item_id = data.cloudtemple_compute_content_library_item.centos.id @@ -197,12 +193,12 @@ resource "cloudtemple_compute_virtual_machine" "content_library_vm" { datastore_cluster_id = data.cloudtemple_compute_datastore_cluster.sdrs.id datastore_id = data.cloudtemple_compute_datastore.ds.id - # OS-Festplatten-Konfiguration + # OS Disk Configuration os_disk { capacity = 50 * 1024 * 1024 * 1024 # 50 GB } - # OS-Netzwerkadapter-Konfiguration + # OS Network Adapter Configuration os_network_adapter { network_id = data.cloudtemple_compute_network.vlan.id } @@ -213,21 +209,19 @@ resource "cloudtemple_compute_virtual_machine" "content_library_vm" { } ``` -**Erklärungen**: -- Die Blöcke `os_disk` und `os_network_adapter` konfigurieren die Vorlagen-Ressourcen -- Diese Blöcke können nur bei der Erstellung verwendet werden (siehe dedizierter Abschnitt) - ---- +**Explanations**: +- The `os_disk` and `os_network_adapter` blocks configure the template's resources +- These blocks can only be used at creation (see dedicated section) -### VMware Cloud-Init konfigurieren +### Cloud-Init VMware konfigurieren -**Ziel**: VM-Konfiguration beim ersten Start mit Cloud-Init automatisieren. +**Ziel**: Automatisierte Konfiguration einer VM beim ersten Start mit Cloud-Init. -**Voraussetzungen**: Verwenden Sie ein Cloud-Init-kompatibles Image (z.B. Ubuntu Cloud Image im OVF-Format). +**Voraussetzungen**: Verwenden einer Cloud-Init-kompatiblen Image (z. B. Ubuntu Cloud Image im OVF-Format). **Cloud-Init-Dateien**: -Create `cloud-init/user-data.yml`: +Erstellen Sie `cloud-init/user-data.yml`: ```yaml #cloud-config @@ -252,7 +246,7 @@ runcmd: - systemctl start nginx ``` -Create `cloud-init/network-config.yml`: +Erstellen Sie `cloud-init/network-config.yml`: ```yaml version: 2 @@ -268,7 +262,7 @@ ethernets: - 8.8.4.4 ``` -**Terraform Code**: +**Terraform-Code**: ```hcl data "cloudtemple_compute_content_library" "local" { @@ -296,7 +290,7 @@ resource "cloudtemple_compute_virtual_machine" "cloudinit_vm" { power_state = "on" - # Cloud-Init configuration (VMware OVF datasource) + # Cloud-Init-Konfiguration (VMware OVF-Datasource) cloud_init = { user-data = filebase64("./cloud-init/user-data.yml") network-config = filebase64("./cloud-init/network-config.yml") @@ -307,131 +301,126 @@ resource "cloudtemple_compute_virtual_machine" "cloudinit_vm" { ``` **Unterstützte Cloud-Init-Schlüssel (VMware)**: -- `user-data`: Hauptkonfiguration (base64) -- `network-config`: Netzwerkkonfiguration (base64) -- `public-keys`: SSH Public Keys +- `user-data`: Hauptkonfiguration (Base64) +- `network-config`: Netzwerkkonfiguration (Base64) +- `public-keys`: Öffentliche SSH-Schlüssel - `hostname`: Hostname -- `password`: Passwort (oder "RANDOM") -- `instance-id`: Eindeutige Kennung +- `password`: Passwort (oder „RANDOM“) +- `instance-id`: Eindeutige Instanz-ID - `seedfrom`: URL der Konfigurationsquelle :::warning Einschränkung - Cloud-Init wird nur beim ersten VM-Start ausgeführt. + Cloud-Init wird nur beim ersten Start der VM ausgeführt. ::: ---- - -### Eine virtuelle Festplatte erstellen und an eine VM anhängen +### Erstellen eines virtuellen Laufwerks und Anhängen an eine VM -**Ziel**: Zusätzlichen Speicher zu einer bestehenden virtuellen Maschine hinzufügen. +**Ziel**: Zusätzlichen Speicher einer bestehenden virtuellen Maschine hinzufügen. **Code**: ```hcl -# Referenz auf eine bestehende VM +# Reference to an existing VM data "cloudtemple_compute_virtual_machine" "existing_vm" { name = "my-existing-vm" } -# Virtuelle Festplatte erstellen +# Creating a virtual disk resource "cloudtemple_compute_virtual_disk" "data_disk" { name = "data-disk-01" - # An VM anhängen + # Attachment to the VM virtual_machine_id = data.cloudtemple_compute_virtual_machine.existing_vm.id - # Festplattengröße + # Disk size capacity = 100 * 1024 * 1024 * 1024 # 100 GB - # Festplattenmodus + # Disk mode disk_mode = "persistent" - # Bereitstellungstyp + # Provisioning type provisioning_type = "dynamic" } ``` -**Verfügbare Festplattenmodi**: -- `persistent`: Änderungen werden sofort und dauerhaft auf der virtuellen Festplatte gespeichert. -- `independent_nonpersistent`: Änderungen an der virtuellen Festplatte werden in einem Redo-Log gespeichert und beim Ausschalten gelöscht. -- `independent_persistent`: Änderungen werden sofort und dauerhaft auf der virtuellen Festplatte gespeichert. Nicht von Snapshots betroffen. +**Available disk modes**: +- `persistent`: Changes are immediately and permanently written to the virtual disk. +- `independent_nonpersistent`: Changes made to the virtual disk are recorded in a rollback journal and discarded upon shutdown. +- `independent_persistent`: Changes are immediately and permanently written to the virtual disk. Unaffected by snapshots. -**Bereitstellungstypen**: -- `dynamic`: Spart Speicherplatz durch dynamische Zuordnung nach Bedarf. Erstellung ist schnell. -- `staticImmediate`: Reserviert den gesamten Festplattenspeicher bei der Erstellung, aber Blöcke werden beim ersten Schreiben genullt. -- `staticDiffered`: Reserviert und nullt den gesamten Festplattenspeicher bei der Erstellung. - ---- +**Provisioning types**: +- `dynamic`: Saves storage space by dynamically allocating space as needed. Creation is fast. +- `staticImmediate`: Allocates all disk space during creation, but blocks are zeroed out on first write. +- `staticDiffered`: Allocates and zeros out all disk space during creation. -### Eine Netzwerkschnittstelle erstellen und an eine VM anhängen +### Erstellen einer Netzwerkschnittstelle und Anhängen an eine VM **Ziel**: Hinzufügen einer Netzwerkkarte zu einer virtuellen Maschine. **Code**: ```hcl -# Netzwerk abrufen +# Network Recovery data "cloudtemple_compute_network" "production_vlan" { name = "PROD-VLAN-100" } -# VM-Referenz +# Reference to the VM data "cloudtemple_compute_virtual_machine" "vm" { name = "my-vm" } -# Netzwerkadapter erstellen +# Creating a Network Adapter resource "cloudtemple_compute_network_adapter" "eth1" { name = "Network adapter 2" - # Ziel-VM + # Target VM virtual_machine_id = data.cloudtemple_compute_virtual_machine.vm.id - # Netzwerk + # Network network_id = data.cloudtemple_compute_network.production_vlan.id - # Adaptertyp + # Adapter type type = "VMXNET3" - # Automatisch beim Einschalten verbinden + # Connect automatically on power on connect_on_power_on = true - # MAC-Adresse (optional, wird automatisch generiert, wenn weggelassen) + # MAC address (optional, automatically generated if omitted) # mac_address = "00:50:56:xx:xx:xx" } ``` - -:::info Unterstützte Netzwerkadaptertypen - Die kompatiblen Adaptertypen hängen vom verwendeten OS auf der Virtual Machine und der VMware-Version ab. +:::info Supported Network Adapter Types + The supported adapter types depend on the operating system running on the virtual machine as well as the version of VMware. ::: --- -### Einen virtuellen Controller erstellen und an eine VM anhängen +### Erstellen eines virtuellen Controllers und Anhängen an eine VM -**Ziel**: Hinzufügen eines Festplatten-Controllers zu einer virtuellen Maschine. +**Ziel**: Hinzufügen eines Festplattencontrollers zu einer virtuellen Maschine. **Code**: ```hcl -# VM-Referenz +# Reference to the VM data "cloudtemple_compute_virtual_machine" "vm" { name = "my-vm" } -# SCSI-Controller erstellen +# Creation of a SCSI controller resource "cloudtemple_compute_virtual_controller" "scsi_controller" { name = "SCSI controller 1" - # Ziel-VM + # Target VM virtual_machine_id = data.cloudtemple_compute_virtual_machine.vm.id - # Controller-Typ + # Controller type type = "SCSI" } ``` -**Controller-Typen**: +**Controller types**: - `USB2` - `USB3` - `SCSI` @@ -439,16 +428,14 @@ resource "cloudtemple_compute_virtual_controller" "scsi_controller" { - `NVME` - `PCI` ---- - -## OpenSource IaaS +## IaaS Open Source -### Eine VM aus einer Vorlage erstellen +### Erstellen einer VM aus einem Template -**Ziel**: Bereitstellen einer virtuellen Maschine aus einer Katalogvorlage. +**Ziel**: Bereitstellen einer virtuellen Maschine aus einem Template im Katalog. **Voraussetzungen**: -- Zugriff auf Cloud Temple OpenSource-Infrastruktur +- Zugriff auf die OpenSource Cloud Temple-Infrastruktur - Erforderliche Berechtigungen: - `compute_iaas_opensource_read` - `compute_iaas_opensource_management` @@ -463,37 +450,37 @@ resource "cloudtemple_compute_virtual_controller" "scsi_controller" { **Code**: ```hcl -# Vorlage abrufen +# Retrieval of a template data "cloudtemple_compute_iaas_opensource_template" "almalinux" { name = "AlmaLinux 8" } -# Host abrufen +# Host retrieval data "cloudtemple_compute_iaas_opensource_host" "host" { name = "host-01" } -# Storage-Repository abrufen +# Retrieval of the storage repository data "cloudtemple_compute_iaas_opensource_storage_repository" "sr" { name = "sr001-local-storage" } -# Netzwerk abrufen +# Network Recovery data "cloudtemple_compute_iaas_opensource_network" "network" { name = "VLAN-100" } -# Backup-Policy abrufen +# Retrieval of the backup policy data "cloudtemple_backup_iaas_opensource_policy" "daily" { name = "daily-backup" } -# VM erstellen +# VM-Erstellung resource "cloudtemple_compute_iaas_opensource_virtual_machine" "openstack_vm" { name = "almalinux-vm-01" power_state = "on" - # Quelle + # Quelle Quelle template_id = data.cloudtemple_compute_iaas_opensource_template.almalinux.id host_id = data.cloudtemple_compute_iaas_opensource_host.host.id @@ -508,7 +495,7 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "openstack_vm" { auto_power_on = true high_availability = "best-effort" - # OS-Festplatte (muss zur Vorlage passen) + # Betriebssystem-Platte (muss mit dem Template übereinstimmen) os_disk { name = "os-disk" connected = true @@ -516,7 +503,7 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "openstack_vm" { storage_repository_id = data.cloudtemple_compute_iaas_opensource_storage_repository.sr.id } - # OS-Netzwerkadapter + # Netzwerkadapter für das Betriebssystem os_network_adapter { network_id = data.cloudtemple_compute_iaas_opensource_network.network.id tx_checksumming = true @@ -541,21 +528,19 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "openstack_vm" { } ``` -**Erklärungen**: -- `high_availability`: Verfügbare Optionen: `disabled`, `restart`, `best-effort` (Siehe [Dokumentation](https://docs.cloud-temple.com/iaas_opensource/concepts#haute-disponibilit%C3%A9) zur Hochverfügbarkeit) +**Erläuterungen**: +- `high_availability`: Verfügbare Optionen: `disabled`, `restart`, `best-effort` (siehe [Dokumentation](https://docs.cloud-temple.com/iaas_opensource/concepts#haute-disponibilit%C3%A9) zur Hochverfügbarkeit) - `boot_firmware`: `bios` oder `uefi` -- `secure_boot`: Nur mit UEFI +- `secure_boot`: Nur mit UEFI möglich ---- - -### Eine VM aus dem Marketplace erstellen +### Erstellen einer VM aus der Marketplace -**Ziel**: Bereitstellen einer VM aus dem Cloud Temple Marketplace auf OpenSource IaaS. +**Ziel**: Bereitstellen einer VM aus der Marketplace Cloud Temple im IaaS OpenSource. **Code**: ```hcl -# Marketplace-Element abrufen +# Retrieval of a Marketplace item data "cloudtemple_marketplace_item" "ubuntu_2404" { name = "Ubuntu 24.04 LTS" } @@ -572,12 +557,12 @@ data "cloudtemple_backup_iaas_opensource_policy" "nobackup" { name = "nobackup" } -# Deploy from Marketplace +# Deployment from Marketplace resource "cloudtemple_compute_iaas_opensource_virtual_machine" "marketplace_vm" { name = "ubuntu-marketplace-01" power_state = "on" - # Marketplace source + # Marketplace Source marketplace_item_id = data.cloudtemple_marketplace_item.ubuntu_2404.id storage_repository_id = data.cloudtemple_compute_iaas_opensource_storage_repository.sr.id @@ -616,11 +601,9 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "marketplace_vm" } ``` ---- - ### Replikation konfigurieren -**Ziel**: Einrichten einer Replikations-Policy für eine VM. +**Ziel**: Eine Replikationsrichtlinie für eine VM einrichten. **Code**: @@ -630,7 +613,7 @@ data "cloudtemple_compute_iaas_opensource_storage_repository" "replication_targe machine_manager_id = "availability_zone_id" } -# Replikations-Policy erstellen +# Creating a replication policy resource "cloudtemple_compute_iaas_opensource_replication_policy" "policy_hourly" { name = "replication-policy-6h" storage_repository_id = data.cloudtemple_compute_iaas_opensource_storage_repository.replication_target.id @@ -640,31 +623,29 @@ resource "cloudtemple_compute_iaas_opensource_replication_policy" "policy_hourly } } -# Mit einer VM verknüpfen +# Association to a VM resource "cloudtemple_compute_iaas_opensource_virtual_machine" "replicated_vm" { name = "replicated-vm-01" - # ... Standardkonfiguration ... + # ... standard configuration ... - # Replikations-Policy zuweisen + # Association of the replication policy replication_policy_id = cloudtemple_compute_iaas_opensource_replication_policy.policy_hourly.id } ``` -**Erklärungen**: -- `interval`: Replikationsintervall. Kann in `minutes` oder `hours` angegeben werden -- `storage_repository_id`: Storage Repository, in das VM-Festplatten repliziert werden. Muss sich in einer anderen AZ als die Original-VM befinden - ---- +**Explanations**: +- `interval`: Replication interval. Can be specified in `minutes` or `hours`. +- `storage_repository_id`: Storage repository to which the VM's disks will be replicated. Must be located in a different AZ than the original VM. ### Backup konfigurieren -**Ziel**: Eine Backup-Policy auf eine VM anwenden. +**Ziel**: Eine Backup-Politik auf einer VM anwenden. **Code**: ```hcl -# Backup-Policies abrufen +# Retrieval of backup policies data "cloudtemple_backup_iaas_opensource_policy" "daily" { name = "daily-backup" } @@ -673,13 +654,13 @@ data "cloudtemple_backup_iaas_opensource_policy" "weekly" { name = "weekly-backup" } -# VM mit mehreren Backup-Policies +# VM with Multiple Backup Policies resource "cloudtemple_compute_iaas_opensource_virtual_machine" "backup_vm" { name = "important-vm-01" - # ... Standardkonfiguration ... + # ... standard configuration ... - # Mehrere Policies können angewendet werden + # Multiple policies can be applied backup_sla_policies = [ data.cloudtemple_backup_iaas_opensource_policy.daily.id, data.cloudtemple_backup_iaas_opensource_policy.weekly.id, @@ -687,20 +668,19 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "backup_vm" { } ``` -:::info Obligatorisches Backup - In einer SecNumCloud-Umgebung muss mindestens eine Backup-Policy definiert werden, um die VM zu starten. +:::info Mandatory Backup + In a SecNumCloud environment, at least one backup policy must be defined in order to start the VM. ::: - --- ### Hochverfügbarkeit konfigurieren -**Ziel**: HA-Verhalten einer virtuellen Maschine konfigurieren. +**Ziel**: Das HA-Verhalten einer virtuellen Maschine konfigurieren. **Code**: ```hcl -# VM mit deaktivierter HA +# VM with HA disabled resource "cloudtemple_compute_iaas_opensource_virtual_machine" "no_ha" { name = "dev-vm-01" high_availability = "disabled" @@ -714,7 +694,7 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "priority_ha" { # ... } -# VM mit Best-Effort +# VM with best-effort resource "cloudtemple_compute_iaas_opensource_virtual_machine" "besteff_ha" { name = "test-vm-01" high_availability = "best-effort" @@ -722,23 +702,21 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "besteff_ha" { } ``` -**Verfügbare HA-Modi**: +**Available HA modes**: -Siehe Dokumentation zur [Hochverfügbarkeit](https://docs.cloud-temple.com/iaas_opensource/concepts#haute-disponibilit%C3%A9) in der OpenSource-Infrastruktur +See documentation on [High Availability](https://docs.cloud-temple.com/iaas_opensource/concepts#haute-disponibilit%C3%A9) in the OpenSource infrastructure -| Modus | Beschreibung | Verwendung | +| Mode | Description | Usage | |------|-------------|-------| -| `disabled` | Keine HA | Entwicklungsumgebungen | -| `restart` | Neustart mit hoher Priorität | Kritische Produktion | -| `best-effort` | Neustart wenn Ressourcen verfügbar | Standard-Produktion | +| `disabled` | No HA | Development environments | +| `restart` | High-priority restart | Critical production | +| `best-effort` | Restart if resources available | Standard production | ---- - -### OpenSource Cloud-Init konfigurieren +### Cloud-Init OpenSource konfigurieren -**Ziel**: Konfiguration mit Cloud-Init automatisieren (NoCloud datasource). +**Ziel**: Automatisierte Konfiguration mit Cloud-Init (NoCloud-Datasource). -**Voraussetzungen**: Cloud-Init NoCloud kompatibles Image. +**Voraussetzungen**: Cloud-Init-kompatible Image (NoCloud). **Cloud-Init-Dateien**: @@ -771,21 +749,21 @@ Erstellen Sie `cloud-init/network-config.yml`: ```yaml version: 2 - ethernets: - ens160: - dhcp4: false - addresses: - - 0.0.0.0/24 - routes: - - to: default - via:: 0.0.0.0 - nameservers: - addresses: - - 0.0.0.0 +ethernets: + ens160: + dhcp4: false + addresses: + - 0.0.0.0/24 + routes: + - to: default + via: 0.0.0.0 + nameservers: + addresses: + - 0.0.0.0 ``` :::important Hinweis - Passen Sie die Cloud-Init-Konfiguration an Ihre Bedürfnisse und die auf Ihrer Maschine installierte Cloud-Init-Version an. Format und Syntax können je nach Version variieren. + Passen Sie die Cloud-Init-Konfiguration Ihren Anforderungen und der auf Ihrer Maschine installierten Cloud-Init-Version an. Das Format und die Syntax können je nach Version variieren. ::: **Terraform-Code**: @@ -816,7 +794,7 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "cloudinit_vm" { attached = true } - # Cloud-Init configuration (NoCloud datasource) + # Cloud-Init-Konfiguration (NoCloud-Datasource) cloud_init = { cloud_config = file("./cloud-init/cloud-config.yml") network_config = file("./cloud-init/network-config.yml") @@ -831,35 +809,31 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "cloudinit_vm" { ``` **Unterschied zu VMware**: -- OpenSource verwendet die **NoCloud** Datenquelle +- OpenSource verwendet die Datasource **NoCloud** - Unterstützte Schlüssel: `cloud_config` und `network_config` -- Kein `filebase64()`, verwenden Sie direkt `file()` - ---- +- Kein `filebase64()`, stattdessen direkt `file()` verwenden ### os_disk und os_network_adapter verstehen -Die Blöcke `os_disk` und `os_network_adapter` sind spezielle Blöcke, die **nur während der Erstellung** einer virtuellen Maschine verwendet werden können aus: +The `os_disk` and `os_network_adapter` blocks are special blocks that can be used **only during the creation** of a virtual machine from: -- Content Library -- Vorlage -- Cloud Temple Marketplace -- Klon einer bestehenden VM +- Content Library +- Template +- Marketplace Cloud Template +- Clone of an existing VM -:::info Info - Sie werden verwendet, um virtuelle Festplatten und Netzwerkadapter zu referenzieren, die von der Vorlage bereitgestellt werden, um deren Parameter später ändern zu können, ohne sie manuell importieren zu müssen. Sie erstellen in keiner Weise eine neue Ressource. +:::info info + They are used to reference virtual disks and network adapters deployed by the template, allowing their parameters to be modified later without manually importing them. These blocks do **not** create any new resources. ::: -**Wichtige Merkmale**: +**Important characteristics**: -1. **Nur bei Erstellung**: Diese Blöcke können nur während des ersten `terraform apply` definiert werden -2. **Alternative**: Verwenden Sie den Befehl `terraform import`, um sie manuell zu importieren - ---- +1. **Creation only**: These blocks can only be defined during the initial `terraform apply` +3. **Alternative**: Use the `terraform import` command to manually import them ### os_disk verwenden -**VMware IaaS**: +**IaaS VMware**: ```hcl resource "cloudtemple_compute_virtual_machine" "vm_with_os_disk" { @@ -872,15 +846,15 @@ resource "cloudtemple_compute_virtual_machine" "vm_with_os_disk" { host_cluster_id = data.cloudtemple_compute_host_cluster.cluster.id datastore_id = data.cloudtemple_compute_datastore.ds.id - # Configure the existing OS disk in the template + # Konfiguration der bestehenden Betriebssystemfestplatte im Template os_disk { - capacity = 100 * 1024 * 1024 * 1024 # Resize to 100 GB + capacity = 100 * 1024 * 1024 * 1024 # Auf 100 GB vergrößern disk_mode = "persistent" } } ``` -**OpenSource IaaS**: +**IaaS OpenSource**: ```hcl resource "cloudtemple_compute_iaas_opensource_virtual_machine" "vm_with_os_disk" { @@ -894,7 +868,7 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "vm_with_os_disk" num_cores_per_socket = 2 power_state = "on" - # OS disk configuration + # Konfiguration der Betriebssystemfestplatte os_disk { name = "os-disk" connected = true @@ -902,15 +876,13 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "vm_with_os_disk" storage_repository_id = data.cloudtemple_compute_iaas_opensource_storage_repository.sr.id } - # ... other configurations + # ... weitere Konfigurationen } ``` ---- - -### Using os_network_adapter +### os_network_adapter verwenden -**VMware IaaS**: +**IaaS VMware**: ```hcl resource "cloudtemple_compute_virtual_machine" "vm_with_network" { @@ -923,7 +895,7 @@ resource "cloudtemple_compute_virtual_machine" "vm_with_network" { host_cluster_id = data.cloudtemple_compute_host_cluster.cluster.id datastore_id = data.cloudtemple_compute_datastore.ds.id - # Configure the template network adapter + # Konfiguration des Netzwerkadapters des Templates os_network_adapter { network_id = data.cloudtemple_compute_network.vlan.id auto_connect = true @@ -933,7 +905,7 @@ resource "cloudtemple_compute_virtual_machine" "vm_with_network" { } ``` -**OpenSource IaaS**: +**IaaS OpenSource**: ```hcl resource "cloudtemple_compute_iaas_opensource_virtual_machine" "vm_with_network" { @@ -947,7 +919,7 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "vm_with_network" num_cores_per_socket = 2 power_state = "on" - # Network adapter configuration + # Konfiguration des Netzwerkadapters os_network_adapter { network_id = data.cloudtemple_compute_iaas_opensource_network.network.id mac_address = "c2:db:4f:15:41:3e" # Optional @@ -955,34 +927,32 @@ resource "cloudtemple_compute_iaas_opensource_virtual_machine" "vm_with_network" attached = true } - # ... other configurations + # ... weitere Konfigurationen } ``` :::info Hinweis - Sie können beide Ansätze kombinieren, indem Sie die Festplatten und/oder Netzwerkadapter einer VM referenzieren und weitere über die Ressourcen `cloudtemple_compute_iaas_vmware/opensource_virtual_disk` und `cloudtemple_compute_iaas_vmware/opensource_network_adapter` hinzufügen + Sie können beide Ansätze problemlos kombinieren, indem Sie Festplatten und/oder Netzwerkadapter einer VM referenzieren und zusätzliche über die Ressourcen `cloudtemple_compute_iaas_vmware/opensource_virtual_disk` und `cloudtemple_compute_iaas_vmware/opensource_network_adapter` hinzufügen. ::: --- **Best Practices**: -1. Verwenden Sie `os_disk` und `os_network_adapter` für die anfängliche Vorlagenkonfiguration -2. Verwenden Sie dedizierte Ressourcen, um zusätzliche Ressourcen hinzuzufügen - ---- +1. Verwenden Sie `os_disk` und `os_network_adapter` für die ursprüngliche Konfiguration des Templates +2. Verwenden Sie die spezialisierten Ressourcen, um zusätzliche Ressourcen hinzuzufügen -## Objektspeicher +## Object Storage ### Einen Bucket erstellen -**Ziel**: Einen S3-kompatiblen Objektspeicher-Bucket erstellen. +**Ziel**: Erstellen eines S3-kompatiblen Objektspeicher-Buckets. -**Voraussetzungen**: `object-storage_write` Berechtigung +**Voraussetzungen**: Berechtigung `object-storage_write` **Code**: ```hcl -# Privater Bucket +# Private Bucket resource "cloudtemple_object_storage_bucket" "private_bucket" { name = "my-private-bucket" access_type = "private" @@ -994,12 +964,12 @@ resource "cloudtemple_object_storage_bucket" "public_bucket" { access_type = "public" } -# Bucket mit benutzerdefiniertem Zugriff (IP-Whitelist) +# Bucket with Custom Access (IP Whitelist) resource "cloudtemple_object_storage_bucket" "custom_bucket" { name = "my-custom-bucket" access_type = "custom" - # IP/CIDR-Whitelist + # IP/CIDR Whitelist whitelist = [ "10.0.0.0/8", "192.168.1.0/24", @@ -1007,14 +977,14 @@ resource "cloudtemple_object_storage_bucket" "custom_bucket" { ] } -# Bucket mit aktivierter Versionierung +# Bucket mit aktiviertem Versioning resource "cloudtemple_object_storage_bucket" "versioned_bucket" { name = "my-versioned-bucket" access_type = "private" versioning = "Enabled" } -# Nützliche Outputs +# Useful outputs output "bucket_endpoint" { value = cloudtemple_object_storage_bucket.private_bucket.endpoint } @@ -1024,32 +994,30 @@ output "bucket_namespace" { } ``` -**Zugriffstypen**: -- `private`: Zugriff beschränkt auf Tenant-IP-Adressen -- `public`: Öffentlicher Lesezugriff -- `custom`: Zugriff beschränkt auf Whitelist-IPs +**Access types**: +- `private`: Restricted access to tenant IP addresses +- `public`: Public read access +- `custom`: Limited access to IPs on the whitelist -**Versionierung**: -- `Enabled`: Aktiviert Objektversionierung -- `Suspended`: Pausiert Versionierung (behält bestehende Versionen) +**Versioning**: +- `Enabled`: Enables object versioning +- `Suspended`: Suspends versioning (preserves existing versions) ---- - -### Ein Storage-Konto erstellen +### Ein Speicherkonto erstellen -**Ziel**: Ein Storage-Konto mit S3-Anmeldeinformationen erstellen. +**Ziel**: Erstellen eines Speicherkontos mit S3-Zugangsdaten. **Code**: ```hcl -# Storage-Konto erstellen +# Creating a storage account resource "cloudtemple_object_storage_storage_account" "app_account" { name = "application-storage-account" } -# Outputs zur Verwendung der Anmeldeinformationen +# Outputs for using the credentials output "s3_access_key" { - value = cloudtemple_object_storage_storage_account.app_account.access_key_id + value = cloudtemple_object_storage_storage_account.app_account.access_key_id } output "s3_secret_key" { @@ -1062,20 +1030,19 @@ output "s3_endpoint" { } ``` -:::warning Sensible Informationen - Anmeldeinformationen werden nur einmal angezeigt. Speichern Sie sie sicher (z.B. HashiCorp Vault, AWS Secrets Manager). +:::warning Sensitive information + The credentials are displayed only once. Store them securely (e.g., HashiCorp Vault, AWS Secrets Manager). ::: - --- -### ACLs über dedizierte Ressource erstellen +### ACL über eine dedizierte Ressource erstellen -**Ziel**: Bucket-Zugriffsberechtigungen mit ACLs verwalten. +**Ziel**: Verwaltung der Zugriffsrechte auf Buckets mit Hilfe von ACLs. **Code**: ```hcl -# Verfügbare Rollen abrufen +# Retrieval of available roles data "cloudtemple_object_storage_role" "read_only" { name = "read_only" } @@ -1088,7 +1055,7 @@ data "cloudtemple_object_storage_role" "admin" { name = "admin" } -# Bestehende Storage-Konten abrufen +# Retrieval of existing storage accounts data "cloudtemple_object_storage_storage_account" "dev_account" { name = "dev-team-account" } @@ -1103,14 +1070,14 @@ resource "cloudtemple_object_storage_bucket" "shared_bucket" { access_type = "private" } -# ACL für Dev-Team (nur Lesen) +# ACL for development team (read-only) resource "cloudtemple_object_storage_acl_entry" "dev_acl" { bucket = cloudtemple_object_storage_bucket.shared_bucket.name storage_account = data.cloudtemple_object_storage_storage_account.dev_account.name role = data.cloudtemple_object_storage_role.read_only.name } -# ACL für Ops-Team (Maintainer) +# ACL for ops team (maintainer) resource "cloudtemple_object_storage_acl_entry" "ops_acl" { bucket = cloudtemple_object_storage_bucket.shared_bucket.name storage_account = data.cloudtemple_object_storage_storage_account.ops_account.name @@ -1118,22 +1085,20 @@ resource "cloudtemple_object_storage_acl_entry" "ops_acl" { } ``` -**Verfügbare Rollen**: -- `read_write`: Lesen und Schreiben -- `write_only`: Nur Schreiben -- `read_only`: Nur Lesen -- `maintainer`: Vollzugriff - ---- +**Available roles**: +- `read_write`: Read and write +- `write_only`: Write only +- `read_only`: Read only +- `maintainer`: Full access ### ACLs direkt im Bucket konfigurieren -**Ziel**: ACLs beim Erstellen des Buckets definieren. +**Ziel**: ACLs beim Erstellen des Buckets festlegen. **Code**: ```hcl -# Ressourcen abrufen +# Retrieval of resources data "cloudtemple_object_storage_storage_account" "account1" { name = "storage-account-1" } @@ -1150,12 +1115,12 @@ data "cloudtemple_object_storage_role" "maintainer" { name = "maintainer" } -# Bucket mit Inline-ACLs +# Bucket with Inline ACLs resource "cloudtemple_object_storage_bucket" "bucket_with_acl" { name = "bucket-with-inline-acl" access_type = "private" - # ACL-Definition im Bucket + # Define ACLs directly within the bucket acl_entry { storage_account = data.cloudtemple_object_storage_storage_account.account1.name role = data.cloudtemple_object_storage_role.read_only.name @@ -1168,30 +1133,28 @@ resource "cloudtemple_object_storage_bucket" "bucket_with_acl" { } ``` -**Unterschied zu dedizierten ACL-Ressourcen**: -- **Inline**: ACLs direkt im Bucket definiert (einfacher für statische Konfigurationen) -- **Dedizierte Ressource**: ACLs separat verwaltet (flexibler, ermöglicht unabhängige Änderungen) - ---- +**Difference compared to dedicated ACL resources**: +- **Inline**: ACLs defined directly inside the bucket (simpler for static configurations) +- **Dedicated resource**: ACLs managed separately (more flexible, allows independent modifications) -### Datasources verwenden +### Datenquellen verwenden -**Ziel**: Bucket-Metadaten abfragen und Dateien auflisten. +**Ziel**: Metadaten der Buckets abfragen und die Dateien auflisten. **Code**: ```hcl -# Datasource zum Auflisten von Bucket-Dateien +# Datenquelle zum Auflisten der Dateien eines Buckets data "cloudtemple_object_storage_bucket_files" "my_bucket_files" { bucket_name = cloudtemple_object_storage_bucket.my_bucket.name } -# Alle Dateien anzeigen +# Display all files output "all_files" { value = data.cloudtemple_object_storage_bucket_files.my_bucket_files.files } -# Bestimmte Datei filtern +# Filter a specific file output "specific_file" { value = [ for file in data.cloudtemple_object_storage_bucket_files.my_bucket_files.files : @@ -1199,7 +1162,7 @@ output "specific_file" { ] } -# Bestehendes Storage-Konto abrufen +# Retrieval of an existing storage account data "cloudtemple_object_storage_storage_account" "existing_account" { name = "production-account" } @@ -1210,16 +1173,15 @@ output "account_access_key" { } ``` ---- - -### S3-Integration mit AWS Provider +### S3-Integration mit dem AWS-Provider -**Ziel**: AWS Provider verwenden, um Dateien in Cloud Temple Objektspeicher hochzuladen. +**Ziel**: Verwenden des AWS Providers, um Dateien in den Objektspeicher Cloud Temple hochzuladen. **Code**: ```hcl -# Konto und Bucket erstellen +# Erstellung des Kontos und des Buckets + data "cloudtemple_object_storage_role" "maintainer" { name = "maintainer" } @@ -1238,21 +1200,21 @@ resource "cloudtemple_object_storage_bucket" "upload_bucket" { } } -# AWS Provider für Cloud Temple S3 konfigurieren +# AWS Provider Configuration for Cloud Temple S3 provider "aws" { alias = "cloudtemple_s3" region = "eu-west-3" - # Cloud Temple Anmeldeinformationen verwenden + # Use Cloud Temple credentials access_key = cloudtemple_object_storage_storage_account.upload_account.access_key_id secret_key = cloudtemple_object_storage_storage_account.upload_account.access_secret_key - # Cloud Temple Endpoint + # Cloud Temple endpoint endpoints { s3 = "https://${cloudtemple_object_storage_bucket.upload_bucket.namespace}.s3.fr1.cloud-temple.com" } - # Konfiguration zum Überspringen der AWS-Validierung + # Configuration to bypass AWS validation skip_credentials_validation = true skip_metadata_api_check = true skip_requesting_account_id = true @@ -1261,26 +1223,26 @@ provider "aws" { # Datei hochladen resource "aws_s3_object" "config_file" { provider = aws.cloudtemple_s3 - + bucket = cloudtemple_object_storage_bucket.upload_bucket.name key = "config/app-config.json" source = "./files/app-config.json" etag = filemd5("./files/app-config.json") } -# Mehrere Dateien hochladen +# Upload von mehreren Dateien resource "aws_s3_object" "static_files" { provider = aws.cloudtemple_s3 - + for_each = fileset("./static/", "**/*") - + bucket = cloudtemple_object_storage_bucket.upload_bucket.name key = each.value source = "./static/${each.value}" etag = filemd5("./static/${each.value}") } -# Hochgeladene Dateien überprüfen +# Überprüfung der hochgeladenen Dateien data "cloudtemple_object_storage_bucket_files" "uploaded_files" { depends_on = [aws_s3_object.config_file] bucket_name = cloudtemple_object_storage_bucket.upload_bucket.name @@ -1291,16 +1253,14 @@ output "uploaded_files_list" { } ``` ---- - ## Fazit -Diese Dokumentation deckt die wichtigsten Anwendungsfälle des Cloud Temple Terraform Providers ab. Um weiterzugehen: +Diese Dokumentation behandelt die wichtigsten Anwendungsfälle des Terraform Cloud Temple-Providers. Um weiter zu gehen: -- Siehe die [offizielle Provider-Dokumentation](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest/docs) +- Konsultieren Sie die [offizielle Provider-Dokumentation](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest/docs) - Erkunden Sie die [Beispiele auf GitHub](https://github.com/Cloud-Temple/terraform-provider-cloudtemple/tree/main/examples) -- Verwenden Sie die [Cloud Temple Console](https://shiva.cloud-temple.com), um verfügbare Ressourcen zu identifizieren +- Verwenden Sie die [Cloud Temple-Konsole](https://shiva.cloud-temple.com), um verfügbare Ressourcen zu entdecken -:::info Benötigen Sie Hilfe? - Bei Fragen oder Problemen siehe den [Issues-Bereich auf GitHub](https://github.com/Cloud-Temple/terraform-provider-cloudtemple/issues) oder kontaktieren Sie den Cloud Temple Support. +:::info Brauchen Sie Hilfe? + Bei Fragen oder Problemen schauen Sie in den [Bereich Issues auf GitHub](https://github.com/Cloud-Temple/terraform-provider-cloudtemple/issues) oder kontaktieren Sie den Cloud Temple-Support. ::: diff --git a/i18n/en/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md b/i18n/en/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md index 6401b36f..0d014726 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/additional_content/concepts_az.md @@ -4,15 +4,15 @@ title: Concepts - Availability Zones ## Availability Zones -Each physical site within a region has one or more private rooms for our infrastructure. These rooms are exclusively used by Cloud Temple. +Each physical site within a region has one or more dedicated rooms for our infrastructure. These rooms are exclusively used by Cloud Temple. -__Each physical room corresponds to an availability zone (AZ / Availability Zone)__ and is completely autonomous in terms of electricity, cooling, computing, storage, and networking. -Choosing an availability zone therefore means choosing a physical site and a region. +__Each physical room corresponds to an availability zone (AZ / Availability Zone)__ and is fully autonomous in terms of power, cooling, computing, storage, and networking. +Therefore, selecting an availability zone means choosing both a physical site and a region. -The Shiva console automatically offers availability zones on distinct physical sites to spread your infrastructure across the maximum number of physical sites. +The Console automatically suggests availability zones located on distinct physical sites, enabling you to distribute your infrastructure across the maximum number of physical sites. -*__Note: If you require specific configuration for a particular context (multiple AZs on the same physical site), you need to submit a support request.__* +*__Note: If you require a specific configuration for a particular use case (multiple AZs on the same physical site), please submit a support request.__* | Order Reference | Unit | SKU | -|--------------------------------------------------------------|-----------------|---------------------------| -| TENANT - *(REGION)* - Activation d'une zone de disponibilité | 1 AZ per tenant | csp:*(REGION)*:iaas:az:v1 | \ No newline at end of file +|--------------------------------------------------------|----------------|---------------------------| +| TENANT - *(REGION)* - Activate an availability zone | 1 AZ per tenant | csp:*(REGION)*:iaas:az:v1 | \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/bastion/concepts.md b/i18n/en/docusaurus-plugin-content-docs/current/bastion/concepts.md index 586c6c95..d62810e4 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/bastion/concepts.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/bastion/concepts.md @@ -1,38 +1,38 @@ -### Sessions - -A session is a connection configuration to a device via a Bastion. It consists of defining the device to manage and the Appliance to use for routing the traffic, thus allowing faster connection to this device. - -This solution is suitable for regular connections to a device to manage. Essential information is saved, only your credentials are required during the connection. +--- +title: Concepts +--- +import bastion from './images/bastion.svg' ## What is the Cloud Temple Bastion? -The Cloud Temple Bastion is a managed service that provides secure RDP or SSH connectivity from the Cloud Temple console to your physical and virtual infrastructures, whether they are located in a trusted cloud, a public cloud, or on-premise. The Bastion solution allows you to manage your equipment without exposing them to the Internet. +The Cloud Temple Bastion is a managed service that provides you with secure RDP or SSH connectivity from the Cloud Temple console to your physical and virtual infrastructures, whether they are located in the trusted cloud, a public cloud, or on-premise. The Bastion solution enables you to manage your equipment without exposing them to the internet. +## Benefits + +| Benefit | | +|------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------:| +| Centralized Management | The Cloud Temple Bastion is directly accessible from the Console. | +| Security | Equipment managed via the Bastion is not exposed to the Internet, protecting it from malicious users scanning for open ports. | +| Infrastructure as Code | APIs enable full "as Code" management of the Cloud Temple Bastion (session creation, connection, modification, and deletion). | + ## References (SKU) | Reference | Unit | SKU | |------------------------------------|:--------:|:-----------------------:| | ADMINISTRATION - Bastion SSH & RDP | 1 Session | cmp:bastion:session:std | -## Advantages +### Bastion Appliance -| Advantage | Description | -|------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------:| -| Centralized Management | The Cloud Temple Bastion is directly accessible from the Shiva portal. | -| Security | Devices managed via the Bastion are not exposed to the Internet, which protects them notably from port scanning by malicious users. | -| Infrastructure as Code | APIs allow managing the Cloud Temple Bastion entirely "as Code" (session creation, connection, modification, and deletion). | +The Bastion Appliance is a virtual machine deployed close to your equipment. This appliance enables a secure, direct flow from the Console platform to the equipment being managed, which resides within the same virtual network. -### Bastion Appliance +The traffic is encrypted and encapsulated within a VPN tunnel. The solution does not require opening any inbound traffic from the Internet to your infrastructure. It is sufficient for the appliance to have access to the public IP address of the Console Bastion module on port 443. -The Bastion Appliance is a virtual machine deployed near your equipment. This Appliance allows a secure and direct flow from the Shiva platform to the equipment to be managed, which are located in the same virtual network. +A single appliance can be used to quickly connect to a target device. For each connection, you must specify the desired protocol, the target machine's IP address, and your credentials. To avoid entering these details repeatedly, you can create sessions associated with equipment that you regularly manage. -The flow is encrypted and encapsulated in a VPN tunnel. The solution does not require opening a flow from the Internet to your infrastructure. It is sufficient for the Appliance to have access to the public IP of the Shiva Bastion module on port 443. +### Sessions -A single Appliance can be used to quickly connect to a device. For each connection, the desired protocol, the machine's IP address, and your credentials must be specified. To avoid entering these details for each connection, it is possible to create sessions associated with regularly managed equipment. +A session is a connection configuration to a device via a Bastion. It involves defining the device to manage and the Appliance used to route the traffic, enabling faster connections to that device. ---- -title: Concepts ---- -import bastion from './images/bastion.svg' \ No newline at end of file +This solution is suitable for regular connections to a device that requires management. Essential information is retained, requiring only your credentials upon connection. \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/bastion/quickstart.md b/i18n/en/docusaurus-plugin-content-docs/current/bastion/quickstart.md index d3660253..66aa85c0 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/bastion/quickstart.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/bastion/quickstart.md @@ -1,84 +1,84 @@ -## The necessary flows for the operation of the Bastion product - -Several flows are necessary for the proper operation of the Bastion Appliance. - -## Request the creation of an Appliance - -Before being able to deploy an Appliance, a subscription request for an Appliance must be submitted to the support team. -Support is accessible in the Shiva console from the buoy icon on the top right bar of the window. +--- +title: Getting Started Guide +--- +import shivaSupport from './images/shiva_support.png' +import creerSession from './images/creer_session.png' +import creerSession2 from './images/creer_session2.png' +import creerSession3 from './images/creer_session3.png' +import ouvrirSession from './images/ouvrir_session.png' +import ouvrirSession2 from './images/ouvrir_session2.png' - +This getting started guide shows you how to request the creation of an Appliance, and how to create a new session and connect to it. ## Prerequisites 1. Have subscribed to the Cloud Temple offer (Bastion Appliance subscription). -2. The equipment to manage must be accessible from the network where the Bastion Appliance is deployed. -3. Have the rights on the Bastion module. -4. In the case of an on-premise Appliance deployment, the corresponding flows must be opened. +2. The equipment to be managed must be accessible from the network where the Bastion Appliance is deployed. +3. Have permissions on the Bastion module. +4. For an on-premise Appliance deployment, the corresponding network flows must be open. -## Connect to a device +## Required flows for the Bastion product operation -Go to the "Devices" tab under the "Bastion" tab. Click on the action bar of the device you want to open, and click the "Open" button. +Several flows are necessary for the proper operation of the Bastion Appliance. - +### The Bastion Gateway -Each time you connect to a device, you only need to enter your authentication information. +| Source | Destination | Protocol | +|--------------------------|---------------------------------------------|-----------| +| Bastion client appliance | 91.223.207.71 (botg.shiva.cloud-temple.com) | UDP/4242 | - +### RDP Administration Flow -After entering your credentials, a notification confirming the start of the connection to your device appears, and the console to your virtual machine opens. +| Source | Destination | Protocol | +|--------------------------|-----------------------------|-----------| +| Client bastion appliance | Instances to administer | TCP/3389 | ### SSH Administration Flow -| Source | Destination | Protocol | -|--------------------------|-----------------------------|----------| -| Client Bastion Appliance | The instances to administer | TCP/22 | +| Source | Destination | Protocol | +|--------------------------|-----------------------------|-----------| +| Client bastion appliance | Instances to administer | TCP/22 | -### The Bastion Gateway +## Requesting Appliance Creation -| Source | Destination | Protocol | -|--------------------------|---------------------------------------------|----------| -| Client Bastion Appliance | 91.223.207.71 (botg.shiva.cloud-temple.com) | UDP/4242 | +Before deploying an Appliance, you must submit a subscription request for an Appliance via a support ticket. +The support portal is accessible from the Console using the buoy icon in the top-right corner of the window. -## Register a device + -To access a device to administer regularly, it is more appropriate to create a session, which will only require your username and password at each connection. +## Register a Device -To do this, go to the "Devices" tab in the "Bastion" menu, then click the "New device" button. +To access a device you manage regularly, it is more convenient to create a session, which will only require your username and password at each connection. + +To do this, go to the "Devices" tab in the "Bastion" menu, then click the "New Device" button. -Then fill in the necessary information for creating your device: +Next, fill in the required information to create your device: - - Device name; - - Description; - - Associated appliance; - - Protocol type (SSH or RDP); - - Host IP address; - - Keyboard configuration. +- Device name; +- Description; +- Associated appliance; +- Protocol type (SSH or RDP); +- Host IP address; +- Keyboard configuration. -A notification indicating the creation of the device should appear in the top right corner of the page. The session is then added to your list of devices. +A notification indicating the device creation should appear in the top-right corner of the page. The session is then added to your list of devices. To create a new device, you can also go through the "Appliances" tab by clicking the action bar of the appliance to which you want to associate a device. ---- -title: Getting Started Guide ---- -import shivaSupport from './images/shiva_support.png' -import creerSession from './images/creer_session.png' -import creerSession2 from './images/creer_session2.png' -import creerSession3 from './images/creer_session3.png' -import ouvrirSession from './images/ouvrir_session.png' -import ouvrirSession2 from './images/ouvrir_session2.png' +## Connect to a Device -This getting started guide shows you how to request the creation of an Appliance and how to register a new session and connect to it. +Go to the "Devices" tab within the "Bastion" tab. Click on the action bar of the device you wish to open, then click the "Open" button. -### RDP Administration Flows + + +For each connection to a device, you only need to provide your authentication credentials. + + -| Source | Destination | Protocol | -|--------------------------|-----------------------------|----------| -| Client Bastion Appliance | Instances to Administer | TCP/3389 | \ No newline at end of file +After entering your credentials, a notification confirming the start of the connection to your device appears, and the console to your virtual machine opens. \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/bastion/tutorials.md b/i18n/en/docusaurus-plugin-content-docs/current/bastion/tutorials.md index ae0e439c..a5163db2 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/bastion/tutorials.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/bastion/tutorials.md @@ -1,114 +1,114 @@ -## Open a connection to a device +--- +title: Tutorials +--- +import sessions from './images/sessions.png' +import sessions2 from './images/sessions2.png' +import appliances from './images/appliances.png' +import ouvrirAppliance from './images/ouvrir_appliance.png' +import creerSession from './images/creer_session.png' +import creerSession2 from './images/creer_session2.png' +import creerSession3 from './images/creer_session3.png' +import ouvrirSession from './images/ouvrir_session.png' +import ouvrirSession2 from './images/ouvrir_session2.png' +import modifierSession from './images/modifier_session.png' +import modifierSession2 from './images/modifier_session2.png' +import supprimerSession from './images/supprimer_session.png' -In the "Appliances" tab, click on the action bar of the Appliance you want to open. Then click the "Open" button. +These tutorials help you deploy and manage a Cloud Temple Bastion from the Console. - +## Prerequisites -Then fill in the necessary connection information: +1. Have subscribed to the Cloud Temple offer (Bastion Appliance subscription). +2. The equipment to be managed must be accessible from the network where the Bastion Appliance is deployed. +3. Have permissions on the Bastion module. +4. For an on-premise Appliance deployment, the corresponding network flows must be open. - - Protocol selection (SSH or RDP); - - IP address of the host to manage; - - Credentials; - - Keyboard configuration. +## Interface -Click "Connect" to open the Appliance. The console of the virtual machine to manage then opens. +Once logged into the Console web portal, navigate to the "Bastion" tab in the left-hand menu. -## Modify an equipment configuration + -Go to the "Equipment" tab in the "Bastion" section, click on the action bar of the equipment you want to modify, and click the "Modify" button. +The "Equipment" tab allows you to view your list of equipment. An equipment entry corresponds to a connection configuration via a Bastion Appliance. For each equipment, the following information is displayed: its name, tags, description, associated Appliance, connection type (SSH or RDP), host IP address, and keyboard configuration. - +You can filter your list of equipment based on assigned tags, and a search engine enables you to look up a session by its name. -You can then modify the equipment name, its description, the associated Appliance, the protocol (SSH or RDP), the host's IP address or the keyboard language. + - +The "Appliances" tab displays the list of your Bastion Appliances. For each appliance, its name and description are provided. -## Prerequisites +A search engine is available to help you locate an appliance by its name. -1. Have subscribed to the Cloud Temple offer (Bastion Appliance subscription). -2. The equipment to manage must be accessible from the network where the Bastion Appliance is deployed. -3. Have the rights on the Bastion module. -4. In the case of an on-premise Appliance deployment, the corresponding flows must be opened. + -## Connect to a device +## Deploy an Appliance -Go to the "Devices" tab under the "Bastion" tab. Click on the action bar of the device you want to open, and click the "Open" button. +Before deploying an Appliance, you must submit a subscription request for an Appliance via a support ticket. - +## Open a connection to a device -For each connection to the device, you only need to provide your authentication information. +In the **Appliances** tab, click the action bar of the appliance you want to open. Then click the **Open** button. - + -After entering your credentials, a notification confirming the start of the session appears, and the console to your virtual machine opens. +Next, fill in the required connection information: -## Deploy an Appliance +- Protocol selection (SSH or RDP); +- IP address of the host to manage; +- Credentials; +- Keyboard configuration. -Before being able to deploy an Appliance, a subscription request for an Appliance must be submitted through a support request. +Then click **Connect** to open the appliance. The virtual machine's console will then open. ---- -title: Tutorials ---- -import sessions from './images/sessions.png' -import sessions2 from './images/sessions2.png' -import appliances from './images/appliances.png' -import ouvrirAppliance from './images/ouvrir_appliance.png' -import creerSession from './images/creer_session.png' -import creerSession2 from './images/creer_session2.png' -import creerSession3 from './images/creer_session3.png' -import ouvrirSession from './images/ouvrir_session.png' -import ouvrirSession2 from './images/ouvrir_session2.png' -import modifierSession from './images/modifier_session.png' -import modifierSession2 from './images/modifier_session2.png' -import supprimerSession from './images/supprimer_session.png' +## Register a Device -These tutorials help you deploy and manage a Cloud Temple Bastion from the Shiva portal. +To access a device you manage regularly, it is more convenient to create a device configuration, which will only require your username and password at each connection. -## Delete an equipment configuration +To do this, go to the « Devices » tab in the « Bastion » menu, then click the « New Device » button. -Go to the "Equipment" tab in the "Bastion" section, click on the action bar of the equipment you want to delete, and click on the "Delete" button. + - +Next, fill in the required information to create your device: -## Register a device +- Device name; +- Description; +- Associated appliance; +- Protocol type (SSH or RDP); +- Host IP address; +- Keyboard language. -To access a device to manage regularly, it is more appropriate to create a device configuration, which will only require your username and password at each connection. + -To do this, go to the "Devices" tab in the "Bastion" menu, then click the "New device" button. +A notification indicating the creation of your device configuration should appear in the top-right corner of the page. The configuration will then be added to your list of devices. - +To create a new connection, you can also go to the « Appliances » tab and click the action bar of the appliance to which you want to associate a device configuration. -Then fill in the necessary information to create your device: + - - Device name; - - Description; - - Associated appliance; - - Protocol type (SSH or RDP); - - Host IP address; - - Keyboard language. +## Connect to a Device - +Go to the "Devices" tab within the "Bastion" tab. Click on the action bar of the device you wish to open, then click the "Open" button. -A notification indicating the creation of your device configuration should appear in the top right corner of the page. The configuration is then added to your list of devices. + -To create a new connection, you can also go through the "Appliances" tab by clicking the action bar of the appliance to which you want to associate a device configuration. +For each connection to a device, you only need to provide your authentication credentials. - + -## Interface +After entering your credentials, a notification confirming the session start appears, and the console to your virtual machine opens. -Once connected to the Shiva web portal, go to the "Bastion" tab in the left menu. +## Modify a device configuration - +Go to the "Devices" tab in the "Bastion" section, click on the action bar of the device you wish to modify, and click the "Modify" button. -The "Equipements" tab allows you to view your equipment list. An equipment corresponds to a connection configuration via a Bastion Appliance. For each equipment, its name, tags, description, associated Appliance, connection type (SSH or RDP), host IP, and keyboard configuration are indicated. + -You can filter your equipment list according to the tags assigned to them, and a search engine allows you to look for a session by its name. +You can then modify the device name, description, associated Appliance, protocol (SSH or RDP), host IP address, or keyboard language. - + -The "Appliances" tab provides a list of your Bastion Appliances. For each Appliance, the Appliance's name and description are specified. +## Delete a device configuration -A search engine is available to help you search for an Appliance by its name. +Go to the "Devices" tab in the "Bastion" section, click the action bar of the device you want to delete, and then click the "Delete" button. - \ No newline at end of file + \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/changelog.md b/i18n/en/docusaurus-plugin-content-docs/current/changelog.md index 422e0d36..c488e3d8 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/changelog.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/changelog.md @@ -5,6 +5,17 @@ sidebar_position: 2 # Change Tracking +### December 15, 2025: Stabilization and Multilingual Fixes + +- **Multilingual (Terraform, LLMaaS, Harbor)**: Major correction of translations in Spanish, Italian, and German. Resolved MDX syntax issues (empty code blocks, unescaped tags) that were preventing site compilation. +- **Multilingual (Images)**: Restored correct image paths in the Italian and German versions for the Bastion and VMware IaaS sections. +- **Build**: Validation of deployment across all 5 supported languages. + +### December 11, 2025: Managed Kubernetes Updates + +- **Managed Kubernetes**: Added a new tutorial on using **Gateway API** for advanced traffic management. +- **Managed Kubernetes**: Updated documentation on quota management (Ceph) and cost management tool optimizations (OpenCost). + ### November 22, 2025: LLMaaS Updates and General Improvements - **LLMaaS (OCR)**: Added comprehensive documentation for **DeepSeek-OCR**, our new model specialized in document analysis (PDFs, images), capable of extracting structured text, tables, and mathematical formulas. @@ -56,8 +67,8 @@ sidebar_position: 2 ### June 29, 2025: Finalization of LLMaaS Documentation -- Full test suite validation completed. -- Correction and validation of RAG pipelines using FAISS and Qdrant. +- Full test suite validation. +- Correction and validation of RAG pipelines with FAISS and Qdrant. - Enhanced tutorials with more detailed technical explanations. - Added a section on prompt security and model lifecycle within the concepts. - Improved the RAG explanation page with diagrams and details on embedding models. diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/api.md b/i18n/en/docusaurus-plugin-content-docs/current/console/api.md index b0d478ea..1fc19c9e 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/api.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/api.md @@ -13,9 +13,9 @@ import ShivaApi004 from './images/shiva_api_004.png' ## API Keys -The __API key__ allows you to authenticate when making requests to the API. Generating an API key, also known as a __Personal Access Token (PAT)__, is a secure way to connect to the Shiva APIs without using a graphical interface. Each of these tokens is linked to a specific tenant and the user who created it. +The __API key__ allows you to authenticate when making requests to the API. Generating an API key, also known as a __Personal Access Token (PAT)__, is a secure way to connect to the Console API without using a graphical interface. Each of these tokens is linked to a specific tenant and the user who created it. -Creating this token is done from your account. You can generate multiple keys and configure permissions for each one, within the limits of your access rights. +Creating this token is done from your account. You can generate multiple keys and configure permissions for each one, within the limits of your rights. To create an API key, simply __click on your profile__: @@ -53,7 +53,7 @@ When you use your **Personal Access Token (PAT)** to authenticate with the API, - **Lifespan**: Each JWT token is valid for **5 minutes**. - **Verification**: You can check the issuance date (`iat`) and expiration date (`exp`) of your token by decoding it. Online tools such as [jwt.io](https://jwt.io) make this easy. -Once the token expires, you must re-authenticate using your PAT to obtain a new one. Therefore, it is recommended to manage this lifecycle in your scripts and applications by implementing automatic token renewal. +Once the token expires, you will need to re-authenticate using your PAT to obtain a new one. Therefore, it is recommended to manage this lifecycle in your scripts and applications by implementing automatic token renewal. ::: ## API Portal Access @@ -99,14 +99,14 @@ The activity content includes all essential information to identify the operatio } ``` -The __state__ object can take different forms depending on the activity status, as follows: +The __state__ object can take different forms depending on the activity status: __waiting__, status before the operation has started: ``` waiting: {} ``` -__running__, status while the operation is in progress: +__running__, status when the operation is in progress: ``` running: { @@ -124,7 +124,7 @@ __failed__, status if the operation has failed: reason: string; }; ``` -__completed__, status if the operation has finished successfully: +__completed__, status if the operation has finished: ``` completed: { @@ -134,20 +134,20 @@ __completed__, status if the operation has finished successfully: }; ``` -__Note: The resource's UUIDv4 identifier is available in the activity result once the activity has completed.__ +__Note: The resource's UUIDv4 identifier is available in the activity result once the activity is completed.__ ## API Limits -### Why limits? +### Why Limits? -The Cloud Temple console sets __caps on the number of requests__ an individual user can send to the API within a given time period. Implementing these rate limits is a common practice in API management, adopted for several essential reasons: +The Cloud Temple console sets __caps on the volume of requests__ an individual user can send to the API within a given time period. Implementing these rate limits is a common practice in API management, adopted for several essential reasons: - __Prevention of abuse__: These limits help safeguard the API's integrity by preventing abusive or poorly designed usage that could compromise its operation. - __Guarantee of service quality__: By regulating API access, we ensure a fair distribution of resources, allowing all users to enjoy a stable and high-performing experience. -Consider a poorly designed or inefficient script making repeated API calls—this could overwhelm system resources and degrade performance. By setting request thresholds, we prevent such scenarios and ensure a __smooth, uninterrupted service__ for our entire user base. +Consider a poorly designed or inefficient script making repeated calls to the API—this could overwhelm system resources and degrade performance. By establishing request thresholds, we prevent such scenarios and ensure __a smooth, uninterrupted service__ for our entire user base. -### What are the rate limits for the Cloud Temple console API? +### What are the rate limits for the Cloud Temple Console API? We apply quantitative restrictions on user interactions with the console for each product. @@ -155,7 +155,7 @@ Limits are defined in __requests per second (r/s) and per source IP__. Once the Here are the defined limits: -| Product | Limit Threshold | +| Product | Threshold | |---|---| | Cloud Temple Console | 25 r/s | | Identity (IAM) | 25 r/s | @@ -207,16 +207,16 @@ There are several ways to improve the efficiency of your automation, including u This approach offers several advantages: -- __Exponential backoff__ ensures that initial attempts are made quickly, while longer delays are scheduled in case of repeated failures. +- __Exponential backoff__ ensures that initial attempts are made quickly, while longer delays are applied in case of repeated failures. - Adding a __random variation__ to the pause helps prevent all retry attempts from occurring simultaneously. -It is important to note that __failed requests do not count toward your rate limit__. However, continuously retrying a request may not be a sustainable long-term solution, as this behavior could change in the future. Therefore, we recommend against relying solely on this mechanism. +It is important to note that __failed requests do not count toward your rate limit__. However, continuously retrying a request may not be a sustainable long-term solution, as this behavior could change in the future. Therefore, we recommend not relying solely on this mechanism. -Python libraries __[Backoff](https://pypi.org/project/backoff/)__ and __[Tenacity](https://pypi.org/project/tenacity/)__ are excellent starting points for implementing retry strategies with backoff. +Python libraries __[Backoff](https://pypi.org/project/backoff/)__ and __[Tenacity](https://pypi.org/project/tenacity/)__ are excellent starting points for implementing retry strategies. ## API Endpoint Lifecycle -Information about API endpoint evolution is available in the release notes: +Information about the evolution of API endpoints is available in the release notes: diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/console.md b/i18n/en/docusaurus-plugin-content-docs/current/console/console.md index 52f16e0e..d16316a7 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/console.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/console.md @@ -29,7 +29,7 @@ Thanks to the **Console**, you can monitor and operate your cloud infrastructure

Metrics

-

Order and track the deployment of new resources.

+

Monitor and analyze performance metrics for your resources.

Discover the menus →
@@ -66,27 +66,27 @@ The console provides direct access to your technical support cases. You benefit Need expertise? Benefit from the support of our engineers for: - Personalized consulting, -- Assistance with cloud architecture implementation, +- Assistance with implementing cloud architectures, - Training for your teams. -The Cloud Temple Console **'Shiva'** is **Cloud Temple's integrated Cloud Management Platform (CMP)**. +The Cloud Temple **'Console'** portal is **the integrated cloud management platform** (Cloud Management Platform) of **Cloud Temple**. -The Cloud Temple Shiva console enables you to manage cloud resources such as virtual servers, storage, networks, and application services. +The Cloud Temple Console enables you to manage cloud resources such as virtual servers, storage, networks, and application services. It is a centralized management interface that allows you to design and operate your cloud infrastructure. -The Cloud Temple Shiva console enables your teams to: +The Cloud Temple Console enables your teams to: - **Manage your Cloud Temple products and services**, - **Monitor and report on the performance of your cloud resources**, -- **Automation and orchestration**: Thanks to its API, Shiva allows you to automate repetitive tasks and orchestrate complex workflows for deploying, managing, and scaling your cloud resources, -- **Security and compliance**: Shiva enables identity management and access filtering to ensure regulatory compliance and adherence to your security policies, +- **Automation and orchestration**: Through its API, the Console allows you to automate repetitive tasks and orchestrate complex workflows for deploying, managing, and scaling your cloud resources, +- **Security and compliance**: The Console enables identity management and access filtering to ensure regulatory compliance and adherence to your security policies, - **Integration with Cloud Adoption Frameworks (CAF)**: Thanks to its hybridization capabilities, you can maintain seamless operations with third-party cloud providers (Microsoft Azure and Amazon AWS) from a single interface, simplifying the integration and management of your multi-cloud application environments, - **Access and tracking of technical support tickets**: Dedicated technical support is also available, including customer support for troubleshooting technical issues as well as assistance with initial configuration, -- **Subscription to professional services**: To effectively manage your cloud environments, your teams can benefit from our engineers’ expertise in consulting, architecture implementation support, or training. +- **Subscription to professional services**: To effectively manage your cloud environments, your teams can benefit from our engineers’ expertise in consulting, architectural implementation support, or training. ## User Features Access via API -Access to all features of the Shiva console is available through the Shiva API. +Access to all Console features is available through the Console API. You can find detailed information about verbs and configurations via **'Profile'** and **'APIs'** ## Terraform Provider diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/console_quickstart.md b/i18n/en/docusaurus-plugin-content-docs/current/console/console_quickstart.md index 6066d1a5..3d4812ee 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/console_quickstart.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/console_quickstart.md @@ -17,22 +17,22 @@ import shivaSupportCriticities from './images/shiva_incident_criticities.png' ## Prerequisites - Have subscribed to a Cloud Temple offer. To subscribe easily, you can [contact us](https://www.cloud-temple.com/contactez-nous/) or by email at __contact@cloud-temple.com__. -- Have access to the Shiva console -- Have your public IPv4 address registered in the Cloud Temple trusted zone (access to the Shiva console is restricted to identified trusted addresses) +- Have access to the Console +- Have your public IPv4 address registered in the Cloud Temple trusted zone (Console access is restricted to identified trusted addresses) ## Connecting to Your Cloud Temple Tenant -Shiva is accessible via the URL below: [Shiva](https://shiva.cloud-temple.com) or directly through the URL provided to you by email. +The Console is accessible via the URL below: [Console](https://shiva.cloud-temple.com) or directly through the URL provided to you by email. The first page allows you to select the [organization](iam/concepts.md#organizations) in which your user was created. -Once you have entered the company name, click on __'Sign In'__. +Once the company is specified, click on __'Sign In'__. You will then be redirected to a page prompting you to authenticate. After logging in, you will land on this page. -Here, you will find all metrics related to the products subscribed to within your scope. If there are any issues with your VMware and/or OpenIaaS products, alerts will be displayed—alert severity is indicated by color. +Here, you will find all metrics related to the products subscribed to within your scope. If there are any issues with your VMware and/or OpenIaaS products, alerts will be displayed—alert severity is indicated by color. @@ -44,7 +44,7 @@ To change a user's language, go to their __'Profile'__, in the top-right corner -This configuration is set individually for each tenant [Tenant](iam/concepts.md#tenant). +Configuration is set per tenant [Tenant](iam/concepts.md#tenant). ## Technical Support Access @@ -56,16 +56,16 @@ You will be guided through the entire support request process. The first step is identifying the type of support request: -- Request advice on using a product (non-incident related), +- Request advice on using a product (non-incident), - Request assistance related to your customer account, - Report an incident or request technical support. -- Request professional services assistance (provision of a Cloud Temple engineer for a specific issue). +- Request assistance from a professional service (deployment of a Cloud Temple engineer for a specific issue). You can then provide additional details and attach files (e.g., images or logs). -The requester may also specify a severity level (P1 to P5) in the ticket description, particularly in the case of a security incident, as follows: +The requester may also specify a severity level (P1 to P5) in the ticket description, especially in the case of a security incident, as shown below: @@ -84,7 +84,7 @@ __HIGH (P2)__: - Anomaly in data encryption - Loss of access to certain critical features - Data inconsistency -- Significant performance degradation impacting operations +- Major performance degradation impacting operations __MEDIUM (P3)__: @@ -100,7 +100,7 @@ __LOW (P4)__: - Compliance-related question - Need for technical clarification -__OPERATIONAL SERVICE (P5)__: +__OPERATIONAL (P5)__: - Operational service with no immediate risk @@ -112,17 +112,17 @@ Once your request has been submitted, you can retrieve your requests via the __" ## User Feature Access via the Web Interface -All features accessible to your user (based on their permissions) are located on the left side of the screen, within the green sidebar. +All features available to your user (based on their permissions) are located on the left side of the screen, within the green sidebar. Features are grouped by module. These primarily include: -- The __inventory__ of your resources, -- The __tracking of operations__, -- The __management of IaaS resources__ (Compute, storage, networking, ...), -- The __management of OpenIaaS resources__ (Compute, storage, networking, ...), -- Access to __additional services__ (Bastion, monitoring, ...), -- The __administration of your organization__ (Tenant and permission management, ...). +- Your __resource inventory__, +- The __operation tracking__ module, +- The __IaaS resource management__ (Compute, storage, networking, ...), +- The __OpenIaaS resource management__ (Compute, storage, networking, ...), +- Access to __additional services__ (Bastion, monitoring, ...), +- The __organization administration__ (Tenant and permission management, ...). -The activation of a module for a user depends on their user rights. For example, the __'Order'__ module will not be available if the user does not have the __'ORDER'__ permission. +The activation of a module for a user depends on their assigned permissions. For example, the __'Order'__ module will not be available if the user does not have the __'ORDER'__ permission. Below is an overview of the available modules. New modules are regularly added to the console: @@ -131,10 +131,10 @@ Below is an overview of the available modules. New modules are regularly added t
- __Dashboard__: provides a quick overview of the __total compute and storage resources__, backup __statistics__, and a __summary of support tickets__, - __Inventory__: offers a view of all your __virtual machines__. If __tags__ are used, it enables filtering by __tag__ (e.g., business view, application view, ...), -- __Managed Services__: provides access to the tracking of your __support requests__ and __service metrics__, -- __IaaS__: enables the __management of VMware IaaS infrastructures__ (virtual machines, clusters, hypervisors, replication, backup, ...), -- __OpenIaaS__: enables the __management of Xen Orchestra resources__ (virtual machines, backup, ...), -- __OpenShift__: enables the management of your **RedHat OpenShift PaaS architecture** and container management across the three availability zones of the platform. +- __Managed Services__: provides access to your __support requests__ and __service metrics__, +- __IaaS__: enables management of your __VMware IaaS infrastructure__ (virtual machines, clusters, hypervisors, replication, backup, ...), +- __OpenIaaS__: enables management of your __Xen Orchestra resources__ (virtual machines, backups, ...), +- __OpenShift__: enables management of your **RedHat OpenShift PaaS architecture** and container management across the platform’s three availability zones. - __Bastion__: allows deployment and management of SSH/RDP bastion appliances within your networks, - __Networking__: enables management of __Layer 2 and Layer 3 networks__, __public IPs__, and your __telecom circuits__, - __Colocation__: provides visibility into equipment located in shared or dedicated colocation zones, @@ -143,7 +143,7 @@ Below is an overview of the available modules. New modules are regularly added t
-The __'NEW'__ icons indicate that the corresponding product has been provisioned but is not yet qualified as a __SecNumCloud offering__, while __'BETA'__ icons indicate that the product has been provisioned and has just been qualified as a __SecNumCloud offering__. +The __'NEW'__ icons indicate that the corresponding product has been provisioned but is not yet qualified under the __SecNumCloud offering__, while __'BETA'__ icons indicate that the product has been provisioned and has just been qualified under the __SecNumCloud offering__. __Logging - Activity Tracking__ ===================================== @@ -189,20 +189,20 @@ The Activities page is designed to provide full visibility into all read and wri #### __Compliance Note__ -In accordance with the SecNumCloud certification, the retention period for Cloud Temple console event logs is a minimum of __6 months__, ensuring compliance with security and traceability requirements. +In accordance with the SecNumCloud certification, the retention period for Cloud Temple console events is a minimum of __6 months__, ensuring compliance with security and traceability requirements. -## Checking for Latest Updates +## Checking for the latest updates -Click on the __'New Features'__ icon at the bottom-left of the green banner. You will find detailed information about the changes for each version of the Cloud Temple console. +Click on the __'New Features'__ icon at the bottom-left of the green banner. You will find details of the changes for each version of the Cloud Temple console. ## User Features Access via API -Access to all features of the Shiva console is available through the Shiva API. You can find detailed information about verbs and configurations via __'Profile'__ and __'APIs'__: +Access to all Console features is available through the Console API. You can find detailed information about verbs and configurations via __'Profile'__ and __'APIs'__: ## Terraform Provider -Cloud Temple provides you with a [Terraform provider](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest) to manage your Cloud platform *"as code"*. +Cloud Temple provides you with a [Terraform provider](https://registry.terraform.io/providers/Cloud-Temple/cloudtemple/latest) to manage your Cloud platform "as code". \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/concepts.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/concepts.md index 7cf45853..7616abd1 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/concepts.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/concepts.md @@ -19,7 +19,7 @@ import shivaTenantRessources_01 from './images/shiva_tenant_ressources_01.png' ## Users -Access accounts to the Shiva console are created by the sponsor's master account upon invitation (regardless of the authentication repository). +Access accounts to the Console are created by the sponsor's master account via invitation (regardless of the authentication repository). Credentials are global to your [Organization](#organizations). @@ -49,7 +49,7 @@ User rights management is performed from the user page. -By default, a user has no permissions. Therefore, the administrator who sent the invitation must assign the necessary rights for the user's activities. Simply click on the user's __'Actions'__ menu and select the __'Edit'__ option. +By default, a user has no rights. Therefore, the administrator who sent the invitation must assign the necessary rights for the user's activities. Simply click on the user's __'Actions'__ menu and select the __'Edit'__ option. The permissions activation menu then appears: @@ -91,7 +91,7 @@ Go to your __'Profile'__, located in the top-right corner of the screen, then se Next, go to your email inbox and click on the link generated by the Console. Simply follow the steps to update your password. -__Warning__: Make sure you are the one who initiated the password reset request. Please report any requests that do not come from you via a support ticket. +__Warning__: Make sure you are the one initiating the password reset request. Please report any requests that do not come from you via a support ticket. @@ -103,13 +103,13 @@ Go to your __'Profile'__, located in the top-right corner of the screen, then se Next, go to your email inbox and click on the link generated by the Console. Simply follow the steps to update your multi-factor authentication. -__Warning__: Ensure you are the one initiating the request to reset your multi-factor authentication. Please report any requests that do not originate from you via a support ticket. +__Warning__: Ensure you are the one initiating the MFA reset request. Please report any requests that do not originate from you via a support ticket. ### Deleting a User -To delete a user, go to the __'User'__ tab in the Administration panel, located at the bottom-left of the screen. +To delete a user, go to the __'Users'__ tab in the Administration panel, located in the bottom-left corner of the screen. Select the user you wish to delete, then click the action button at the end of the row and choose __'Delete'__. @@ -137,40 +137,42 @@ The configuration is set individually for each tenant [Tenant](#tenant). ### Thematic Notifications Subscription -Subscription management allows you to receive emails related to activated themes, automatically sent when corresponding events occur. +Managing subscriptions allows you to receive emails related to activated themes, automatically sent when corresponding events occur. -It is accessible in the user profile, under the "My Subscriptions" tab: +This feature is accessible in the user profile, under the "My Subscriptions" tab: For example, in case of an incident, specific email notifications related to this theme will be generated. -The list of available themes may evolve and gradually expand to adapt to our operational needs and environmental changes. +The list of available themes may evolve and gradually expand to adapt to changing operational needs and environment requirements. ## Permissions -The Shiva console allows for fine-grained management of user rights within an organization, with segregation by tenant. -Initially, it is the primary account of the sponsor that enables the initial configuration of accounts and associated permissions. -Subsequently, the __'iam_write'__ permission allows an account to manage the permissions of other users. +The Console enables fine-grained management of user rights within an organization, with segregation by tenant. + +Initially, it is the primary account of the sponsor that allows the initial configuration of accounts and associated permissions. + +Subsequently, the __'iam_write'__ permission enables an account to manage the permissions of other users. ### Available Permissions for Users in Your Organization -When a user is created, they have no permissions by default. Each permission is assigned individually and operates in isolation, without overlap with other permissions. Permissions are applied in conjunction, meaning a user must possess all required permissions to perform a specific action. +When a user is created, they have no permissions by default. Each permission is assigned individually and operates independently, without overlap with other permissions. Permissions are applied in conjunction, meaning a user must possess all required permissions to perform a specific action. The following permissions are configurable for each user and for each tenant in your organization: -- **"read" permissions**: Allow only resource viewing, with no ability to modify. +- **"read" permissions**: Allow only viewing of resources, with no ability to modify them. - **"write" permissions**: Permit modification of configurations. -- **"management" permissions**: Enable advanced resource management. +- **"management" permissions**: Enable advanced management of resources. - **"console_access" permissions**: Allow PMAD-style connections to resources. -- **"virtual_machine_power" permissions**: Enable power management of virtual machines. +- **"virtual_machine_power" permissions**: Permit management of a virtual machine's power state. - __These are permissions, not roles.__ As such, both READ and WRITE permissions are required to modify a configuration. Last updated: 07/16/2025 | Permission Name | Permission Description | -| --------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------ | +|-----------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------| | activity_read | View logs and activity records | | activity_write | Manage logs and activity records | | backup_iaas_opensource_read | View backup resources – OpenIaaS offering | @@ -181,21 +183,21 @@ Last updated: 07/16/2025 | bastion_write | Manage bastion resources (appliances, sessions, etc.) | | bastion_console_access | Grant access to the console (SSH/RDP) of a resource protected by a bastion appliance | | compute_iaas_opensource_console_access | Open the console of a virtual machine – OpenIaaS offering | -| compute_iaas_opensource_infrastructure_read | View advanced resource data from Xen Orchestra – OpenIaaS offering | +| compute_iaas_opensource_infrastructure_read | View advanced data of Xen Orchestra resources – OpenIaaS offering | | compute_iaas_opensource_infrastructure_write | Advanced management of Xen Orchestra resources – OpenIaaS offering | | compute_iaas_opensource_read | View virtual machine resources – OpenIaaS offering | | compute_iaas_opensource_management | Manage virtual machine resources – OpenIaaS offering | -| compute_iaas_opensource_virtual_machine_power | Manage power state of a virtual machine – OpenIaaS offering | +| compute_iaas_opensource_virtual_machine_power | Manage the power state of a virtual machine – OpenIaaS offering | | compute_iaas_opensource_replication_recover | Manage replication – OpenIaaS offering | | compute_iaas_vmware_console_access | Open the console of a virtual machine – VMware offering | -| compute_iaas_vmware_infrastructure_read | View advanced resource data from VMware (affinity/anti-affinity rules, DRS configuration, etc.) – VMware offering | -| compute_iaas_vmware_infrastructure_write | Advanced management of VMware resources | +| compute_iaas_vmware_infrastructure_read | View advanced data of VMware resources (affinity/anti-affinity rules, DRS configuration, etc.) – VMware offering | +| compute_iaas_vmware_infrastructure_write | Advanced management of VMware resources – VMware offering | | compute_iaas_vmware_read | View virtual machine resources – VMware offering | -| compute_iaas_vmware_management | Manage virtual machine resources – VMware offering (includes virtual machine encryption) | -| compute_iaas_vmware_virtual_machine_power | Manage power state of a virtual machine – VMware offering | -| baremetal_management | Manage bare metal resources | -| baremetal_read | View bare metal resources | -| baremetal_console_access | Open the console of a bare metal server | +| compute_iaas_vmware_management | Manage virtual machine resources – VMware offering (includes virtual machine encryption) | +| compute_iaas_vmware_virtual_machine_power | Manage the power state of a virtual machine – VMware offering | +| baremetal_management | Manage bare metal resources – Bare Metal offering | +| baremetal_read | View bare metal resources – Bare Metal offering | +| baremetal_console_access | Open the console of a bare metal server – Bare Metal offering | | console_public_access_read | View IP addresses authorized to access the console | | console_public_access_write | Add IP addresses authorized to access the console | | documentation_read | View Confluence documentation resources | @@ -218,7 +220,7 @@ Last updated: 07/16/2025 | object-storage_write | Edit buckets and bucket configurations | | openshift_management | Connect to OpenShift platforms (scoped to tenant) | | support_management | View all support tickets for the tenant | -| support_read | View personal support tickets for the tenant | +| support_read | View your own support tickets for the tenant | | support_write | Create a support ticket for the tenant | | tag_read | View tags, excluding RTMS tags | | tag_write | Manage tags, excluding RTMS tags | @@ -238,26 +240,26 @@ An organization is linked to your __sponsor account__ and the associated __Cloud An organization has four main roles: - It represents the __contractual entity__ for tracking and billing purposes, -- It defines the __global configuration of the authentication mechanism__: authentication can be local at the Shiva console level or remote via an identity federation service, +- It defines the __global configuration of the authentication mechanism__: authentication can be local at the Console level or remote via an identity federation service, - It manages all __user accounts__, -- It __federates tenants__ (Production, Staging, Dev, Application 1, Application 2, ...) that you define for your Cloud architecture needs. +- It __federates tenants__ (Production, Preproduction, Dev, Application 1, Application 2, ...) that you define for your Cloud architecture needs. User roles (rights/permissions) are configurable for each tenant defined within your organization. For example, a user account may be authorized to provision resources in one tenant but not in another. ### Authentication Mechanisms -The Shiva console allows organizations to __configure the authentication mechanism__ at the organization level. You can use the Shiva console's built-in local authentication directory, or connect your organization to one of your external authentication directories. +The Console allows you to configure the **authentication mechanism at the organization level**. You can use the Console's built-in local authentication directory, or connect your organization to one of your external authentication directories. The following external authentication directories are supported: -- OpenID Connect-compatible directories, -- SAML-compatible directories, -- Microsoft ADFS -- Microsoft EntraID (Microsoft Azure Active Directory) -- Amazon AWS Cognito -- Okta -- Auth0 -- Keycloak +- OpenID Connect-compatible directories +- SAML-compatible directories +- Microsoft ADFS +- Microsoft EntraID (Microsoft Azure Active Directory) +- Amazon AWS Cognito +- Okta +- Auth0 +- Keycloak :::info[Important] An email address is required for all accounts originating from an identity federation. Accounts created without an email address will not be able to log in and may be automatically deleted. @@ -276,8 +278,8 @@ For example: It is also possible to organize tenants based on an __application view__ or by __criticality__: -- A __Application 1__ or __Criticality 1__ tenant -- A __Application 2__ or __Criticality 2__ tenant +- An __Application 1__ or __Criticality 1__ tenant +- An __Application 2__ or __Criticality 2__ tenant - ... Technical resources ordered are assigned to a specific tenant and are not shared with other tenants. For example, a hypervisor cluster and its associated L2 networks are available only within one tenant. @@ -325,7 +327,7 @@ Each tenant has at least one owner, ensuring clear accountability and efficient * To remove an owner from the tenant, the user must submit a request to support. - This procedure ensures that changes to access rights are made securely and in compliance with best practices for access management. -### Access Authorization to a Tenant: Allowed IPs +### Access Permission to a Tenant: Allowed IPs Access to the cloud management console is strictly limited to previously authorized IP addresses, in compliance with the SecNumCloud certification requirements. This restriction ensures a heightened level of security by allowing access only from specified IP ranges, thereby minimizing the risk of unauthorized access and protecting the cloud infrastructure according to the highest security standards. diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/quickstart.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/quickstart.md index a43407c1..693aec83 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/quickstart.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/quickstart.md @@ -1,5 +1,5 @@ --- -title: Welcome Guide +title: Getting Started Guide --- import shivaTenant from './images/shiva_tenant.png' import shivaOnboard_003 from './images/shiva_onboard_003.png' @@ -15,37 +15,38 @@ import shivaIpAccessManagement_02 from './images/shiva_ip_access_management_02.p ### Tenant Creation -Creating a tenant involves submitting a service request that includes: +Tenant creation is performed via a service request indicating: - Your Organization's Name - The contact's name, email address, and phone number for finalizing the configuration - The tenant's name - The desired availability zone or, if not specified, the physical site preferred for the tenant + Your Organization's name + A contact name, email address, and phone number to finalize the configuration + The tenant name + The desired availability zone, or alternatively, the physical site for the tenant -### Tenant Selection +### Selecting a Tenant -The selection of a tenant is done from the main page of Shiva's console: +Tenant selection is performed from the main page of the Console: -*__Note:__ The resources of a tenant are exclusive to that tenant and cannot be mixed with other tenants.* +*__Note:__ A tenant's resources are exclusive to that tenant and cannot be mixed with those of other tenants.* -## Shiva Console Access Accounts +## Console Access Accounts -Shiva console access accounts are created by the master commander's account on invitation (regardless of the authentication reference). -The identification information is global to your [Organization](./concepts.md#organizations). +Console access accounts are created by the sponsor's master account upon invitation (regardless of the authentication repository). -*__Note:__ Identity federation is managed at the organization level.* +Credentials are global to your [Organization](concepts.md#organizations). + +*__Note:__ Identity federation is managed at the organization level* ### Creating a User Account in Your Organization -Creating a user account within your organization involves an invitation process. To invite a user into an [Organization](./concepts.md#organizations), navigate to the __'Administration'__ menu located on the left side of your screen, beneath the top bar. From there, select the __'Users'__ sub-menu. +Creating a user account in your organization is done through invitation. To invite a user to an [Organization](concepts.md#organisations), go to the __'Administration'__ menu on the left side of your screen, along the green banner, then select the __'Users'__ submenu. -Click on the __'New User'__ button from the Users page. +Click the __'New User'__ button from the users page. -Next, input the user's email address. +Next, enter the user's email address. @@ -53,189 +54,114 @@ The user will then receive a verification email. -Once verification is complete, the user can log into the console. - +Once verification is complete, the user will be able to log in to the console. -Note: The provided images (shivaOnboard_003, shivaOnboard_004, and shivaOnboard_001) are placeholders and should be replaced with actual image URLs corresponding to the described screens in a real documentation context. +### Assigning Permissions to a User -### Assignment of User Permissions - -User permission management is handled from the user profile page. +User rights management is performed from the user page. -By default, a user has no permissions. Therefore, it's necessary for the administrator who invited them to grant the required permissions based on their role. This can be done by clicking on the "Actions" menu of the user and selecting "Modify". +By default, a user has no rights. Therefore, the administrator who sent the invitation must assign the necessary rights for the user's activities. Simply click on the user's __'Actions'__ menu and select the __'Edit'__ option. -The permission assignment menu then appears: +The rights activation menu then appears: -Permission configuration needs to be set for each [Tenant](./concepts.md#tenant) within an [Organization](./concepts.md#organizations). +Permission configuration must be done for each [Tenant](concepts.md#tenant) within the +[Organization](concepts.md#organisations). -The list of permissions and their definitions can be accessed [here](#permissions). +The list of permissions and their definitions is available [here](#permissions). -### Changing User Language +### Change a user's language -To change a user's language, navigate to their __'Profile'__ in the upper right corner of the screen, under __'User Settings'__. +Changing a user's language is done in their __'Profile'__, located in the top-right corner of the screen, under __'User Settings'__. -This configuration is applied on a per-tenant basis [Tenant](./concepts.md#tenant). +The configuration is set individually for each tenant [Tenant](concepts.md#tenant). -### Subscription to Themed Notifications +### Thematic Notifications Subscription -The subscription management allows users to receive e-mails pertaining to activated themes, which will be automatically sent out upon the occurrence of corresponding events. +Managing subscriptions allows you to receive emails related to activated themes, automatically sent when corresponding events occur. -It can be accessed within the user profile, under the "My Subscriptions" tab: +This feature is accessible in the user profile, under the "My Subscriptions" tab: -For instance, in case of an incident, specific e-mail notifications for this theme will be generated. - -The list of available themes is subject to change and will continuously evolve to better align with operational needs and changes. - -### Permissions - -This section outlines the access control mechanisms and permissions associated with various components of a cloud computing environment. Understanding these permissions is crucial for ensuring data security, system integrity, and compliance with organizational policies. - -#### User Permissions - -1. **User Roles**: - - **Admin**: Full access to all resources and functionalities. - - **Manager**: Limited administrative privileges, including managing user accounts and resource quotas. - - **Developer**: Access to development tools and environments, but restricted from modifying production settings. - - **Reader**: Read-only access to specific resources or data. - -2. **Access Control Lists (ACLs)**: - - Fine-grained control over who can perform actions on which resources. - - Can be applied at the resource level (e.g., S3 bucket, EC2 instance). - -#### Resource Permissions - -1. **Identity and Access Management (IAM) Policies**: - - Define permissions for users, groups, and roles within AWS Identity and Access Management. - - Examples: - ```json - { - "Version": "2012-10-17", - "Statement": [ - { - "Effect": "Allow", - "Action": ["s3:GetBucketLocation"], - "Resource": "*" - }, - { - "Effect": "Deny", - "Action": ["s3:DeleteObject"], - "Resource": "arn:aws:s3:::my-bucket/*" - } - ] - } - ``` - -2. **Network Access Control Lists (NACLs)**: - - Control inbound and outbound traffic at the subnet level for VPCs. - - Example configuration: - ```plaintext - Protocol | Source Port | Destination Port | Source IP Range | Destination IP Range - TCP | 22 | Any | 0.0.0.0/0 - UDP | N/A | Any | 0.0.0.0/0 - ``` - -3. **Security Groups**: - - Act as virtual firewalls for instances, controlling inbound and outbound traffic at the instance level. - - Example configuration: - ```plaintext - SG-Rule: - Protocol = TCP - Port Range = 22 - Source = MySecurityGroup - ``` - -#### Compliance and Auditing - -1. **CloudTrail**: - - Logs API calls made to AWS services, providing an audit trail for security analysis and compliance. - -2. **CloudWatch**: - - Monitors resource usage and performance metrics, alerting on unusual activity that could indicate a security breach or policy violation. - -3. **Compliance Monitoring Tools**: - - Utilize third-party tools to ensure adherence to industry standards (e.g., HIPAA, GDPR) by analyzing IAM configurations and access logs. - -### Best Practices - -1. **Principle of Least Privilege**: Grant only necessary permissions required for users/roles to perform their duties. -2. **Regular Reviews**: Periodically review and audit permissions to ensure they align with current job responsibilities and organizational policies. -3. **Segregation of Duties**: Distribute critical tasks among multiple users to prevent any single user from having complete control over a process. -4. **Multi-Factor Authentication (MFA)**: Enforce MFA for all administrative accounts to add an extra layer of security. -5. **Regular Training**: Educate staff on the importance of permissions and how to handle sensitive data securely. - -By carefully managing permissions, organizations can maintain robust security postures, protect sensitive information, and ensure compliance with regulatory requirements in a cloud computing environment. - -### What are the available user account permissions in the Shiva Console? +For example, in case of an incident, specific email notifications related to this theme will be generated. + +The list of available themes may evolve and gradually expand to adapt to changing operational needs and environment requirements. + +## Permissions + +### What permissions are available for user accounts in the Console? Here is the list of [available permissions](#permissions). -### How to Grant Permission? +### How to add a permission? -You can find the procedure for granting permissions [here](#permissions) +Here is the [permission assignment procedure available here](#permissions) ### Why can't I add a permission? -To add a permission, you need to have the __'iam_write'__ permission as well as the specific permission you wish to grant. +To add a permission, you need to have the __'iam_write'__ permission as well as the __permission you wish to add__. -### How to Add a User: +### How to add a user? -*Note: To add a user, you must have the 'iam_write' permission.* +*__Note__ : To add a user, you must have the __'iam_write'__ permission.* ### How to audit user access/permissions? -Go to the Users page and click on the "Export CSV" button: +Go to the users page and click the __'Export CSV'__ button: -### How to Delete a User +### How to delete a user? -In the 'Administration' menu located on the top left toolbar, under the 'User' submenu, click on the 'Action' icon of the user in question and select 'Delete'. +In the __'Administration'__ menu on the green bar on the left side of the screen, under the __'User'__ submenu, click the __'Action'__ icon of the target user and select __'Delete'__. -*Note:* +*__Note__:* +- *To add a user, you must have the __'iam_write'__ permission.* +- *If this is a federated user, __make sure the user has also been deleted from the identity repository__.* -- *To add a user, you must have the __iam_write__ permission.* -- *If it's a federated user, make sure they've been removed from their identity repository as well.* +### How to reset your password? -It is possible to reset your password by clicking on "Forgot Password?" from the login page of the Shiva console. +You can reset your password from the Console login page by clicking on __'Forgot password?'__. ### Why are some users grayed out? -Users marked in gray are those whose accounts have not been verified. Upon account creation, the user receives a verification email. +Grayed-out users are those who have not yet verified their account. Upon account creation, the user receives a verification email. -Once verification is complete, the user can log into the console. The account remains gray until verification is finalized. +Once verification is complete, the user will be able to log in to the console. + +The account remains grayed out until verification is finalized. ### What is a Personal Access Token (PAT)? -Generating a Personal Access Token (PAT), also known as an API key, is a secure method to connect to Shiva's APIs without using a graphical interface. +Generating an API key, also known as a __Personal Access Token (PAT)__, +is a secure way to connect to the Console API without using a graphical interface. ### What is MFA and is it mandatory? -MFA (multi-factor authentication) refers to the process of verifying an individual's identity through two or more factors, known as **two-factor authentication**. +MFA (multi-factor authentication) is an identity verification concept involving two steps, known as __two-factor authentication__. -The user must provide two distinct forms of identification. For instance, in Shiva console, MFA is mandatory and requires entering a one-time password after initially entering the account's password. +The user must provide two distinct proofs of identity. In the case of the Console, two-factor authentication is mandatory and requires entering a one-time code after the user has entered their account password. -### Access and Authentication Management +## Access Management and Authentication -### Access Control to a Tenant: Allowed IP Addresses +### Access Authorization to a Tenant: Allowed IPs -Access to the cloud management console is strictly limited to pre-authorized IP addresses in accordance with SecNumCloud's qualification requirements. This restriction enhances security by permitting access only from specified IP ranges, thereby minimizing risks of unauthorized access and safeguarding the cloud infrastructure according to the highest security standards. +Access to the cloud management console is strictly limited to previously authorized IP addresses, in compliance with the SecNumCloud certification requirements. This restriction ensures a heightened level of security by allowing access only from specified IP ranges, thereby minimizing the risk of unauthorized access and protecting the cloud infrastructure according to the highest security standards. -Users can now view the list of authorized public IP addresses on their tenant and add a new public IP address directly from the "Administration > Access" tab. +It is now possible to view the list of authorized public IP addresses for the tenant and to add a new public IP address directly from the **Administration > Access** tab. -To perform these actions, the user must have the `console_public_access_read` permission to view allowed IPs and the `console_public_access_write` permission to add a new public IP address to the list. +To perform these actions, the user must have the `console_public_access_read` permission to view the allowed IPs, and the `console_public_access_write` permission to add a public IP address to the list. -Here's how to add a new IP: +You can then add a new IP address: -Note: *The removal of an authorized IP requires a support request in the Cloud Temple console.* +> Note: *Removing an authorized IP requires submitting a support request via the Cloud Temple console.* \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_aad.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_aad.md index 31d46c93..8abac901 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_aad.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_aad.md @@ -8,9 +8,9 @@ tags: Here is an example of configuring an authentication repository for a Cloud Temple organization with __Microsoft EntraID__ (Azure Active Directory). -The configuration of your Microsoft repository at the level of a Cloud Temple organization facilitates the authentication of your users on the Shiva console. This avoids the multiplication of authentication factors and reduces the attack surface. +The configuration of your Microsoft repository at the level of a Cloud Temple organization facilitates the authentication of your users on the Console. This avoids the multiplication of authentication factors and reduces the attack surface. -If your users are authenticated to their Microsoft account, authentication to Shiva console services will be seamless. +If your users are authenticated to their Microsoft account, authentication to Console services will be seamless. Here are the different steps to perform this configuration: @@ -107,7 +107,7 @@ Please provide the following information in the support request: Directory ID (corresponds to the Azure AD identifier of the Azure tenant) Secret (Secret associated with the previously created application) -Once the configuration is completed on the Shiva console, the indicated contact will be informed. +Once the configuration is completed on the Console, the indicated contact will be informed. ## Step 3: Finalizing the Configuration diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_adfs.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_adfs.md index dbd94ad8..b369358a 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_adfs.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/sso_adfs.md @@ -7,9 +7,9 @@ tags: --- Here is an example of configuring the authentication repository of a Cloud Temple organization with __Microsoft ADFS__. -Configuring your Microsoft repository at the level of a Cloud Temple organization facilitates the authentication of your users on the Shiva console. +Configuring your Microsoft repository at the level of a Cloud Temple organization facilitates the authentication of your users on the Console. This helps to avoid the multiplication of authentication factors and reduces the attack surface. -If your users are authenticated to their Microsoft account, authentication to the Shiva console services will be seamless. +If your users are authenticated to their Microsoft account, authentication to the Console services will be seamless. Here are the different steps to complete this configuration: @@ -33,7 +33,7 @@ Please provide the following information in the support request: Public URL of the ADFS federation Metadata (/FederationMetadata/2007-06/FederationMetadata.xml) (Example: https://adfs.test.local/FederationMetadata/2007-06/FederationMetadata.xml) ``` -As soon as the configuration is completed on the Shiva console side, the indicated contact will be informed. +As soon as the configuration is completed on the Console side, the indicated contact will be informed. The Cloud Temple support team will send you a URL that looks like this: https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor *You can paste the URL into a browser to test it. If it works correctly, you should see an XML displayed.* @@ -63,7 +63,7 @@ You can enter a name and description for the relying party, this part is optiona ![](images/sso_adfs_004.png) -By default, we allow everyone, but it is possible to select __"Allow a specific group"__ to select the group or groups that will be allowed to access the Shiva console services via ADFS. +By default, we allow everyone, but it is possible to select __"Allow a specific group"__ to select the group or groups that will be allowed to access the Console services via ADFS. ![](images/sso_adfs_005.png) @@ -95,6 +95,6 @@ Just apply the changes. ## Step 3: Finalization -You can now test by going to the Shiva console and clicking on the button corresponding to the ADFS client authentication; in this example, it is __"ADFS Test"__ +You can now test by going to the Console and clicking on the button corresponding to the ADFS client authentication; in this example, it is __"ADFS Test"__ ![](images/sso_adfs_012.png) \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials.md index 45bc942d..19d9c1c7 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials.md @@ -2,7 +2,7 @@ title: Tutorials --- -These tutorials help you deploy and manage a Cloud Temple Bastion from the Shiva portal. +These tutorials help you deploy and manage a Cloud Temple Bastion from the Console portal.
diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_aad.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_aad.md index 42e3b133..4cdd9d99 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_aad.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_aad.md @@ -54,7 +54,7 @@ Please provide the following information in the support request: Directory ID (corresponds to the Azure AD tenant ID) Secret (Secret associated with the previously created application) -Once the configuration is completed on the Shiva console, the indicated contact will be notified. +Once the configuration is completed on the Console, the indicated contact will be notified. ### Registration of a new Azure application (Azure portal) @@ -143,9 +143,9 @@ import ssoAad_018 from './images/sso_aad_018.png' Here is an example of the authentication repository configuration for a Cloud Temple organization with __Microsoft EntraID__ (Azure Active Directory). -Configuring your Microsoft repository at the level of a Cloud Temple organization facilitates user authentication on the Shiva console. This helps avoid the multiplication of authentication factors and reduces the attack surface. +Configuring your Microsoft repository at the level of a Cloud Temple organization facilitates user authentication on the Console. This helps avoid the multiplication of authentication factors and reduces the attack surface. -If your users are authenticated with their Microsoft account, authentication to the Shiva console services will be transparent. +If your users are authenticated with their Microsoft account, authentication to the Console services will be transparent. Here are the different steps to perform this configuration: diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md index f9aa6b45..07a2bfbe 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_adfs.md @@ -1,120 +1,120 @@ -## Step 3: Implementation of the ADFS Configuration +--- +title: Identity Federation Example with Microsoft ADFS +tags: + - iam + - tutorials + - onboarding +--- +import ssoAdfs_001 from './images/sso_adfs_001.png' +import ssoAdfs_002 from './images/sso_adfs_002.png' +import ssoAdfs_003 from './images/sso_adfs_003.png' +import ssoAdfs_004 from './images/sso_adfs_004.png' +import ssoAdfs_005 from './images/sso_adfs_005.png' +import ssoAdfs_006 from './images/sso_adfs_006.png' +import ssoAdfs_007 from './images/sso_adfs_007.png' +import ssoAdfs_008 from './images/sso_adfs_008.png' +import ssoAdfs_009 from './images/sso_adfs_009.png' +import ssoAdfs_010 from './images/sso_adfs_010.png' +import ssoAdfs_011 from './images/sso_adfs_011.png' +import ssoAdfs_012 from './images/sso_adfs_012.png' -### Add claims +Here is an example configuration of an organization's identity repository with __Microsoft ADFS__. -Add a second rule using, this time, the "Send LDAP attributes as claims" template. +Configuring your Microsoft identity repository at the Cloud Temple organization level simplifies user authentication on the Console. +This helps avoid the proliferation of authentication factors and reduces the attack surface. +If your users are already authenticated to their Microsoft accounts, logging into the Console services will be seamless. - +Below are the steps to complete this configuration: -Select the attribute store and add the attributes "E-Mail Addresses, Given-Name, Name, and SAM-Account-Name" as shown in the screenshot below. +## Prerequisites - +Your Microsoft ADFS server must be able to access [Cloud Temple's URL](https://keycloak-shiva.cloud-temple.com/auth/). -Simply apply the changes. +ADFS must be accessible from Cloud Temple's networks and __must expose a TLS certificate issued by a public CA__. -### Authentication Federation Configuration +Users wishing to log in to the portal must have their email, last name, and first name filled in on Active Directory. -## Prerequisites +## Step 2: Request SSO (Single Sign-On) Configuration for Your Organization -Your Microsoft ADFS server must be able to access [Cloud Temple's URL](https://keycloak-shiva.cloud-temple.com/auth/). +This configuration step is performed at the organization level by the Cloud Temple team. -ADFS must be accessible from Cloud Temple networks and __expose a TLS certificate from a public CA__. +To proceed, please __submit a support request__ in the console indicating your intent to set up your Microsoft ADFS authentication repository. -Users wishing to log in to the portal must have their email, last name, and first name filled in on the Active Directory. +Include the following information in your support request: -### Configure claims +``` + Name of your Organization + Name of a contact person, along with their email address and phone number, to finalize the configuration + Public URL of the ADFS federation metadata (/FederationMetadata/2007-06/FederationMetadata.xml) + (Example: https://adfs.test.local/FederationMetadata/2007-06/FederationMetadata.xml) +``` -Claims allow you to provide information to the token that will be sent to the Cloud Temple console. +Once the configuration is completed on the Console side, the designated contact will be notified. -They transmit the information of the connected user that is necessary for the proper functioning of the different services, such as their email, name and surname. +The Cloud Temple support team will send you a URL that will look like this: [https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor](https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor) - +*You can paste the URL into a browser to test it. If it works correctly, you should see an XML document displayed.* -Select "Import data, published online or on a local network, concerning the relying party" and fill in the URL provided by Cloud Temple support. +## Step 3: ADFS Configuration Implementation - +### Authentication Federation Configuration -You can enter a name and description for the relying party, this part is optional. +#### Add a Trusted Party Approval - +On your ADFS server, go to __"Add a Trusted Party Approval"__. -By default, we allow everyone but it is possible to select __"Allow a specific group"__ to select the group or groups that will be allowed to access the Shiva console services via ADFS. + - +### Configure the Claims -Once all these steps are completed, you have finished configuring the relying party. +Claims allow you to provide information to the token that will be sent to the Cloud Temple console. - +They transmit user information necessary for the proper functioning of various services, such as the user's email address, first name, and last name. -You will then need to edit the claim issuance policy for this new relying party. + - +Select "Import data published online or on a local network regarding the relying party" and enter the URL provided by Cloud Temple support. -Click on "Add a rule" and specify the template, either "Transform an incoming claim". + - +You may optionally enter a name and description for the relying party. -You will only need to fill in the information as indicated in the screenshot below. + - +By default, we allow everyone, but you can select __"Allow a specific group"__ to choose the group or groups authorized to access the Console services via ADFS. -#### Adding a Trusted Party Approval + -On your ADFS server, go to __"Add a Trusted Party Approval"__. +Once these steps are completed, you have finished configuring the relying party. - + -## Step 3: Finalization +Next, you will need to edit the claim issuance policy for this new relying party. -you can now test by going to the Shiva console and clicking on the button corresponding to the ADFS client authentication; in this example, it is here __"ADFS Test"__ + - +Click on "Add Rule" and select the template: "Transform an incoming claim." ---- -title: Example of Identity Federation with Microsoft ADFS -tags: - - iam - - tutorials - - onboarding ---- -import ssoAdfs_001 from './images/sso_adfs_001.png' -import ssoAdfs_002 from './images/sso_adfs_002.png' -import ssoAdfs_003 from './images/sso_adfs_003.png' -import ssoAdfs_004 from './images/sso_adfs_004.png' -import ssoAdfs_005 from './images/sso_adfs_005.png' -import ssoAdfs_006 from './images/sso_adfs_006.png' -import ssoAdfs_007 from './images/sso_adfs_007.png' -import ssoAdfs_008 from './images/sso_adfs_008.png' -import ssoAdfs_009 from './images/sso_adfs_009.png' -import ssoAdfs_010 from './images/sso_adfs_010.png' -import ssoAdfs_011 from './images/sso_adfs_011.png' -import ssoAdfs_012 from './images/sso_adfs_012.png' + -Here is an example of configuring the authentication repository of a Cloud Temple organization with **Microsoft ADFS**. +You will then only need to fill in the information as shown in the screenshot below. -Configuring your Microsoft repository at the Cloud Temple organization level facilitates user authentication on the Shiva console. -This helps avoid the multiplication of authentication factors and reduce the attack surface. -If your users are authenticated via their Microsoft account, authentication to the Shiva console services will be transparent. + -Here are the different steps to perform this configuration: +### Add claims -## Step 2: Request the SSO (Single Sign-On) configuration of your organization +Add a second rule, this time using the template "Send LDAP attributes as claims". -This part of the configuration is done at the organization level by the Cloud temple team. + -To do this, make a __support request__ in the console indicating your desire to configure your Microsoft ADFS authentication repository. +Select the attribute store and add the attributes "E-Mail Addresses, Given-Name, Surname, and SAM-Account-Name" as shown in the screenshot below. -Please provide the following information in the support request: + -``` - The name of your Organization - The name of a contact with their email and phone number to finalize the configuration - Public URL of the ADFS federation Metadata (/FederationMetadata/2007-06/FederationMetadata.xml) - (Example: https://adfs.test.local/FederationMetadata/2007-06/FederationMetadata.xml) -``` +Simply apply the changes. -Once the configuration is completed on the Shiva console side, the designated contact will be notified. +## Step 3: Finalization -The Cloud Temple support team will send you a URL that will look like this: [https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor](https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor) +You can now test by going to the Console and clicking the button corresponding to the ADFS client authentication; in this example, it is __"ADFS Test"__. -*You can paste the URL in a browser to test it. If it works correctly, you should see an XML displayed* \ No newline at end of file + \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md index 8e956281..361e50f3 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/iam/tutorials/sso_azuread.md @@ -1,7 +1,5 @@ - - --- -title: Example of Identity Federation with Microsoft EntraID +title: Identity Federation Example with Microsoft EntraID tags: - iam - tutorials @@ -25,45 +23,39 @@ import ssoAad_016 from './images/sso_aad_016.png' import ssoAad_017 from './images/sso_aad_017.png' import ssoAad_018 from './images/sso_aad_018.png' -Here is an example of configuring the authentication repository of a Cloud Temple organization with __Microsoft EntraID__ (Azure Active Directory). - -Configuring your Microsoft repository at the level of a Cloud Temple organization facilitates authentication of your users on the Shiva console. This helps avoid the multiplication of authentication factors and reduce the attack surface. - -If your users are authenticated to their Microsoft account, authentication to the Shiva console services will be transparent. +Here is an example configuration of the identity provider for a Cloud Temple organization using __Microsoft EntraID__ (Azure Active Directory). -Here are the different steps to perform this configuration: +Configuring your Microsoft identity provider at the Cloud Temple organization level simplifies user authentication on the Console. This helps avoid the proliferation of authentication factors and reduces the attack surface. +If your users are already authenticated to their Microsoft accounts, logging into the Console services will be seamless and transparent. +Below are the steps to complete this configuration: -## Step 1: SSO Configuration on the Microsoft Azure Side +## Step 1: SSO Configuration on Microsoft Azure Side +### Registering a New Azure Application (Azure Portal) +To create the __app registration__, navigate to the Microsoft Azure portal, then go to Microsoft Entra ID, and select __"Add > App Registration"__. -### Registering a new Azure application (Azure portal) - -For the __application registration__, go to the Microsoft Azure portal, then in Microsoft Entra ID, select __"ADD > App Registration"__. - -On the "Register an application" page, please indicate: +On the "Register an application" page, please provide the following: ``` - __Name__ : Enter "__SHIVA__" -- __Supported account types__ : __Accounts in this organizational directory only__ (____ only - Single tenant) -- __Redirect URL__ : Do not configure initially. The URL will be provided by Cloud Temple support and should be added in this field later. +- __Supported account types__ : __Accounts in this organizational directory only__ (____ only - Single tenant) +- __Redirect URL__ : Do not configure this field at this time. The URL will be provided by Cloud Temple support and should be added to this field later. ``` -The __Application (client) ID__ and __Directory (tenant) ID__ are the information to provide in the support request to the Cloud Temple team to enable Microsoft Entra ID authentication at your organization. +The __Application (client) ID__ and __Directory (tenant) ID__ are the key details to provide in your support request to the Cloud Temple team to enable Microsoft Entra ID authentication for your organization. - - -### Definition of a secret +### Definition of a Secret In the "Certificates & secrets" tab, create a new secret. -*Note: the expiration date of the secret cannot be more than 24 months, including with a custom expiration date.* +*Note: The secret's expiration date cannot exceed 24 months, even with a custom expiration date.* @@ -71,97 +63,79 @@ The generated secret will need to be provided in the support request: +### Definition of EntraID Token +The EntraID token is required for authentication configuration. -### Definition of EntraID token - -The EntraID token is necessary for authentication configuration. - -In the __"Token Configuration"__ menu, click on __"Add optional claim"__. You will need to select "ID" as the token type and check "email". +In the __"Token Configuration"_ menu, click on __"Add optional claim"__. You will need to select "ID" as the token type and check "email". -The Azure interface will ask if you want to add a permission that will allow you to read a user's email (Microsoft Graph email), check the box and confirm. +Azure will prompt you to grant a permission allowing you to read a user's email (Microsoft Graph email). Check the box and confirm. -Then go to "API permissions" and click on __"Grant admin consent for Cloud Temple"__. +Next, go to "API permissions" and click on __"Grant admin consent for Cloud Temple"__. +### Additional Security Configurations (Optional but Recommended) +By default, Microsoft Entra ID, as configured, will allow any user from your Azure tenant to sign in to your Cloud Temple organization. +It is possible to restrict access at the __"App Registration"__ level, allowing only a specific list of users or groups to sign in to your Cloud Temple organization. -### Additional Security Configurations (optional but recommended) - -By default, Microsoft EntraID as configured will allow any user in your Azure tenant to connect to your Cloud Temple organization. -It is possible to restrict access at the __"App Registration"__ level to allow only a list of users or groups to connect to your Cloud Temple organization. - -Here is the procedure to follow; - - - -#### Access the Additional Settings "App Registration" - +Follow the procedure below: +#### Access additional "App Registration" settings ##### Option 1 -Go to the "Overview" tab and click on the application name (the link located after "Managed application"). +Go to the "Overview" tab, then click on the application name (the link located next to "Managed application"). - - ##### Option 2 Go to "Enterprise applications" and search using the name of the previously created application. +#### Authentication restriction to users assigned to the application - -#### Authentication Restriction for Users Assigned to the Application - -Indicate here the necessity of assigning the user to the application to authorize their authentication: +Indicate here the requirement for user assignment to the application to allow authentication: +#### Assigning Users and Groups to the Application - -#### User and Group Assignment to the Application - -Only the groups and users assigned to the application will be able to connect to your Cloud Temple organization via the app registration. +Only users and groups assigned to the application will be able to sign in to your Cloud Temple organization via the app registration. -Finally, you will only need to apply the assignment by clicking "Assign". +Finally, simply apply the assignment by clicking "Assign". -From now on, the users assigned to the application will be able to connect to your Cloud Temple organization via the created application. - - - -## Step 2: Request your organization's SSO (Single Sign-On) configuration - -This part of the configuration is handled at the organization level by the Cloud temple team. +From now on, assigned users will be able to sign in to your Cloud Temple organization through the created application. -To proceed, make __a support request__ in the console indicating your desire to set up a Microsoft EntraID SSO. +## Step 2: Request SSO (Single Sign-On) Configuration for Your Organization -Please provide the following information in the support request: - The name of your Organization - The name of a contact with their email and phone number to finalize the configuration - Application ID (unique identifier associated with the previously created application) - Directory ID (corresponds to the Azure AD tenant ID of the Azure directory) - Secret (secret associated with the previously created application) +This configuration step is performed at the organization level by the Cloud Temple team. -Once the configuration is completed on the Shiva console, the designated contact will be notified. +To proceed, submit a __support request__ in the console indicating your intent to set up Microsoft Entra ID SSO. +Please include the following information in your support request: +- Name of your Organization +- Name of a contact person, along with their email address and phone number, to finalize the configuration +- Application ID (unique identifier associated with the previously created application) +- Directory ID (corresponds to the Azure AD tenant ID in Azure) +- Secret (secret associated with the previously created application) +Once the configuration is completed on the Console side, the designated contact will be notified. -## Step 3: Finalizing the Configuration +## Step 3: Finalize the Configuration -On the App Registration home page, in the overview menu, click on "Add a Redirect URL". +On the App Registration home page, in the Overview menu, click on "Add a Redirect URL". @@ -169,15 +143,15 @@ Next, go to "Add a platform" and add one of type Web. -You just need to enter the "Redirect URL" provided by the Applications Product Team. +Simply enter the "Redirect URL" provided by the Applications Product Team. -You should get this result once the "Redirect URL" is added. +You should see this result once the "Redirect URL" has been added. -The "Redirect URL" configuration may take a few minutes to take effect. -Once all steps are completed, you can authenticate to your Cloud Temple organization via your SSO. +It may take a few minutes for the "Redirect URL" configuration to take effect. +Once all steps are completed, you can authenticate to your Cloud Temple organization using your SSO. \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/console/metrics/concepts.md b/i18n/en/docusaurus-plugin-content-docs/current/console/metrics/concepts.md index b9fbce24..e9e54bde 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/console/metrics/concepts.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/console/metrics/concepts.md @@ -27,13 +27,13 @@ import grafanaDatasourceAlerting from './images/grafana_datasource_alerting.png' import grafanaDatasourceWorking from './images/grafana_datasource_working.png' import grafanaDashboards_001 from './images/grafana_dashboards_001.png' -The majority of __Cloud Temple__ clients have visualization, monitoring, and metrology tools in place to track their operations. +Most __Cloud Temple__ customers have visualization, monitoring, and metrology tools in place to track their operations. -The philosophy behind the Shiva console is to provide access to data so it can be integrated into this tooling via an embedded Prometheus proxy. +The Console's philosophy is to enable access to data so it can be integrated into this tooling via an embedded Prometheus proxy. -This proxy enables you to query and manipulate data using a visualization tool such as [Grafana](https://grafana.com). +This proxy allows you to query and manipulate data using a visualization tool such as [Grafana](https://grafana.com). -It is, however, possible to view some performance metrics of your Cloud resources directly within the Shiva web interface. +However, it is also possible to view certain performance metrics of your Cloud resources directly within the Console's web interface. *__Note:__ The __Cloud Temple__ philosophy is not limited to embedding graphs within the web interface, but also to providing maximum information accessible via the API* @@ -43,7 +43,7 @@ It is, however, possible to view some performance metrics of your Cloud resource ### Overview -The Shiva console's home page displays the main dashboard, showing all metrics that provide an overview of each product you have subscribed to within your scope. If any issues arise with your VMware and/or OpenIaaS products, alerts will be visible—alert severity is indicated by color. +The home page of the Console displays the main dashboard, showing all metrics that provide an overview of each product you have subscribed to within your scope. If any issues occur with your VMware and/or OpenIaaS products, alerts will be visible—alert color indicates their severity. These alerts are clickable and redirect to the corresponding product page. @@ -61,15 +61,15 @@ On this tab, you'll find some of the metrics already present in the global dashb #### Calculation -On this tab, you'll find the number of **AZs**, **Clusters**, **ESXs**, **carbon emissions**, and **estimated consumption**, along with 7 visual graphs providing a clear, graphical overview of your VMware environment. The estimated consumption in kWh is calculated based on the average of readings covering the selected period, expressed per hour. +On this tab, you'll find the number of **AZs**, **Clusters**, **ESXs**, **carbon emissions**, **power consumption estimates**, as well as 7 visual graphs providing a clear, graphical overview of your VMware environment. The power consumption estimate in kWh is calculated based on the average of readings covering the selected period, normalized to a per-hour basis. -You can select the date range to cover, as well as the data aggregation type (by default, data is aggregated across your entire environment). For example, by choosing **Host**: +You can select the date range to analyze, as well as the data grouping type (by default, data is aggregated across your entire environment). For example, selecting **Host**: -When hovering over each graph, the details of resource names and their values are displayed. When clicking on these graphs, a small tooltip opens, allowing you to more easily view the details corresponding to the clicked date: +When hovering over each graph, resource names and their corresponding values are displayed. Clicking on a graph opens a small tooltip, allowing you to easily view detailed information for the selected date: #### Storage @@ -86,7 +86,7 @@ This summary provides, over the selected time range: - the number of CPUs and the __average CPU utilization__, - the amount of memory in GB and the __average memory usage__, - the average __storage access latency__ for both read and write operations, -- the average __'CPU Ready'__ time of the virtual machine (which represents the average wait time for a physical CPU core to become available for the virtual machine). +- the average __'CPU Ready'__ time of the virtual machine (i.e., the average wait time for a physical CPU core to become available for the VM). @@ -100,7 +100,7 @@ This will take you to the page displaying historical data in graphical form, inc ### VMware Metrics - View by Resource -It is also possible to view a portion of metrics related to VMware, this time more specifically for a given **Host** or **Datastore**. +It is also possible to view a subset of metrics related to VMware, this time more specifically for a given **Host** or **Datastore**. #### Host @@ -116,7 +116,7 @@ In a Datastore view, you can check the **IOPS** for a given period. ### OpenIaaS Metrics -In the **'OpenIaaS'** menu, a dedicated dashboard is available under the **'Metrics'** submenu. It includes 3 tabs: +In the **'OpenIaaS'** menu, a dedicated dashboard is available in the **'Metrics'** submenu. It includes 3 tabs: #### Overview @@ -126,9 +126,9 @@ On this tab, you'll find some of the metrics already present in the global dashb #### Calcul -On this tab, you'll find the number of **AZs**, **Clusters**, and **Hosts**, along with five graphs providing a highly visual overview of your OpenIaaS environment. +On this tab, you'll find the number of **AZs**, **Clusters**, **Hosts**, as well as 5 graphs providing a highly visual overview of your OpenIaaS environment. -You can select the date range to cover, as well as the data grouping type (by default, data is grouped across your entire scope). For example, by choosing **Host**: +You can select the date range to cover, as well as the data grouping type (by default, data is grouped across your entire environment). For example, by choosing **Host**: @@ -136,22 +136,22 @@ You can select the date range to cover, as well as the data grouping type (by de #### Storage -Just as on the "Compute" tab, various information is displayed: the number of **AZs**, **Clusters**, **Datastores**, as well as a chart. The same filtering principles apply, but here we can group by **Block Storage**. +Just as on the "Compute" tab, you'll find various information: the number of **AZs**, **Clusters**, **Datastores**, as well as a chart. The same filtering principles apply, but here we can group by **Block Storage**. ## Usage with __Grafana__ -Integration of the Shiva console with Grafana +Integrating the Console with Grafana -The Shiva console from Cloud Temple can be used as a data source for your [Grafana](https://grafana.com/) infrastructure. +The Cloud Temple Console can be used as a data source for your [Grafana](https://grafana.com/) infrastructure. -The console is Prometheus-compatible, allowing you to add it to Grafana as a Prometheus-type data source. You will then be able to: +The Console is Prometheus-compatible, allowing you to add it to Grafana as a Prometheus-type data source. You will then be able to: - Visualize all your metrics. - Create custom dashboards tailored to your specific needs. -Cloud Temple also provides a [collection of ready-to-use dashboards](https://github.com/Cloud-Temple/console-grafana-iaas) that you can use as a starting point or adapt according to your use cases. +Cloud Temple also provides a [collection of ready-to-use dashboards](https://github.com/Cloud-Temple/console-grafana-iaas) that you can use as a starting point or adapt to your use cases. @@ -200,4 +200,4 @@ You should see a banner indicating that the configuration was successful. You can find a comprehensive set of Grafana configuration examples here: [https://github.com/Cloud-Temple/console-grafana-iaas](https://github.com/Cloud-Temple/console-grafana-iaas) - + \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md b/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md index 4bb3b6c0..3b7271ab 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_iaas.md @@ -1,1491 +1,783 @@ ---- -title: Convention de Service SecNumCloud IaaS ---- - - -# CONVENTION DE SERVICES IaaS - -| Destinataires : | **COMMANDITAIRE** | -| :--- | :--- | -| **Référence du documents** | CT.AM.JUR.ANX CdS-IaaS - 20251701_v3.0.docx_Jour JJ AAAA | -| **Vos interlocuteurs** | *Prénom* *Nom* Account Manager e-mail : *prenom.nom*\@cloud-temple.com | -| **Date de dernière mise à jour** | 17/01/2025 | -| **Date de validation contractuelle** | Jour JJ AAAA | - ------------------------------------------------------------------------- - -| Version | Date | Action | Auteur | -| :--- | :--- | :--- | :--- | -| v0.1 | 07/06/2022 | Rédaction initiale | Lorena ALCALDE | -| v0.2 | 14/09/2022 | Enrichissement | Lorena ALCALDE | -| v1.0 | 30/12/2022 | Intégration Indicateurs | Lorena ALCALDE | -| v1.1 | 23/01/2023 | Modification pied de page | Lorena ALCALDE | -| v1.2 | 22/05/2023 | Enrichissement | Lorena ALCALDE | -| v1.3 | 29/06/2023 | Enrichissement | Lorena ALCALDE | -| v1.4 | 06/11/2023 | Modification Capital et Enrichissement | Lorena ALCALDE | -| v1.5 | 30/11/2023 | Enrichissement | Lorena ALCALDE | -| v1.6 | 21/03/2024 | Enrichissement | Lorena ALCALDE | -| v2.0 | 29/03/2024 | Ajustements conformité SNC | Nicolas ABRIOUX | -| v2.0 | 03/04/2024 | Publication | Lorena ALCALDE | -| V3.0 | 17/01/2025 | Enrichissement | Emeline CAZAUX | - ------------------------------------------------------------------------- - -# Préliminaire et Glossaire - -## Préliminaire - -Le présent document formalise la Convention de service associée au -service IaaS qualifiée SecNumCloud sous l'appellation de « *Secure -Temple*». - -Le Service est qualifié SecNumCloud (voir attestation en Annexe). - -La présente convention de service complète et est complémentaire aux -conditions générales de vente et d'utilisation du Prestataire. Il est -entendu que les documents contractuels s'interprètent de manière -cohérente entre eux. En cas de contradiction ou de divergence entre les -termes des documents contractuels, les documents prévaudront les uns sur -les autres dans l'ordre suivant : - -1. Conditions Générales de Vente et Utilisation (CGVU) - -2. Convention de Service SecNumCloud IaaS - -3. Convention de Service SecNumCloud OpenIaaS - -4. Convention de Service SecNumCloud PaaS - -5. Convention de Service spécifique - Bare Metal - -6. Convention spécifique particulière - -7. Plan d'Assurance Sécurité (PAS) - -8. Conditions Particulières d'Utilisation (CPU) - -9. Data Protection Agreement - -## Glossaire - -Dans la présente Convention de service, le **COMMANDITAIRE**, le -**Prestataire** et les **Parties** sont identifiés dans le Contrat -auquel est annexe la présente Convention de service. - -Les expressions ci-après employées dans la présente Convention de -service seront interprétées conformément aux définitions qui leur sont -attribuées ci-dessous : - -- **Changement :** Tout ajout, une modification ou suppression - impactant le Service, ayant été autorisé, planifié ou pris en - charge. - -- **Changement standard :** Changement faisant l'objet d'une - procédure, dont les modalités de mise en production et les impacts - (y compris financiers) sont connus et acceptés à l'avance par les - Parties. Il est alors intégré au catalogue des changements - standards, et peut selon les cas avoir une GTI et une GTR. - -- **Contrat :** désigne le contrat souscrit par le COMMANDITAIRE - auprès du Prestataire pour permettre au COMMANDITAIRE de bénéficier - du Service, et auquel la présente Convention de service est annexée. - -- \***Convention de service :** Ce document, établi dans le cadre d'un - contrat spécifique ou des Conditions Générales de Vente et - d'Utilisation (CGVU), et ce, en conformité avec les exigences du - Référentiel SecNumCloud. - -- **Demande de service :** demande d'évolution faisant l'objet d'une - procédure, dont la réalisation: i) ne modifie pas la CMDB,ii) le - mode opératoire, les coûts et les risques sont connus et acceptés à - l'avance et ne nécessitent pas de modalités de retour arrière - spécifiques iii) la réalisation est soumise à un accord de niveau de - service et incluse dans la redevance du contrat lorsqu'elle est - réalisée en heures ouvrées et jours ouvrés. - -- **Disponibilité :** Capacité à assurer la disponibilité et le - maintien des performances optimales du Service, en accord avec les - critères et engagements définis dans les Accords de Niveau de - Service (SLA). - -- **Données techniques** : comprend l'ensemble des données manipulées - pour délivrer le Service, notablement dont l'identité des - bénéficiaires et des administrateurs de l'infrastructure technique, - des journaux de l'infrastructure technique, configuration des accès, - annuaire, certificats\... - -- **Evènement :** Un \"événement\" est toute occurrence détectable ou - identifiable pouvant avoir une importance pour la gestion du - Service. - -- **Hyperviseur :** Système d'exploitation permettant l'execution de - machines virtuelles sur une lame de calcul. - -- **Incident :** Tout événement imprévu qui perturbe le fonctionnement - normal du Service ou compromet la sécurité des données. - -- **Incident de sécurité :** Tout événement dans le périmètre du - Service: - - - De nature intentionnellement malveillante ; - - De nature accidentelle portant atteinte à l'intégrité, la - confidentialité ou la traçabilité du Service ou des données du - COMMANDITAIRE ; - - Portant atteinte aux mesures de sécurité existantes. Les - atteintes à la Disponibilité d'origine non-malveillante ne sont - pas considérées comme un Incident de sécurité (panne matérielle, - bug, dysfonctionnement, sinistre naturel...). - -- **Interface COMMANDITAIRE :** Interface d'administration du Service - mise à disposition du COMMANDITAIRE par le Prestataire, regroupant - une console d'administration web et une API. - -- **Mise en production :** action(s) d'administration de réalisation - du Changement quand celui-ci est approuvé (le changement, au sens - ITIL, ne concernant que la gestion du changement et non sa - réalisation/concrétisation). - -- **Problème** : cause d'un ou plusieurs Incidents récurrents, cause - d'un Incident potentiel (situation à risque) nécessitant une analyse - et une résolution pour prévenir sa récurrence. - -- **Région :** désigne un ensemble géographiquement délimité de zones - de disponibilité cloud, fournissant des services de réseau, de - calcul et de stockage pour optimiser la latence, la performance et - la conformité réglementaire locale. - -- **Service :** désigne le service IaaS qualifié SecNumCloud « Secure - Temple », délivré au COMMANDITAIRE par la Prestataire depuis des - infrastructures techniques maintenues par le Prestataire, tel que - décrit dans la section « Description du Service » de la présente - Convention de service. - -- **Secure Temple** : désigne le service IaaS qualifié SecNumCloud, - proposé par la société Cloud Temple, tel que défini dans - l'attestation consultable sur le site de l'ANSSI et fournie en - annexe de la présente Convention de service. - -- **Sinistre :** désigne un événement grave d'origine naturelle ou - humaine, accidentelle ou intentionnelle, occasionnant des pertes et - des dommages importants à la Partie sinistrée. - -- **Supervision :** Surveillance d'un Système d'Information ou d'un - Service, impliquant la collecte de diverses données telles que - mesures et alarmes. Cette activité se limite à l'observation et au - suivi, sans intervenir directement sur les éléments surveillés, une - prérogative qui appartient aux opérations d'Administration. - -- **Tenant :** Une instance isolée réservée à un utilisateur ou groupe - d'utilisateurs, partageant une infrastructure commune tout en - maintenant l'indépendance et la sécurité des données et des - applications. - -- **Zone de Disponibilité (AZ) (Availibility zone) :** Une section - spécifique et isolée de l'infrastructure de cloud computing, conçue - pour assurer la haute disponibilité et la résilience des services - par une distribution géographique des ressources. - -# Acronymes - -| Acronyme | Définition | -| :--- | :--- | -| **CAB** | Change Advisory Board -- Comité consultatif sur les changements | -| **CMDB** | Configuration Management Database -- Base de données de gestion des configurations | -| **COPIL** | Comité de pilotage | -| **COSTRAT** | Comité stratégique | -| **COPROJ** | Comité Projet | -| **DB** | Database (base de données) | -| **DPA** | Data Protection Agreement | -| **DRP** | Disaster Recovery Plan (PRA) (Plan de reprise d'activité) | -| **GTE** | Garantie de Temps d'Escalade | -| **GTI** | Garantie de Temps d'Intervention | -| **GTR** | Garantie de Temps de Résolution | -| **ITIL** | Information Technology Infrastructure Library - Bonnes pratiques pour la gestion des SI | -| **IaaS** | Infrastructure as a Service | -| **MCO** | Maintien en condition opérationnelle | -| **MOA** | Maitrise d'Ouvrage | -| **MOE** | Maitrise d'Œuvre | -| **MSP** | Managed Services Provider | -| **OS** | Operating system (système d'exploitation) | -| **PAQ** | Plan d'Assurance Qualité | -| **PaaS** | Platform as a Service | -| **PAS** | Plan d'Assurance Sécurité | -| **PASSI** | Prestataire d'Audit de Sécurité des Systèmes d'Information | -| **RFC** | Request For Change -- Demande de changement | -| **RGPD** | Règlement Général de Protection des Données (personnelles) | -| **RPO** | Recovery Point Objective -- Fraicheur des données restaurées en cas de Sinistre | -| **RTO** | Recovery Time Objective -- Délai de rétablissement du service en cas de Sinistre | -| **SDM** | Service Delivery Manager | -| **SLA** | Service Level Agreement -- Accord sur les niveaux de services | -| **SNC** | SecNumCloud | -| **SOC** | Security Operation Center | -| **TMA** | Tierce Maintenance dApplication | -| **UO** | Unité d'Œuvre | -| **VABE** | Validation d'Aptitude à la Bonne Exploitabilité | -| **VABF** | Validation d'Aptitude au Bon Fonctionnement | -| **VM** | Virtual Machine (Machine virtuelle) | -| **VSR** | Validation de Service Régulier | - -# Objet de la présente Convention de service - -La présente Convention de service établit les termes et conditions selon -lesquels le Prestataire s'engage à délivrer le Service au COMMANDITAIRE. -Son objet est de : - -- Préciser les exigences de performance attendues par le COMMANDITAIRE - en termes de fonctionnalité et de fiabilité du Service ; - -- Énoncer les obligations du Prestataire afin de satisfaire aux - niveaux de service convenus ; - -- Identifier les normes réglementaires applicables spécifiquement au - Service délivré ; - -- Assurer une uniformité et une intégrité dans l'évaluation de la - qualité du Service ; - -- Garantir l'excellence des services fournis, évaluée au moyen - d'indicateurs de performance quantitatifs. - -Il est stipulé que, dans l'hypothèse où le Prestataire se verrait -retirer sa qualification SecNumCloud, le Contrat pourra être résilié de -plein droit, sans encourir de pénalités, par le COMMANDITAIRE. Dans une -telle éventualité, le Prestataire s'engage à informer le COMMANDITAIRE -de cette déqualification par envoi d'une notification officielle, au -moyen d'une lettre recommandée avec demande d'avis de réception. - -Il convient de noter qu'une modification ou un ajustement de la -qualification SecNumCloud ne sera pas interprété comme une révocation de -la qualification initiale. - -# Audit - -Le Prestataire s'engage à permettre au COMMANDITAIRE, ou à tout auditeur -tiers et non concurrent du Prestataire que ce dernier aurait désigné, de -consulter l'ensemble des documents nécessaires à l'attestation du -respect intégral des obligations liées à la conformité avec les -dispositions de l'article 28 du Règlement Général sur la Protection des -Données (RGPD), facilitant ainsi la réalisation d'audits. - -Par l'acceptation de la présente Convention de service, le COMMANDITAIRE -confère son autorisation explicite à : - -1. L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) - ainsi qu'à l'entité de qualification compétente pour entreprendre la - vérification de la conformité du Service et de son système - d'information au référentiel SecNumCloud. -2. Un prestataire d'audit de la sécurité des systèmes d'information, - dûment qualifié PASSI et expressément désigné par le Prestataire, - pour mener à bien des audits de sécurité portant sur le Service. - -# Description du Service - -## Modèle de responsabilité partagé - -Le Service proposé par le Prestataire se caractérise par la mise à -disposition des prestations suivantes, lesquelles s'alignent sur le -principe de responsabilité partagée présenté dans le référentiel -SecNumCloud : - -- La provision de ressources de calcul (compute) ; - -- La mise à disposition d'espaces de stockage ; - -- L'accès à des services de connectivité réseau et internet ; - -- L'offre d'un service de sauvegarde dédié aux machines virtuelles. - -Le modèle de responsabilités partagé appliqué entre le Prestataire et le -COMMANDITAIRE dans le cadre du Service est présenté en §7.1. - -Il est entendu que le Prestataire mobilisera son expertise pour réaliser -les Prestations selon les meilleures pratiques professionnelles et -conformément aux exigences du référentiel SecNumCloud. - -## Présentation détaillée du périmètre du Service - -| Service | Description | -| :--- | :--- | -| **Compute** | Ressource de calcul du Tenant COMMANDITAIRE | -| **Storage** | Données de production du Tenant COMMANDITAIRE | -| **Stockage objet S3** | mise à disposition d'une infrastructure de stockage objet souverain multi AZ et compatible avec les API S3 standard. | -| **Sauvegarde** | Modulo souscription au mass-storage adéquat | -| **Infrastructure réseau** | Ressource réseau du Tenant COMMANDITAIRE | -| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service IaaS et de l'administrer via l'interface Shiva | -| **Support** | Le service de support accompagnant les services précédents et uniquement ceux-ci (\*) | - -\_(\*) Dans la limite du périmètre du Service qualifié SNC et des -responsabilités du Prestataire en la matière\_ - -### Infrastructures Datacenters - -Le Service englobe la mise à disposition, pour chaque Zone de -disponibilité, des prestations qualifiées ci-après : - -- Site datacenter situé en France pour la Région FR, conforme aux - dernières normes technologiques, avec proposant un niveau de - résilience équivalent ou supérieur au niveau Tier 3 du Uptime - Institute ; -- Mise à disposition de salles techniques au sein de datacenters - dédiés à l'accueil des équipements techniques indispensables à la - production du service, incluant calcul, stockage, réseau, câblage, - et autres composants nécessaires ; -- Alimentation électrique sécurisée, assurée par deux circuits - électriques distincts, garantissant une continuité de service ; -- Fourniture de services de climatisation, ajustés pour respecter les - normes et préconisations des fabricants d'équipements, afin de - maintenir un environnement optimal pour les dispositifs techniques ; -- Supervision continue et métrologie détaillée, permettant un suivi - précis et une gestion proactive des performances et de la sécurité - du service fourni. - -Le Prestataire assure la mise à disposition de services avancés de -détection et d'extinction d'incendie, conçus pour identifier et -neutraliser efficacement tout départ de feu au sein des installations. -Ces systèmes sont essentiels pour garantir la sécurité des équipements -et des données. Ils comprennent des détecteurs de fumée de haute -précision et des dispositifs d'extinction qui peuvent agir rapidement -sans endommager l'équipement informatique. Ce service est crucial pour -prévenir les risques d'incendie, minimiser les dommages potentiels et -assurer la continuité des opérations. - -Le COMMANDITAIRE est informé que toutes les procédures et mesures de -sécurité mises en place, y compris les tests annuels de basculement sur -les groupes électrogènes, sont essentielles pour garantir la continuité -et l'intégrité des services fournis. Ces pratiques sont conçues pour -minimiser les risques de panne et assurer une réactivité optimale en cas -d'Incident. En acceptant ces conditions, le COMMANDITAIRE reconnaît -l'importance de ces mesures et s'engage à coopérer pleinement pour -faciliter leur mise en œuvre. Le COMMANDITAIRE est également encouragé à -prendre connaissance des recommandations de sécurité fournies et à les -intégrer dans sa propre stratégie de gestion des risques. - -### Infrastructure logicielle de pilotage du Service - -Le Prestataire fournit au COMMANDITAIRE la console d'administration et -l'API nécessaire à l'utilisation du Service. Il s'engage également à les -maintenir cette console d'administration et l'API en condition -opérationnelle optimale et à en assurer la sécurité de manière continue. -Cette console d'administration et l'API sont désignées de manière -groupées sous le terme « interface COMMANDITAIRE ». - -Le Prestataire alerte le COMMANDITAIRE sur le fait qu'une utilisation -anormale de l'interface COMMANDITAIRE, notamment en cas de surcharge de -ses APIs de commande (hammering), peut déclencher des mesures de -sécurité automatiques entraînant le blocage de l'accès aux APIs de -commande ou au Service. Il convient de souligner que cette situation ne -constitue pas une indisponibilité du Service mais une action de -protection du Service et de l'infrastructure du Prestataire ; par -conséquent, le COMMANDITAIRE ne peut la considérer comme une -indisponibilité dans ses calculs. - -De plus, le Prestataire précise au COMMANDITAIRE que les requêtes -parfaitement identiques (doublons) envoyées à ses APIs sont limitées à -une par seconde (Throttling). Si le COMMANDITAIRE soumet des requêtes -identiques à une fréquence supérieure, leur rejet ne pourra être -interprété comme une indisponibilité du Service. - -### Infrastructures de calcul - -Le Service inclut la fourniture, dans les zones de disponibilité -souscrites par le COMMANDITAIRE, des équipements nécessaires à -l'exécution des charges de travail sous forme de machines virtuelles. - -Ceci comprend : - -- La fourniture des chassis techniques nécessaires au bon - fonctionnement des lames de calcul ; -- La fourniture des lames de calcul dans les quantités spécifiées par - le COMMANDITAIRE et réparties selon les zones de disponibilité de - son choix. Il est à noter que ces lames de calcul sont exclusivement - dédiées au COMMANDITAIRE ; -- La mise à disposition de systèmes d'exploitation de type - hyperviseurs, ainsi que la garantie du maintien en condition - opérationnelle et de sécurité de l'infrastructure logicielle - nécessaire au pilotage de ces systèmes d'exploitation. Il convient - de mettre en évidence que, même si le Prestataire est responsable de - la maintenance opérationnelle et de la sécurisation globale du - Service, il ne détient pas de connaissances spécifiques concernant - les environnements de production du COMMANDITAIRE ni des exigences - liées à ses charges de travail. Par conséquent, la responsabilité de - décider de la mise à jour des systèmes d'exploitation des lames de - calcul hyperviseurs, une action susceptible de nécessiter un - redémarrage, repose entièrement sur le COMMANDITAIRE. Cette - opération peut être réalisée via l'Interface COMMANDITAIRE. - -Le choix du modèle de lame de calcul, sélectionné parmi le catalogue -proposé par le Prestataire, relève de la responsabilité du -COMMANDITAIRE. - -### Infrastructure de stockage - -Le service comprend la fourniture au COMMANDITAIRE d'une infrastructure -de stockage partagée de type SAN (Storage Area Network), offrant divers -niveaux de performance. Ce service englobe : - -- L'implémentation et le maintien en condition opérationnelle et en - condition de sécurité du réseau SAN dédié ; -- L'installation et la gestion des baies de stockage mutualisées entre - les clients, y compris leur maintien en condition opérationnelle et - en condition de sécurité, leur supervision et leur métrologie ; -- La mise en place des systèmes automatisés pour l'allocation des LUNs - (Logical Unit Numbers) de stockage dédiés à l'usage du - COMMANDITAIRE, conformément aux volumes souscrits par le - COMMANDITAIRE. - -### Infrastructure réseau globale - -Le Prestataire déploie dans le cadre du Service, un réseau global -facilitant au COMMANDITAIRE la mise en accessibilité de ses systèmes -hébergés. Ce service comprend : - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité de l'ensemble des liaisons en fibres optiques - interconnectant les différentes Zones de disponibilité; - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité des équipements techniques nécessaires au bon - fonctionnement du réseau et à l'isolation des différents clients. - -L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des -réseaux privés, et les équipements réseaux, liens opérateurs et autres -composants techniques réalisant cette interconnexion, ne font pas partie -du périmètre du Service. Cette interconnexion réseau est mise en œuvre -conformément aux dispositions prévues dans le Contrat. - -### Infrastructure de sauvegarde - -Le Prestataire met à disposition du COMMANDITAIRE un service de -sauvegarde intégré, dédié et géré, destiné à la protection de ses -machines virtuelles. Le Prestataire assure le maintien en condition -opérationnelle et en condition de sécurité de ce service de sauvegarde. -Le Prestataire garantit que les sauvegardes du COMMANDITAIRE seront -situées en dehors de la Zone de disponibilité des charges de travail -sauvegardées, sous réserve que le COMMANDITAIRE ait souscrit au Unités -d'œuvre adéquates. - -Cette prestation de sauvegarde se limite à la sauvegarde des machines -virtuelles et des configurations de topologie de l'environnement IaaS -des Tenants du COMMANDITAIRE dans le cadre du Service. L'élaboration et -l'application d'une politique de sauvegarde adéquate par le -COMMANDITAIRE dépendent de la souscription à des unités d'œuvre -spécifiques. Il incombe donc au COMMANDITAIRE de s'assurer de la -disponibilité des ressources techniques nécessaires auprès du -Prestataire pour mettre en œuvre sa politique de sauvegarde ou d'ajuster -cette dernière en fonction des moyens disponibles. - -Le Prestataire s'engage à notifier le COMMANDITAIRE en cas de -contraintes de capacité et à fournir une assistance conseil pour -l'optimisation des ressources. Les obligations du Prestataire se -limiteront à la mise en œuvre des besoins exprimés par le COMMANDITAIRE -en matière de politique de sauvegarde, dans le cadre des ressources -souscrites. - -### Mise en œuvre de solutions de reprise d'activité ou de continuité d'activité - -Le Prestataire fournit au COMMANDITAIRE l'ensemble des solutions -techniques nécessaires pour garantir une répartition optimale de ses -ressources à travers diverses Zones de disponibilité. Il incombe au -COMMANDITAIRE la responsabilité de gérer efficacement cette distribution -de ressources, pour laquelle il a la possibilité à exploiter les outils -du Prestataire disponibles à cet usage. - -## Limitations des services dans le modèle IaaS qualifié - -### Services managés en RUN - -Il est important de noter que sont écartés du Service : - -- L'hébergement de composants physiques du COMMANDITAIRE ; - -- L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des - réseaux privés, incluant les liens opérateur ; - -- Tout service de type managé, ou TMA; - -- Toute assistance sur les machines virtuelles au niveau OS et - au-dessus dans la pile de responsabilités Iaa, même s'il s'agit de - simple supervision. - -Cela étant, il n'est absolument pas exclu que le COMMANDITAIRE ait -recours à de tels services auprès de l'offre MSP du Prestataire pour -intervenir en mode services managés sur ses Tenants. Ces services ne -seront alors pas encadrés par la présente Convention de service et ses -engagements/clauses bipartites. - -### Configuration du secours - -Par défaut, le Prestataire fournit la mise en place des ressources du -IaaS au COMMANDITAIRE en réservant des ressources et en configurant les -déploiements pour utiliser les Zones de disponibilité. Il incombe au -COMMANDITAIRE de choisir les Zones de disponibilité via l'interface -COMMANDITAIRE. - -### Configuration de la sauvegarde - -La prestation de sauvegarde s'arrête à la sauvegarde des machines -virtuelles et des configurations de topologie représentant -l'environnement IaaS des Tenants du COMMANDITAIRE dans le cadre du -Service. - -La prestation de sauvegarde et la complétion de la politique de -sauvegarde du COMMANDITAIRE est soumise à la souscription d'espace de -stockage sur le mass storage nécessaire pour assurer le service. Il est -donc de la responsabilité du COMMANDITAIRE de souscrire auprès du -Prestataire les moyens techniques nécessaires pour assurer la politique -de sauvegarde sur son périmètre informatique, ou d'ajuster la politique -de sauvegarde aux moyens mis en œuvre. Le Prestataire s'engage à -informer le COMMANDITAIRE en cas de limite de capacité technique. - -Le Prestataire mettra en place les moyens techniques et humains -nécessaires à la sauvegarde du système hébergé dans la limite des -ressources souscrites par le COMMANDITAIRE. - -Par ailleurs, dans le cas des périmètres non pris en charge par le -Prestataire, il appartient au COMMANDITAIRE de définir sa propre -stratégie de sauvegarde et de paramétrer lui-même les sauvegardes des VM -ou d'effectuer une Demande de service auprès du Prestataire pour que le -paramétrage des sauvegardes pour les serveurs physiques soit mis en -place si le COMMANDITAIRE dispose d'un contrat de service managé -permettant au Prestataire d'agir via l'interface COMMANDITAIRE qui est -la console d'administration qui est mise à disposition dans le cadre de -cette Convention de service et qui dispose de fonctionnalités pour -configurer les sauvegardes. - -En outre, ce service n'aura comme engagement que de traduire par le -paramétrage via l'interface COMMANDITAIRE, la configuration spécifiée -clairement par le COMMANDITAIRE. - -Pour des raisons de flexibilité de l'offre du Prestataire, le -COMMANDITAIRE a l'option d'associer une politique de non-sauvegarde sur -certaines de ses VM. Dans ce cas, il appartient au COMMANDITAIRE -d'assumer ce choix. Le Prestataire ne sauvegardera pas les VM associées -à la politique \"no backup\". Le Prestataire alerte le COMMANDITAIRE que -choisir la politique \"no backup\" ou choisir de sauvegarder -manuellement expose le COMMANDITAIRE à une perte de données définitive -en cas d'Incident sur les couches basse ou sur les couches dépendant de -sa responsabilité dans le modèle IaaS. Dans un tel cas, il sera -impossible de tenir le Prestataire responsable de restaurer les données -car il n'y aura rien à restaurer. Le Prestataire recommande de toujours -sauvegarder les VM. - -Pour tout sujet concernant l'OS installé sur une machine virtuelle et -tout logiciel ou programme exécuté « par-dessus l'OS », il est de la -responsabilité du COMMANDITAIRE de réaliser les opérations -d'administration et de supervision au sein de l'Union Européenne s'il -souhaite garantir que toute la verticalité des couches du SI soient -opérées et gérées depuis l'Union Européenne. Les opérations -d'administration hors du périmètre de responsabilité du Prestataire dans -le cadre de la présente Convention de service dont indiquées dans la -section « Modèle de responsabilités partagées » de la présente -Conventions de Service. - -## Mise en œuvre du service - -### Prérequis techniques - -Pour la mise en œuvre du Service, le COMMANDITAIRE reconnaît qu'il devra -: - -- Fonctionner avec une virtualisation de type VMware dans les versions - supportées par l'éditeur et fournies par le Prestataire dans le - cadre du Service; - -- Recourir via le Prestataire à l'utilisation de l'outil de - sauvegarde; - -- Déclarer des IP fixes depuis lesquelles le Prestataire l'autorisera - à accéder à l'interface COMMANDITAIRE (Filtrage par liste blanche). - Les modifications de cette liste d'IP devront être réalisées via le - menu prévu à cet effet dans la console ou via des Demandes de - service pour les modifications ultérieures. A l'initialisation du - service, le Prestataire aura été informé à minima d'au moins 1 - adresse IP telle que décrite. - -## Localisation du service en France - -Il est précisé qu'aucune des opérations et aucun des composants -physiques impliqués dans la fourniture du Service , dont la présente -Convention de service fait l'objet, n'est situé hors de l'Union -Européenne. - -Cela inclut notamment le support, la supervision opérationnelle et la -supervision de sécurité (SOC) de l'infrastructure technique délivrant le -Service. De fait, tout le stockage, toutes les tâches d'administration, -de supervision et tous les traitements sont réalisés en France. - -### Localisation des Datacenters hébergeant le Service - -A défaut des opérations des collaborateurs et des agences du -Prestataire, l'ensemble des opérations de production (comprenant le -stockage et le traitement des données) et composants techniques -délivrant le Service sont situés dans les Datacenters basés en France. - -### Localisation des agences Cloud Temple opérant le service - -Les collaborateurs de Cloud Temple intervenant sur le périmètre -duService opèrent depuis les agences de Cloud Temple toutes situées -exclusivement en France. Ces agences sont situées en France, à Tours, -Lyon, Caen et Paris La Défense. - -Le COMMANDITAIRE est informé de la possibilité des salariés de Cloud -Temple de travailler à distance. Toutefois, le Prestataire garantit le -même niveau de sécurité concernant les accès à distance, notamment -concernant les accès VPN. Ces accès distants sont mis en œuvre -conformément aux exigences du référentiel SecNumCloud. - -## Support - -### Nature du support accompagnant le service - -Le Prestataire fournit un service de support technique visant à assister -le COMMANDITAIRE dans la gestion, le dépannage et l'optimisation de -leurs ressources déployées. Ce service couvre une gamme étendue -d'activités, depuis l'aide à la configuration initiale des services -jusqu'au soutien technique avancé pour résoudre des problèmes -spécifiques. - -Voici une description des caractéristiques et fonctionnalités du service -de support : - -- Assistance à la mise en œuvre initiale de l'utilisation du Service ; -- Assistance à la résolution d'incidents ; -- Assistance à la résolution de problèmes ; -- Suivi et conseil sur l'optimisation du socle technique. - -Dans le cadre du service de support, le Prestataire ne se substitue pas -au COMMANDITAIRE dans l'usage du Service. Le COMMANDITAIRE reste -entièrement responsable de la configuration, de l'exploitation de ses VM -et de ses Tenants, et de la gestion de tous les éléments (données et -applications incluses) qu'il a stockés ou installés sur les -infrastructures du Prestataire. Le service de support technique est -fourni en accord avec les Conditions Générales de Vente et -d'Utilisation, le Prestataire étant tenu à une obligation de moyens. - -Le COMMANDITAIRE s'engage à utiliser le service de support technique de -manière raisonnable, s'abstenant notamment de solliciter des services -non souscrits auprès du Prestataire et de faire intervenir les équipes -du Prestataire auprès de ses propres clients ou de tiers non inclus dans -le Contrat. Le Prestataire se réserve le droit de rejeter toute demande -de service ne respectant pas ces critères. - -Le niveau d'engagement du support est conditionné à la souscription des -unités d'œuvre de support associées. - -### Sollicitation du service support technique - -Le support technique est accessible par le biais d'un système de tickets -via la console COMMANDITAIRE et est disponible durant les heures -normales de bureau hors jours fériés (8h - 18h ; Lundi -- Vendredi ; -calendrier et horaires français). Pour les urgences survenant en dehors -des heures ouvrées, notamment les incidents affectant significativement -la production, le service d'astreinte peut être joint via un numéro -communiqué au COMMANDITAIRE à l'initialisation du Service. - -Pour chaque demande ou Incident, il est impératif de générer un ticket -auprès du support du Prestataire. L'initialisation de ce ticket, -comprenant toutes les informations nécessaires, est essentielle et -marque le début de l'évaluation des engagements du Prestataire. - -Dès que le Prestataire reçoit une demande ou une notification -d'Incident, que ce soit par le biais de la console de gestion ou à la -suite d'un appel téléphonique, un ticket est automatiquement créé. Lors -de la déclaration d'un Incident, il est essentiel que le COMMANDITAIRE -fournisse au prestataire un maximum de détails sur le problème -rencontré. Cette démarche est cruciale pour permettre une évaluation -adéquate de la situation, sa priorisation et un diagnostic efficace. - -Le COMMANDITAIRE reçoit alors une confirmation par courriel, indiquant -la création du ticket et son numéro unique. Le COMMANDITAIRE peut -consulter le statut et l'historique de ses demandes et déclarations -d'Incidents directement depuis la console de gestion. - -### Processus de gestion des Incidents - -Lors d'une déclaration d'un Incident, l'équipe de support technique du -Prestataire initie une investigation pour identifier la cause du -problème et établir un diagnostic. Le COMMANDITAIRE doit collaborer -activement avec le Prestataire en fournissant toutes les informations -nécessaires et en effectuant les tests requis. Le Prestataire peut -accéder au Service du COMMANDITAIRE pour diagnostiquer l'Incident. - -Si les Services du Prestataire sont jugés fonctionnels et que l'Incident -ne lui est pas imputable, le COMMANDITAIRE en sera informé. À la demande -du COMMANDITAIRE, le Prestataire peut proposer des Services -Professionnels pour identifier l'origine du problème, facturable sur -accord préalable par tranche de 30mn. - -Dans le cas où l'Incident est de la responsabilité du Prestataire ou de -l'un de ses sous-traitants, celui-ci complète le diagnostic et s'attèle -à la restauration du Service sans frais supplémentaires. Le diagnostic -s'appuie sur les échanges entre les Parties et les données du -Prestataire, ces éléments étant considérés comme probants par accord des -Parties. - -### Processus de priorisation des traitements - -La détermination du niveau de priorité d'un dossier repose sur une -analyse matricielle qui évalue l'impact de l'Incident et son degré de -criticité : - -- Les niveaux d'impact sont définis de la manière suivante : - -| Niveau d'impact | Description | -| :--- | :--- | -| **Impact I1** | Le ou les services du Prestataire sont interrompus | -| **Impact I2** | Le ou les services du Prestataire sont dégradés | -| **Impact I3** | Le ou les services du Prestataire sont actuellement stable, mais montrent des signes de potentiel déclin à long terme | - -- Les niveaux de Criticités sont définis de la manière suivante : - -| Niveau de criticité | Description | -| :--- | :--- | -| **Criticité C1** | Le ou les services du Prestataire se dégradent à une vitesse préoccupante | -| **Criticité C2** | Le ou les services du Prestataire se détériore progressivement au fil du temps | -| **Criticité C3** | Le ou les services du Prestataire présentes un ou plusieurs inconvenient sans conséquence significative | - -- Sur la base d'une analyse approfondie de la situation, prenant en - compte les éléments déterminant l'Impact et la Criticité, une - priorité est attribuée au ticket conformément à la matrice de - décision ci-après : - -| Niveau d'impact / Niveau de criticité | Impact I1 | Impact I2 | Impact I3 | -| :--- | :--- | :--- | :--- | -| **Criticité C1** | Priorité **P1** | Priorité **P2** | Priorité **P3** | -| **Criticité C2** | Priorité **P2** | Priorité **P3** | Priorité **P4** | -| **Criticité C3** | Priorité **P3** | Priorité **P4** | Priorité **P5** | - -Les engagements de niveau de service correspondant à chaque niveau de -priorité sont détaillés dans le chapitre suivant. - -### Langue et localisation du service de support - -Le support est fourni par le Prestataire au COMMANDITAIRE a minima en -langue française. Le support peut être également fourni en langue -anglaise. - -Les opérations du service de support du Prestataire pour l'offre de -service d'infrastructure qualifiée SecNumCloud sont situées dans l'Union -Européenne. - -# Engagements et niveaux de services - -Le Prestataire s'engage à garantir une surveillance continue de la -performance et de l'intégrité sécuritaire de son infrastructure -technique délivrant le Service, veillant à leur fonctionnement optimal. - -L'indisponibilité d'un service, faisant l'objet d'un indicateur de -performance, est reconnue dès son identification par le système de -supervision du Prestataire, ou suite à une notification par un -utilisateur du COMMANDITAIRE. Le début de l'indisponibilité est fixé au -moment le plus précoce entre ces deux événements, afin de garantir un -décompte précis et juste du temps d'indisponibilité. - -La fin de l'indisponibilité est officiellement marquée par la -restauration complète du service, confirmée soit par les outils de -supervision du Prestataire, soit par un retour utilisateur, assurant -ainsi une reprise effective des opérations et une mesure fidèle de la -durée de l'interruption. - -## Engagements de disponibilité de l'infrastructure - -Le Prestataire s'engage à maintenir un niveau de disponibilité et de -performance conforme aux standards définis pour chaque période -spécifiée. Les engagements de niveau de service (Service Level -Agreements, SLAs) s'appliquent sous réserve que le COMMANDITAIRE -implémente ses systèmes à travers au moins deux des Zones de -disponibilité présentes dans la Région concernée. - -En l'absence de respect de ces conditions par le COMMANDITAIRE, celui-ci -se verra dans l'incapacité de revendiquer l'application des SLAs -concernés, lesquels sont spécifiquement identifiés par un astérisque -(\*). L'accessibilité aux SLAs se fait via l'interface COMMANDITAIRE. -Les mesures s'entendent calculées mensuellement : - -- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Disponibilité de la - puissance de calcul (Compute) : taux de disponibilité garanti de - 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Disponibilité du stockage : - taux de disponibilité garanti de 99,99%, calculé sur une base - 24h/24, 7j/7. -- **SLA 3 : IC-INFRA_SNC-03** -- Fiabilité de la sauvegarde : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Disponibilité de - l'infrastructure réseau : taux de disponibilité garanti de 99,99%, - calculé sur une base 24h/24, 7j/7. -- **SLA 5 : IC-INFRA_SNC-05** -- Accès Internet : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. - -***Remarques*** : - -- *En réponse une attaque par déni de service distribué (DDoS), le - Prestataire se réserve le droit d'ajuster sa configuration de - routage internet pour limiter l'impact de cette attaque et - sauvegarder son infrastructure. En particulier, si une adresse IP - appartenant au COMMANDITAIRE est ciblée, le Prestataire peut - recourir à la technique de blackholing via la communauté BGP pour - bloquer tout le trafic vers l'adresse IP visée en amont chez ses - fournisseurs, dans le but de protéger les ressources du - COMMANDITAIRE ainsi que celles d'autres COMMANDITAIREs et de - l'infrastructure du Prestataire. Le Prestataire encourage vivement - le COMMANDITAIRE à adopter des mesures similaires, telles que - l'utilisation de logiciels de pare-feu d'applications web - disponibles sur le marché, et à configurer soigneusement ses groupes - de sécurité via l'API de commande.* - -- *Le Prestataire insiste sur la nécessité pour le COMMANDITAIRE de - minimiser les ouvertures de flux, en évitant notamment de rendre - accessibles les ports d'administration **SSH** (port TCP 22) et - **RDP** (port TCP 3389) depuis l'ensemble d'Internet (sous-réseau - 0.0.0.0/0), ainsi que les protocoles internes tels que **SMB** (port - TCP/UDP 445) ou **NFS** (port TCP/UDP 2049).* - -## Engagement de disponibilité de l'interface COMMANDITAIRE - -- SLA 6 : IC-INFRA_SNC-06 -- Accès à la console d'administration du - Service : une disponibilité garantie de 97%, assurée en continu, 24 - heures sur 24 et 7 jours sur 7. -- SLA 7 : IC-INFRA_SNC-07 -- Accès aux APIs de pilotage du Service : - une disponibilité de 99.9%, calculé sur une base 24h/24, 7j/7. - -## Engagement de disponibilité du support - -- **SLA 8 : IC-INFRA_SNC-08** -- Voici les engagements de performance - du support technique du Prestataire pour les incidents, hors - maintenances programmées : - -| Priorité | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Priorité P1** | 30mn | 95% | -| **Priorité P2** | 2h | 90% | -| **Priorité P3** | 4h | 90% | -| **Priorité P4** | 24h | 85% | -| **Priorité P5** | 48h | 85% | - -- **SLA 9 : IC-INFRA_SNC-09** -- Voici les engagements de performance - du support technique du Prestataire pour les demandes de service : - -| Type | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Demande de service** | 4h | 90% | - -*Nota* : - -- *Le délai pour la Garantie de Temps d'Intervention (GTI) est calculé - à partir de la différence entre le moment où le COMMANDITAIRE ouvre - le ticket et la première intervention du support du Prestataire.* -- *L'investigation d'incidents concernant les COMMANDITAIREs ne - comprendra pas d'intervention à distance sur les serveurs hébergés - du COMMANDITAIRE. Cette assistance se limitera à l'explication des - métriques disponibles relatives à l'environnement du COMMANDITAIRE, - afin de faciliter la compréhension des incidents ou des problèmes de - performance rencontrés. Sur la base des résultats de cette analyse, - des recommandations pourront être suggérées.* - -## Engagement de disponibilité du stockage objet S3 - -- **SLA 10 : IC-INFRA_SNC-10** -- Voici les engagements de - disponibilité pour le stockage objet S3 : - -| Indicateur | Engagement | Objectif de disponibilité | -| :--- | :--- | :--- | -| **IC-INFRA-SNC-10.1** | Durabilité du stockage d'un objet sur une région | 99.9999999% / an | -| **IC-INFRA-SNC-10.2** | Disponibilité de l'API Stockage Objet S3 | 99.99% | -| **IC-INFRA-SNC-10.3** | Latence maximale d'accès à un objet sur une région | 150 ms | - -Remarques : - -- Le Service de Stockage Objet est spécifiquement conçu pour le - stockage d'objets et doit être employé dans ce seul but, **excluant - catégoriquement son utilisation en mode bloc**. Recourir au mode - bloc par des méthodes détournées, incluant par exemple l'utilisation - de *"FUSE" dans un environnement Linux*, constitue une infraction - aux termes d'utilisation énoncés. Aucun incident, dysfonctionnement - ou dommage découlant de cet usage non conforme ne sera couvert par - les Accords de Niveau de Service (SLA) définis dans cette convention - de services. -- La garantie de durabilité est conditionnée à une utilisation des - services conforme aux meilleures pratiques et standards actuels, et - exclut explicitement toute modification des données, qu'elle soit - intentionnelle ou accidentelle, résultant d'actions entreprises par - le COMMANDITAIRE. - -## Précision concernant l'engagement de sauvegarde - -La stratégie de sauvegarde déployée pour le COMMANDITAIRE, est -conditionnée par la souscription aux unités d'œuvre adéquates. - -Le Prestataire s'engage sur la mise à disposition d'une solution de -sauvegarde qui permettra au COMMANDITAIRE d'appliquer les politiques de -sauvegardes souhaitées. - -Il est précisé que le périmètre du Prestataire s'arrête à la mise à -disposition d'un service de sauvegarde et c'est au COMMANDITAIRE de -superviser via l'interface COMMANDITAIRE la bonne exécution des -politiques associées. - -Il est précisé que la gestion de capacités de stockage de l'espace de -stockage dédié aux sauvegardes, reste à la charge et responsabilité du -COMMANDITAIRE. Le Prestataire met à disposition le taux d'utilisation -via la console. - -*Exemple : Non sauvegarde d'une machine virtuelle :* - -*Le COMMANDITAIRE a la charge de vérifier / superviser la bonne -exécution des politiques des sauvegardes, dans le cas où le -COMMANDITAIRE constate qu'une machine virtuelle n'est pas sauvegardée, -il lui appartient d'en vérifier la cause, le COMMANDITAIRE pourra -solliciter le Support du Prestaire selon le niveau de support souscrit -pour être assisté.* - -**Le SLA 8 : IC-INFRA_SNC-08 et SLA 9**, sera exclusivement applicable -dans le cas d'un Incident du service sauvegarde. - -# Organisation de la relation contractuelle - -## Responsabilités du Prestataire - -Le Prestataire s'engage : - -- à informer son COMMANDITAIRE de manière adéquate (par exemple en cas - de limite de capacité de ressources techniques délivrant le - Service). - -- à informer formellement le COMMANDITAIRE et dans un délai d'un mois, - de tout​ changement juridique, organisationnel ou technique pouvant - avoir un impact sur la conformité du Service aux exigences de - protection contre les lois extra-européennes (19.6 du référentiel - SNC v3.2). - -- à fournir au COMMANDITAIRE des interfaces et des interfaces de - service qui sont en langue française a minima. - -- à prendre en compte les exigences sectorielles spécifiques liées aux - types d\'informations confiées par le COMMANDITAIRE dans le cadre de - la mise en œuvre du Service et dans la limite des responsabilités du - Prestataire d\'une part, et des dispositions prévues au Contrat - d\'autre part ; - -- à étudier les exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE dans le cadre de la - mise en œuvre du Service, ultérieurement exprimées par le - COMMANDITAIRE, et à indiquer à ce dernier les actions nécessaires - pour leur prise en compte - -- à ne divulguer aucune information relative à la prestation à des - tiers, sauf autorisation formelle et écrite du COMMANDITAIRE. - -- à mettre à disposition toutes les informations nécessaires à la - réalisation d'audits de conformité conformément aux dispositions de - l'article 28 du RGPD. - -- à rendre compte auprès du COMMANDITAIRE, par la présente Convention - de service, de tout Incident de sécurité impactant le Service ou - l'utilisation faite par le COMMANDITAIRE du Service (incluant les - données du COMMANDITAIRE). - -- à autoriser un prestataire d'audit de la sécurité des systèmes - d'information (PASSI) qualifié, mandaté par le Prestataire, à - auditer le service ainsi que son système d'information, conformément - au plan de contrôle du SecNumCloud du Prestataire. De plus, le - Prestataire s'engage à fournir toutes les informations nécessaires - pour mener à bien les audits de conformité aux dispositions de - l'article 28 du RGPD, menés par le commanditaire ou un tiers - mandaté. - -- à fournir, en qualité de sous-traitant, conformément à l'article 28 - du Règlement général sur la protection des données (RGPD), - assistance et conseils au COMMANDITAIRE en l'alertant dès lors - qu'une instruction émise par ce dernier est susceptible de - constituer une violation des règles de protection des données. - -- à notifier le COMMANDITAIRE dans un délai raisonnable, à travers la - console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE, - lorsqu'un projet impacte ou est susceptible d'impacter le niveau de - sécurité ou la disponibilité du Service, ou à engendrer une perte de - fonctionnalité, des potentiels impacts, des mesures d'atténuation - mises en place, ainsi que des risques résiduels qui le concernent. - -- à documenter et à mettre en œuvre l'ensemble des procédures - nécessaires pour respecter les exigences légales, réglementaires et - contractuelles applicables au service, ainsi que les besoins de - sécurité spécifiques du COMMANDITAIRE, définis par ce dernier et - prévus au Contrat. - -- à ne pas utiliser les données du COMMANDITAIRE issues de la - production pour réaliser des tests, à l'exception d'en obtenir - préalablement l\'autorisation explicite du COMMANDITAIRE, auquel cas - le Prestataire s\'engage à anonymiser ces données et à en assurer la - confidentialité lors de leur anonymisation. - -- à supprimer les données et Données techniques relatives au - COMMANDITAIRE, conformément à la « procédure d'effacement des - données en fin de Contrat » décrite dans la présente Convention de - service lors d'une fin ou résiliation de Contrat. - -- à assurer un effacement sécurisé de l'intégralité des données du - COMMANDITAIRE par réécriture complète de tout support ayant hébergé - ses données dans le cadre du Service. - -Sur demande du COMMANDITAIRE formelle et écrite, le Prestataire s'engage -à : - -1. Rendre accessible au COMMANDITAIRE le règlement intérieur et la - charte d'éthique du Prestataire ; - -2. Rendre accessible au COMMANDITAIRE les sanctions encourues en cas - d'infraction à la politique de sécurité ; - -3. Fournir au COMMANDITAIRE l\'ensemble des événements le concernant - dans les éléments de journalisation du Service ; le COMMANDITAIRE - pouvant par ailleurs consulter en autonomie les événements relatifs - à son utilisation du Service au travers des interfaces web et API du - Service ; - -4. Rendre accessible au COMMANDITAIRE les procédures permettant de - respecter les exigences légales, réglementaires et contractuelles en - vigueur applicables au Service, ainsi que les besoins de sécurité - spécifiques du COMMANDITAIRE prévus au Contrat ; - -5. A fournir, les éléments d'appréciation des risques relatifs à la - soumission des données du COMMANDITAIRE au droit d'un état - non-membre de l'Union Européenne ; - -6. A informer le COMMANDITAIRE des sous-traitants ultérieurs - intervenants dans la fourniture du Service, et à l\'informer de tout - changement l\'impactant relatif à ces sous-traitants. - -> Le Prestataire et l'ensemble de ses filiales s'engagent à respecter -> les valeurs fondamentales de l'Union européenne, à savoir la dignité -> humaine, la liberté, la démocratie, l'égalité, l'état de droit, ainsi -> que le respect des Droits de l'homme. Le service fourni par le -> Prestataire est conforme à la législation en vigueur en matière de -> droits fondamentaux et aux valeurs de l'Union européenne relatives au -> respect de la dignité humaine, à la liberté, à l'égalité, à la -> démocratie et à l'État de droit. - -## Limitation des responsabilités du Prestataire - -Du fait de l'ensemble des définitions et conditions mentionnées dans la -présente Convention de service, les responsabilités du Prestataire sont -limitées ainsi : - -1. Le modèle de responsabilité partagée, décrit dans la section - « Modèle de responsabilités partagées » de la présente Convention de - service, limite de fait l'implication du Prestataire dans les - couches de fonctionnement allant "au-dessus" de la mise à - disposition de ressources de calcul, de réseau, de stockage et de - sauvegarde. Ceci exclut en particulier sans s'y limiter : - - - La gestion de ce qui est installé sur les machines virtuelles - (OS, middlewares, applicatifs, etc.); - - - La tenue à jour des OS et autres logiciels installés par le - COMMANDITAIRE sur ses machines dans ses Tenants; - - - La sécurité des programmes, logiciels et applicatifs installés - sur les machines virtuelles; - - - La mise à jour des machines virtuelles; - - - La sauvegarde des données au niveau applicatif. - -2. Le Prestataire ne peut prendre d'engagements de sauvegarde des - Tenants du COMMANDITAIRE sans que le COMMANDITAIRE n'ai au préalable - souscrit aux unités d'oeuvres adéquates. - -3. Le Prestataire ne peut se prévaloir de la propriété des données - transmises et générées par le COMMANDITAIRE. En effet, celles-ci - relèvent de la propriété du COMMANDITAIRE. - -4. Le Prestataire souligne qu'il ne peut en aucun cas exploiter et/ou - disposer des données transmises et générées par le COMMANDITAIRE - sans validation préalable de ce dernier, étant entendu que leur - disposition est réservée au COMMANDITAIRE. - -5. Le Prestataire dégage toute responsabilité sur les composants - physiquement hébergés et infogéré par le Prestataire, mais étant la - propriété directe du COMMANDITAIRE ou d'un tiers avec lequel le - COMMANDITAIRE a contractualisé. L'hébergement de composants - physiques des clients ne fait pas partie du Service et est de fait - hors du cadre de la présente Convention de service. Il incombe au - COMMANDITAIRE d'évaluer le niveau d'adhérence ou de dépendance - qu'introduisent ces composants vis-à-vis du Service IaaS qualifié - SecNumCloud. - -## Limitation d'accès - -Dans le cadre du Service, le Prestataire est formellement interdit -d'accéder aux Tenants appartenant au COMMANDITAIRE sans autorisation -préalable. Il est de la responsabilité du COMMANDITAIRE de fournir les -accès nécessaires au personnel du Prestataire, selon les besoins -spécifiques de l'hébergement et, le cas échéant, des services -professionnels de support, si cette option a été choisie par le -COMMANDITAIRE. - -Le COMMANDITAIRE reconnaît que ces accès sont accordés exclusivement -pour les besoins liés à la prestation de services convenus, assurant -ainsi une gestion sécurisée et conforme aux termes de l'accord. - -L'accès distant par des tiers impliqués dans la prestation de service du -Prestataire est strictement interdit. Dans l'éventualité où une exigence -technique spécifique nécessiterait un tel accès, celui-ci ne pourrait -être établi qu'après avoir clairement notifié le COMMANDITAIRE, fourni -une justification détaillée et obtenu son accord écrit. - -Cette mesure garantit le contrôle et la sécurité des données du -COMMANDITAIRE, en s'assurant que toute exception à la règle est dûment -autorisée et documentée. - -## Responsabilités des tiers participant à la fourniture du service Secure Temple - -Le Prestataire maîtrise la liste des tiers partenaires participant de la -fourniture du Service. Ces tiers sont les éditeurs, prestataires (du -Prestataire) et autres fournisseurs participant de la fourniture du -Service. Le Prestataire applique les mesures suivantes à ces tiers : - -- Le Prestataire exige des tiers participant à la mise en œuvre du - service, dans leur contribution au Service, un niveau de sécurité au - moins équivalent à celui qu'il s'engage à maintenir dans sa propre - politique de sécurité applicable au service Secure Temple ; - -- Le Prestataire contractualise, avec chacun des tiers participant à - la mise en œuvre du service, des clauses d'audit permettant à un - organisme de qualification de vérifier que ces tiers respectent les - exigences légales et les exigences SNC, permettant au Prestataire de - respecter ses engagements dans la présente Convention de service. - -- Le Prestataire met en œuvre une procédure permettant de contrôler - régulièrement les mesures mises en place par les tiers participant à - la mise en œuvre du service pour respecter les exigences au - Prestataire de respecter ses engagements dans la présente Convention - de service. - -- Le Prestataire assure un suivi des changements apportés par les - tiers participant à la mise en œuvre du service susceptibles - d\'affecter le niveau de sécurité du système d\'information du - service. - -## Responsabilités et obligations du COMMANDITAIRE - -Le COMMANDITAIRE dispose des obligations suivantes dans le cadre du -Service : - -- Pour rappel, le Prestataire fournit au COMMANDITAIRE une plateforme - d'exécution de machines virtuelles, la configuration de celles-ci - est à la charge du COMMANDITAIRE. Chaque machine virtuelle ne peut - fonctionner sans une politique de sauvegarde associée. Le - Prestataire définit via ses interfaces des politiques de sauvegarde - automatiques. Mais c'est à la charge du COMMANDITAIRE l'activation - de ces politiques de sauvegarde et donc d'activer les machines - virtuelles. - -- Le COMMANDITAIRE autorise l'ANSSI et l'organisme de qualification - SNC à auditer le Service et l'infrastructure technique délivrant le - Service. - -- Le COMMANDITAIRE est responsable d\'indiquer au Prestataire les - éventuelles exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE et nécessitant d\'être - prises en compte par le Prestataire. - -- Le COMMANDITAIRE accepte de ne pas demander au Prestataire des - exigences ou actions faisant déroger le Prestataire aux exigences du - référentiel SecNumCloud dans sa version courante d\'une part, ou - abaissant le niveau de sécurité établi par le respect des exigences - de ce même référentiel d'autre part. - -## Droits du COMMANDITAIRE - -À tout moment au cours de la relation contractuelle, le COMMANDITAIRE -peut déposer une réclamation relative au service qualifié auprès de -l'ANSSI. - -À tout moment, le COMMANDITAIRE peut demander au Prestataire de lui -rendre accessible son règlement intérieur et sa charte d'éthique. - -## Effacement des données en fin de Contrat - -À l'issue du contrat, qu'il arrive à échéance ou qu'il soit résilié pour -quelque raison que ce soit, le Prestataire s'engage à procéder à -l'effacement sécurisé de l'intégralité des données du COMMANDITAIRE, y -compris les données techniques. Le Prestataire s'assurera de communiquer -au COMMANDITAIRE un préavis formel, respectant un délai de vingt et un -(21) jours calendaires. Les données du COMMANDITAIRE seront alors -supprimées dans un délai maximum de trente (30) jours suivant cette -notification. - -Pour attester de cette suppression, le Prestataire remettra au -COMMANDITAIRE un certificat confirmant l'effacement des données. - -# Cycle de vie de la présente Convention de service - -## Entrée en effet de la Convention de service - -La présente Convention de service entre en effet le jour de sa signature -par le COMMANDITAIRE. - -La collecte, la manipulation, le stockage et le traitement des données -faits dans le cadre de l'avant-vente, la mise en œuvre, l'arrêt du -Service​, sont faits dans le respect de la législation en vigueur. - -## Évolutions de la Convention de service - -Les modifications ou ajouts apportés à la présente Convention de service -découlent exclusivement des requêtes formulées par les organes de -gouvernance désignés à cet effet. Ces propositions de changement seront -examinées par les Parties, habilitées à déterminer les aspects -nécessitant une formalisation écrite. - -Il est convenu que toute évolution de la Convention de service, après -validation, qui altère les conditions financières initialement établies, -nécessitera l'établissement et la signature d'un avenant au Contrat en -cours. - -Les facteurs pouvant induire une révision de cette Convention de service -incluent, sans s'y limiter : - -- L'évolution de l'infrastructure technique délivrant le Service - IaaS ; -- Les ajustements apportés aux services déployés par le Prestataire - pour fournir le Service ; -- Les variations des engagements pris et des sanctions applicables ; -- Les reconfigurations organisationnelles au sein du COMMANDITAIRE ou - du Prestataire ; -- L'expansion ou la réduction du champ d'application du Service. - -La gestion des versions et des révisions de la Convention de service est -consignée en préambule du document pour en faciliter le suivi. - -### Évolutions déclenchées par le COMMANDITAIRE - -Les évolutions de la Convention de service peuvent avoir, notamment, -pour origine : - -- Une évolution de l'infrastructure gérée par le Prestataire ; - -- Une modification des services mis en œuvre par le Prestataire ; - -- Une modification des engagements de niveaux de services par le - Prestataire. - -### Évolutions déclenchées par le Prestataire - -Toute modification de la Convention de service est soumise à acceptation -du COMMANDITAIRE. Il est entendu que toute modification ou complément -validés modifiant les éléments financiers du Contrat, pourra impliquer -la signature d'un avenant à celui-ci. - -## Réversibilité - -De plus, Cloud Temple s'engage à permettre une révision de la présente -Convention de service (prévoyant notamment sa résiliation) sans pénalité -pour le COMMANDITAIRE en cas de perte de la qualification SecNumCloud. - -Les Services ne comprennent pas d'obligation de réversibilité (à savoir, -l'aide au COMMANDITAIRE pour qu'il puisse migrer son système vers un -autre" Prestataire) à l'exception de la mise à disposition du -COMMANDITAIRE par le Prestataire de l'interface COMMANDITAIRE permettant -au COMMANDITAIRE de sauvegarder et récupérer ses données y compris -notamment les données de configuration de leur système d'information via -l'une des modalités techniques suivantes au choix du COMMANDITAIRE : la -mise à disposition de fichiers suivant un ou plusieurs formats -documentés et exploitables en dehors du service fourni par le -Prestataire ou bien via la mise en place d'interfaces techniques -permettant l'accès aux données suivant un schéma documenté et -exploitable (API). - -Le COMMANDITAIRE, seul maître de son système, doit tout mettre en œuvre -pour faciliter cette opération en tant que de besoin (ce qui implique, -notamment, qu'il mette en place une documentation rigoureuse à cet -effet) et l'élaboration de plans de réversibilité. Dans le cas où le -COMMANDITAIRE aurait besoin d'une prestation complémentaire, le -Prestataire peut proposer une mission de conseil à cet égard dans le -cadre d'un contrat spécifique à négocier. - -# Disponibilité, continuité et restauration du service - -## Gestion des Incidents et des interruptions - -### Incidents - -#### Types d'Incidents traités dans le cadre de cette Convention de service - -- Sinistres ; - -- Pannes et défaillances ; - -- Incidents de sécurité impactant la disponibilité, la confidentialité - ou l'intégrité du Service. - -#### Traitement des incidents - -> Le Prestataire informe le COMMANDITAIRE dans les meilleurs délais, des -> incidents et interruptions, au moyen d'une une notification dans la -> console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE. Le -> Prestataire informe le COMMANDITAIRE du traitement de l'incident par -> le canal utilisé pour notifier l'incident, ou par le canal indiqué -> dans la notification de l'incident. - -#### Niveau de notification des Incidents de sécurité - -Le COMMANDITAIRE a la responsabilité de choisir les niveaux de gravité -des Incidents de sécurité pour lesquels il souhaite être informé, par -exemple via leur formalisation dans un PAS applicable au Service. - -Par défaut, le COMMANDITAIRE est informé : - -- Des incidents de sécurité avec impact (impacts I1 et I2 selon - l'échelle d'impact définie dans le processus de priorisation des - traitements de la présente Convention de service) ; - -- Des incidents de sécurité impactant la confidentialité ou - l'intégrité des données du COMMANDITAIRE confiées dans le cadre du - Service ; - -- Des violations de données à caractère personnel pour lesquelles le - COMMANDITAIRE est responsable du traitement conformément à l'article - 8 de l'Annexe DPA dans le cadre du Service ; - -- - -## Maintenance du Service - -### Nature de la maintenance - -Des violations de données à caractère personnel pour lesquelles le -Prestataire est responsable du traitement et comportant des données -personnelles du COMMANDITAIRE, conformément à l'article 8 de l'Annexe -DPA. La maintenance assurée consiste en la mise en œuvre : - -- Du plan de maintien en conditions opérationnelles du Service pour - assurer de bons indicateurs de disponibilité tels que s'y engage le - Prestataire plus haut ; - -- Du plan de PCA/PRA si souscrit par le COMMANDITAIRE déclenché selon - les éventuels incidents qui surviendraient. - -### Accès distants de Cloud Temple sur le périmètre du COMMANDITAIRE - -Le Prestataire s'interdit, dans le cadre de la présente Convention de -service, tout accès aux Tenants et à l'espace de l'interface du -COMMANDITAIRE. - -Il incombera au COMMANDITAIRE donner les accès nécessaires au personnel -du Prestataire. Le COMMANDITAIRE reconnaît que les accès seront utilisés -dans le cadre de l'hébergement et in fine de l'infogérance (si souscrit -par le COMMANDITAIRE). - -### Accès distants de tiers participant à la fourniture du service sur le périmètre du COMMANDITAIRE - -Aucun accès distant de tiers participant à la fourniture du Service -n'est autorisé. - -Si un besoin technique rendait ce cas de figure nécessaire, alors ce -type d'accès ne serait réalisé qu'après notification du COMMANDITAIRE -justification et obtention de son accord écrit. - -# Procédure d'effacement des données en fin de Contrat - -A la fin du Contrat, que le Contrat soit arrivé à son terme ou pour -toute autre cause, le Prestataire assura l'effacement sécurisé de -l'intégralité des données traitées dans le cadre du Service, y compris -les Données techniques du COMMANDITAIRE. Le Prestataire donnera un -préavis formel en respectant un délai de vingt et un jours (21) -calendaires. Les données du COMMANDITAIRE seront supprimées dans un -délai maximum de trente (30) jour après la notification. Le Prestataire -fournit un certificat de suppression de données au COMMANDITAIRE. - -# Droit applicable - -## De manière générale - -Le droit applicable et auquel est soumise la présente Convention de -service est le droit français. - -## Respect du droit et des réglementations applicables - -Le Prestataire s'engage sur les points suivants : - -- L'identification des contraintes légales et réglementaires - applicables dans le cadre du Service ; - -- Le respect des contraintes légales et réglementaires applicables aux - données confiées au Prestataire dans la limite des responsabilités - de ce dernier d\'une part, et des dispositions prévues au Contrat - d\'autre part.; - -- Le respect de la Loi informatique et liberté et du RGPD ; - -- La mise en œuvre de moyens de protection des données personnelles ; - -- La mise en œuvre d'un processus de veille légale et réglementaire ; - -- De disposer et maintenir des relations appropriées ou une veille - avec les autorités sectorielles en lien avec la nature des données - traitées dans le cadre du Services. Cela inclus notamment l'ANSSI, - le CERT-FR et la CNIL. - -## RGPD - -Agissant en qualité de sous-traitant au sens de l'article 28 du -Règlement général sur la protection des données (RGPD), le Prestataire -s'engage : - -- A assurer la transparence et la traçabilité ; - -- A désigner un DPO en charge de définir et mettre en œuvre les - mesures de protection des données à caractère personnel ; - -- Apporter une assistance et du conseil au COMMANDITAIRE en l'alerte - si une instruction de ce dernier constitue une violation des règles - de protection des données personnelles si le Prestataire a le moyen - d'en identifier ; - -- Une garantie de sécurité sur les données traitées (du fait de la - qualification SecNumCloud). - -## Protection vis à vis du droit extra-européen - -Le siège statuaire du Prestataire est établi au sein d\'un État membre -de l\'Union Européenne. Le capital social et les droits de vote dans la -société du Prestataire ne sont pas, directement ou indirectement : - -- individuellement détenus à plus de 24% ; - -- et collectivement détenus à plus de 39% ; - -par des entités tierces possédant leur siège statutaire, administration -centrale ou principal établissement au sein d'un État non membre de -l'Union européenne. - -En cas de recours par le Prestataire, dans le cadre du Service, au -service d\'une société tierce - y compris un sous-traitant - possédant -son siège statutaire, administration centrale ou principal établissement -au sein d\'un État non membre de l\'Union Européenne ou appartenant ou -étant contrôlée par une société tierce domiciliée en dehors l\'Union -Européenne, le Prestataire s\'engage : - -- à ce que cette susdite société tierce ne disposera d\'aucun accès - aux données opérées par le service \'Secure Temple\' ; - -- à disposer d\'une autonomie d\'exploitation à travers la possibilité - de faire appel à un autre sous-traitant ou de mettre rapidement en - oeuvre une alternative technologique. - -Pour rappel, les données visées sont celles qui sont confiées au -Prestataire par le COMMANDITAIRE ainsi que toutes Données techniques -comprenant des informations sur les COMMANDITAIRES. - -Pour les besoins du présent article, la notion de contrôle est entendue -comme étant celle mentionnée au II de l'article L233-3 du code de -commerce. - -# SIGNATURES - -Fait à \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le -\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ - -Pour Cloud Temple, le PRESTATAIRE - -Pour \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le COMMANDITAIRE +--- +title: Service SecNumCloud IaaS Convention +--- + +# IaaS SERVICES AGREEMENT + +| Recipients : | **CLIENT** | +| :--- | :--- | +| **Document Reference** | CT.AM.JUR.ANX CdS-IaaS - 20251701_v3.0.docx_JJJJ AAAA | +| **Your Contacts** | *First Name* *Last Name* Account Manager email: *firstname.lastname*@cloud-temple.com | +| **Last Updated Date** | 01/17/2025 | +| **Contractual Validation Date** | Day JJ YYYY | + +------------------------------------------------------------------------ + +| Version | Date | Action | Author | +| :--- | :--- | :--- | :--- | +| v0.1 | 06/07/2022 | Initial Draft | Lorena ALCALDE | +| v0.2 | 09/14/2022 | Enrichment | Lorena ALCALDE | +| v1.0 | 12/30/2022 | Integration of Indicators | Lorena ALCALDE | +| v1.1 | 01/23/2023 | Footer Update | Lorena ALCALDE | +| v1.2 | 05/22/2023 | Enrichment | Lorena ALCALDE | +| v1.3 | 06/29/2023 | Enrichment | Lorena ALCALDE | +| v1.4 | 11/06/2023 | Capital Update and Enrichment | Lorena ALCALDE | +| v1.5 | 11/30/2023 | Enrichment | Lorena ALCALDE | +| v1.6 | 03/21/2024 | Enrichment | Lorena ALCALDE | +| v2.0 | 03/29/2024 | Compliance Adjustments (SNC) | Nicolas ABRIOUX | +| v2.0 | 04/03/2024 | Publication | Lorena ALCALDE | +| v3.0 | 01/17/2025 | Enrichment | Emeline CAZAUX | + +------------------------------------------------------------------------ + +# Preliminary and Glossary + +## Preliminary + +This document formalizes the Service Agreement associated with the IaaS service qualified as SecNumCloud under the name « *Secure Temple*». + +The Service is SecNumCloud qualified (see certificate in Annex). + +This Service Agreement complements and is supplementary to the Provider's General Terms and Conditions of Sale and Use. It is understood that contractual documents shall be interpreted consistently with one another. In the event of contradiction or discrepancy between the terms of the contractual documents, the documents shall prevail over one another in the following order: + +1. General Terms and Conditions of Sale and Use (GTCSU) + +2. SecNumCloud IaaS Service Agreement + +3. SecNumCloud OpenIaaS Service Agreement + +4. SecNumCloud PaaS Service Agreement + +5. Specific Service Agreement - Bare Metal + +6. Specific Particular Agreement + +7. Security Assurance Plan (SAP) + +8. Particular Use Conditions (PUC) + +9. Data Protection Agreement + +## Glossary + +In this Service Agreement, the **CLIENT**, the **Provider**, and the **Parties** are identified in the Contract to which this Service Agreement is attached. + +The expressions used below in this Service Agreement shall be interpreted according to the definitions assigned to them below: + +- **Change:** Any addition, modification, or deletion impacting the Service, which has been authorized, planned, or taken on. + +- **Standard Change:** A change subject to a defined procedure, whose production implementation process and impacts (including financial ones) are known and accepted in advance by the Parties. It is then included in the catalog of standard changes and may, depending on the case, have a GTC and a GTR. + +- **Contract:** Refers to the agreement subscribed by the CLIENT with the Provider to enable the CLIENT to benefit from the Service, to which this Service Agreement is annexed. + +- **Service Agreement:** This document, established within the framework of a specific contract or the General Terms and Conditions of Sale and Use (T&C), in compliance with the requirements of the SecNumCloud Reference Framework. + +- **Service Request:** A request for evolution subject to a procedure, whose implementation: i) does not modify the CMDB; ii) has known and pre-approved operational procedures, costs, and risks, and does not require specific rollback mechanisms; iii) is subject to a Service Level Agreement and included in the contract fee when performed during business hours and business days. + +- **Availability:** The ability to ensure the availability and maintenance of optimal performance of the Service, in accordance with the criteria and commitments defined in the Service Level Agreements (SLAs). + +- **Technical Data:** Includes all data processed to deliver the Service, notably the identities of beneficiaries and administrators of the technical infrastructure, technical infrastructure logs, access configurations, directory, certificates, etc. + +- **Event:** An "event" is any detectable or identifiable occurrence that may have significance for Service management. + +- **Hypervisor:** Operating system enabling the execution of virtual machines on a compute blade. + +- **Incident:** Any unforeseen event disrupting the normal operation of the Service or compromising the security of the data. + +- **Security Incident:** Any event within the scope of the Service: + - Of intentional malicious nature; + - Of accidental nature causing damage to the integrity, confidentiality, or traceability of the Service or the CLIENT’s data; + - Resulting in a breach of existing security measures. Incidents affecting Availability due to non-malicious causes (hardware failure, bug, malfunction, natural disaster, etc.) are not considered Security Incidents. + +- **CLIENT Interface:** The Service administration interface provided by the Provider to the CLIENT, comprising a web administration console and an API. + +- **Production Deployment:** Administrative action(s) to implement a Change once it has been approved (the Change, in the ITIL sense, refers only to change management and not to its implementation/realization). + +- **Problem:** The root cause of one or more recurring Incidents, or the cause of a potential Incident (a risk situation), requiring analysis and resolution to prevent recurrence. + +- **Region:** Refers to a geographically defined set of cloud availability zones, providing network, computing, and storage services to optimize latency, performance, and local regulatory compliance. + +- **Service:** Refers to the SecNumCloud-qualified IaaS service “Secure Temple,” delivered by the Provider to the CLIENT from technical infrastructures maintained by the Provider, as described in the “Service Description” section of this Service Agreement. + +- **Secure Temple:** Refers to the SecNumCloud-qualified IaaS service offered by Cloud Temple, as defined in the attestation available on the ANSSI website and provided as an annex to this Service Agreement. + +- **Incident:** Refers to a serious event of natural or human origin, accidental or intentional, causing significant losses and damages to the affected Party. + +- **Monitoring:** Surveillance of an Information System or a Service, involving the collection of various data such as measurements and alarms. This activity is limited to observation and tracking, without direct intervention on the monitored elements—a prerogative reserved for administrative operations. + +- **Tenant:** A dedicated isolated instance reserved for a user or group of users, sharing a common infrastructure while maintaining data and application independence and security. + +- **Availability Zone (AZ):** A specific and isolated section of the cloud computing infrastructure, designed to ensure high availability and resilience of services through geographical distribution of resources. + +# Acronyms + +| Acronym | Definition | +| :--- | :--- | +| **CAB** | Change Advisory Board -- Change Advisory Board | +| **CMDB** | Configuration Management Database -- Configuration Management Database | +| **COPIL** | Steering Committee | +| **COSTRAT** | Strategic Committee | +| **COPROJ** | Project Committee | +| **DB** | Database (database) | +| **DPA** | Data Protection Agreement | +| **DRP** | Disaster Recovery Plan (DRP) (Disaster Recovery Plan) | +| **GTE** | Escalation Time Guarantee | +| **GTI** | Intervention Time Guarantee | +| **GTR** | Resolution Time Guarantee | +| **ITIL** | Information Technology Infrastructure Library - Best practices for IT service management | +| **IaaS** | Infrastructure as a Service | +| **MCO** | Maintenance in Operational Condition | +| **MOA** | Client (Project Owner) | +| **MOE** | Contractor (Project Executor) | +| **MSP** | Managed Services Provider | +| **OS** | Operating system (operating system) | +| **PAQ** | Quality Assurance Plan | +| **PaaS** | Platform as a Service | +| **PAS** | Security Assurance Plan | +| **PASSI** | Information System Security Audit Provider | +| **RFC** | Request For Change -- Change Request | +| **RGPD** | General Data Protection Regulation (personal data) | +| **RPO** | Recovery Point Objective -- Data freshness upon restoration after an incident | +| **RTO** | Recovery Time Objective -- Service restoration time after an incident | +| **SDM** | Service Delivery Manager | +| **SLA** | Service Level Agreement -- Service Level Agreement | +| **SNC** | SecNumCloud | +| **SOC** | Security Operations Center | +| **TMA** | Third-Party Application Maintenance | +| **UO** | Work Unit | +| **VABE** | Validation of Suitability for Good Operability | +| **VABF** | Validation of Suitability for Proper Functioning | +| **VM** | Virtual Machine (virtual machine) | +| **VSR** | Regular Service Validation | + +# Purpose of this Service Agreement + +This Service Agreement establishes the terms and conditions under which the Provider undertakes to deliver the Service to the CLIENT. Its purpose is to: + +- Specify the performance requirements expected by the CLIENT in terms of functionality and reliability of the Service; + +- Outline the Provider’s obligations to meet the agreed-upon service levels; + +- Identify the regulatory standards specifically applicable to the delivered Service; + +- Ensure consistency and integrity in the evaluation of Service quality; + +- Guarantee the excellence of the services provided, assessed through quantitative performance indicators. + +It is stipulated that, in the event the Provider loses its SecNumCloud qualification, the Contract may be terminated immediately and without penalty by the CLIENT. In such a case, the Provider undertakes to notify the CLIENT of this loss of qualification by sending an official notice via registered letter with acknowledgment of receipt. + +It should be noted that any modification or adjustment to the SecNumCloud qualification shall not be interpreted as a revocation of the initial qualification. + +# Audit + +The Provider undertakes to allow the CLIENT, or any third-party auditor who is not a competitor of the Provider and who has been designated by the Provider, to access all documents necessary to verify full compliance with the obligations related to conformity with the provisions of Article 28 of the General Data Protection Regulation (GDPR), thereby facilitating the conduct of audits. + +By accepting this Service Agreement, the CLIENT explicitly grants authorization to: + +1. The National Agency for the Security of Information Systems (ANSSI), as well as the competent qualification body, to carry out verification of the Service and its information system's compliance with the SecNumCloud framework. +2. A qualified information systems security auditor, duly certified PASSI and expressly designated by the Provider, to perform security audits concerning the Service. + +# Service Description + +## Shared Responsibility Model + +The Service provided by the Provider is characterized by the delivery of the following offerings, which align with the shared responsibility principle outlined in the SecNumCloud reference framework: + +- Provision of computing (compute) resources; + +- Provision of storage spaces; + +- Access to networking and internet connectivity services; + +- A dedicated backup service for virtual machines. + +The shared responsibility model applied between the Provider and the CLIENT within the scope of the Service is detailed in §7.1. + +It is understood that the Provider will leverage its expertise to deliver the Services in accordance with professional best practices and in compliance with the requirements of the SecNumCloud reference framework. + +## Detailed Scope of the Service + +| Service | Description | +| :--- | :--- | +| **Compute** | Computing resource of the CLIENT Tenant | +| **Storage** | Production data of the CLIENT Tenant | +| **S3 Object Storage** | Provisioning of a sovereign, multi-AZ object storage infrastructure compatible with standard S3 APIs. | +| **Backup** | Subject to subscription to appropriate mass-storage | +| **Network Infrastructure** | Networking resources of the CLIENT Tenant | +| **CLIENT Console** | The service enabling the CLIENT to access and manage its IaaS service via the Console interface | +| **Support** | The support service accompanying the aforementioned services and only those (\*) | + +\_(\*) Within the scope of the qualified SNC service and the Provider’s responsibilities in this regard\_ + +### Datacenter Infrastructures + +The Service encompasses the provision, for each Availability Zone, of the following qualified offerings: + +- A datacenter site located in France for the FR Region, compliant with the latest technological standards, offering a resilience level equivalent to or higher than Tier 3 as defined by the Uptime Institute; +- Provision of technical rooms within dedicated datacenters for housing essential technical equipment required for service production, including computing, storage, networking, cabling, and other necessary components; +- Secure electrical power supply, delivered via two independent power circuits, ensuring uninterrupted service continuity; +- Provision of climate control services, calibrated to meet equipment manufacturers’ standards and recommendations, to maintain an optimal environment for technical devices; +- Continuous monitoring and detailed metrology, enabling precise tracking and proactive management of service performance and security. + +The Provider ensures the availability of advanced fire detection and suppression services, designed to effectively identify and neutralize any fire outbreak within the facilities. These systems are essential for safeguarding equipment and data. They include high-precision smoke detectors and suppression devices capable of rapid response without damaging IT equipment. This service is critical to prevent fire risks, minimize potential damage, and ensure operational continuity. + +The CONTRACTOR is informed that all implemented security procedures and measures—including annual backup tests on diesel generators—are essential to ensure the continuity and integrity of the provided services. These practices are designed to minimize failure risks and ensure optimal responsiveness in the event of an incident. By accepting these conditions, the CONTRACTOR acknowledges the importance of these measures and commits to full cooperation to facilitate their implementation. The CONTRACTOR is also encouraged to review the provided security recommendations and integrate them into its own risk management strategy. + +### Software Infrastructure for Service Management + +The Provider supplies the COMMANDITAIRE with the administration console and the API necessary for using the Service. The Provider further undertakes to maintain this administration console and API in optimal operational condition and to continuously ensure their security. The administration console and API are collectively referred to under the term "COMMANDITAIRE interface." + +The Provider alerts the COMMANDITAIRE that abnormal use of the COMMANDITAIRE interface—particularly API command overload (hammering)—may trigger automatic security measures resulting in the blocking of access to the command APIs or the Service. It should be emphasized that this situation does not constitute Service unavailability but rather a protective action taken to safeguard the Service and the Provider’s infrastructure; therefore, the COMMANDITAIRE may not consider it as unavailability for its calculations. + +Furthermore, the Provider informs the COMMANDITAIRE that perfectly identical requests (duplicates) sent to its APIs are limited to one per second (Throttling). If the COMMANDITAIRE submits identical requests at a higher frequency, their rejection cannot be interpreted as Service unavailability. + +### Computing Infrastructure + +The Service includes the provision, within the availability zones subscribed by the CUSTOMER, of the equipment necessary to run workloads in the form of virtual machines. + +This includes: + +- Provision of the required technical chassis for the proper operation of compute blades; +- Provision of compute blades in the quantities specified by the CUSTOMER and distributed across availability zones of the CUSTOMER’s choice. It should be noted that these compute blades are exclusively dedicated to the CUSTOMER; +- Provision of operating system software in the form of hypervisors, along with the guarantee of maintaining the operational and security status of the underlying software infrastructure required to manage these operating systems. It should be emphasized that, although the Provider is responsible for the operational maintenance and overall security of the Service, it does not possess specific knowledge regarding the CUSTOMER’s production environments or the requirements related to their workloads. Consequently, the responsibility for deciding when to update the operating systems of the hypervisor compute blades— an action that may require a reboot— rests entirely with the CUSTOMER. This operation may be performed via the CUSTOMER Interface. + +The selection of the compute blade model, chosen from the catalog offered by the Provider, is the responsibility of the CUSTOMER. + +### Storage Infrastructure + +The service includes providing the CONTRACTOR with a shared Storage Area Network (SAN) infrastructure offering various performance levels. This service encompasses: + +- Implementation and ongoing operation and security maintenance of the dedicated SAN network; +- Installation and management of shared storage enclosures used by multiple clients, including their operational and security maintenance, monitoring, and metering; +- Deployment of automated systems for allocating dedicated storage LUNs (Logical Unit Numbers) to the CONTRACTOR, in accordance with the volumes subscribed by the CONTRACTOR. + +### Global Network Infrastructure + +The Provider deploys, as part of the Service, a global network enabling the CLIENT to access its hosted systems. This service includes: + +- Provisioning, ongoing operational maintenance, and security assurance of all fiber-optic interconnections linking the various Availability Zones; + +- Provisioning, ongoing operational maintenance, and security assurance of the technical equipment necessary for proper network operation and isolation of the different clients. + +The Tenant CLIENT's network interconnection with the Internet or private networks, along with the associated network equipment, operator links, and other technical components enabling this interconnection, are not included within the scope of the Service. This network interconnection is implemented in accordance with the provisions set forth in the Contract. + +### Backup Infrastructure + +The Provider makes available to the CLIENT an integrated, dedicated, and managed backup service designed to protect its virtual machines. The Provider ensures the operational readiness and security of this backup service. The Provider guarantees that the CLIENT's backups will be stored outside the availability zone of the workloads being backed up, provided the CLIENT has subscribed to the appropriate Work Units. + +This backup service is limited to backing up virtual machines and the topology configurations of the IaaS environment of the CLIENT's Tenants within the scope of the Service. The development and implementation of an adequate backup policy by the CLIENT depend on the subscription to specific Work Units. Therefore, it is the CLIENT's responsibility to ensure the availability of the necessary technical resources with the Provider to implement its backup policy or adjust it according to the available means. + +The Provider undertakes to notify the CLIENT in case of capacity constraints and to provide advisory assistance for resource optimization. The Provider's obligations are limited to implementing the backup policy requirements expressed by the CLIENT, within the scope of the subscribed resources. + +### Implementation of Business Continuity or Disaster Recovery Solutions + +The Provider supplies the CONTRACTOR with all necessary technical solutions to ensure optimal distribution of its resources across multiple Availability Zones. It is the CONTRACTOR's responsibility to effectively manage this resource distribution, for which it has access to the Provider's tools available for this purpose. + +## Limitations of Services in the Qualified IaaS Model + +### Managed Services in RUN + +It is important to note that the following are excluded from the Service: + +- Hosting of physical components of the CUSTOMER; + +- Network interconnection of the CUSTOMER's Tenant, to the Internet or private networks, including operator links; + +- Any managed service or TMA (Third-Party Managed Application); + +- Any support related to virtual machines at the OS level and above in the IaaS responsibility stack, even if it involves only monitoring. + +That said, the CUSTOMER is in no way precluded from using such services through the Provider’s MSP offering to perform managed services on its Tenants. These services will then not be governed by the present Service Agreement or its bilateral commitments/clauses. + +### Disaster Recovery Configuration + +By default, the Provider sets up the IaaS resources for the Client by reserving resources and configuring deployments to use Availability Zones. It is the Client's responsibility to select the Availability Zones via the Client interface. + +### Backup Configuration + +The backup service ends with the backup of virtual machines and topology configurations representing the IaaS environment of the COMMANDITAIRE's Tenants within the scope of the Service. + +The backup service and the completion of the COMMANDITAIRE's backup policy are subject to the subscription of storage space on the required mass storage to ensure service delivery. It is therefore the responsibility of the COMMANDITAIRE to subscribe to the necessary technical resources from the Provider to implement the backup policy within its IT environment, or to adjust the backup policy according to the resources available. The Provider undertakes to inform the COMMANDITAIRE in case of technical capacity limitations. + +The Provider will implement the necessary technical and human resources to back up the hosted system, within the limits of the resources subscribed by the COMMANDITAIRE. + +Furthermore, for environments not covered by the Provider, it is the responsibility of the COMMANDITAIRE to define its own backup strategy and to configure VM backups independently, or to submit a Service Request to the Provider so that the backup configuration for physical servers can be set up, provided the COMMANDITAIRE has a managed service contract enabling the Provider to act via the COMMANDITAIRE's interface—the administration console made available under this Service Agreement—which includes functionalities for configuring backups. + +Additionally, this service will only commit to translating, via the COMMANDITAIRE interface, the configuration clearly specified by the COMMANDITAIRE. + +For reasons of offer flexibility, the COMMANDITAIRE has the option to associate a "no backup" policy with certain of its VMs. In such cases, it is the responsibility of the COMMANDITAIRE to assume this choice. The Provider will not back up VMs associated with the "no backup" policy. The Provider alerts the COMMANDITAIRE that choosing the "no backup" policy or opting for manual backups exposes the COMMANDITAIRE to the risk of permanent data loss in the event of an incident on lower layers or on layers dependent on the COMMANDITAIRE's responsibility under the IaaS model. In such cases, it will be impossible to hold the Provider responsible for data restoration, as there will be nothing to restore. The Provider recommends always backing up VMs. + +For any matter concerning the OS installed on a virtual machine, or any software or program running "on top of the OS," it is the responsibility of the COMMANDITAIRE to perform administrative and monitoring operations within the European Union if it wishes to ensure that all layers of the IT environment are operated and managed from within the European Union. Administrative operations conducted outside the Provider's responsibility perimeter under this Service Agreement, as specified in the section "Shared Responsibility Model" of this Service Agreement. + +## Implementation of the Service + +### Technical Prerequisites + +For the implementation of the Service, the CLIENT acknowledges that it will need to: + +- Operate with VMware-type virtualization in versions supported by the vendor and provided by the Provider as part of the Service; + +- Use the backup tool via the Provider; + +- Declare fixed IP addresses from which the Provider will authorize access to the CLIENT interface (whitelist filtering). Any modifications to this IP list must be carried out via the dedicated menu in the console or through Service Requests for subsequent changes. At service initialization, the Provider shall have been informed of at least one IP address as described above. + +## Service Location in France + +It is specified that none of the operations or physical components involved in the provision of the Service, the subject of this Service Agreement, are located outside the European Union. + +This specifically includes support, operational monitoring, and security monitoring (SOC) of the technical infrastructure delivering the Service. As a result, all storage, administrative tasks, monitoring, and processing are carried out in France. + +### Datacenter Locations Hosting the Service + +Unless otherwise specified by the Provider's employees and agencies, all production operations (including data storage and processing) and technical components delivering the Service are located in datacenters based in France. + +### Location of Cloud Temple agencies operating the service + +Cloud Temple staff members providing services within the scope of the Service operate from Cloud Temple agencies, all of which are exclusively located in France. These agencies are situated in France, in Tours, Lyon, Caen, and Paris La Défense. + +The CLIENT is informed of the possibility for Cloud Temple employees to work remotely. However, the PROVIDER guarantees the same level of security regarding remote access, particularly concerning VPN access. Remote access is implemented in compliance with the requirements of the SecNumCloud reference framework. + +## Support + +### Nature of the support accompanying the service + +The Provider delivers a technical support service aimed at assisting the **CLIENT** in managing, troubleshooting, and optimizing their deployed resources. This service encompasses a broad range of activities, from initial setup assistance to advanced technical support for resolving specific issues. + +Below is a description of the characteristics and features of the support service: + +- Initial implementation assistance for using the Service; +- Incident resolution support; +- Problem troubleshooting assistance; +- Monitoring and guidance on technical infrastructure optimization. + +Within the scope of the support service, the Provider does not replace the **CLIENT** in the use of the Service. The **CLIENT** remains fully responsible for the configuration, operation of its VMs and Tenants, and management of all elements (including data and applications) it has stored or installed on the Provider’s infrastructure. Technical support is provided in accordance with the General Terms of Sale and Use, with the Provider bound by a duty of means. + +The **CLIENT** undertakes to use the technical support service reasonably, refraining in particular from requesting services not subscribed to with the Provider, or from involving the Provider’s teams on behalf of its own clients or third parties not included in the Contract. The Provider reserves the right to reject any service request that does not meet these criteria. + +The level of support engagement is conditional upon the subscription of corresponding support work units. + +### Technical Support Request + +Technical support is accessible through a ticketing system via the COMMANDITAIRE console and is available during standard business hours, excluding public holidays (8:00 – 18:00; Monday to Friday; French calendar and time zone). For emergencies occurring outside of business hours, particularly incidents significantly impacting production, the on-call service can be reached via a number provided to the COMMANDITAIRE at Service initiation. + +For each request or incident, it is mandatory to create a ticket with the Provider’s support team. Initiating this ticket, including all necessary information, is essential and marks the beginning of the evaluation of the Provider’s commitments. + +As soon as the Provider receives a request or incident notification—whether through the management console or following a phone call—a ticket is automatically generated. When reporting an incident, it is critical that the COMMANDITAIRE provides the Provider with as much detail as possible regarding the issue encountered. This step is crucial to enable an accurate assessment of the situation, proper prioritization, and effective diagnosis. + +The COMMANDITAIRE then receives an email confirmation indicating the ticket creation and its unique ticket number. The COMMANDITAIRE can check the status and history of their requests and incident reports directly from the management console. + +### Incident Management Process + +Upon reporting an Incident, the Provider’s technical support team initiates an investigation to identify the root cause of the issue and establish a diagnosis. The CLIENT must actively collaborate with the Provider by providing all necessary information and performing required tests. The Provider may access the CLIENT’s Service to diagnose the Incident. + +If the Provider’s Services are deemed functional and the Incident is not attributable to the Provider, the CLIENT will be notified. At the CLIENT’s request, the Provider may offer Professional Services to identify the source of the problem, billable upon prior agreement in 30-minute increments. + +In the event that the Incident is the responsibility of the Provider or one of its subcontractors, the Provider will complete the diagnosis and proceed with restoring the Service at no additional cost. The diagnosis is based on communications between the Parties and data provided by the Provider, which are considered conclusive by mutual agreement of the Parties. + +### Treatment Prioritization Process + +The determination of a ticket's priority level is based on a matrix analysis evaluating the impact of the Incident and its degree of criticality: + +- Impact levels are defined as follows: + +| Impact Level | Description | +| :--- | :--- | +| **Impact I1** | The Provider's service(s) are disrupted | +| **Impact I2** | The Provider's service(s) are degraded | +| **Impact I3** | The Provider's service(s) are currently stable, but show signs of potential long-term decline | + +- Criticality levels are defined as follows: + +| Criticality Level | Description | +| :--- | :--- | +| **Criticality C1** | The Provider's service(s) are degrading at a concerning rate | +| **Criticality C2** | The Provider's service(s) are progressively deteriorating over time | +| **Criticality C3** | The Provider's service(s) present one or more minor inconveniences without significant consequences | + +- Based on a thorough assessment of the situation, taking into account the factors determining Impact and Criticality, a priority is assigned to the ticket according to the decision matrix below: + +| Impact Level / Criticality Level | Impact I1 | Impact I2 | Impact I3 | +| :--- | :--- | :--- | :--- | +| **Criticality C1** | Priority **P1** | Priority **P2** | Priority **P3** | +| **Criticality C2** | Priority **P2** | Priority **P3** | Priority **P4** | +| **Criticality C3** | Priority **P3** | Priority **P4** | Priority **P5** | + +Service level commitments corresponding to each priority level are detailed in the following chapter. + +### Language and Location of Support Service + +Support is provided by the Provider to the CUSTOMER in French as a minimum. Support may also be provided in English. + +The Provider's support service operations for the SecNumCloud qualified infrastructure service offering are located within the European Union. + +# Service Level Agreements and Commitments + +The Provider undertakes to ensure continuous monitoring of the performance and security integrity of its technical infrastructure delivering the Service, ensuring optimal operation. + +Service unavailability, as defined by a performance indicator, is acknowledged as soon as it is detected by the Provider’s monitoring system, or following a notification from a user of the CLIENT. The start of unavailability is set at the earliest of these two events, ensuring accurate and fair calculation of the downtime duration. + +The end of unavailability is officially marked by the complete restoration of the service, confirmed either by the Provider’s monitoring tools or by user feedback, thereby ensuring an effective resumption of operations and a precise measurement of the interruption duration. + +## Infrastructure Availability Commitments + +The Provider commits to maintaining an availability and performance level compliant with the standards defined for each specified period. Service Level Agreements (SLAs) apply only if the CLIENT implements its systems across at least two of the Availability Zones available within the relevant Region. + +In the event that the CLIENT fails to meet these conditions, the CLIENT will be unable to claim the application of the corresponding SLAs, which are specifically identified by an asterisk (\*). SLA accessibility is provided through the CLIENT interface. Measurements are calculated on a monthly basis: + +- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Compute Power Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Storage Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- **SLA 3 : IC-INFRA_SNC-03** -- Backup Reliability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Network Infrastructure Availability: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. +- **SLA 5 : IC-INFRA_SNC-05** -- Internet Access: Guaranteed availability rate of 99.99%, calculated on a 24/7, 7-day basis. + +***Notes***: + +- *In response to a Distributed Denial of Service (DDoS) attack, the Provider reserves the right to adjust its internet routing configuration to mitigate the impact of the attack and protect its infrastructure. In particular, if an IP address belonging to the CLIENT is targeted, the Provider may employ blackholing via the BGP community to block all traffic destined for the targeted IP address upstream with its providers, with the aim of safeguarding the CLIENT’s resources as well as those of other CLIENTs and the Provider’s infrastructure. The Provider strongly encourages the CLIENT to adopt similar protective measures, such as using commercially available Web Application Firewalls, and to carefully configure its security groups via the command API.* + +- *The Provider emphasizes the importance for the CLIENT to minimize open traffic flows, particularly by avoiding exposing administrative ports **SSH** (TCP port 22) and **RDP** (TCP port 3389) to the entire Internet (0.0.0.0/0 subnet), as well as internal protocols such as **SMB** (TCP/UDP port 445) or **NFS** (TCP/UDP port 2049).* + +## Service Level Agreement for the COMMANDITAIRE Interface Availability + +- SLA 6: IC-INFRA_SNC-06 -- Access to the Service administration console: a guaranteed availability of 97%, ensured continuously, 24 hours per day, 7 days per week. +- SLA 7: IC-INFRA_SNC-07 -- Access to the Service control APIs: a 99.9% availability, calculated on a 24/7 basis. + +## Support Availability Commitment + +- **SLA 8: IC-INFRA_SNC-08** -- Performance commitments of the Provider's technical support for incidents, excluding scheduled maintenance: + +| Priority | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Priority P1** | 30 min | 95% | +| **Priority P2** | 2 h | 90% | +| **Priority P3** | 4 h | 90% | +| **Priority P4** | 24 h | 85% | +| **Priority P5** | 48 h | 85% | + +- **SLA 9: IC-INFRA_SNC-09** -- Performance commitments of the Provider's technical support for service requests: + +| Type | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Service Request** | 4 h | 90% | + +*Note*: + +- *The Response Time Guarantee (RTG) period is calculated from the difference between the time the CLIENT opens the ticket and the first intervention by the Provider's support team.* +- *Investigation of incidents involving the CLIENTs will not include remote interventions on servers hosted by the CLIENT. Support will be limited to explaining available metrics related to the CLIENT's environment, to assist in understanding incidents or performance issues. Based on the analysis results, recommendations may be provided.* + +## S3 Object Storage Availability Commitment + +- **SLA 10: IC-INFRA_SNC-10** -- The availability commitments for S3 Object Storage are as follows: + +| Indicator | Commitment | Availability Target | +| :--- | :--- | :--- | +| **IC-INFRA-SNC-10.1** | Object storage durability within a region | 99.9999999% / year | +| **IC-INFRA-SNC-10.2** | S3 Object Storage API availability | 99.99% | +| **IC-INFRA-SNC-10.3** | Maximum latency for accessing an object within a region | 150 ms | + +Notes: + +- The Object Storage Service is specifically designed for object storage and must be used exclusively for this purpose, **strictly excluding any use in block mode**. Using block mode through indirect methods, such as employing *"FUSE"* in a Linux environment, constitutes a violation of the terms of use. No incident, malfunction, or damage resulting from such non-compliant usage will be covered by the Service Level Agreements (SLAs) defined in this service agreement. +- The durability guarantee is conditional upon compliant use of the services in accordance with current best practices and standards, and explicitly excludes any data modification—whether intentional or accidental—arising from actions taken by the **CLIENT**. + +## Clarification Regarding Backup Commitment + +The backup strategy deployed for the CLIENT is contingent upon the subscription to appropriate work units. + +The Provider commits to providing a backup solution enabling the CLIENT to implement desired backup policies. + +It is specified that the Provider's scope ends with the provision of a backup service, and it is the CLIENT's responsibility to monitor, via the CLIENT's interface, the proper execution of associated backup policies. + +It is further specified that management of storage capacity for the dedicated backup storage space remains the sole responsibility of the CLIENT. The Provider will make the utilization rate available via the console. + +*Example: Failure to back up a virtual machine:* + +*The CLIENT is responsible for verifying and monitoring the correct execution of backup policies. If the CLIENT detects that a virtual machine is not being backed up, it is their responsibility to investigate the cause. The CLIENT may contact the Provider's Support team, according to the support level subscribed, for assistance.* + +**SLA 8: IC-INFRA_SNC-08 and SLA 9** will apply exclusively in the event of a backup service incident. + +# Contractual Relationship Organization + +## Provider Responsibilities + +The Provider undertakes to: + +- Inform its CLIENT adequately (e.g., in case of limitations in technical resource capacity delivering the Service). + +- Notify the CLIENT formally and within one month of any legal, organizational, or technical change that may impact the Service’s compliance with requirements for protection against non-EU laws (Section 19.6 of the SNC v3.2 reference framework). + +- Provide the CLIENT with interfaces and service interfaces in French at a minimum. + +- Take into account sector-specific requirements related to the types of information entrusted by the CLIENT in the context of the Service implementation, within the limits of the Provider’s responsibilities on one hand, and the provisions set forth in the Contract on the other. + +- Review sector-specific requirements related to the types of information entrusted by the CLIENT in the context of the Service implementation, as subsequently communicated by the CLIENT, and inform the CLIENT of the necessary actions required to address them. + +- Not disclose any information relating to the service to third parties, except with the CLIENT’s formal and written authorization. + +- Make available all necessary information to enable compliance audits in accordance with the provisions of Article 28 of the GDPR. + +- Report to the CLIENT, through this Service Agreement, any security incident impacting the Service or the CLIENT’s use of the Service (including the CLIENT’s data). + +- Allow a qualified Information Systems Security Audit Provider (PASSI), appointed by the Provider, to audit the service and its information system, in accordance with the Provider’s SecNumCloud control plan. Furthermore, the Provider undertakes to provide all necessary information to carry out compliance audits under Article 28 of the GDPR, conducted by the CLIENT or a third party appointed by the CLIENT. + +- Provide assistance and advice as a subprocessor, in accordance with Article 28 of the General Data Protection Regulation (GDPR), alerting the CLIENT immediately when an instruction issued by the CLIENT may constitute a breach of data protection rules. + +- Notify the CLIENT within a reasonable timeframe, via the CLIENT’s console or by email to the designated CLIENT contact, when a project impacts or is likely to impact the security level or availability of the Service, or results in functionality loss, potential impacts, mitigation measures implemented, and residual risks involved. + +- Document and implement all procedures necessary to comply with applicable legal, regulatory, and contractual requirements for the service, as well as the specific security needs of the CLIENT, as defined by the CLIENT and specified in the Contract. + +- Not use the CLIENT’s production data for testing purposes, except with the CLIENT’s prior explicit authorization. In such cases, the Provider undertakes to anonymize these data and ensure their confidentiality during the anonymization process. + +- Delete the CLIENT’s data and technical data, in accordance with the “Contract End Data Erasure Procedure” described in this Service Agreement, upon termination or cancellation of the Contract. + +- Ensure secure deletion of all the CLIENT’s data by fully overwriting all storage media that have hosted the CLIENT’s data within the scope of the Service. + +Upon formal and written request by the CLIENT, the Provider undertakes to: + +1. Make available to the CLIENT the Provider’s internal regulations and code of ethics; + +2. Make available to the CLIENT the sanctions applicable in case of violation of the security policy; + +3. Provide the CLIENT with all events concerning it within the Service’s logging elements; the CLIENT may also independently review events related to its use of the Service via the Service’s web interfaces and APIs; + +4. Make available to the CLIENT the procedures necessary to comply with applicable legal, regulatory, and contractual requirements for the Service, as well as the specific security needs of the CLIENT as defined in the Contract; + +5. Provide the CLIENT with risk assessment elements related to the submission of the CLIENT’s data to the jurisdiction of a non-EU country; + +6. Inform the CLIENT of any subsequent subcontractors involved in the delivery of the Service, and notify the CLIENT of any changes affecting these subcontractors. + +> The Provider and all its subsidiaries commit to respecting the fundamental values of the European Union, namely human dignity, freedom, democracy, equality, the rule of law, and respect for human rights. The service provided by the Provider complies with current legislation regarding fundamental rights and the EU’s values concerning human dignity, freedom, equality, democracy, and the rule of law. + +## Limitation of Provider's Liability + +Due to the definitions and conditions outlined in this Service Agreement, the Provider's liabilities are limited as follows: + +1. The shared responsibility model, described in the section "Shared Responsibility Model" of this Service Agreement, effectively limits the Provider's involvement in operational layers "above" the provision of computing, networking, storage, and backup resources. This specifically excludes, without limitation: + + - Management of what is installed on virtual machines (OS, middleware, applications, etc.); + + - Maintenance and updating of the OS and other software installed by the CLIENT on its machines within its Tenants; + + - Security of programs, software, and applications installed on virtual machines; + + - Updating of virtual machines; + + - Application-level data backup. + +2. The Provider cannot commit to backing up the CLIENT's Tenants without prior subscription by the CLIENT to the appropriate work units. + +3. The Provider cannot claim ownership of data transmitted or generated by the CLIENT. Such data remain the exclusive property of the CLIENT. + +4. The Provider emphasizes that it may in no case exploit and/or use the data transmitted or generated by the CLIENT without prior explicit approval from the CLIENT, with the understanding that such data usage is reserved exclusively for the CLIENT. + +5. The Provider disclaims all liability for components physically hosted and managed by the Provider, but which are directly owned by the CLIENT or by a third party with whom the CLIENT has contracted. Hosting of physical components belonging to clients is not part of the Service and is therefore outside the scope of this Service Agreement. It is the CLIENT's responsibility to assess the level of compliance or dependency introduced by these components with respect to the qualified IaaS Service SecNumCloud. + +## Access Restrictions + +Within the scope of the Service, the Provider is explicitly prohibited from accessing Tenants belonging to the CLIENT without prior authorization. It is the CLIENT’s responsibility to provide necessary access to the Provider’s personnel, according to the specific requirements of the hosting and, where applicable, professional support services, if such an option has been selected by the CLIENT. + +The CLIENT acknowledges that these accesses are granted exclusively for the purposes related to the provision of the agreed services, thereby ensuring secure and compliant management in accordance with the terms of the agreement. + +Remote access by third parties involved in the Provider’s service delivery is strictly prohibited. In the event that a specific technical requirement necessitates such access, it may only be established after clearly notifying the CLIENT, providing a detailed justification, and obtaining the CLIENT’s written consent. + +This measure ensures control and security of the CLIENT’s data, by guaranteeing that any exception to the rule is duly authorized and properly documented. + +## Responsibilities of Third Parties Participating in the Provision of the Secure Temple Service + +The Provider maintains a list of third-party partners involved in the provision of the Service. These third parties include software vendors, service providers (of the Provider), and other suppliers participating in the delivery of the Service. The Provider implements the following measures with respect to these third parties: + +- The Provider requires that all third parties involved in the implementation of the Service maintain a security level at least equivalent to the one the Provider commits to maintaining in its own security policy applicable to the Secure Temple Service; + +- The Provider contracts with each third party involved in the implementation of the Service specific audit clauses enabling a qualified body to verify that these third parties comply with legal requirements and SNC requirements, thereby allowing the Provider to fulfill its obligations under this Service Agreement; + +- The Provider implements a procedure to regularly monitor the measures implemented by third parties involved in the service implementation to ensure compliance with the Provider’s requirements for fulfilling its obligations under this Service Agreement; + +- The Provider conducts ongoing monitoring of changes made by third parties involved in the service implementation that could affect the security level of the Service’s information system. + +## Responsibilities and Obligations of the CLIENT + +The CLIENT has the following obligations in the context of the Service: + +- For information, the Provider delivers to the CLIENT a virtual machine execution platform; the configuration of these virtual machines is the responsibility of the CLIENT. Each virtual machine cannot operate without an associated backup policy. The Provider defines automatic backup policies via its interfaces. However, it is the CLIENT's responsibility to activate these backup policies and thus to activate the virtual machines. + +- The CLIENT authorizes ANSSI and the SNC qualification body to audit the Service and the technical infrastructure delivering the Service. + +- The CLIENT is responsible for informing the Provider of any specific sectoral requirements related to the types of information entrusted by the CLIENT and which need to be taken into account by the Provider. + +- The CLIENT agrees not to request from the Provider any requirements or actions that would deviate the Provider from the current version of the SecNumCloud reference framework, or that would lower the security level established by compliance with the requirements of this same reference framework. + +## Rights of the CONTRACTOR + +At any time during the contractual relationship, the CONTRACTOR may file a complaint regarding the qualified service with ANSSI. + +At any time, the CONTRACTOR may request the Provider to make its internal regulations and code of ethics accessible. + +## Data Deletion at Contract End + +Upon termination of the contract, whether by expiry or for any other reason, the Provider undertakes to securely erase all data belonging to the CLIENT, including technical data. The Provider will ensure to issue a formal notice to the CLIENT, respecting a notice period of twenty-one (21) calendar days. The CLIENT's data will then be deleted within a maximum period of thirty (30) days following this notification. + +To confirm this deletion, the Provider will provide the CLIENT with a certificate verifying the erasure of the data. + +# Lifecycle of the Present Service Agreement + +## Effective Date of the Service Agreement + +This Service Agreement becomes effective on the date of its signature by the CLIENT. + +The collection, handling, storage, and processing of data carried out within the scope of pre-sales, implementation, and termination of the Service are conducted in compliance with applicable legislation. + +## Service Agreement Updates + +Any modifications or additions to this Service Agreement shall result exclusively from requests submitted by the designated governance bodies. These proposed changes will be reviewed by the Parties, who are authorized to determine which aspects require formal written documentation. + +It is agreed that any update to the Service Agreement, following validation, which alters the initially established financial terms, will require the preparation and signing of an amendment to the current Contract. + +Factors that may trigger a revision of this Service Agreement include, but are not limited to: + +- Evolution of the technical infrastructure delivering the IaaS Service; +- Adjustments made by the Provider to the services deployed to deliver the Service; +- Changes in commitments and applicable penalties; +- Organizational reconfigurations within either the COMMANDITAIRE or the Provider; +- Expansion or reduction of the Service's scope of application. + +Version and revision management of the Service Agreement is documented in the preamble of the document to facilitate tracking. + +### Evolutions triggered by the CLIENT + +The changes to the Service Agreement may, in particular, originate from: + +- An evolution of the infrastructure managed by the Provider; + +- A modification of the services implemented by the Provider; + +- A change in the service level commitments by the Provider. + +### Changes initiated by the Provider + +Any modification to the Service Agreement is subject to acceptance by the **CLIENT**. It is understood that any validated modification or addition altering the financial terms of the Contract may require the signing of an amendment thereto. + +## Reversibility + +Furthermore, Cloud Temple undertakes to allow the revision of this Service Agreement (including its termination) without penalty for the CLIENT in the event of loss of SecNumCloud qualification. + +The Services do not include a reversibility obligation (i.e., assistance to the CLIENT to enable migration of its system to another "Provider"), except for the provision by the Provider to the CLIENT of the CLIENT interface, enabling the CLIENT to back up and retrieve its data—including configuration data of its information system—through one of the following technical options, at the CLIENT’s discretion: +- The delivery of files in one or more documented and usable formats outside the service provided by the Provider; or +- The implementation of technical interfaces enabling access to data according to a documented and usable schema (API). + +The CLIENT, as sole owner of its system, must take all necessary measures to facilitate this operation as required (including, notably, the development of thorough documentation and the creation of reversibility plans). In the event the CLIENT requires additional support, the Provider may offer a consulting engagement on this matter under a separate contract to be negotiated. + +# Service Availability, Continuity, and Restoration + +## Incident and Outage Management + +### Incidents + +#### Types of Incidents Covered under this Service Agreement + +- Incidents; + +- Failures and outages; + +- Security incidents affecting the availability, confidentiality, or integrity of the Service. + +#### Incident Management + +> The Provider shall inform the CLIENT as soon as possible of any incidents or outages, through a notification in the CLIENT's console or by email to the designated CLIENT contact. The Provider shall inform the CLIENT of the incident resolution via the same channel used to report the incident, or via the channel specified in the incident notification. + +#### Security Incident Notification Level + +The CONTRACTOR is responsible for selecting the severity levels of security incidents for which it wishes to be notified, for example by formalizing them in an applicable SLA for the Service. + +By default, the CONTRACTOR is notified of: + +- Security incidents with impact (impact levels I1 and I2 according to the impact scale defined in the prioritization process for handling incidents in this Service Agreement); + +- Security incidents affecting the confidentiality or integrity of the CONTRACTOR’s data entrusted within the scope of the Service; + +- Personal data breaches for which the CONTRACTOR is responsible for processing in accordance with Article 8 of Annex DPA under the scope of the Service; + +## Service Maintenance + +### Nature of Maintenance + +Data breaches involving personal data for which the Provider is responsible for processing, and which include personal data of the CLIENT, in accordance with Article 8 of Annex DPA. The maintenance provided consists of: + +- Implementation of the Service's operational continuity plan to ensure good availability indicators, as committed to by the Provider above; + +- Implementation of the PCA/PRA plan, if subscribed to by the CLIENT, triggered according to any incidents that may occur. + +### Remote Access to Cloud Temple within the COMMANDITAIRE's Scope + +Under the terms of this Service Agreement, the Provider is prohibited from accessing the Tenants or the COMMANDITAIRE's interface environment. + +It shall be the responsibility of the COMMANDITAIRE to grant the necessary access to the Provider's personnel. The COMMANDITAIRE acknowledges that such access will be used solely for hosting purposes and ultimately for managed services (if subscribed to by the COMMANDITAIRE). + +### Remote access by third parties involved in service delivery within the COMMANDITAIRE's scope + +No remote access by third parties involved in delivering the Service is permitted. + +If a technical requirement made such access necessary, this type of access would only be granted after notifying the COMMANDITAIRE, providing justification, and obtaining their written approval. + +# Data Deletion Procedure at Contract End + +At the end of the Contract, whether due to expiration or for any other reason, the Provider shall ensure the secure deletion of all data processed under the Service, including the COMMANDITARY's technical data. The Provider shall provide formal notice with a minimum advance notice period of twenty-one (21) calendar days. The COMMANDITARY's data shall be deleted within a maximum of thirty (30) days following notification. The Provider shall issue a data deletion certificate to the COMMANDITARY. + +# Applicable Law + +## In general + +The governing law and jurisdiction applicable to this Service Agreement is French law. + +## Compliance with Applicable Laws and Regulations + +The Provider undertakes the following: + +- Identification of legal and regulatory requirements applicable within the scope of the Service; + +- Compliance with applicable legal and regulatory requirements regarding data entrusted to the Provider, within the limits of the Provider’s responsibilities on one hand, and the provisions set forth in the Contract on the other hand; + +- Compliance with the Data Protection Act (Loi informatique et liberté) and the GDPR; + +- Implementation of measures to protect personal data; + +- Establishment of a legal and regulatory monitoring process; + +- Maintaining appropriate relationships or ongoing monitoring with sectoral authorities related to the nature of the data processed under the Service. This includes, in particular, ANSSI, CERT-FR, and CNIL. + +## GDPR + +Acting as a data processor under Article 28 of the General Data Protection Regulation (GDPR), the Provider undertakes: + +- To ensure transparency and traceability; + +- To appoint a Data Protection Officer (DPO) responsible for defining and implementing measures to protect personal data; + +- To provide assistance and advice to the CLIENT and alert the CLIENT if an instruction from the CLIENT constitutes a breach of personal data protection rules, provided the Provider has the means to identify such a breach; + +- To guarantee data security for the processed data (due to the SecNumCloud certification status). + +## Protection Regarding Non-EU Law + +The registered office of the Provider is located within a Member State of the European Union. The share capital and voting rights in the Provider’s company are not, directly or indirectly: + +- held individually by more than 24%; + +- and held collectively by more than 39%; + +by third-party entities having their registered office, central administration, or principal establishment located within a country that is not a Member State of the European Union. + +In the event that the Provider, in the course of providing the Service, relies on the services of a third-party company—including a subcontractor—whose registered office, central administration, or principal establishment is located within a country that is not a Member State of the European Union, or which is owned or controlled by a third-party company domiciled outside the European Union, the Provider undertakes: + +- that such third-party company shall have no access to the data processed by the 'Secure Temple' service; + +- to maintain operational autonomy through the ability to engage another subcontractor or to swiftly implement an alternative technological solution. + +For the purposes of this article, the concept of control shall be understood as defined in paragraph II of Article L233-3 of the French Commercial Code. + +# SIGNATURES + +Signed at \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, on +\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ + +For Cloud Temple, the SERVICE PROVIDER + +For \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, the CLIENT \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md b/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md index ab26554d..3796cc9c 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/contractual/iaas/sla_openiaas.md @@ -1,1488 +1,781 @@ ---- -title: Convention de Service SecNumCloud OpenIaaS ---- - -# CONVENTION DE SERVICES OpenIaaS - -| Destinataires : | **COMMANDITAIRE** | -| :--- | :--- | -| **Référence du documents** | CT.AM.JUR.ANX OPENIaaS-202530101_v3.0.docx_Jour JJ AAAA | -| **Vos interlocuteurs** | *Prénom* *Nom* Account Manager e-mail : *prenom.nom*\@cloud-temple.com | -| **Date de dernière mise à jour** | 17/01/2025 | -| **Date de validation contractuelle** | Jour JJ AAAA | - ------------------------------------------------------------------------- - -| Version | Date | Action | Auteur | -| :--- | :--- | :--- | :--- | -| v0.1 | 07/06/2022 | Rédaction initiale | Lorena ALCALDE | -| v0.2 | 14/09/2022 | Enrichissement | Lorena ALCALDE | -| v1.0 | 30/12/2022 | Intégration Indicateurs | Lorena ALCALDE | -| v1.1 | 23/01/2023 | Modification pied de page | Lorena ALCALDE | -| v1.2 | 22/05/2023 | Enrichissement | Lorena ALCALDE | -| v1.3 | 29/06/2023 | Enrichissement | Lorena ALCALDE | -| v1.4 | 06/11/2023 | Modification Capital et Enrichissement | Lorena ALCALDE | -| v1.5 | 30/11/2023 | Enrichissement | Lorena ALCALDE | -| v1.6 | 21/03/2024 | Enrichissement | Lorena ALCALDE | -| v2.0 | 29/03/2024 | Ajustements conformité SNC | Nicolas ABRIOUX | -| v2.0 | 03/04/2024 | Publication | Lorena ALCALDE | -| V3.0 | 17/01/2025 | Enrichissement | Emeline CAZAUX | - -# Préliminaire et Glossaire - -## Préliminaire - -Le présent document formalise la Convention de service associée au -service OpenIaaS en cours de qualification SecNumCloud. - -Le Service est en cours de qualification SecNumCloud (voir attestation -qui sera en Annexe). - -La présente convention de service complète et est complémentaire aux -conditions générales de vente et d'utilisation du Prestataire. Il est -entendu que les documents contractuels s'interprètent de manière -cohérente entre eux. En cas de contradiction ou de divergence entre les -termes des documents contractuels, les documents prévaudront les uns sur -les autres dans l'ordre suivant : - -1. Conditions Générales de Vente et Utilisation (CGVU) - -2. Convention de Service SecNumCloud IaaS - -3. Convention de Service SecNumCloud OpenIaaS - -4. Convention de Service SecNumCloud PaaS - -5. Convention de Service spécifique - Bare Metal - -6. Convention spécifique particulière - -7. Plan d'Assurance Sécurité (PAS) - -8. Conditions Particulières d'Utilisation (CPU) - -9. Data Protection Agreement - -## Glossaire - -Dans la présente Convention de service, le **COMMANDITAIRE**, le -**Prestataire** et les **Parties** sont identifiés dans le Contrat -auquel est annexe la présente Convention de service. - -Les expressions ci-après employées dans la présente Convention de -service seront interprétées conformément aux définitions qui leur sont -attribuées ci-dessous : - -- **Changement :** Tout ajout, une modification ou suppression - impactant le Service, ayant été autorisé, planifié ou pris en - charge. - -- **Changement standard :** Changement faisant l'objet d'une - procédure, dont les modalités de mise en production et les impacts - (y compris financiers) sont connus et acceptés à l'avance par les - Parties. Il est alors intégré au catalogue des changements - standards, et peut selon les cas avoir une GTI et une GTR. - -- **Contrat :** désigne le contrat souscrit par le COMMANDITAIRE - auprès du Prestataire pour permettre au COMMANDITAIRE de bénéficier - du Service, et auquel la présente Convention de service est annexée. - -- \***Convention de service :** Ce document, établi dans le cadre d'un - contrat spécifique ou des Conditions Générales de Vente et - d'Utilisation (CGVU), et ce, en conformité avec les exigences du - Référentiel SecNumCloud. - -- **Demande de service :** demande d'évolution faisant l'objet d'une - procédure, dont la réalisation: i) ne modifie pas la CMDB,ii) le - mode opératoire, les coûts et les risques sont connus et acceptés à - l'avance et ne nécessitent pas de modalités de retour arrière - spécifiques iii) la réalisation est soumise à un accord de niveau de - service et incluse dans la redevance du contrat lorsqu'elle est - réalisée en heures ouvrées et jours ouvrés. - -- **Disponibilité :** Capacité à assurer la disponibilité et le - maintien des performances optimales du Service, en accord avec les - critères et engagements définis dans les Accords de Niveau de - Service (SLA). - -- **Données techniques** : comprend l'ensemble des données manipulées - pour délivrer le Service, notablement dont l'identité des - bénéficiaires et des administrateurs de l'infrastructure technique, - des journaux de l'infrastructure technique, configuration des accès, - annuaire, certificats\... - -- **Evènement :** Un \"événement\" est toute occurrence détectable ou - identifiable pouvant avoir une importance pour la gestion du - Service. - -- **Hyperviseur :** Système d'exploitation permettant l'execution de - machines virtuelles sur une lame de calcul. - -- **Incident :** Tout événement imprévu qui perturbe le fonctionnement - normal du Service ou compromet la sécurité des données. - -- **Incident de sécurité :** Tout événement dans le périmètre du - Service: - - - De nature intentionnellement malveillante ; - - De nature accidentelle portant atteinte à l'intégrité, la - confidentialité ou la traçabilité du Service ou des données du - COMMANDITAIRE ; - - Portant atteinte aux mesures de sécurité existantes. Les - atteintes à la Disponibilité d'origine non-malveillante ne sont - pas considérées comme un Incident de sécurité (panne matérielle, - bug, dysfonctionnement, sinistre naturel...). - -- **Interface COMMANDITAIRE :** Interface d'administration du Service - mise à disposition du COMMANDITAIRE par le Prestataire, regroupant - une console d'administration web et une API. - -- **Mise en production :** action(s) d'administration de réalisation - du Changement quand celui-ci est approuvé (le changement, au sens - ITIL, ne concernant que la gestion du changement et non sa - réalisation/concrétisation). - -- **Problème** : cause d'un ou plusieurs Incidents récurrents, cause - d'un Incident potentiel (situation à risque) nécessitant une analyse - et une résolution pour prévenir sa récurrence. - -- **Région :** désigne un ensemble géographiquement délimité de zones - de disponibilité cloud, fournissant des services de réseau, de - calcul et de stockage pour optimiser la latence, la performance et - la conformité réglementaire locale. - -- **Service OpenIaaS :** désigne le service IaaS basé sur une - technonologie opensource, en cours de qualification SecNumCloud , - délivré au COMMANDITAIRE par la Prestataire depuis des - infrastructures techniques maintenues par le Prestataire, tel que - décrit dans la section « Description du Service » de la présente - Convention de service. - - - -- **Sinistre :** désigne un événement grave d'origine naturelle ou - humaine, accidentelle ou intentionnelle, occasionnant des pertes et - des dommages importants à la Partie sinistrée. - - - -- **Supervision :** Surveillance d'un Système d'Information ou d'un - Service, impliquant la collecte de diverses données telles que - mesures et alarmes. Cette activité se limite à l'observation et au - suivi, sans intervenir directement sur les éléments surveillés, une - prérogative qui appartient aux opérations d'Administration. - -- **Tenant :** Une instance isolée réservée à un utilisateur ou groupe - d'utilisateurs, partageant une infrastructure commune tout en - maintenant l'indépendance et la sécurité des données et des - applications. - -- **Zone de Disponibilité (AZ) (Availibility zone) :** Une section - spécifique et isolée de l'infrastructure de cloud computing, conçue - pour assurer la haute disponibilité et la résilience des services - par une distribution géographique des ressources. - -# Acronymes - -| Acronyme | Définition | -| :--- | :--- | -| **CAB** | Change Advisory Board -- Comité consultatif sur les changements | -| **CMDB** | Configuration Management Database -- Base de données de gestion des configurations | -| **COPIL** | Comité de pilotage | -| **COSTRAT** | Comité stratégique | -| **COPROJ** | Comité Projet | -| **DB** | Database (base de données) | -| **DPA** | Data Protection Agreement | -| **DRP** | Disaster Recovery Plan (PRA) (Plan de reprise d'activité) | -| **GTE** | Garantie de Temps d'Escalade | -| **GTI** | Garantie de Temps d'Intervention | -| **GTR** | Garantie de Temps de Résolution | -| **ITIL** | Information Technology Infrastructure Library - Bonnes pratiques pour la gestion des SI | -| **IaaS** | Infrastructure as a Service | -| **MCO** | Maintien en condition opérationnelle | -| **MOA** | Maitrise d'Ouvrage | -| **MOE** | Maitrise d'Œuvre | -| **MSP** | Managed Services Provider | -| **OS** | Operating system (système d'exploitation) | -| **PAQ** | Plan d'Assurance Qualité | -| **PaaS** | Platform as a Service | -| **PAS** | Plan d'Assurance Sécurité | -| **PASSI** | Prestataire d'Audit de Sécurité des Systèmes d'Information | -| **RFC** | Request For Change -- Demande de changement | -| **RGPD** | Règlement Général de Protection des Données (personnelles) | -| **RPO** | Recovery Point Objective -- Fraicheur des données restaurées en cas de Sinistre | -| **RTO** | Recovery Time Objective -- Délai de rétablissement du service en cas de Sinistre | -| **SDM** | Service Delivery Manager | -| **SLA** | Service Level Agreement -- Accord sur les niveaux de services | -| **SNC** | SecNumCloud | -| **SOC** | Security Operation Center | -| **TMA** | Tierce Maintenance dApplication | -| **UO** | Unité d'Œuvre | -| **VABE** | Validation d'Aptitude à la Bonne Exploitabilité | -| **VABF** | Validation d'Aptitude au Bon Fonctionnement | -| **VM** | Virtual Machine (Machine virtuelle) | -| **VSR** | Validation de Service Régulier | - -# Objet de la présente Convention de service - -La présente Convention de service établit les termes et conditions selon -lesquels le Prestataire s'engage à délivrer le Service au COMMANDITAIRE. -Son objet est de : - -- Préciser les exigences de performance attendues par le COMMANDITAIRE - en termes de fonctionnalité et de fiabilité du Service ; - -- Énoncer les obligations du Prestataire afin de satisfaire aux - niveaux de service convenus ; - -- Identifier les normes réglementaires applicables spécifiquement au - Service délivré ; - -- Assurer une uniformité et une intégrité dans l'évaluation de la - qualité du Service ; - -- Garantir l'excellence des services fournis, évaluée au moyen - d'indicateurs de performance quantitatifs. - -Il est stipulé que, dans l'hypothèse où le Prestataire se verrait -retirer sa qualification SecNumCloud, le Contrat pourra être résilié de -plein droit, sans encourir de pénalités, par le COMMANDITAIRE. Dans une -telle éventualité, le Prestataire s'engage à informer le COMMANDITAIRE -de cette déqualification par envoi d'une notification officielle, au -moyen d'une lettre recommandée avec demande d'avis de réception. - -Il convient de noter qu'une modification ou un ajustement de la -qualification SecNumCloud ne sera pas interprété comme une révocation de -la qualification initiale. - -# Audit - -Le Prestataire s'engage à permettre au COMMANDITAIRE, ou à tout auditeur -tiers et non concurrent du Prestataire que ce dernier aurait désigné, de -consulter l'ensemble des documents nécessaires à l'attestation du -respect intégral des obligations liées à la conformité avec les -dispositions de l'article 28 du Règlement Général sur la Protection des -Données (RGPD), facilitant ainsi la réalisation d'audits. - -Par l'acceptation de la présente Convention de service, le COMMANDITAIRE -confère son autorisation explicite à : - -1. L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) - ainsi qu'à l'entité de qualification compétente pour entreprendre la - vérification de la conformité du Service et de son système - d'information au référentiel SecNumCloud. -2. Un prestataire d'audit de la sécurité des systèmes d'information, - dûment qualifié PASSI et expressément désigné par le Prestataire, - pour mener à bien des audits de sécurité portant sur le Service. - -# Description du Service - -## Modèle de responsabilité partagé - -Le Service proposé par le Prestataire se caractérise par la mise à -disposition des prestations suivantes, lesquelles s'alignent sur le -principe de responsabilité partagée présenté dans le référentiel -SecNumCloud : - -- La provision de ressources de calcul (compute) ; - -- La mise à disposition d'espaces de stockage ; - -- L'accès à des services de connectivité réseau et internet ; - -- L'offre d'un service de sauvegarde dédié aux machines virtuelles. - -Le modèle de responsabilités partagé appliqué entre le Prestataire et le -COMMANDITAIRE dans le cadre du Service est présenté en §7.1. - -Il est entendu que le Prestataire mobilisera son expertise pour réaliser -les Prestations selon les meilleures pratiques professionnelles et -conformément aux exigences du référentiel SecNumCloud. - -## Présentation détaillée du périmètre du Service - -| Service | Description | -| :--- | :--- | -| **Compute** | Ressource de calcul du Tenant COMMANDITAIRE | -| **Storage** | Données de production du Tenant COMMANDITAIRE | -| **Stockage objet S3** | mise à disposition d'une infrastructure de stockage objet souverain multi AZ et compatible avec les API S3 standard. | -| **Sauvegarde** | Modulo souscription au Stockage objet S3 | -| **Infrastructure réseau** | Ressource réseau du Tenant COMMANDITAIRE | -| **Console COMMANDITAIRE** | Le service permettant au COMMANDITAIRE d'accéder à son service OpenIaaS et de l'administrer via l'interface Shiva | -| **Support** | Le service de support accompagnant les services précédents et uniquement ceux-ci (\*) | - -\_(\*) Dans la limite du périmètre du Service en cours de qualification -SNC et des responsabilités du Prestataire en la matière\_ - -### Infrastructures Datacenters - -Le Service englobe la mise à disposition, pour chaque Zone de -disponibilité, des prestations qualifiées ci-après : - -- Site datacenter situé en France pour la Région FR, conforme aux - dernières normes technologiques, avec proposant un niveau de - résilience équivalent ou supérieur au niveau Tier 3 du Uptime - Institute ; -- Mise à disposition de salles techniques au sein de datacenters - dédiés à l'accueil des équipements techniques indispensables à la - production du service, incluant calcul, stockage, réseau, câblage, - et autres composants nécessaires ; -- Alimentation électrique sécurisée, assurée par deux circuits - électriques distincts, garantissant une continuité de service ; -- Fourniture de services de climatisation, ajustés pour respecter les - normes et préconisations des fabricants d'équipements, afin de - maintenir un environnement optimal pour les dispositifs techniques ; -- Supervision continue et métrologie détaillée, permettant un suivi - précis et une gestion proactive des performances et de la sécurité - du service fourni. - -Le Prestataire assure la mise à disposition de services avancés de -détection et d'extinction d'incendie, conçus pour identifier et -neutraliser efficacement tout départ de feu au sein des installations. -Ces systèmes sont essentiels pour garantir la sécurité des équipements -et des données. Ils comprennent des détecteurs de fumée de haute -précision et des dispositifs d'extinction qui peuvent agir rapidement -sans endommager l'équipement informatique. Ce service est crucial pour -prévenir les risques d'incendie, minimiser les dommages potentiels et -assurer la continuité des opérations. - -Le COMMANDITAIRE est informé que toutes les procédures et mesures de -sécurité mises en place, y compris les tests annuels de basculement sur -les groupes électrogènes, sont essentielles pour garantir la continuité -et l'intégrité des services fournis. Ces pratiques sont conçues pour -minimiser les risques de panne et assurer une réactivité optimale en cas -d'Incident. En acceptant ces conditions, le COMMANDITAIRE reconnaît -l'importance de ces mesures et s'engage à coopérer pleinement pour -faciliter leur mise en œuvre. Le COMMANDITAIRE est également encouragé à -prendre connaissance des recommandations de sécurité fournies et à les -intégrer dans sa propre stratégie de gestion des risques. - -### Infrastructure logicielle de pilotage du Service - -Le Prestataire fournit au COMMANDITAIRE la console d'administration et -l'API nécessaire à l'utilisation du Service. Il s'engage également à les -maintenir cette console d'administration et l'API en condition -opérationnelle optimale et à en assurer la sécurité de manière continue. -Cette console d'administration et l'API sont désignées de manière -groupées sous le terme « interface COMMANDITAIRE ». - -Le Prestataire alerte le COMMANDITAIRE sur le fait qu'une utilisation -anormale de l'interface COMMANDITAIRE, notamment en cas de surcharge de -ses APIs de commande (hammering), peut déclencher des mesures de -sécurité automatiques entraînant le blocage de l'accès aux APIs de -commande ou au Service. Il convient de souligner que cette situation ne -constitue pas une indisponibilité du Service mais une action de -protection du Service et de l'infrastructure du Prestataire ; par -conséquent, le COMMANDITAIRE ne peut la considérer comme une -indisponibilité dans ses calculs. - -De plus, le Prestataire précise au COMMANDITAIRE que les requêtes -parfaitement identiques (doublons) envoyées à ses APIs sont limitées à -une par seconde (Throttling). Si le COMMANDITAIRE soumet des requêtes -identiques à une fréquence supérieure, leur rejet ne pourra être -interprété comme une indisponibilité du Service. - -### Infrastructures de calcul - -Le Service inclut la fourniture, dans les zones de disponibilité -souscrites par le COMMANDITAIRE, des équipements nécessaires à -l'exécution des charges de travail sous forme de machines virtuelles. - -Ceci comprend : - -- La fourniture des chassis techniques nécessaires au bon - fonctionnement des lames de calcul ; -- La fourniture des lames de calcul dans les quantités spécifiées par - le COMMANDITAIRE et réparties selon les zones de disponibilité de - son choix. Il est à noter que ces lames de calcul sont exclusivement - dédiées au COMMANDITAIRE ; -- La mise à disposition de systèmes d'exploitation de type - hyperviseurs, ainsi que la garantie du maintien en condition - opérationnelle et de sécurité de l'infrastructure logicielle - nécessaire au pilotage de ces systèmes d'exploitation. Il convient - de mettre en évidence que, même si le Prestataire est responsable de - la maintenance opérationnelle et de la sécurisation globale du - Service, il ne détient pas de connaissances spécifiques concernant - les environnements de production du COMMANDITAIRE ni des exigences - liées à ses charges de travail. Par conséquent, la responsabilité de - décider de la mise à jour des systèmes d'exploitation des lames de - calcul hyperviseurs, une action susceptible de nécessiter un - redémarrage, repose entièrement sur le COMMANDITAIRE. Cette - opération peut être réalisée via l'Interface COMMANDITAIRE. - -Le choix du modèle de lame de calcul, sélectionné parmi le catalogue -proposé par le Prestataire, relève de la responsabilité du -COMMANDITAIRE. - -### Infrastructure de stockage - -Le service comprend la fourniture au COMMANDITAIRE d'une infrastructure -de stockage partagée de type SAN (Storage Area Network), offrant divers -niveaux de performance. Ce service englobe : - -- L'implémentation et le maintien en condition opérationnelle et en - condition de sécurité du réseau SAN dédié ; -- L'installation et la gestion des baies de stockage mutualisées entre - les clients, y compris leur maintien en condition opérationnelle et - en condition de sécurité, leur supervision et leur métrologie ; -- La mise en place des systèmes automatisés pour l'allocation des LUNs - (Logical Unit Numbers) de stockage dédiés à l'usage du - COMMANDITAIRE, conformément aux volumes souscrits par le - COMMANDITAIRE. - -### Infrastructure réseau globale - -Le Prestataire déploie dans le cadre du Service, un réseau global -facilitant au COMMANDITAIRE la mise en accessibilité de ses systèmes -hébergés. Ce service comprend : - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité de l'ensemble des liaisons en fibres optiques - interconnectant les différentes Zones de disponibilité; - -- La fourniture, le maintien en condition opérationnelle et en - condition de sécurité des équipements techniques nécessaires au bon - fonctionnement du réseau et à l'isolation des différents clients. - -L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des -réseaux privés, et les équipements réseaux, liens opérateurs et autres -composants techniques réalisant cette interconnexion, ne font pas partie -du périmètre du Service. Cette interconnexion réseau est mise en œuvre -conformément aux dispositions prévues dans le Contrat. - -### Infrastructure de sauvegarde - -Le Prestataire met à disposition du COMMANDITAIRE un service de -sauvegarde intégré, dédié et géré, destiné à la protection de ses -machines virtuelles. Le Prestataire assure le maintien en condition -opérationnelle et en condition de sécurité de ce service de sauvegarde. -Le Prestataire garantit que les sauvegardes du COMMANDITAIRE seront -situées en dehors de la Zone de disponibilité des charges de travail -sauvegardées, sous réserve que le COMMANDITAIRE ait souscrit au Unités -d'œuvre adéquates. - -Cette prestation de sauvegarde se limite à la sauvegarde des machines -virtuelles et des configurations de topologie de l'environnement -OpenIaaS des Tenants du COMMANDITAIRE dans le cadre du Service. -L'élaboration et l'application d'une politique de sauvegarde adéquate -par le COMMANDITAIRE dépendent de la souscription à des unités d'œuvre -spécifiques. Il incombe donc au COMMANDITAIRE de s'assurer de la -disponibilité des ressources techniques nécessaires auprès du -Prestataire pour mettre en œuvre sa politique de sauvegarde ou d'ajuster -cette dernière en fonction des moyens disponibles. - -Le Prestataire s'engage à notifier le COMMANDITAIRE en cas de -contraintes de capacité et à fournir une assistance conseil pour -l'optimisation des ressources. Les obligations du Prestataire se -limiteront à la mise en œuvre des besoins exprimés par le COMMANDITAIRE -en matière de politique de sauvegarde, dans le cadre des ressources -souscrites. - -### Mise en œuvre de solutions de reprise d'activité ou de continuité d'activité - -Le Prestataire fournit au COMMANDITAIRE l'ensemble des solutions -techniques nécessaires pour garantir une répartition optimale de ses -ressources à travers diverses Zones de disponibilité. Il incombe au -COMMANDITAIRE la responsabilité de gérer efficacement cette distribution -de ressources, pour laquelle il a la possibilité à exploiter les outils -du Prestataire disponibles à cet usage. - -## Limitations des services dans le modèle OpenIaaS en cours de qualification - -### Services managés en RUN - -Il est important de noter que sont écartés du Service : - -- L'hébergement de composants physiques du COMMANDITAIRE ; - -- L'interconnexion réseau du Tenant COMMANDITAIRE, à Internet ou à des - réseaux privés, incluant les liens opérateur ; - -- Tout service de type managé, ou TMA; - -- Toute assistance sur les machines virtuelles au niveau OS et - au-dessus dans la pile de responsabilités IaaS, même s'il s'agit de - simple supervision. - -Cela étant, il n'est absolument pas exclu que le COMMANDITAIRE ait -recours à de tels services auprès de l'offre MSP du Prestataire pour -intervenir en mode services managés sur ses Tenants. Ces services ne -seront alors pas encadrés par la présente Convention de service et ses -engagements/clauses bipartites. - -### Configuration du secours - -Par défaut, le Prestataire fournit la mise en place des ressources du -IaaS au COMMANDITAIRE en réservant des ressources et en configurant les -déploiements pour utiliser les Zones de disponibilité. Il incombe au -COMMANDITAIRE de choisir les Zones de disponibilité via l'interface -COMMANDITAIRE. - -### Configuration de la sauvegarde - -La prestation de sauvegarde s'arrête à la sauvegarde des machines -virtuelles et des configurations de topologie représentant -l'environnement OpenIaaS des Tenants du COMMANDITAIRE dans le cadre du -Service. - -La prestation de sauvegarde et la complétion de la politique de -sauvegarde du COMMANDITAIRE est soumise à la souscription d'espace de -stockage sur le mass storage nécessaire pour assurer le service. Il est -donc de la responsabilité du COMMANDITAIRE de souscrire auprès du -Prestataire les moyens techniques nécessaires pour assurer la politique -de sauvegarde sur son périmètre informatique, ou d'ajuster la politique -de sauvegarde aux moyens mis en œuvre. Le Prestataire s'engage à -informer le COMMANDITAIRE en cas de limite de capacité technique. - -Le Prestataire mettra en place les moyens techniques et humains -nécessaires à la sauvegarde du système hébergé dans la limite des -ressources souscrites par le COMMANDITAIRE. - -Par ailleurs, dans le cas des périmètres non pris en charge par le -Prestataire, il appartient au COMMANDITAIRE de définir sa propre -stratégie de sauvegarde et de paramétrer lui-même les sauvegardes des VM -ou d'effectuer une Demande de service auprès du Prestataire pour que le -paramétrage des sauvegardes pour les serveurs physiques soit mis en -place si le COMMANDITAIRE dispose d'un contrat de service managé -permettant au Prestataire d'agir via l'interface COMMANDITAIRE qui est -la console d'administration qui est mise à disposition dans le cadre de -cette Convention de service et qui dispose de fonctionnalités pour -configurer les sauvegardes. - -En outre, ce service n'aura comme engagement que de traduire par le -paramétrage via l'interface COMMANDITAIRE, la configuration spécifiée -clairement par le COMMANDITAIRE. - -Pour des raisons de flexibilité de l'offre du Prestataire, le -COMMANDITAIRE a l'option d'associer une politique de non-sauvegarde sur -certaines de ses VM. Dans ce cas, il appartient au COMMANDITAIRE -d'assumer ce choix. Le Prestataire ne sauvegardera pas les VM associées -à la politique \"no backup\". Le Prestataire alerte le COMMANDITAIRE que -choisir la politique \"no backup\" ou choisir de sauvegarder -manuellement expose le COMMANDITAIRE à une perte de données définitive -en cas d'Incident sur les couches basse ou sur les couches dépendant de -sa responsabilité dans le modèle IaaS. Dans un tel cas, il sera -impossible de tenir le Prestataire responsable de restaurer les données -car il n'y aura rien à restaurer. Le Prestataire recommande de toujours -sauvegarder les VM. - -Pour tout sujet concernant l'OS installé sur une machine virtuelle et -tout logiciel ou programme exécuté « par-dessus l'OS », il est de la -responsabilité du COMMANDITAIRE de réaliser les opérations -d'administration et de supervision au sein de l'Union Européenne s'il -souhaite garantir que toute la verticalité des couches du SI soient -opérées et gérées depuis l'Union Européenne. Les opérations -d'administration hors du périmètre de responsabilité du Prestataire dans -le cadre de la présente Convention de service dont indiquées dans la -section « Modèle de responsabilités partagées » de la présente -Conventions de Service. - -## Mise en œuvre du service - -### Prérequis techniques - -Pour la mise en œuvre du Service, le COMMANDITAIRE reconnaît qu'il devra -: - -- Fonctionner avec une virtualisation de type Xen dans les versions - supportées par l'éditeur et fournies par le Prestataire dans le - cadre du Service; - -- Recourir via le Prestataire à l'utilisation de l'outil de - sauvegarde; - -- Déclarer des IP fixes depuis lesquelles le Prestataire l'autorisera - à accéder à l'interface COMMANDITAIRE (Filtrage par liste blanche). - Les modifications de cette liste d'IP devront être réalisées via le - menu prévu à cet effet dans la console ou via des Demandes de - service pour les modifications ultérieures. A l'initialisation du - service, le Prestataire aura été informé à minima d'au moins 1 - adresse IP telle que décrite. - -## Localisation du service en France - -Il est précisé qu'aucune des opérations et aucun des composants -physiques impliqués dans la fourniture du Service , dont la présente -Convention de service fait l'objet, n'est situé hors de l'Union -Européenne. - -Cela inclut notamment le support, la supervision opérationnelle et la -supervision de sécurité (SOC) de l'infrastructure technique délivrant le -Service. De fait, tout le stockage, toutes les tâches d'administration, -de supervision et tous les traitements sont réalisés en France. - -### Localisation des Datacenters hébergeant le Service - -A défaut des opérations des collaborateurs et des agences du -Prestataire, l'ensemble des opérations de production (comprenant le -stockage et le traitement des données) et composants techniques -délivrant le Service sont situés dans les Datacenters basés en France. - -### Localisation des agences Cloud Temple opérant le service - -Les collaborateurs de Cloud Temple intervenant sur le périmètre -duService opèrent depuis les agences de Cloud Temple toutes situées -exclusivement en France. Ces agences sont situées en France, à Tours, -Lyon, Caen et Paris La Défense. - -Le COMMANDITAIRE est informé de la possibilité des salariés de Cloud -Temple de travailler à distance. Toutefois, le Prestataire garantit le -même niveau de sécurité concernant les accès à distance, notamment -concernant les accès VPN. Ces accès distants sont mis en œuvre -conformément aux exigences du référentiel SecNumCloud. - -## Support - -### Nature du support accompagnant le service - -Le Prestataire fournit un service de support technique visant à assister -le COMMANDITAIRE dans la gestion, le dépannage et l'optimisation de -leurs ressources déployées. Ce service couvre une gamme étendue -d'activités, depuis l'aide à la configuration initiale des services -jusqu'au soutien technique avancé pour résoudre des problèmes -spécifiques. - -Voici une description des caractéristiques et fonctionnalités du service -de support : - -- Assistance à la mise en œuvre initiale de l'utilisation du Service ; -- Assistance à la résolution d'incidents ; -- Assistance à la résolution de problèmes ; -- Suivi et conseil sur l'optimisation du socle technique. - -Dans le cadre du service de support, le Prestataire ne se substitue pas -au COMMANDITAIRE dans l'usage du Service. Le COMMANDITAIRE reste -entièrement responsable de la configuration, de l'exploitation de ses VM -et de ses Tenants, et de la gestion de tous les éléments (données et -applications incluses) qu'il a stockés ou installés sur les -infrastructures du Prestataire. Le service de support technique est -fourni en accord avec les Conditions Générales de Vente et -d'Utilisation, le Prestataire étant tenu à une obligation de moyens. - -Le COMMANDITAIRE s'engage à utiliser le service de support technique de -manière raisonnable, s'abstenant notamment de solliciter des services -non souscrits auprès du Prestataire et de faire intervenir les équipes -du Prestataire auprès de ses propres clients ou de tiers non inclus dans -le Contrat. Le Prestataire se réserve le droit de rejeter toute demande -de service ne respectant pas ces critères. - -Le niveau d'engagement du support est conditionné à la souscription des -unités d'œuvre de support associées. - -### Sollicitation du service support technique - -Le support technique est accessible par le biais d'un système de tickets -via la console COMMANDITAIRE et est disponible durant les heures -normales de bureau hors jours fériés (8h - 18h ; Lundi -- Vendredi ; -calendrier et horaires français). Pour les urgences survenant en dehors -des heures ouvrées, notamment les incidents affectant significativement -la production, le service d'astreinte peut être joint via un numéro -communiqué au COMMANDITAIRE à l'initialisation du Service. - -Pour chaque demande ou Incident, il est impératif de générer un ticket -auprès du support du Prestataire. L'initialisation de ce ticket, -comprenant toutes les informations nécessaires, est essentielle et -marque le début de l'évaluation des engagements du Prestataire. - -Dès que le Prestataire reçoit une demande ou une notification -d'Incident, que ce soit par le biais de la console de gestion ou à la -suite d'un appel téléphonique, un ticket est automatiquement créé. Lors -de la déclaration d'un Incident, il est essentiel que le COMMANDITAIRE -fournisse au prestataire un maximum de détails sur le problème -rencontré. Cette démarche est cruciale pour permettre une évaluation -adéquate de la situation, sa priorisation et un diagnostic efficace. - -Le COMMANDITAIRE reçoit alors une confirmation par courriel, indiquant -la création du ticket et son numéro unique. Le COMMANDITAIRE peut -consulter le statut et l'historique de ses demandes et déclarations -d'Incidents directement depuis la console de gestion. - -### Processus de gestion des Incidents - -Lors d'une déclaration d'un Incident, l'équipe de support technique du -Prestataire initie une investigation pour identifier la cause du -problème et établir un diagnostic. Le COMMANDITAIRE doit collaborer -activement avec le Prestataire en fournissant toutes les informations -nécessaires et en effectuant les tests requis. Le Prestataire peut -accéder au Service du COMMANDITAIRE pour diagnostiquer l'Incident. - -Si les Services du Prestataire sont jugés fonctionnels et que l'Incident -ne lui est pas imputable, le COMMANDITAIRE en sera informé. À la demande -du COMMANDITAIRE, le Prestataire peut proposer des Services -Professionnels pour identifier l'origine du problème, facturable sur -accord préalable par tranche de 30mn. - -Dans le cas où l'Incident est de la responsabilité du Prestataire ou de -l'un de ses sous-traitants, celui-ci complète le diagnostic et s'attèle -à la restauration du Service sans frais supplémentaires. Le diagnostic -s'appuie sur les échanges entre les Parties et les données du -Prestataire, ces éléments étant considérés comme probants par accord des -Parties. - -### Processus de priorisation des traitements - -La détermination du niveau de priorité d'un dossier repose sur une -analyse matricielle qui évalue l'impact de l'Incident et son degré de -criticité : - -- Les niveaux d'impact sont définis de la manière suivante : - -| Niveau d'impact | Description | -| :--- | :--- | -| **Impact I1** | Le ou les services du Prestataire sont interrompus | -| **Impact I2** | Le ou les services du Prestataire sont dégradés | -| **Impact I3** | Le ou les services du Prestataire sont actuellement stable, mais montrent des signes de potentiel déclin à long terme | - -- Les niveaux de Criticités sont définis de la manière suivante : - -| Niveau de criticité | Description | -| :--- | :--- | -| **Criticité C1** | Le ou les services du Prestataire se dégradent à une vitesse préoccupante | -| **Criticité C2** | Le ou les services du Prestataire se détériore progressivement au fil du temps | -| **Criticité C3** | Le ou les services du Prestataire présentes un ou plusieurs inconvenient sans conséquence significative | - -- Sur la base d'une analyse approfondie de la situation, prenant en - compte les éléments déterminant l'Impact et la Criticité, une - priorité est attribuée au ticket conformément à la matrice de - décision ci-après : - -| Niveau d'impact / Niveau de criticité | Impact I1 | Impact I2 | Impact I3 | -| :--- | :--- | :--- | :--- | -| **Criticité C1** | Priorité **P1** | Priorité **P2** | Priorité **P3** | -| **Criticité C2** | Priorité **P2** | Priorité **P3** | Priorité **P4** | -| **Criticité C3** | Priorité **P3** | Priorité **P4** | Priorité **P5** | - -Les engagements de niveau de service correspondant à chaque niveau de -priorité sont détaillés dans le chapitre suivant. - -### Langue et localisation du service de support - -Le support est fourni par le Prestataire au COMMANDITAIRE a minima en -langue française. Le support peut être également fourni en langue -anglaise. - -Les opérations du service de support du Prestataire pour l'offre de -service d'infrastructure qualifiée SecNumCloud sont situées dans l'Union -Européenne. - -# Engagements et niveaux de services - -Le Prestataire s'engage à garantir une surveillance continue de la -performance et de l'intégrité sécuritaire de son infrastructure -technique délivrant le Service, veillant à leur fonctionnement optimal. - -L'indisponibilité d'un service, faisant l'objet d'un indicateur de -performance, est reconnue dès son identification par le système de -supervision du Prestataire, ou suite à une notification par un -utilisateur du COMMANDITAIRE. Le début de l'indisponibilité est fixé au -moment le plus précoce entre ces deux événements, afin de garantir un -décompte précis et juste du temps d'indisponibilité. - -La fin de l'indisponibilité est officiellement marquée par la -restauration complète du service, confirmée soit par les outils de -supervision du Prestataire, soit par un retour utilisateur, assurant -ainsi une reprise effective des opérations et une mesure fidèle de la -durée de l'interruption. - -## Engagements de disponibilité de l'infrastructure - -Le Prestataire s'engage à maintenir un niveau de disponibilité et de -performance conforme aux standards définis pour chaque période -spécifiée. Les engagements de niveau de service (Service Level -Agreements, SLAs) s'appliquent sous réserve que le COMMANDITAIRE -implémente ses systèmes à travers au moins deux des Zones de -disponibilité présentes dans la Région concernée. - -En l'absence de respect de ces conditions par le COMMANDITAIRE, celui-ci -se verra dans l'incapacité de revendiquer l'application des SLAs -concernés, lesquels sont spécifiquement identifiés par un astérisque -(\*). L'accessibilité aux SLAs se fait via l'interface COMMANDITAIRE. -Les mesures s'entendent calculées mensuellement : - -- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Disponibilité de la - puissance de calcul (Compute) : taux de disponibilité garanti de - 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Disponibilité du stockage : - taux de disponibilité garanti de 99,99%, calculé sur une base - 24h/24, 7j/7. -- **SLA 3 : IC-INFRA_SNC-03** -- Fiabilité de la sauvegarde : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. -- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Disponibilité de - l'infrastructure réseau : taux de disponibilité garanti de 99,99%, - calculé sur une base 24h/24, 7j/7. -- **SLA 5 : IC-INFRA_SNC-05** -- Accès Internet : taux de - disponibilité garanti de 99,99%, calculé sur une base 24h/24, 7j/7. - -***Remarques*** : - -- *En réponse une attaque par déni de service distribué (DDoS), le - Prestataire se réserve le droit d'ajuster sa configuration de - routage internet pour limiter l'impact de cette attaque et - sauvegarder son infrastructure. En particulier, si une adresse IP - appartenant au COMMANDITAIRE est ciblée, le Prestataire peut - recourir à la technique de blackholing via la communauté BGP pour - bloquer tout le trafic vers l'adresse IP visée en amont chez ses - fournisseurs, dans le but de protéger les ressources du - COMMANDITAIRE ainsi que celles d'autres COMMANDITAIREs et de - l'infrastructure du Prestataire. Le Prestataire encourage vivement - le COMMANDITAIRE à adopter des mesures similaires, telles que - l'utilisation de logiciels de pare-feu d'applications web - disponibles sur le marché, et à configurer soigneusement ses groupes - de sécurité via l'API de commande.* - -- *Le Prestataire insiste sur la nécessité pour le COMMANDITAIRE de - minimiser les ouvertures de flux, en évitant notamment de rendre - accessibles les ports d'administration **SSH** (port TCP 22) et - **RDP** (port TCP 3389) depuis l'ensemble d'Internet (sous-réseau - 0.0.0.0/0), ainsi que les protocoles internes tels que **SMB** (port - TCP/UDP 445) ou **NFS** (port TCP/UDP 2049).* - -## Engagement de disponibilité de l'interface COMMANDITAIRE - -- SLA 6 : IC-INFRA_SNC-06 -- Accès à la console d'administration du - Service : une disponibilité garantie de 97%, assurée en continu, 24 - heures sur 24 et 7 jours sur 7. -- SLA 7 : IC-INFRA_SNC-07 -- Accès aux APIs de pilotage du Service : - une disponibilité de 99.9%, calculé sur une base 24h/24, 7j/7. - -## Engagement de disponibilité du support - -- **SLA 8 : IC-INFRA_SNC-08** -- Voici les engagements de performance - du support technique du Prestataire pour les incidents, hors - maintenances programmées : - -| Priorité | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Priorité P1** | 30mn | 95% | -| **Priorité P2** | 2h | 90% | -| **Priorité P3** | 4h | 90% | -| **Priorité P4** | 24h | 85% | -| **Priorité P5** | 48h | 85% | - -- **SLA 9 : IC-INFRA_SNC-09** -- Voici les engagements de performance - du support technique du Prestataire pour les demandes de service : - -| Type | Garantie de temps d'intervention (GTI) | Objectif de performance | -| :--- | :--- | :--- | -| **Demande de service** | 4h | 90% | - -*Nota* : - -- *Le délai pour la Garantie de Temps d'Intervention (GTI) est calculé - à partir de la différence entre le moment où le COMMANDITAIRE ouvre - le ticket et la première intervention du support du Prestataire.* -- *L'investigation d'incidents concernant les COMMANDITAIREs ne - comprendra pas d'intervention à distance sur les serveurs hébergés - du COMMANDITAIRE. Cette assistance se limitera à l'explication des - métriques disponibles relatives à l'environnement du COMMANDITAIRE, - afin de faciliter la compréhension des incidents ou des problèmes de - performance rencontrés. Sur la base des résultats de cette analyse, - des recommandations pourront être suggérées.* - -## Engagement de disponibilité du stockage objet S3 - -- **SLA 10 : IC-INFRA_SNC-10** -- Voici les engagements de - disponibilité pour le stockage objet S3 : - -| Indicateur | Engagement | Objectif de disponibilité | -| :--- | :--- | :--- | -| **IC-INFRA-SNC-10.1** | Durabilité du stockage d'un objet sur une région | 99.9999999% / an | -| **IC-INFRA-SNC-10.2** | Disponibilité de l'API Stockage Objet S3 | 99.99% | -| **IC-INFRA-SNC-10.3** | Latence maximale d'accès à un objet sur une région | 150 ms | - -Remarques : - -- Le Service de Stockage Objet est spécifiquement conçu pour le - stockage d'objets et doit être employé dans ce seul but, **excluant - catégoriquement son utilisation en mode bloc**. Recourir au mode - bloc par des méthodes détournées, incluant par exemple l'utilisation - de *"FUSE" dans un environnement Linux*, constitue une infraction - aux termes d'utilisation énoncés. Aucun incident, dysfonctionnement - ou dommage découlant de cet usage non conforme ne sera couvert par - les Accords de Niveau de Service (SLA) définis dans cette convention - de services. -- La garantie de durabilité est conditionnée à une utilisation des - services conforme aux meilleures pratiques et standards actuels, et - exclut explicitement toute modification des données, qu'elle soit - intentionnelle ou accidentelle, résultant d'actions entreprises par - le COMMANDITAIRE. - -## Précision concernant l'engagement de sauvegarde - -La stratégie de sauvegarde déployée pour le COMMANDITAIRE, est -conditionnée par la souscription aux unités d'œuvre adéquates. - -Le Prestataire s'engage sur la mise à disposition d'une solution de -sauvegarde qui permettra au COMMANDITAIRE d'appliquer les politiques de -sauvegardes souhaitées. - -Il est précisé que le périmètre du Prestataire s'arrête à la mise à -disposition d'un service de sauvegarde et c'est au COMMANDITAIRE de -superviser via l'interface COMMANDITAIRE la bonne exécution des -politiques associées. - -Il est précisé que la gestion de capacités de stockage de l'espace de -stockage dédié aux sauvegardes, reste à la charge et responsabilité du -COMMANDITAIRE. Le Prestataire met à disposition le taux d'utilisation -via la console. - -*Exemple : Non sauvegarde d'une machine virtuelle :* - -*Le COMMANDITAIRE a la charge de vérifier / superviser la bonne -exécution des politiques des sauvegardes, dans le cas où le -COMMANDITAIRE constate qu'une machine virtuelle n'est pas sauvegardée, -il lui appartient d'en vérifier la cause, le COMMANDITAIRE pourra -solliciter le Support du Prestaire selon le niveau de support souscrit -pour être assisté.* - -**Le SLA 8 : IC-INFRA_SNC-08 et SLA 9**, sera exclusivement applicable -dans le cas d'un Incident du service sauvegarde. - -# Organisation de la relation contractuelle - -## Responsabilités du Prestataire - -Le Prestataire s'engage : - -- à informer son COMMANDITAIRE de manière adéquate (par exemple en cas - de limite de capacité de ressources techniques délivrant le - Service). - -- à informer formellement le COMMANDITAIRE et dans un délai d'un mois, - de tout​ changement juridique, organisationnel ou technique pouvant - avoir un impact sur la conformité du Service aux exigences de - protection contre les lois extra-européennes (19.6 du référentiel - SNC v3.2). - -- à fournir au COMMANDITAIRE des interfaces et des interfaces de - service qui sont en langue française a minima. - -- à prendre en compte les exigences sectorielles spécifiques liées aux - types d\'informations confiées par le COMMANDITAIRE dans le cadre de - la mise en œuvre du Service et dans la limite des responsabilités du - Prestataire d\'une part, et des dispositions prévues au Contrat - d\'autre part ; - -- à étudier les exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE dans le cadre de la - mise en œuvre du Service, ultérieurement exprimées par le - COMMANDITAIRE, et à indiquer à ce dernier les actions nécessaires - pour leur prise en compte - -- à ne divulguer aucune information relative à la prestation à des - tiers, sauf autorisation formelle et écrite du COMMANDITAIRE. - -- à mettre à disposition toutes les informations nécessaires à la - réalisation d'audits de conformité conformément aux dispositions de - l'article 28 du RGPD. - -- à rendre compte auprès du COMMANDITAIRE, par la présente Convention - de service, de tout Incident de sécurité impactant le Service ou - l'utilisation faite par le COMMANDITAIRE du Service (incluant les - données du COMMANDITAIRE). - -- à autoriser un prestataire d'audit de la sécurité des systèmes - d'information (PASSI) qualifié, mandaté par le Prestataire, à - auditer le service ainsi que son système d'information, conformément - au plan de contrôle du SecNumCloud du Prestataire. De plus, le - Prestataire s'engage à fournir toutes les informations nécessaires - pour mener à bien les audits de conformité aux dispositions de - l'article 28 du RGPD, menés par le commanditaire ou un tiers - mandaté. - -- à fournir, en qualité de sous-traitant, conformément à l'article 28 - du Règlement général sur la protection des données (RGPD), - assistance et conseils au COMMANDITAIRE en l'alertant dès lors - qu'une instruction émise par ce dernier est susceptible de - constituer une violation des règles de protection des données. - -- à notifier le COMMANDITAIRE dans un délai raisonnable, à travers la - console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE, - lorsqu'un projet impacte ou est susceptible d'impacter le niveau de - sécurité ou la disponibilité du Service, ou à engendrer une perte de - fonctionnalité, des potentiels impacts, des mesures d'atténuation - mises en place, ainsi que des risques résiduels qui le concernent. - -- à documenter et à mettre en œuvre l'ensemble des procédures - nécessaires pour respecter les exigences légales, réglementaires et - contractuelles applicables au service, ainsi que les besoins de - sécurité spécifiques du COMMANDITAIRE, définis par ce dernier et - prévus au Contrat. - -- à ne pas utiliser les données du COMMANDITAIRE issues de la - production pour réaliser des tests, à l'exception d'en obtenir - préalablement l\'autorisation explicite du COMMANDITAIRE, auquel cas - le Prestataire s\'engage à anonymiser ces données et à en assurer la - confidentialité lors de leur anonymisation. - -- à supprimer les données et Données techniques relatives au - COMMANDITAIRE, conformément à la « procédure d'effacement des - données en fin de Contrat » décrite dans la présente Convention de - service lors d'une fin ou résiliation de Contrat. - -- à assurer un effacement sécurisé de l'intégralité des données du - COMMANDITAIRE par réécriture complète de tout support ayant hébergé - ses données dans le cadre du Service. - -Sur demande du COMMANDITAIRE formelle et écrite, le Prestataire s'engage -à : - -1. Rendre accessible au COMMANDITAIRE le règlement intérieur et la - charte d'éthique du Prestataire ; - -2. Rendre accessible au COMMANDITAIRE les sanctions encourues en cas - d'infraction à la politique de sécurité ; - -3. Fournir au COMMANDITAIRE l\'ensemble des événements le concernant - dans les éléments de journalisation du Service ; le COMMANDITAIRE - pouvant par ailleurs consulter en autonomie les événements relatifs - à son utilisation du Service au travers des interfaces web et API du - Service ; - -4. Rendre accessible au COMMANDITAIRE les procédures permettant de - respecter les exigences légales, réglementaires et contractuelles en - vigueur applicables au Service, ainsi que les besoins de sécurité - spécifiques du COMMANDITAIRE prévus au Contrat ; - -5. A fournir, les éléments d'appréciation des risques relatifs à la - soumission des données du COMMANDITAIRE au droit d'un état - non-membre de l'Union Européenne ; - -6. A informer le COMMANDITAIRE des sous-traitants ultérieurs - intervenants dans la fourniture du Service, et à l\'informer de tout - changement l\'impactant relatif à ces sous-traitants. - -> Le Prestataire et l'ensemble de ses filiales s'engagent à respecter -> les valeurs fondamentales de l'Union européenne, à savoir la dignité -> humaine, la liberté, la démocratie, l'égalité, l'état de droit, ainsi -> que le respect des Droits de l'homme. Le service fourni par le -> Prestataire est conforme à la législation en vigueur en matière de -> droits fondamentaux et aux valeurs de l'Union européenne relatives au -> respect de la dignité humaine, à la liberté, à l'égalité, à la -> démocratie et à l'État de droit. - -## Limitation des responsabilités du Prestataire - -Du fait de l'ensemble des définitions et conditions mentionnées dans la -présente Convention de service, les responsabilités du Prestataire sont -limitées ainsi : - -1. Le modèle de responsabilité partagée, décrit dans la section - « Modèle de responsabilités partagées » de la présente Convention de - service, limite de fait l'implication du Prestataire dans les - couches de fonctionnement allant "au-dessus" de la mise à - disposition de ressources de calcul, de réseau, de stockage et de - sauvegarde. Ceci exclut en particulier et sans s'y limiter : - - - La gestion de ce qui est installé sur les machines virtuelles - (OS, middlewares, applicatifs, etc.); - - - La tenue à jour des OS et autres logiciels installés par le - COMMANDITAIRE sur ses machines dans ses Tenants; - - - La sécurité des programmes, logiciels et applicatifs installés - sur les machines virtuelles; - - - La mise à jour des machines virtuelles; - - - La sauvegarde des données au niveau applicatif. - -2. Le Prestataire ne peut prendre d'engagements de sauvegarde des - Tenants du COMMANDITAIRE sans que le COMMANDITAIRE n'ai au préalable - souscrit aux unités d'oeuvres adéquates. - -3. Le Prestataire ne peut se prévaloir de la propriété des données - transmises et générées par le COMMANDITAIRE. En effet, celles-ci - relèvent de la propriété du COMMANDITAIRE. - -4. Le Prestataire souligne qu'il ne peut en aucun cas exploiter et/ou - disposer des données transmises et générées par le COMMANDITAIRE - sans validation préalable de ce dernier, étant entendu que leur - disposition est réservée au COMMANDITAIRE. - -5. Le Prestataire dégage toute responsabilité sur les composants - physiquement hébergés et infogéré par le Prestataire, mais étant la - propriété directe du COMMANDITAIRE ou d'un tiers avec lequel le - COMMANDITAIRE a contractualisé. L'hébergement de composants - physiques des clients ne fait pas partie du Service et est de fait - hors du cadre de la présente Convention de service. Il incombe au - COMMANDITAIRE d'évaluer le niveau d'adhérence ou de dépendance - qu'introduisent ces composants vis-à-vis du Service OpenIaaS en - cours de qualification SecNumCloud. - -## Limitation d'accès - -Dans le cadre du Service, le Prestataire est formellement interdit -d'accéder aux Tenants appartenant au COMMANDITAIRE sans autorisation -préalable. Il est de la responsabilité du COMMANDITAIRE de fournir les -accès nécessaires au personnel du Prestataire, selon les besoins -spécifiques de l'hébergement et, le cas échéant, des services -professionnels de support, si cette option a été choisie par le -COMMANDITAIRE. - -Le COMMANDITAIRE reconnaît que ces accès sont accordés exclusivement -pour les besoins liés à la prestation de services convenus, assurant -ainsi une gestion sécurisée et conforme aux termes de l'accord. - -L'accès distant par des tiers impliqués dans la prestation de service du -Prestataire est strictement interdit. Dans l'éventualité où une exigence -technique spécifique nécessiterait un tel accès, celui-ci ne pourrait -être établi qu'après avoir clairement notifié le COMMANDITAIRE, fourni -une justification détaillée et obtenu son accord écrit. - -Cette mesure garantit le contrôle et la sécurité des données du -COMMANDITAIRE, en s'assurant que toute exception à la règle est dûment -autorisée et documentée. - -## Responsabilités des tiers participant à la fourniture du service - -Le Prestataire maîtrise la liste des tiers partenaires participant de la -fourniture du Service. Ces tiers sont les éditeurs, prestataires (du -Prestataire) et autres fournisseurs participant de la fourniture du -Service. Le Prestataire applique les mesures suivantes à ces tiers : - -- Le Prestataire exige des tiers participant à la mise en œuvre du - service, dans leur contribution au Service, un niveau de sécurité au - moins équivalent à celui qu'il s'engage à maintenir dans sa propre - politique de sécurité applicable au service Secure Temple ; - -- Le Prestataire contractualise, avec chacun des tiers participant à - la mise en œuvre du service, des clauses d'audit permettant à un - organisme de qualification de vérifier que ces tiers respectent les - exigences légales et les exigences SNC, permettant au Prestataire de - respecter ses engagements dans la présente Convention de service. - -- Le Prestataire met en œuvre une procédure permettant de contrôler - régulièrement les mesures mises en place par les tiers participant à - la mise en œuvre du service pour respecter les exigences au - Prestataire de respecter ses engagements dans la présente Convention - de service. - -- Le Prestataire assure un suivi des changements apportés par les - tiers participant à la mise en œuvre du service susceptibles - d\'affecter le niveau de sécurité du système d\'information du - service. - -## Responsabilités et obligations du COMMANDITAIRE - -Le COMMANDITAIRE dispose des obligations suivantes dans le cadre du -Service : - -- Pour rappel, le Prestataire fournit au COMMANDITAIRE une plateforme - d'exécution de machines virtuelles, la configuration de celles-ci - est à la charge du COMMANDITAIRE. Chaque machine virtuelle ne peut - fonctionner sans une politique de sauvegarde associée. Le - Prestataire définit via ses interfaces des politiques de sauvegarde - automatiques. Mais c'est à la charge du COMMANDITAIRE l'activation - de ces politiques de sauvegarde et donc d'activer les machines - virtuelles. - -- Le COMMANDITAIRE autorise l'ANSSI et l'organisme de qualification - SNC à auditer le Service et l'infrastructure technique délivrant le - Service. - -- Le COMMANDITAIRE est responsable d\'indiquer au Prestataire les - éventuelles exigences sectorielles spécifiques liées aux types - d\'informations confiées par le COMMANDITAIRE et nécessitant d\'être - prises en compte par le Prestataire. - -- Le COMMANDITAIRE accepte de ne pas demander au Prestataire des - exigences ou actions faisant déroger le Prestataire aux exigences du - référentiel SecNumCloud dans sa version courante d\'une part, ou - abaissant le niveau de sécurité établi par le respect des exigences - de ce même référentiel d'autre part. - -## Droits du COMMANDITAIRE - -À tout moment au cours de la relation contractuelle, le COMMANDITAIRE -peut déposer une réclamation relative au service qualifié auprès de -l'ANSSI. - -À tout moment, le COMMANDITAIRE peut demander au Prestataire de lui -rendre accessible son règlement intérieur et sa charte d'éthique. - -## Effacement des données en fin de Contrat - -À l'issue du contrat, qu'il arrive à échéance ou qu'il soit résilié pour -quelque raison que ce soit, le Prestataire s'engage à procéder à -l'effacement sécurisé de l'intégralité des données du COMMANDITAIRE, y -compris les données techniques. Le Prestataire s'assurera de communiquer -au COMMANDITAIRE un préavis formel, respectant un délai de vingt et un -(21) jours calendaires. Les données du COMMANDITAIRE seront alors -supprimées dans un délai maximum de trente (30) jours suivant cette -notification. - -Pour attester de cette suppression, le Prestataire remettra au -COMMANDITAIRE un certificat confirmant l'effacement des données. - -# Cycle de vie de la présente Convention de service - -## Entrée en effet de la Convention de service - -La présente Convention de service entre en effet le jour de sa signature -par le COMMANDITAIRE. - -La collecte, la manipulation, le stockage et le traitement des données -faits dans le cadre de l'avant-vente, la mise en œuvre, l'arrêt du -Service​, sont faits dans le respect de la législation en vigueur. - -## Évolutions de la Convention de service - -Les modifications ou ajouts apportés à la présente Convention de service -découlent exclusivement des requêtes formulées par les organes de -gouvernance désignés à cet effet. Ces propositions de changement seront -examinées par les Parties, habilitées à déterminer les aspects -nécessitant une formalisation écrite. - -Il est convenu que toute évolution de la Convention de service, après -validation, qui altère les conditions financières initialement établies, -nécessitera l'établissement et la signature d'un avenant au Contrat en -cours. - -Les facteurs pouvant induire une révision de cette Convention de service -incluent, sans s'y limiter : - -- L'évolution de l'infrastructure technique délivrant le Service - OpenIaaS ; -- Les ajustements apportés aux services déployés par le Prestataire - pour fournir le Service ; -- Les variations des engagements pris et des sanctions applicables ; -- Les reconfigurations organisationnelles au sein du COMMANDITAIRE ou - du Prestataire ; -- L'expansion ou la réduction du champ d'application du Service. - -La gestion des versions et des révisions de la Convention de service est -consignée en préambule du document pour en faciliter le suivi. - -### Évolutions déclenchées par le COMMANDITAIRE - -Les évolutions de la Convention de service peuvent avoir, notamment, -pour origine : - -- Une évolution de l'infrastructure gérée par le Prestataire ; - -- Une modification des services mis en œuvre par le Prestataire ; - -- Une modification des engagements de niveaux de services par le - Prestataire. - -### Évolutions déclenchées par le Prestataire - -Toute modification de la Convention de service est soumise à acceptation -du COMMANDITAIRE. Il est entendu que toute modification ou complément -validés modifiant les éléments financiers du Contrat, pourra impliquer -la signature d'un avenant à celui-ci. - -## Réversibilité - -De plus, Cloud Temple s'engage à permettre une révision de la présente -Convention de service (prévoyant notamment sa résiliation) sans pénalité -pour le COMMANDITAIRE en cas de perte de la qualification SecNumCloud. - -Les Services ne comprennent pas d'obligation de réversibilité (à savoir, -l'aide au COMMANDITAIRE pour qu'il puisse migrer son système vers un -autre" Prestataire) à l'exception de la mise à disposition du -COMMANDITAIRE par le Prestataire de l'interface COMMANDITAIRE permettant -au COMMANDITAIRE de sauvegarder et récupérer ses données y compris -notamment les données de configuration de leur système d'information via -l'une des modalités techniques suivantes au choix du COMMANDITAIRE : la -mise à disposition de fichiers suivant un ou plusieurs formats -documentés et exploitables en dehors du service fourni par le -Prestataire ou bien via la mise en place d'interfaces techniques -permettant l'accès aux données suivant un schéma documenté et -exploitable (API). - -Le COMMANDITAIRE, seul maître de son système, doit tout mettre en œuvre -pour faciliter cette opération en tant que de besoin (ce qui implique, -notamment, qu'il mette en place une documentation rigoureuse à cet -effet) et l'élaboration de plans de réversibilité. Dans le cas où le -COMMANDITAIRE aurait besoin d'une prestation complémentaire, le -Prestataire peut proposer une mission de conseil à cet égard dans le -cadre d'un contrat spécifique à négocier. - -# Disponibilité, continuité et restauration du service - -## Gestion des Incidents et des interruptions - -### Incidents - -#### Types d'Incidents traités dans le cadre de cette Convention de service - -- Sinistres ; - -- Pannes et défaillances ; - -- Incidents de sécurité impactant la disponibilité, la confidentialité - ou l'intégrité du Service. - -#### Traitement des incidents - -> Le Prestataire informe le COMMANDITAIRE dans les meilleurs délais, des -> incidents et interruptions, au moyen d'une notification dans la -> console COMMANDITAIRE ou par courriel au contact COMMANDITAIRE. Le -> Prestataire informe le COMMANDITAIRE du traitement de l'incident par -> le canal utilisé pour notifier l'incident, ou par le canal indiqué -> dans la notification de l'incident. - -#### Niveau de notification des Incidents de sécurité - -Le COMMANDITAIRE a la responsabilité de choisir les niveaux de gravité -des Incidents de sécurité pour lesquels il souhaite être informé, par -exemple via leur formalisation dans un PAS applicable au Service. - -Par défaut, le COMMANDITAIRE est informé : - -- Des incidents de sécurité avec impact (impacts I1 et I2 selon - l'échelle d'impact définie dans le processus de priorisation des - traitements de la présente Convention de service) ; - -- Des incidents de sécurité impactant la confidentialité ou - l'intégrité des données du COMMANDITAIRE confiées dans le cadre du - Service ; - -- Des violations de données à caractère personnel pour lesquelles le - COMMANDITAIRE est responsable du traitement conformément à l'article - 8 de l'Annexe DPA dans le cadre du Service ; - -- - -## Maintenance du Service - -### Nature de la maintenance - -Des violations de données à caractère personnel pour lesquelles le -Prestataire est responsable du traitement et comportant des données -personnelles du COMMANDITAIRE, conformément à l'article 8 de l'Annexe -DPA. La maintenance assurée consiste en la mise en œuvre : - -- Du plan de maintien en conditions opérationnelles du Service pour - assurer de bons indicateurs de disponibilité tels que s'y engage le - Prestataire plus haut ; - -- Du plan de PCA/PRA si souscrit par le COMMANDITAIRE déclenché selon - les éventuels incidents qui surviendraient. - -### Accès distants de Cloud Temple sur le périmètre du COMMANDITAIRE - -Le Prestataire s'interdit, dans le cadre de la présente Convention de -service, tout accès aux Tenants et à l'espace de l'interface du -COMMANDITAIRE. - -Il incombera au COMMANDITAIRE donner les accès nécessaires au personnel -du Prestataire. Le COMMANDITAIRE reconnaît que les accès seront utilisés -dans le cadre de l'hébergement et in fine de l'infogérance (si souscrit -par le COMMANDITAIRE). - -### Accès distants de tiers participant à la fourniture du service sur le périmètre du COMMANDITAIRE - -Aucun accès distant de tiers participant à la fourniture du Service -n'est autorisé. - -Si un besoin technique rendait ce cas de figure nécessaire, alors ce -type d'accès ne serait réalisé qu'après notification du COMMANDITAIRE -justification et obtention de son accord écrit. - -# Procédure d'effacement des données en fin de Contrat - -A la fin du Contrat, que le Contrat soit arrivé à son terme ou pour -toute autre cause, le Prestataire assura l'effacement sécurisé de -l'intégralité des données traitées dans le cadre du Service, y compris -les Données techniques du COMMANDITAIRE. Le Prestataire donnera un -préavis formel en respectant un délai de vingt et un jours (21) -calendaires. Les données du COMMANDITAIRE seront supprimées dans un -délai maximum de trente (30) jour après la notification. Le Prestataire -fournit un certificat de suppression de données au COMMANDITAIRE. - -# Droit applicable - -## De manière générale - -Le droit applicable et auquel est soumise la présente Convention de -service est le droit français. - -## Respect du droit et des réglementations applicables - -Le Prestataire s'engage sur les points suivants : - -- L'identification des contraintes légales et réglementaires - applicables dans le cadre du Service ; - -- Le respect des contraintes légales et réglementaires applicables aux - données confiées au Prestataire dans la limite des responsabilités - de ce dernier d\'une part, et des dispositions prévues au Contrat - d\'autre part.; - -- Le respect de la Loi informatique et liberté et du RGPD ; - -- La mise en œuvre de moyens de protection des données personnelles ; - -- La mise en œuvre d'un processus de veille légale et réglementaire ; - -- De disposer et maintenir des relations appropriées ou une veille - avec les autorités sectorielles en lien avec la nature des données - traitées dans le cadre du Services. Cela inclus notamment l'ANSSI, - le CERT-FR et la CNIL. - -## RGPD - -Agissant en qualité de sous-traitant au sens de l'article 28 du -Règlement général sur la protection des données (RGPD), le Prestataire -s'engage : - -- A assurer la transparence et la traçabilité ; - -- A désigner un DPO en charge de définir et mettre en œuvre les - mesures de protection des données à caractère personnel ; - -- Apporter une assistance et du conseil au COMMANDITAIRE en l'alerte - si une instruction de ce dernier constitue une violation des règles - de protection des données personnelles si le Prestataire a le moyen - d'en identifier ; - -- Une garantie de sécurité sur les données traitées (du fait de la - qualification SecNumCloud). - -## Protection vis à vis du droit extra-européen - -Le siège statuaire du Prestataire est établi au sein d\'un État membre -de l\'Union Européenne. Le capital social et les droits de vote dans la -société du Prestataire ne sont pas, directement ou indirectement : - -- individuellement détenus à plus de 24% ; - -- et collectivement détenus à plus de 39% ; - -par des entités tierces possédant leur siège statutaire, administration -centrale ou principal établissement au sein d'un État non membre de -l'Union européenne. - -En cas de recours par le Prestataire, dans le cadre du Service, au -service d\'une société tierce - y compris un sous-traitant - possédant -son siège statutaire, administration centrale ou principal établissement -au sein d\'un État non membre de l\'Union Européenne ou appartenant ou -étant contrôlée par une société tierce domiciliée en dehors l\'Union -Européenne, le Prestataire s\'engage : - -- à ce que cette susdite société tierce ne disposera d\'aucun accès - aux données opérées ; - -- à disposer d\'une autonomie d\'exploitation à travers la possibilité - de faire appel à un autre sous-traitant ou de mettre rapidement en - oeuvre une alternative technologique. - -Pour rappel, les données visées sont celles qui sont confiées au -Prestataire par le COMMANDITAIRE ainsi que toutes Données techniques -comprenant des informations sur les COMMANDITAIRES. - -Pour les besoins du présent article, la notion de contrôle est entendue -comme étant celle mentionnée au II de l'article L233-3 du code de -commerce. - -# SIGNATURES - -Fait à \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le -\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ - -Pour Cloud Temple, le PRESTATAIRE - -Pour \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, le COMMANDITAIRE +--- +title: OpenIaaS SecNumCloud Service Convention +--- + +# OpenIaaS SERVICE AGREEMENT + +| Recipients : | **CLIENT** | +| :--- | :--- | +| **Document Reference** | CT.AM.JUR.ANX OPENIaaS-202530101_v3.0.docx_JJ MM AAAA | +| **Your Contacts** | *First Name* *Last Name* Account Manager email: *firstname.lastname*@cloud-temple.com | +| **Last Updated Date** | 01/17/2025 | +| **Contractual Validation Date** | Day JJ AAAA | + +------------------------------------------------------------------------ + +| Version | Date | Action | Author | +| :--- | :--- | :--- | :--- | +| v0.1 | 06/07/2022 | Initial Draft | Lorena ALCALDE | +| v0.2 | 09/14/2022 | Enrichment | Lorena ALCALDE | +| v1.0 | 12/30/2022 | Integration of Indicators | Lorena ALCALDE | +| v1.1 | 01/23/2023 | Footer Update | Lorena ALCALDE | +| v1.2 | 05/22/2023 | Enrichment | Lorena ALCALDE | +| v1.3 | 06/29/2023 | Enrichment | Lorena ALCALDE | +| v1.4 | 11/06/2023 | Capital Update and Enrichment | Lorena ALCALDE | +| v1.5 | 11/30/2023 | Enrichment | Lorena ALCALDE | +| v1.6 | 03/21/2024 | Enrichment | Lorena ALCALDE | +| v2.0 | 03/29/2024 | Compliance Adjustments (SNC) | Nicolas ABRIOUX | +| v2.0 | 04/03/2024 | Publication | Lorena ALCALDE | +| v3.0 | 01/17/2025 | Enrichment | Emeline CAZAUX | + +# Preliminary and Glossary + +## Preliminary + +This document formalizes the Service Agreement associated with the OpenIaaS service currently undergoing SecNumCloud qualification. + +The Service is currently undergoing SecNumCloud qualification (see certificate to be included in the Annex). + +This Service Agreement complements and is supplementary to the Provider's General Terms and Conditions of Sale and Use. It is understood that the contractual documents shall be interpreted consistently with one another. In the event of contradiction or inconsistency between the terms of the contractual documents, the documents shall prevail in the following order: + +1. General Terms and Conditions of Sale and Use (GTCU) + +2. SecNumCloud IaaS Service Agreement + +3. SecNumCloud OpenIaaS Service Agreement + +4. SecNumCloud PaaS Service Agreement + +5. Specific Service Agreement - Bare Metal + +6. Specific Particular Agreement + +7. Security Assurance Plan (SAP) + +8. Specific Use Conditions (SUC) + +9. Data Protection Agreement + +## Glossary + +In this Service Agreement, the **Client**, the **Provider**, and the **Parties** are identified in the Contract to which this Service Agreement is annexed. + +The expressions used below in this Service Agreement shall be interpreted according to the definitions assigned to them as follows: + +- **Change:** Any addition, modification, or deletion impacting the Service, which has been authorized, planned, or taken on. + +- **Standard Change:** A change subject to a defined procedure, whose production implementation process and impacts (including financial ones) are known and accepted in advance by the Parties. It is then included in the catalog of standard changes and may, depending on the case, have a GTI and a GTR. + +- **Contract:** Refers to the agreement subscribed by the **Client** with the **Provider** to enable the **Client** to benefit from the Service, to which this Service Agreement is annexed. + +- **Service Agreement:** This document, established within the framework of a specific contract or the General Terms and Conditions of Sale and Use (T&C), in compliance with the requirements of the SecNumCloud Reference Framework. + +- **Service Request:** A request for evolution subject to a procedure, whose implementation: i) does not modify the CMDB; ii) has known and pre-approved operational procedures, costs, and risks, and does not require specific rollback mechanisms; iii) is subject to a Service Level Agreement and included in the contract fee when performed during business hours and business days. + +- **Availability:** The ability to ensure the availability and maintenance of optimal performance of the Service, in accordance with the criteria and commitments defined in the Service Level Agreements (SLAs). + +- **Technical Data:** Includes all data processed to deliver the Service, notably the identities of beneficiaries and administrators of the technical infrastructure, technical infrastructure logs, access configurations, directory, certificates, etc. + +- **Event:** An "event" is any detectable or identifiable occurrence that may have significance for Service management. + +- **Hypervisor:** Operating system enabling the execution of virtual machines on a compute blade. + +- **Incident:** Any unforeseen event disrupting the normal operation of the Service or compromising the security of data. + +- **Security Incident:** Any event within the scope of the Service: + - Of intentional malicious nature; + - Of accidental nature causing damage to the integrity, confidentiality, or traceability of the Service or the Client’s data; + - Resulting in a breach of existing security measures. Loss of availability due to non-malicious causes (hardware failure, bug, malfunction, natural disaster, etc.) is not considered a Security Incident. + +- **Client Interface:** The Service administration interface provided by the Provider to the Client, comprising a web administration console and an API. + +- **Production Deployment:** Administrative action(s) to implement a Change once it has been approved (the Change, in the ITIL sense, refers only to change management and not to its implementation/realization). + +- **Problem:** The root cause of one or more recurring Incidents, or the cause of a potential Incident (a risk situation), requiring analysis and resolution to prevent recurrence. + +- **Region:** Refers to a geographically defined set of cloud availability zones, providing network, computing, and storage services to optimize latency, performance, and local regulatory compliance. + +- **OpenIaaS Service:** Refers to the IaaS service based on open-source technology currently undergoing SecNumCloud qualification, delivered by the Provider to the Client from technical infrastructures maintained by the Provider, as described in the “Service Description” section of this Service Agreement. + +- **Incident:** Refers to a serious event of natural or human origin, accidental or intentional, causing significant losses and damages to the affected Party. + +- **Monitoring:** Surveillance of an Information System or a Service, involving the collection of various data such as measurements and alarms. This activity is limited to observation and tracking, without direct intervention on the monitored elements—a prerogative reserved for administrative operations. + +- **Tenant:** A dedicated isolated instance reserved for a user or group of users, sharing a common infrastructure while maintaining data and application independence and security. + +- **Availability Zone (AZ):** A specific and isolated section of the cloud computing infrastructure, designed to ensure high availability and resilience of services through geographical distribution of resources. + +# Acronyms + +| Acronym | Definition | +| :--- | :--- | +| **CAB** | Change Advisory Board -- Change Advisory Board | +| **CMDB** | Configuration Management Database -- Configuration Management Database | +| **COPIL** | Steering Committee | +| **COSTRAT** | Strategic Committee | +| **COPROJ** | Project Committee | +| **DB** | Database (database) | +| **DPA** | Data Protection Agreement | +| **DRP** | Disaster Recovery Plan (DRP) (Disaster Recovery Plan) | +| **GTE** | Escalation Time Guarantee | +| **GTI** | Intervention Time Guarantee | +| **GTR** | Resolution Time Guarantee | +| **ITIL** | Information Technology Infrastructure Library - Best practices for IT service management | +| **IaaS** | Infrastructure as a Service | +| **MCO** | Maintenance in Operational Condition | +| **MOA** | Client (Project Owner) | +| **MOE** | Contractor (Project Executor) | +| **MSP** | Managed Services Provider | +| **OS** | Operating system (operating system) | +| **PAQ** | Quality Assurance Plan | +| **PaaS** | Platform as a Service | +| **PAS** | Security Assurance Plan | +| **PASSI** | Information System Security Audit Provider | +| **RFC** | Request For Change -- Change Request | +| **RGPD** | General Data Protection Regulation (personal data) | +| **RPO** | Recovery Point Objective -- Data freshness upon restoration after an incident | +| **RTO** | Recovery Time Objective -- Service restoration time after an incident | +| **SDM** | Service Delivery Manager | +| **SLA** | Service Level Agreement -- Service Level Agreement | +| **SNC** | SecNumCloud | +| **SOC** | Security Operations Center | +| **TMA** | Third-Party Application Maintenance | +| **UO** | Work Unit | +| **VABE** | Validation of Suitability for Good Operability | +| **VABF** | Validation of Suitability for Proper Functioning | +| **VM** | Virtual Machine (virtual machine) | +| **VSR** | Regular Service Validation | + +# Purpose of this Service Agreement + +This Service Agreement establishes the terms and conditions under which the Provider undertakes to deliver the Service to the CLIENT. Its purpose is to: + +- Specify the performance requirements expected by the CLIENT in terms of functionality and reliability of the Service; + +- Outline the Provider’s obligations to meet the agreed-upon service levels; + +- Identify the regulatory standards specifically applicable to the delivered Service; + +- Ensure consistency and integrity in the evaluation of Service quality; + +- Guarantee the excellence of the services provided, assessed through quantitative performance indicators. + +It is stipulated that, in the event the Provider loses its SecNumCloud qualification, the Contract may be terminated immediately and without penalty by the CLIENT. In such a case, the Provider undertakes to notify the CLIENT of this loss of qualification by sending an official notice via registered letter with acknowledgment of receipt. + +It should be noted that any modification or adjustment to the SecNumCloud qualification shall not be interpreted as a revocation of the initial qualification. + +# Audit + +The Provider undertakes to allow the CLIENT, or any third-party auditor who is not a competitor of the Provider and whom the Provider may designate, to access all documents necessary to verify full compliance with the obligations related to conformity with the provisions of Article 28 of the General Data Protection Regulation (GDPR), thereby facilitating the conduct of audits. + +By accepting this Service Agreement, the CLIENT explicitly grants authorization to: + +1. The National Agency for the Security of Information Systems (ANSSI), as well as the competent qualification body, to carry out verification of the Service and its information system's compliance with the SecNumCloud framework. +2. A qualified information systems security auditor, duly certified PASSI and expressly designated by the Provider, to perform security audits concerning the Service. + +# Service Description + +## Shared Responsibility Model + +The Service provided by the Provider is characterized by the delivery of the following offerings, which align with the shared responsibility principle outlined in the SecNumCloud reference framework: + +- Provision of computing (compute) resources; + +- Provision of storage spaces; + +- Access to networking and internet connectivity services; + +- A dedicated backup service for virtual machines. + +The shared responsibility model applied between the Provider and the CLIENT within the scope of the Service is detailed in §7.1. + +It is understood that the Provider will leverage its expertise to deliver the Services in accordance with professional best practices and in compliance with the requirements of the SecNumCloud reference framework. + +## Detailed Scope of the Service + +| Service | Description | +| :--- | :--- | +| **Compute** | Computing resources of the Tenant COMMANDITAIRE | +| **Storage** | Production data of the Tenant COMMANDITAIRE | +| **S3 Object Storage** | Provisioning of a sovereign, multi-AZ object storage infrastructure compatible with standard S3 APIs. | +| **Backup** | Available upon subscription to S3 Object Storage | +| **Network Infrastructure** | Networking resources of the Tenant COMMANDITAIRE | +| **COMMANDITAIRE Console** | The service enabling the COMMANDITAIRE to access and manage their OpenIaaS service via the Console interface | +| **Support** | Support service accompanying the aforementioned services and only those (\*) | + +\_(\*) Within the scope of the current Service qualification and the Provider's responsibilities in this matter\_ + +### Datacenter Infrastructures + +The Service encompasses the provision, for each Availability Zone, of the following qualified offerings: + +- A datacenter site located in France for the FR Region, compliant with the latest technological standards, offering a resilience level equivalent to or higher than Tier 3 as defined by the Uptime Institute; +- Provision of technical rooms within dedicated datacenters for housing essential technical equipment required for service production, including computing, storage, networking, cabling, and other necessary components; +- Secure electrical power supply, delivered via two independent power circuits, ensuring uninterrupted service continuity; +- Provision of climate control services, calibrated to meet equipment manufacturer specifications and standards, to maintain an optimal environment for technical devices; +- Continuous monitoring and detailed metrology, enabling precise tracking and proactive management of service performance and security. + +The Provider ensures the availability of advanced fire detection and suppression services, designed to effectively identify and neutralize any fire incidents within the facilities. These systems are critical to safeguarding equipment and data. They include high-precision smoke detectors and suppression devices capable of rapid response without damaging IT equipment. This service is essential for preventing fire risks, minimizing potential damage, and ensuring operational continuity. + +The CONTRACTOR is informed that all implemented security procedures and measures—including annual backup tests on generator groups—are essential to ensure service continuity and integrity. These practices are designed to minimize failure risks and ensure optimal responsiveness in the event of an incident. By accepting these conditions, the CONTRACTOR acknowledges the importance of these measures and commits to full cooperation to facilitate their implementation. The CONTRACTOR is also encouraged to review the provided security recommendations and integrate them into its own risk management strategy. + +### Software Infrastructure for Service Management + +The Provider supplies the COMMANDITAIRE with the administration console and the API necessary for using the Service. The Provider further undertakes to maintain this administration console and API in optimal operational condition and to ensure their continuous security. The administration console and API are collectively referred to under the term "COMMANDITAIRE interface." + +The Provider alerts the COMMANDITAIRE that abnormal use of the COMMANDITAIRE interface—particularly API command overload (hammering)—may trigger automatic security measures resulting in the blocking of access to the command APIs or the Service. It should be emphasized that this situation does not constitute Service unavailability but rather a protective action taken to safeguard the Service and the Provider’s infrastructure; therefore, the COMMANDITAIRE may not consider it as an unavailability for its calculations. + +Furthermore, the Provider informs the COMMANDITAIRE that perfectly identical requests (duplicates) sent to its APIs are limited to one per second (Throttling). If the COMMANDITAIRE submits identical requests at a higher frequency, their rejection cannot be interpreted as Service unavailability. + +### Computing Infrastructure + +The Service includes the provision, within the availability zones subscribed by the CUSTOMER, of the equipment necessary to run workloads in the form of virtual machines. + +This includes: + +- Provision of the required technical chassis for the proper operation of computing blades; +- Provision of computing blades in the quantities specified by the CUSTOMER and distributed across availability zones of the CUSTOMER’s choice. It should be noted that these computing blades are exclusively dedicated to the CUSTOMER; +- Provision of operating system software in the form of hypervisors, along with the guarantee of maintaining the operational and security status of the underlying software infrastructure required to manage these operating systems. It should be emphasized that, although the Provider is responsible for the operational maintenance and overall security of the Service, it does not possess specific knowledge regarding the CUSTOMER’s production environments or the requirements related to their workloads. Consequently, the responsibility for deciding when to update the operating systems of the hypervisor computing blades— an action that may require a reboot— rests entirely with the CUSTOMER. This operation may be performed via the CUSTOMER Interface. + +The selection of the computing blade model, chosen from the catalog offered by the Provider, is the responsibility of the CUSTOMER. + +### Storage Infrastructure + +The service includes providing the CONTRACTOR with a shared Storage Area Network (SAN) infrastructure offering various performance levels. This service encompasses: + +- Implementation and ongoing operation and security maintenance of the dedicated SAN network; +- Installation and management of shared storage enclosures used by multiple clients, including their operational and security maintenance, monitoring, and metering; +- Deployment of automated systems for allocating dedicated storage LUNs (Logical Unit Numbers) to the CONTRACTOR, in accordance with the volumes subscribed by the CONTRACTOR. + +### Global Network Infrastructure + +The Provider deploys, as part of the Service, a global network enabling the CLIENT to access its hosted systems. This service includes: + +- Provisioning, ongoing operational maintenance, and security assurance of all fiber-optic interconnections linking the various Availability Zones; + +- Provisioning, ongoing operational maintenance, and security assurance of the technical equipment required for proper network operation and isolation of the different clients. + +The Tenant CLIENT's network interconnection with the Internet or private networks, along with the associated network equipment, operator links, and other technical components enabling this interconnection, are not included within the scope of the Service. This network interconnection is implemented in accordance with the provisions set forth in the Contract. + +### Backup Infrastructure + +The Provider makes available to the CLIENT an integrated, dedicated, and managed backup service designed to protect its virtual machines. The Provider ensures the operational readiness and security of this backup service. + +The Provider guarantees that the CLIENT’s backups will be stored outside the availability zone of the workloads being backed up, provided the CLIENT has subscribed to the appropriate Work Units. + +This backup service is limited to backing up virtual machines and the topology configurations of the OpenIaaS environment for the CLIENT’s Tenants within the scope of the Service. The development and implementation of an adequate backup policy by the CLIENT depend on the subscription to specific Work Units. Therefore, it is the CLIENT’s responsibility to ensure the availability of the necessary technical resources with the Provider to implement its backup policy or adjust it according to available resources. + +The Provider undertakes to notify the CLIENT in case of capacity constraints and to provide advisory support for resource optimization. The Provider’s obligations are limited to implementing the backup policy requirements expressed by the CLIENT, within the scope of the subscribed resources. + +### Implementation of Business Continuity or Disaster Recovery Solutions + +The Provider supplies the CONTRACTOR with all necessary technical solutions to ensure optimal distribution of its resources across multiple Availability Zones. It is the CONTRACTOR's responsibility to effectively manage this resource distribution, for which it has access to the Provider's tools available for this purpose. + +## Limitations of Services in the OpenIaaS Model Under Qualification + +### Managed Services in RUN + +It is important to note that the following are excluded from the Service: + +- Hosting of physical components of the CUSTOMER; + +- Network interconnection of the CUSTOMER's Tenant, to the Internet or private networks, including operator links; + +- Any managed service or TMA (Third-Party Managed Application); + +- Any support related to virtual machines at the OS level and above within the IaaS responsibility stack, even if it involves only monitoring. + +That said, the CUSTOMER is not excluded from using such services through the Provider’s MSP offering to perform managed services on its Tenants. These services will not be governed by the present Service Agreement or its bilateral commitments/conditions. + +### Disaster Recovery Configuration + +By default, the Provider sets up the IaaS resources for the CUSTOMER by reserving resources and configuring deployments to use Availability Zones. It is the CUSTOMER's responsibility to select the Availability Zones via the CUSTOMER interface. + +### Backup Configuration + +The backup service ends with the backup of virtual machines and topology configurations representing the OpenIaaS environment of the COMMANDITAIRE's Tenants within the scope of the Service. + +The backup service and the completion of the COMMANDITAIRE's backup policy are subject to the subscription of storage space on the mass storage necessary to ensure the service. It is therefore the responsibility of the COMMANDITAIRE to subscribe to the necessary technical means from the Provider to implement the backup policy within its IT environment, or to adjust the backup policy according to the resources deployed. The Provider undertakes to inform the COMMANDITAIRE in case of technical capacity limitations. + +The Provider will implement the necessary technical and human resources to back up the hosted system, within the limits of the resources subscribed by the COMMANDITAIRE. + +Furthermore, for environments not covered by the Provider, it is the responsibility of the COMMANDITAIRE to define its own backup strategy and to configure VM backups independently, or to submit a Service Request to the Provider so that the backup configuration for physical servers can be set up, provided the COMMANDITAIRE has a managed service contract enabling the Provider to act via the COMMANDITAIRE's interface—the administration console made available under this Service Agreement—which includes functionalities for configuring backups. + +Additionally, this service will only commit to translating, via the COMMANDITAIRE's interface, the configuration clearly specified by the COMMANDITAIRE. + +For reasons of flexibility in the Provider’s offering, the COMMANDITAIRE has the option to associate a "no backup" policy with certain of its VMs. In such cases, it is the responsibility of the COMMANDITAIRE to assume this choice. The Provider will not back up VMs associated with the "no backup" policy. The Provider alerts the COMMANDITAIRE that choosing the "no backup" policy or opting for manual backups exposes the COMMANDITAIRE to the risk of permanent data loss in the event of an incident on lower layers or layers dependent on the COMMANDITAIRE’s responsibility under the IaaS model. In such cases, it will be impossible to hold the Provider responsible for data restoration, as there will be nothing to restore. The Provider recommends always backing up VMs. + +For any matter concerning the OS installed on a virtual machine, or any software or program running "on top of the OS," it is the responsibility of the COMMANDITAIRE to perform administrative and monitoring operations within the European Union if it wishes to ensure that all layers of the IT environment are operated and managed from within the European Union. Administrative operations conducted outside the Provider’s scope of responsibility under this Service Agreement are detailed in the section "Shared Responsibility Model" of this Service Agreement. + +## Implementation of the Service + +### Technical Prerequisites + +For the implementation of the Service, the CLIENT acknowledges that it will need to: + +- Operate with Xen-based virtualization in versions supported by the vendor and provided by the Provider as part of the Service; + +- Use the backup tool via the Provider; + +- Declare fixed IP addresses from which the Provider will authorize access to the CLIENT interface (whitelist filtering). Any modifications to this list of IPs must be carried out via the dedicated menu in the console or through Service Requests for future changes. At service initialization, the Provider shall have been informed of at least one IP address as described above. + +## Service Location in France + +It is specified that none of the operations or physical components involved in the provision of the Service, the subject of this Service Agreement, are located outside the European Union. + +This specifically includes support, operational monitoring, and security monitoring (SOC) of the technical infrastructure delivering the Service. As a result, all storage, administrative tasks, monitoring activities, and processing are carried out in France. + +### Datacenter Locations Hosting the Service + +Unless otherwise specified by the Provider's employees and agencies, all production operations (including data storage and processing) and technical components delivering the Service are located in datacenters based in France. + +### Location of Cloud Temple agencies operating the service + +Cloud Temple staff performing work within the scope of the Service operate from Cloud Temple agencies, all located exclusively in France. These agencies are situated in France, in Tours, Lyon, Caen, and Paris La Défense. + +The CLIENT is informed of the possibility for Cloud Temple employees to work remotely. However, the PROVIDER guarantees the same level of security regarding remote access, particularly concerning VPN access. These remote access arrangements are implemented in compliance with the requirements of the SecNumCloud reference framework. + +## Support + +### Nature of the support accompanying the service + +The Provider delivers a technical support service designed to assist the **CLIENT** in managing, troubleshooting, and optimizing their deployed resources. This service encompasses a broad range of activities, from initial setup assistance to advanced technical support for resolving specific issues. + +Below is a description of the features and functionalities of the support service: + +- Initial implementation assistance for using the Service; +- Incident resolution support; +- Problem troubleshooting assistance; +- Monitoring and guidance on technical infrastructure optimization. + +Within the scope of the support service, the Provider does not replace the **CLIENT** in the use of the Service. The **CLIENT** remains fully responsible for the configuration, operation of its VMs and Tenants, and for managing all elements (including data and applications) stored or installed on the Provider’s infrastructure. Technical support is provided in accordance with the General Terms of Sale and Use, with the Provider bound by a duty of means. + +The **CLIENT** undertakes to use the technical support service reasonably, refraining in particular from requesting services not included in the subscription, or from involving the Provider’s teams on behalf of the **CLIENT**’s own clients or third parties not covered by the Contract. The Provider reserves the right to reject any service request that does not meet these criteria. + +The level of support engagement is conditional upon the subscription of the associated support work units. + +### Technical Support Request + +Technical support is accessible through a ticketing system via the COMMANDITAIRE console and is available during standard business hours, excluding public holidays (8:00 – 18:00; Monday to Friday; French calendar and time zone). For emergencies occurring outside of business hours, particularly incidents significantly impacting production, the on-call service can be reached via a number provided to the COMMANDITAIRE at Service initiation. + +For each request or incident, it is mandatory to create a ticket with the Provider’s support team. Initiating this ticket, including all necessary information, is essential and marks the beginning of the evaluation of the Provider’s commitments. + +As soon as the Provider receives a request or incident notification—whether through the management console or following a phone call—a ticket is automatically generated. When reporting an incident, it is critical that the COMMANDITAIRE provides the Provider with as much detail as possible regarding the issue encountered. This step is crucial to enable an accurate assessment of the situation, proper prioritization, and effective diagnosis. + +The COMMANDITAIRE then receives an email confirmation indicating the ticket creation and its unique ticket number. The COMMANDITAIRE can directly monitor the status and history of their requests and incident reports via the management console. + +### Incident Management Process + +Upon reporting an Incident, the Provider’s technical support team initiates an investigation to identify the root cause of the issue and establish a diagnosis. The CLIENT must actively collaborate with the Provider by supplying all necessary information and performing required tests. The Provider may access the CLIENT’s Service to diagnose the Incident. + +If the Provider’s Services are deemed functional and the Incident is not attributable to the Provider, the CLIENT will be notified. At the CLIENT’s request, the Provider may offer Professional Services to identify the source of the problem, billable upon prior agreement in 30-minute increments. + +In the event that the Incident is the responsibility of the Provider or one of its subcontractors, the Provider will complete the diagnosis and proceed with restoring the Service at no additional cost. The diagnosis is based on communications between the Parties and data provided by the Provider, which are considered conclusive by mutual agreement of the Parties. + +### Treatment Prioritization Process + +The determination of a ticket's priority level is based on a matrix analysis evaluating the impact of the Incident and its degree of criticality: + +- Impact levels are defined as follows: + +| Impact Level | Description | +| :--- | :--- | +| **Impact I1** | The Provider's service(s) are disrupted | +| **Impact I2** | The Provider's service(s) are degraded | +| **Impact I3** | The Provider's service(s) are currently stable, but show signs of potential long-term decline | + +- Criticality levels are defined as follows: + +| Criticality Level | Description | +| :--- | :--- | +| **Criticality C1** | The Provider's service(s) are degrading at a concerning rate | +| **Criticality C2** | The Provider's service(s) are progressively deteriorating over time | +| **Criticality C3** | The Provider's service(s) exhibit one or more minor inconveniences without significant consequences | + +- Based on a thorough assessment of the situation, taking into account the factors determining Impact and Criticality, a priority is assigned to the ticket according to the decision matrix below: + +| Impact Level / Criticality Level | Impact I1 | Impact I2 | Impact I3 | +| :--- | :--- | :--- | :--- | +| **Criticality C1** | Priority **P1** | Priority **P2** | Priority **P3** | +| **Criticality C2** | Priority **P2** | Priority **P3** | Priority **P4** | +| **Criticality C3** | Priority **P3** | Priority **P4** | Priority **P5** | + +Service Level Agreements corresponding to each priority level are detailed in the following chapter. + +### Language and Location of Support Service + +Support is provided by the Provider to the CUSTOMER in French at a minimum. Support may also be provided in English. + +The Provider's support service operations for the SecNumCloud qualified infrastructure service are located within the European Union. + +# Service Level Agreements + +The Provider undertakes to ensure continuous monitoring of the performance and security integrity of its technical infrastructure delivering the Service, ensuring optimal operation. + +Service unavailability, as defined by a performance indicator, is acknowledged as soon as it is detected by the Provider's monitoring system, or following notification from a user of the CLIENT. The start of unavailability is set at the earliest of these two events, ensuring accurate and fair calculation of downtime. + +The end of unavailability is officially marked by the complete restoration of the service, confirmed either by the Provider's monitoring tools or by user feedback, thereby ensuring an effective resumption of operations and an accurate measurement of the interruption duration. + +## Infrastructure Availability Commitments + +The Provider commits to maintaining an availability and performance level compliant with the standards defined for each specified period. Service Level Agreements (SLAs) apply provided that the CLIENT implements its systems across at least two of the Availability Zones available within the relevant Region. + +In the event that the CLIENT fails to meet these conditions, the CLIENT will be unable to claim the application of the corresponding SLAs, which are specifically identified by an asterisk (\*). SLA accessibility is provided through the CLIENT interface. Measurements are calculated on a monthly basis: + +- \*\*SLA 1 (\*) : IC-INFRA_SNC-01\*\* -- Compute power availability: guaranteed availability rate of 99.99%, calculated on a 24/7, 7 days per week basis. +- \*\*SLA 2 (\*) : IC-INFRA_SNC-02\*\* -- Storage availability: guaranteed availability rate of 99.99%, calculated on a 24/7, 7 days per week basis. +- **SLA 3 : IC-INFRA_SNC-03** -- Backup reliability: guaranteed availability rate of 99.99%, calculated on a 24/7, 7 days per week basis. +- \*\*SLA 4 (\*) : IC-INFRA_SNC-04\*\* -- Network infrastructure availability: guaranteed availability rate of 99.99%, calculated on a 24/7, 7 days per week basis. +- **SLA 5 : IC-INFRA_SNC-05** -- Internet access: guaranteed availability rate of 99.99%, calculated on a 24/7, 7 days per week basis. + +***Notes***: + +- *In response to a Distributed Denial of Service (DDoS) attack, the Provider reserves the right to adjust its internet routing configuration to mitigate the impact of the attack and protect its infrastructure. In particular, if an IP address belonging to the CLIENT is targeted, the Provider may employ blackholing via the BGP community to block all traffic destined for the targeted IP address upstream with its providers, with the aim of safeguarding the CLIENT’s resources as well as those of other CLIENTs and the Provider’s infrastructure. The Provider strongly encourages the CLIENT to adopt similar measures, such as using commercially available Web Application Firewalls, and to carefully configure its security groups via the command API.* + +- *The Provider emphasizes the importance for the CLIENT to minimize open traffic flows, particularly by avoiding exposing administrative ports **SSH** (TCP port 22) and **RDP** (TCP port 3389) to the entire Internet (0.0.0.0/0 subnet), as well as internal protocols such as **SMB** (TCP/UDP port 445) or **NFS** (TCP/UDP port 2049).* + +## Service Level Agreement for the COMMANDITAIRE Interface Availability + +- SLA 6: IC-INFRA_SNC-06 -- Access to the Service administration console: a guaranteed availability of 97%, ensured continuously, 24 hours per day, 7 days per week. +- SLA 7: IC-INFRA_SNC-07 -- Access to the Service control APIs: a 99.9% availability, calculated on a 24/7 basis. + +## Support Availability Commitment + +- **SLA 8: IC-INFRA_SNC-08** -- Performance commitments of the Provider's technical support for incidents, excluding scheduled maintenance: + +| Priority | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Priority P1** | 30 min | 95% | +| **Priority P2** | 2 h | 90% | +| **Priority P3** | 4 h | 90% | +| **Priority P4** | 24 h | 85% | +| **Priority P5** | 48 h | 85% | + +- **SLA 9: IC-INFRA_SNC-09** -- Performance commitments of the Provider's technical support for service requests: + +| Type | Response Time Guarantee (RTG) | Performance Target | +| :--- | :--- | :--- | +| **Service Request** | 4 h | 90% | + +*Note*: + +- *The Response Time Guarantee (RTG) is calculated from the difference between the time the CLIENT opens the ticket and the first intervention by the Provider's support team.* +- *Investigation of incidents affecting the CLIENTs will not include remote intervention on servers hosted by the CLIENT. Support will be limited to explaining available metrics related to the CLIENT's environment, to facilitate understanding of incidents or performance issues. Based on the analysis results, recommendations may be provided.* + +## S3 Object Storage Availability Commitment + +- **SLA 10: IC-INFRA_SNC-10** — Here are the availability commitments for S3 Object Storage: + +| Indicator | Commitment | Availability Target | +| :--- | :--- | :--- | +| **IC-INFRA-SNC-10.1** | Object storage durability within a region | 99.9999999% / year | +| **IC-INFRA-SNC-10.2** | S3 Object Storage API availability | 99.99% | +| **IC-INFRA-SNC-10.3** | Maximum latency for accessing an object within a region | 150 ms | + +Notes: + +- The Object Storage Service is specifically designed for object storage and must be used exclusively for this purpose, **strictly excluding its use in block mode**. Using it in block mode through indirect methods, such as employing *"FUSE"* in a Linux environment, constitutes a violation of the terms of use. No incident, malfunction, or damage resulting from such non-compliant usage will be covered by the Service Level Agreements (SLAs) defined in this service agreement. +- The durability guarantee is conditional upon compliant use of the services in accordance with current best practices and standards, and explicitly excludes any data modification—whether intentional or accidental—arising from actions taken by the **CLIENT**. + +## Clarification Regarding Backup Commitment + +The backup strategy deployed for the CLIENT is contingent upon the subscription to appropriate work units. + +The Provider commits to providing a backup solution enabling the CLIENT to implement desired backup policies. + +It is specified that the Provider's scope ends with the provision of a backup service, and it is the CLIENT's responsibility to monitor, via the CLIENT's interface, the proper execution of associated backup policies. + +It is further specified that management of storage capacity for the dedicated backup storage space remains the CLIENT's responsibility. The Provider will make available the utilization rate via the console. + +*Example: Failure to back up a virtual machine:* + +*The CLIENT is responsible for verifying and monitoring the proper execution of backup policies. If the CLIENT detects that a virtual machine is not being backed up, it is their responsibility to investigate the cause. The CLIENT may contact the Provider's Support team, according to the support level subscribed to, for assistance.* + +**SLA 8: IC-INFRA_SNC-08 and SLA 9** will apply exclusively in the event of a backup service incident. + +# Contractual Relationship Organization + +## Provider Responsibilities + +The Provider undertakes to: + +- Inform its CLIENT adequately (e.g., in case of limitations in technical resource capacity delivering the Service). + +- Notify the CLIENT formally and within one month of any legal, organizational, or technical change that may impact the Service’s compliance with requirements for protection against non-EU laws (Section 19.6 of the SNC v3.2 reference framework). + +- Provide the CLIENT with interfaces and service interfaces in French at a minimum. + +- Take into account sector-specific requirements related to the types of information entrusted by the CLIENT in the context of the Service implementation, within the limits of the Provider’s responsibilities on one hand, and the provisions set forth in the Contract on the other. + +- Review sector-specific requirements related to the types of information entrusted by the CLIENT in the context of the Service implementation, as subsequently communicated by the CLIENT, and inform the CLIENT of the necessary actions required to address them. + +- Not disclose any information relating to the service to third parties, except with the CLIENT’s formal and written authorization. + +- Make available all necessary information to enable compliance audits in accordance with Article 28 of the GDPR. + +- Report to the CLIENT, through this Service Agreement, any security incident impacting the Service or the CLIENT’s use of the Service (including the CLIENT’s data). + +- Allow a qualified Information Systems Security Audit Provider (PASSI), appointed by the Provider, to audit the service and its information system, in accordance with the Provider’s SecNumCloud control plan. Furthermore, the Provider undertakes to provide all necessary information to carry out compliance audits under Article 28 of the GDPR, conducted by the CLIENT or a third party appointed by the CLIENT. + +- Provide assistance and advice to the CLIENT as a subprocessor, in accordance with Article 28 of the General Data Protection Regulation (GDPR), by alerting the CLIENT as soon as an instruction issued by the CLIENT appears likely to constitute a breach of data protection rules. + +- Notify the CLIENT within a reasonable timeframe, via the CLIENT’s console or by email to the designated CLIENT contact, when a project impacts or is likely to impact the Service’s security level or availability, or results in functionality loss, potential impacts, mitigation measures implemented, and residual risks involved. + +- Document and implement all procedures necessary to comply with applicable legal, regulatory, and contractual requirements for the service, as well as the specific security needs of the CLIENT, as defined by the CLIENT and specified in the Contract. + +- Not use the CLIENT’s production data for testing purposes, except with the CLIENT’s prior explicit authorization. In such cases, the Provider undertakes to anonymize these data and ensure their confidentiality during the anonymization process. + +- Delete the CLIENT’s data and technical data, in accordance with the “Contract End Data Erasure Procedure” described in this Service Agreement, upon termination or cancellation of the Contract. + +- Ensure secure deletion of all the CLIENT’s data by fully overwriting all storage media that have hosted the CLIENT’s data within the scope of the Service. + +Upon formal and written request by the CLIENT, the Provider undertakes to: + +1. Make available to the CLIENT the Provider’s internal regulations and code of ethics; + +2. Make available to the CLIENT the sanctions applicable in case of violation of the security policy; + +3. Provide the CLIENT with all events concerning it within the Service’s logging elements; the CLIENT may also independently review events related to its use of the Service via the Service’s web interfaces and APIs; + +4. Make available to the CLIENT the procedures necessary to comply with applicable legal, regulatory, and contractual requirements for the Service, as well as the specific security needs of the CLIENT as defined in the Contract; + +5. Provide the CLIENT with risk assessment elements related to the submission of the CLIENT’s data to the jurisdiction of a non-EU country; + +6. Inform the CLIENT of any subsequent subcontractors involved in the delivery of the Service, and notify the CLIENT of any changes affecting these subcontractors. + +> The Provider and all its subsidiaries commit to respecting the fundamental values of the European Union, namely human dignity, freedom, democracy, equality, the rule of law, and respect for human rights. The service provided by the Provider complies with current legislation regarding fundamental rights and the European Union’s values concerning human dignity, freedom, equality, democracy, and the rule of law. + +## Limitation of Provider's Liability + +Due to the definitions and conditions outlined in this Service Agreement, the Provider's liabilities are limited as follows: + +1. The shared responsibility model, described in the section "Shared Responsibility Model" of this Service Agreement, effectively limits the Provider’s involvement in operational layers "above" the provision of computing, networking, storage, and backup resources. This specifically excludes, without limitation: + + - Management of what is installed on virtual machines (OS, middleware, applications, etc.); + + - Maintenance and updating of OS and other software installed by the CLIENT on its machines within its Tenants; + + - Security of programs, software, and applications installed on virtual machines; + + - Updating of virtual machines; + + - Application-level data backup. + +2. The Provider cannot commit to backing up the CLIENT’s Tenants without prior subscription by the CLIENT to the appropriate work units. + +3. The Provider cannot claim ownership of data transmitted or generated by the CLIENT. Such data remain the exclusive property of the CLIENT. + +4. The Provider emphasizes that it may in no circumstances exploit and/or use the data transmitted or generated by the CLIENT without prior explicit approval from the CLIENT, with the understanding that such data usage is reserved exclusively for the CLIENT. + +5. The Provider disclaims all liability for components physically hosted and managed by the Provider, but which are directly owned by the CLIENT or by a third party with whom the CLIENT has contracted. Hosting of physical components belonging to clients is not part of the Service and is therefore outside the scope of this Service Agreement. It is the CLIENT’s responsibility to assess the level of compliance or dependency introduced by these components in relation to the OpenIaaS Service under SecNumCloud qualification. + +## Access Restrictions + +Within the scope of the Service, the Provider is expressly prohibited from accessing Tenants belonging to the CLIENT without prior authorization. It is the responsibility of the CLIENT to provide necessary access to the Provider’s personnel, based on the specific requirements of the hosting and, where applicable, professional support services, if such an option has been selected by the CLIENT. + +The CLIENT acknowledges that such access is granted exclusively for the purposes related to the provision of the agreed services, thereby ensuring secure and compliant management in accordance with the terms of the agreement. + +Remote access by third parties involved in the Provider’s service delivery is strictly prohibited. In the event that a specific technical requirement necessitates such access, it may only be established after clearly notifying the CLIENT, providing a detailed justification, and obtaining the CLIENT’s written consent. + +This measure ensures control and security of the CLIENT’s data, by guaranteeing that any exception to the rule is duly authorized and documented. + +## Responsibilities of Third Parties Participating in Service Delivery + +The Provider maintains a list of third-party partners involved in the delivery of the Service. These third parties include software vendors, service providers (of the Provider), and other suppliers participating in the delivery of the Service. The Provider implements the following measures with respect to these third parties: + +- The Provider requires all third parties involved in service implementation, in their contribution to the Service, to maintain a security level at least equivalent to the one it commits to maintaining in its own security policy applicable to the Secure Temple Service; + +- The Provider contracts with each third party involved in service implementation specific audit clauses enabling a qualified body to verify that these third parties comply with legal requirements and SNC requirements, thereby allowing the Provider to fulfill its obligations under this Service Agreement; + +- The Provider implements a procedure to regularly monitor the measures implemented by third parties involved in service delivery to ensure compliance with the Provider’s requirements for fulfilling its obligations under this Service Agreement; + +- The Provider conducts ongoing monitoring of changes made by third parties involved in service implementation that could impact the security level of the Service’s information system. + +## Responsibilities and Obligations of the CLIENT + +The CLIENT has the following obligations in the context of the Service: + +- For information, the Provider delivers to the CLIENT a virtual machine execution platform; the configuration of these virtual machines is the responsibility of the CLIENT. Each virtual machine cannot operate without an associated backup policy. The Provider defines automatic backup policies via its interfaces. However, it is the CLIENT’s responsibility to activate these backup policies and thus to activate the virtual machines. + +- The CLIENT authorizes ANSSI and the SNC qualification body to audit the Service and the technical infrastructure delivering the Service. + +- The CLIENT is responsible for informing the Provider of any specific sectoral requirements related to the types of information entrusted by the CLIENT and which must be taken into account by the Provider. + +- The CLIENT agrees not to request from the Provider any requirements or actions that would deviate the Provider from the current version of the SecNumCloud reference framework, or that would lower the security level established by compliance with the requirements of this same reference framework. + +## Rights of the CONTRACTOR + +At any time during the contractual relationship, the CONTRACTOR may file a complaint regarding the qualified service with ANSSI. + +At any time, the CONTRACTOR may request the Provider to make its internal regulations and code of ethics accessible. + +## Data Deletion at Contract End + +Upon termination of the contract, whether by expiry or for any other reason, the Provider undertakes to securely erase all data belonging to the CLIENT, including technical data. The Provider will ensure to issue a formal notice to the CLIENT, respecting a notice period of twenty-one (21) calendar days. The CLIENT's data will then be deleted within a maximum period of thirty (30) days following this notification. + +To confirm this deletion, the Provider will deliver to the CLIENT a certificate verifying the erasure of the data. + +# Lifecycle of the Present Service Agreement + +## Effective Date of the Service Agreement + +This Service Agreement becomes effective on the date of its signature by the CLIENT. + +The collection, handling, storage, and processing of data carried out in the context of pre-sales, implementation, and termination of the Service are conducted in compliance with applicable legislation. + +## Service Agreement Updates + +Any modifications or additions to this Service Agreement shall result exclusively from requests submitted by the designated governance bodies. These proposed changes will be reviewed by the Parties, who are authorized to determine which aspects require formal written documentation. + +It is agreed that any update to the Service Agreement, following validation, which alters the initially established financial conditions, will require the preparation and signing of an amendment to the ongoing Contract. + +Factors that may trigger a revision of this Service Agreement include, but are not limited to: + +- Evolution of the technical infrastructure delivering the OpenIaaS Service; +- Adjustments made by the Provider to the services deployed to deliver the Service; +- Changes in commitments and applicable penalties; +- Organizational reconfigurations within the CLIENT or the Provider; +- Expansion or reduction of the Service's scope of application. + +Version and revision management of the Service Agreement is documented in the preamble of the document to facilitate tracking. + +### Evolutions triggered by the CLIENT + +The changes to the Service Agreement may, in particular, originate from: + +- An evolution of the infrastructure managed by the Provider; + +- A modification of the services implemented by the Provider; + +- A change in the service level commitments by the Provider. + +### Changes initiated by the Provider + +Any modification to the Service Agreement is subject to acceptance by the **CLIENT**. It is understood that any validated modification or addition altering the financial terms of the Contract may require the signing of an amendment thereto. + +## Reversibility + +Furthermore, Cloud Temple undertakes to allow the revision of this Service Agreement (including its termination) without penalty for the CLIENT in the event of loss of SecNumCloud qualification. + +The Services do not include a reversibility obligation (i.e., assistance to the CLIENT to enable migration of its system to another "Provider"), except for the provision by the Provider to the CLIENT of the CLIENT interface, enabling the CLIENT to back up and retrieve its data—including configuration data of its information system—through one of the following technical options, at the CLIENT’s discretion: +- The delivery of files in one or more documented and usable formats outside the service provided by the Provider; or +- The implementation of technical interfaces enabling access to data according to a documented and usable schema (API). + +The CLIENT, as sole owner of its system, must take all necessary measures to facilitate this operation as needed (including, notably, establishing rigorous documentation and developing reversibility plans). In the event the CLIENT requires additional support, the Provider may offer advisory services in this regard under a separate contract to be negotiated. + +# Service Availability, Continuity, and Restoration + +## Incident and Outage Management + +### Incidents + +#### Types of Incidents Covered under this Service Agreement + +- Incidents; + +- Outages and failures; + +- Security incidents impacting the availability, confidentiality, or integrity of the Service. + +#### Incident Management + +> The Provider shall inform the CLIENT as soon as possible of any incidents or outages, through a notification in the CLIENT's console or by email to the designated CLIENT contact. The Provider shall inform the CLIENT about the incident resolution via the same channel used to report the incident, or via the channel specified in the incident notification. + +#### Security Incident Notification Level + +The CONTRACTOR is responsible for selecting the severity levels of security incidents for which it wishes to be notified, for example by formalizing them in an applicable SLA for the Service. + +By default, the CONTRACTOR is notified of: + +- Security incidents with impact (impact levels I1 and I2 according to the impact scale defined in the prioritization process for handling incidents in this Service Agreement); + +- Security incidents affecting the confidentiality or integrity of the CONTRACTOR’s data entrusted within the scope of the Service; + +- Personal data breaches for which the CONTRACTOR is responsible for processing in accordance with Article 8 of Annex DPA under the Service; + +## Service Maintenance + +### Nature of Maintenance + +Data breaches involving personal data for which the Provider is responsible for processing, and which include personal data of the CLIENT, in accordance with Article 8 of Annex DPA. The maintenance provided consists of: + +- Implementation of the Service’s operational continuity plan to ensure good availability indicators, as committed to by the Provider above; + +- Implementation of the PCA/PRA plan, if subscribed to by the CLIENT, triggered according to any incidents that may occur. + +### Remote Access to Cloud Temple within the COMMANDITAIRE's Scope + +Under the terms of this Service Agreement, the Provider is prohibited from accessing the Tenants or the COMMANDITAIRE's interface environment. + +It shall be the responsibility of the COMMANDITAIRE to grant the necessary access to the Provider's personnel. The COMMANDITAIRE acknowledges that such access will be used solely for hosting purposes and ultimately for managed services (if subscribed to by the COMMANDITAIRE). + +### Third-party remote access participating in service delivery within the COMMANDITAIRE's scope + +No third-party remote access participating in the provision of the Service is permitted. + +If a technical requirement made such access necessary, then this type of access would only be granted after notifying the COMMANDITAIRE, providing justification, and obtaining their written approval. + +# Data Deletion Procedure at Contract End + +At the end of the Contract, whether due to its natural expiration or for any other reason, the Provider shall ensure the secure deletion of all data processed under the Service, including the COMMANDITAIRE's technical data. The Provider shall provide formal notice with a minimum lead time of twenty-one (21) calendar days. The COMMANDITAIRE's data shall be deleted within a maximum period of thirty (30) days following notification. The Provider shall issue a data deletion certificate to the COMMANDITAIRE. + +# Applicable Law + +## In general + +The governing law and jurisdiction applicable to this Service Agreement is French law. + +## Compliance with Applicable Laws and Regulations + +The Provider undertakes the following: + +- Identification of legal and regulatory requirements applicable within the scope of the Service; + +- Compliance with applicable legal and regulatory requirements regarding data entrusted to the Provider, within the limits of the Provider’s responsibilities on one hand, and the provisions set forth in the Contract on the other hand; + +- Compliance with the Data Protection Act (Loi informatique et liberté) and the GDPR; + +- Implementation of measures to protect personal data; + +- Establishment of a legal and regulatory monitoring process; + +- Maintaining appropriate relationships or ongoing monitoring with sectoral authorities relevant to the nature of the data processed under the Service. This includes, in particular, ANSSI, CERT-FR, and CNIL. + +## GDPR + +Acting as a data processor within the meaning of Article 28 of the General Data Protection Regulation (GDPR), the Service Provider undertakes: + +- To ensure transparency and traceability; + +- To appoint a Data Protection Officer (DPO) responsible for defining and implementing measures to protect personal data; + +- To provide assistance and advice to the CLIENT and alert the CLIENT if an instruction from the latter constitutes a breach of personal data protection rules, provided the Service Provider has the means to identify such a breach; + +- To guarantee data security for the processed data (due to the SecNumCloud certification). + +## Protection vis-à-vis du droit extra-européen + +The registered office of the Provider is located within a Member State of the European Union. The share capital and voting rights in the Provider's company are not, directly or indirectly: + +- held individually by more than 24%; + +- and held collectively by more than 39%; + +by third-party entities whose registered office, central administration, or principal establishment is located within a country that is not a Member State of the European Union. + +In the event that the Provider, in the course of providing the Service, relies on the services of a third-party company—including a subcontractor—whose registered office, central administration, or principal establishment is located within a country that is not a Member State of the European Union, or which is owned or controlled by a third-party company domiciled outside the European Union, the Provider undertakes: + +- that such third-party company shall have no access to the operational data; + +- and that it shall maintain operational autonomy through the ability to engage another subcontractor or to quickly implement an alternative technological solution. + +For the purposes of this article, the notion of control is understood as defined in paragraph II of Article L233-3 of the French Commercial Code. + +# SIGNATURES + +Made at \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, on +\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_ + +For Cloud Temple, the SERVICE PROVIDER + +For \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_, the CLIENT \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md b/i18n/en/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md index acccccca..1d578baa 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/contractual/paas/mco_mcs.md @@ -2,214 +2,202 @@ title: MCO/MCS --- -**Politique de Maintien en Conditions Opérationnelles (MCO) et de Maintien en Conditions de Sécurité (MCS) sur le PaaS OpenShift SNC **Cloud Temple**** +**Operational Readiness Policy (MCO) and Security Readiness Policy (MCS) for the OpenShift SNC PaaS on Cloud Temple** -## Préambule +## Preamble -Cette politique détaille les responsabilités et les recommandations pour le Maintien en Conditions Opérationnelles (MCO) et le Maintien en Conditions de Sécurité (MCS) de vos environnements sur le PaaS OpenShift SNC **Cloud Temple**. +This policy outlines the responsibilities and recommendations for Operational Readiness Maintenance (ORM) and Security Compliance Maintenance (SCM) of your environments on the OpenShift SNC PaaS **Cloud Temple**. ---- +## Operational Readiness Maintenance (ORM) -## Maintien en Conditions Opérationnelles (MCO) +### Cluster Management and Updates -### Gestion et mise à jour des clusters +**Cloud Temple Responsibility:** -**Responsabilité **Cloud Temple** :** +- Full management of the underlying infrastructure, including master nodes, OpenShift version updates, and resilience of critical services deployed by **Cloud Temple**. +- Automatic minor/patch updates with no downtime for hosted workloads, unless otherwise notified. +- Restriction of permissions and features according to SecNumCloud constraints. +- Communication of upcoming updates and release-breaking changes for the next three months via the [**Cloud Temple Roadmap**](https://github.com/orgs/Cloud-Temple/projects/2) -- Gestion complète de l'infrastructure sous-jacente, incluant les nœuds maîtres, les mises à jour de versions OpenShift, et la résilience des services critiques déployés par **Cloud Temple**. -- Mises à jour mineures/patches automatiques sans interruption pour les charges de travail hébergées, sauf notification contraire. -- Limitation des droits et des fonctionnalités aux contraintes SecNumCloud. -- Communication des mises à jour à venir et des mises à jour de fractures sur les trois prochains mois via la [**Roadmap Cloud Temple**](https://github.com/orgs/Cloud-Temple/projects/2) +**User Responsibility:** -**Responsabilité de l'utilisateur :** +- Management of deployed workloads (applications, CI/CD tools) and their configurations. +- Testing workload updates in a staging environment before deploying to production. +- Ensuring workload compatibility with cluster components. -- Gestion des charges de travail déployées (applications, outils CI/CD) et de leurs configurations. -- Tests des mises à jour de charge de travail sur un environnement de staging avant déploiement en production. -- Assurance de la compatibilité des charges de travail avec les composants du cluster. +**Recommendations:** -**Recommandation :** +- Schedule application deployments outside maintenance windows to avoid conflicts with automatic cluster updates. +- Monitor **Cloud Temple** communications regarding major updates to plan necessary adjustments. +- Follow upcoming updates via the [**Product Roadmap**](https://github.com/orgs/Cloud-Temple/projects/2) +- Subscribe to [**incident notifications**](../../console/status.md#management-of-notifications) -- Planifier les déploiements applicatifs en dehors des fenêtres de maintenance pour éviter les conflits avec les mises à jour automatiques du cluster. -- Suivre les communications **Cloud Temple** concernant les mises à jour majeures pour planifier les ajustements nécessaires. -- Suivre les mises à jour à venir via la [**Roadmap produit**](https://github.com/orgs/Cloud-Temple/projects/2) -- S'abonner aux notifications [**d'incidents**](../../console/status.md#gestion-des-notifications) +### Monitoring and Supervision ---- +**Cloud Temple Responsibility:** -### Supervision et monitoring +- Monitoring and supervision of the infrastructure and underlying services deployed by **Cloud Temple**. -**Responsabilité **Cloud Temple** :** +**User Responsibility:** -- Supervision et monitoring de l'infrastructure et des services sous-jacents déployés par **Cloud Temple**. +- Monitoring and supervision of your workloads. -**Responsabilité de l'utilisateur :** +**Recommendation:** -- Supervision et monitoring de ses charges de travail. +Use the **native tools provided**: -**Recommandation :** +- Performance log and event analysis via the OpenShift console. +- Custom alert configuration based on cluster and pod metrics through the user interface. -Utiliser les **outils natifs fournis :** +Set critical alert thresholds: -- Analyse des logs de performance et des événements via la console OpenShift. -- Configuration d'alertes personnalisées à partir des métriques du cluster et des pods via l'interface utilisateur. - -Configurer des seuils critiques d'alerte : +- **Pod CPU/Memory usage**: ≥ 80%. +- **Disk space on persistent volumes**: ≥ 85%. +- **Pod startup failures**: more than X occurrences within 10 minutes. -- **CPU/Mémoire** des pods : ≥ 80 %. -- **Espace disque sur les volumes persistants** : ≥ 85 %. -- **Échecs au démarrage des pods** : plus de X occurrences en 10 minutes. - -Automatiser l’escalade des alertes vers vos outils de gestion pour une réaction rapide. +Automatically escalate alerts to your incident management tools for rapid response. ---- +### Backups and Restoration -### Sauvegardes et restauration +Critical cluster components are automatically backed up by **Cloud Temple**. User workloads and data require dedicated management. -Les composants critiques du cluster sont sauvegardés automatiquement par **Cloud Temple**. Les charges de travail et les données des utilisateurs nécessitent une gestion dédiée. +**Cloud Temple Responsibility:** -**Responsabilité **Cloud Temple** :** +- Automatic redundancy mechanisms within the infrastructure. +- Automatic backups of cluster configurations. -- Mécanismes de redondance automatique au sein de l’infrastructure. -- Sauvegardes automatiques des configurations de cluster. +**User Responsibility:** -**Responsabilité de l'utilisateur :** +- Back up critical workload data using solutions such as **Kasten**, available in the **Cloud Temple** catalog. -- Sauvegarder les données critiques des charges de travail en utilisant des solutions telles que l'offre **Kasten** disponible dans le catalogue **Cloud Temple**. +**Recommendation:** -**Recommandation :** +- Implement regular backup policies: + - Automatic backups of Persistent Volumes (PVs) using Kasten. + - Daily backups of Kubernetes configurations, secrets, and YAML deployments. +- Regularly test restorations to validate RPO. -- Mettre en place des politiques de sauvegarde régulières : - - Sauvegardes automatiques des PV avec Kasten. - - Sauvegarde quotidienne des configurations Kubernetes, secrets, et déploiements YAML. -- Tester régulièrement les restaurations pour valider les RPO. +## Safety Condition Maintenance (SCM) ---- +### Secret and Configuration Management -## Maintien en Conditions de Sécurité (MCS) +Use OpenShift/Kubernetes secrets and recommend integrating centralized secret management systems. -### Gestion des secrets et des configurations +**Cloud Temple Responsibility:** -Utilisation des secrets OpenShift/Kubernetes et recommandation d'intégrer des systèmes de gestion centralisée des secrets. +- Management of secrets and configuration for the infrastructure and underlying services supporting the offering is the responsibility of **Cloud Temple**. -**Responsabilité **Cloud Temple** :** +**Customer Responsibility:** -- La gestion des secrets et de la configuration de l'infrastructure et des services sous-jacents à l'offre est de la responsabilité de **Cloud Temple**. +- Management of secrets and configuration for the **Customer**'s workloads is the responsibility of the **Customer**. -**Responsabilité de l'utilisateur :** +**Recommendation:** -- La gestion des secrets et de la configuration des charges de travail du **Client** est de la responsabilité du **Client**. - -**Recommandation :** +- Do not store secrets in plain text within YAML files. +- Use tools to encrypt sensitive information. -- Ne pas stocker de secrets en texte clair dans les fichiers YAML. -- Utiliser des outils pour chiffrer les informations sensibles. +### Access Control (IAM) -### Contrôle des accès (IAM) +Access reviews are performed through the Console and the "User Management" module within the OpenShift console. -La revue des accès se réalise par l'intermédiaire de la console Shiva et du module "User Management" de la console OpenShift. +For more details on this feature, refer to our [**guide**](../../console/iam/iam.md) and the [**documentation**](https://docs.redhat.com/en/documentation/openshift_container_platform/) provided by the vendor. -Pour plus de détails sur cette fonctionnalité, se référer à notre [**guide**](../../console/iam/iam.md) et à la [**documentation**](https://docs.redhat.com/en/documentation/openshift_container_platform/) de l'éditeur. +**Responsibility of Cloud Temple:** -**Responsabilité **Cloud Temple** :** +- **Cloud Temple** is responsible for managing service and administrative accounts. +- **Cloud Temple** is responsible for integrating with the **Cloud Temple** identity system to manage access. +- **Cloud Temple** is responsible for the default setup of **RBAC** configuration and initial user permission restrictions. +- **Cloud Temple** is responsible for providing and maintaining the **multi-factor authentication** system to strengthen access security. -- **Cloud Temple** est responsable de la gestion des comptes de service et d'administration. -- **Cloud Temple** est responsable de l'intégration au système d'identité **Cloud Temple** pour gérer les accès. -- **Cloud Temple** est responsable de la mise en place par défaut de la configuration **RBAC** et des restrictions des droits des utilisateurs initiales. -- **Cloud Temple** est responsable de la fourniture du système de **double authentification** et de son maintien pour renforcer les accès. - -**Responsabilité de l'utilisateur :** +**Responsibility of the User:** -- Le **Client** doit contrôler régulièrement les accès de ses utilisateurs. -- Le **Client** est responsable de l'octroi des accès à ses utilisateurs et de leur onboarding dans le tenant. -- Le **Client** doit gérer ses utilisateurs dans le respect des limitations imposées par le système **Cloud Temple**. +- The **Client** must regularly review user access. +- The **Client** is responsible for granting access to its users and onboarding them into the tenant. +- The **Client** must manage its users in compliance with the limitations imposed by the **Cloud Temple** system. -### Gestion des vulnérabilités +### Vulnerability Management -Les vulnérabilités sur l'infrastructure et les services sous-jacents à l'offre seront communiquées dans le module incident. +Vulnerabilities on the infrastructure and underlying services supporting the offering will be communicated through the incident module. -**Responsabilité **Cloud Temple** :** +**Cloud Temple Responsibility:** -- **Cloud Temple** est responsable de la communication des vulnérabilités sur l'infrastructure et les services sous-jacents à l'offre dès leur détection via le module [**incident**](../../console/status.md) de la console SHIVA. -- **Cloud Temple** est responsable de l'application des correctifs sur ce périmètre. -- **Cloud Temple** est responsable de la mise à disposition d'outils pour analyser les vulnérabilités des images Docker. Par défaut, **Cloud Temple** met en place **[Quay]** pour effectuer le scan automatique des images Docker. +- **Cloud Temple** is responsible for communicating vulnerabilities on the infrastructure and underlying services as soon as they are detected, via the [**incident**](../../console/status.md) module in the Console. +- **Cloud Temple** is responsible for applying patches within this scope. +- **Cloud Temple** is responsible for providing tools to analyze vulnerabilities in Docker images. By default, **Cloud Temple** deploys **[Quay]** to perform automated scanning of Docker images. -**Responsabilité de l'utilisateur :** +**Customer Responsibility:** -- Le **Client** est responsable de la détection et de la correction des vulnérabilités dans ses charges de travail. -- Le **Client** est responsable de mettre à niveau ses charges de travail pour permettre l'application des patchs de sécurité au plus vite. +- The **Customer** is responsible for detecting and remedying vulnerabilities within their workloads. +- The **Customer** is responsible for updating their workloads to enable the prompt application of security patches. -**Recommandation :** +**Recommendation:** -- Utiliser l'alerting du cluster fourni par **[Quay]** pour analyser les vulnérabilités et détecter les comportements anormaux dans les images utilisées par le **Client**. -- S'abonner aux notifications d'[**incidents**](../../console/status.md#gestion-des-notifications). +- Use the cluster alerting provided by **[Quay]** to analyze vulnerabilities and detect anomalous behaviors in the images used by the **Customer**. +- Subscribe to notifications from [**incidents**](../../console/status.md#management-of-notifications). -### Chiffrement +### Encryption -Garantie d'un chiffrement natif sur l'infrastructure **Cloud Temple**, avec recommandations pour les charges de travail. +Guaranteed native encryption on the **Cloud Temple** infrastructure, with recommendations for workloads. -**Responsabilité **Cloud Temple** :** +**Cloud Temple Responsibility:** -- Mécanismes de redondance au sein de l’infrastructure. -- Sauvegardes automatiques des configurations de cluster. +- Redundancy mechanisms within the infrastructure. +- Automatic backups of cluster configurations. -**Responsabilité de l'utilisateur :** +**User Responsibility:** -- Sauvegarder les données critiques des charges de travail en utilisant des solutions telles que l'offre **Kasten** disponible dans le catalogue **Cloud Temple**. -- S'assurer que les charges de travail utilisent les mécanismes de résilience et adapter les déploiements pour les mettre en œuvre. +- Back up critical workload data using solutions such as the **Kasten** offering available in the **Cloud Temple** catalog. +- Ensure workloads use resilience mechanisms and adjust deployments accordingly. -**Recommandation :** +**Recommendation:** -- Activer le **chiffrement TLS** pour toutes les communications intra-pod. -- Activer le **chiffrement TLS** pour toutes les communications entre les Offres PaaS et IaaS **Cloud Temple**. -- Assurer le chiffrement des données au repos via les solutions de stockage **Cloud Temple**. +- Enable **TLS encryption** for all intra-pod communications. +- Enable **TLS encryption** for all communications between **Cloud Temple** PaaS and IaaS offerings. +- Ensure data-at-rest encryption via **Cloud Temple** storage solutions. -### Journalisation et audit +### Logging and Auditing -Enregistrement automatique des événements critiques du cluster. +Automatic recording of critical cluster events. -**Responsabilité **Cloud Temple** :** +**Cloud Temple Responsibility:** -- **Cloud Temple** est responsable de la journalisation et de l'audit de l'infrastructure et des services sous-jacents à l'offre. +- **Cloud Temple** is responsible for logging and auditing the infrastructure and underlying services supporting the offering. -**Responsabilité de l'utilisateur :** +**User Responsibility:** -- Le **Client** est responsable de la journalisation et de l'audit de ses charges de travail. - -**Recommandation :** +- The **Customer** is responsible for logging and auditing their workloads. -- Configurer des pipelines pour centraliser et analyser les logs de vos charges de travail : - - Utiliser des collecteurs, pour l'agrégation de logs, avec un outil de visualisation. - - Intégrer les logs à votre **SIEM** (recommandé). +**Recommendation:** ---- - -## Gestion des incidents et PCA (Plan de Continuité d’Activité) +- Set up pipelines to centralize and analyze your workload logs: + - Use log collectors for aggregation, combined with a visualization tool. + - Integrate logs into your **SIEM** (recommended). -**Responsabilité **Cloud Temple** :** +## Incident Management and Business Continuity Plan (BCP) -- **Cloud Temple** est responsable des mécanismes de redondance au sein de l’infrastructure. -- **Cloud Temple** est responsable des sauvegardes automatiques des configurations de cluster. -- **Cloud Temple** est responsable de la reprise de l'activité après incident sur l'infrastructure ou sur les services sous-jacents à l'offre. +**Cloud Temple Responsibility:** -**Responsabilité de l'utilisateur :** +- **Cloud Temple** is responsible for redundancy mechanisms within the infrastructure. +- **Cloud Temple** is responsible for automated backups of cluster configurations. +- **Cloud Temple** is responsible for resuming operations after an incident affecting the infrastructure or underlying services supporting the offering. -- Le **Client** est responsable de sauvegarder les données critiques des charges de travail en utilisant des solutions telles que l'offre **Kasten** disponible dans le catalogue **Cloud Temple**. -- Le **Client** doit s'assurer que les charges de travail utilisent les mécanismes de résilience et doit adapter ses déploiements pour les mettre en œuvre. -- Le **Client** est responsable du PRA/PCA de ses charges de travail. +**Customer Responsibility:** -**Procédure "Reprise après sinistre"** +- The **Customer** is responsible for backing up critical workload data using solutions such as the **Kasten** offering available in the **Cloud Temple** catalog. +- The **Customer** must ensure that workloads leverage resilience mechanisms and must adapt their deployments accordingly. +- The **Customer** is responsible for the Business Impact Analysis (BIA) and Business Continuity Plan (BCP) of their workloads. -- En cas de perte complète d'accès à un cluster, le **Client** doit déclarer un incident auprès du support **Cloud Temple** via le module support de la console. -Voir la [**procédure de demande de support technique**](../../console/console_quickstart.md#accès-au-support-technique) +**"Disaster Recovery" Procedure** ---- +- In case of complete loss of access to a cluster, the **Customer** must report an incident to **Cloud Temple** support via the support module in the console. +See the [**technical support request procedure**](../../console/console_quickstart.md#accessing-technical-support) -## Recommandations générales +## General Recommendations -1. **Planifier les ressources** : Assurer une capacité de cluster suffisante pour les charges de travail de pointe. -2. **Valider les configurations** : Tester les applications dans des environnements de staging avant déploiement en production. -3. **Surveiller régulièrement** : Utiliser les outils intégrés pour suivre l'utilisation des ressources et détecter les problèmes le plus tôt possible. -4. **Se tenir informé** : Suivre la roadmap et les guides pour éviter les fonctionnalités obsolètes. -5. **Contacter le support** : Pour les problèmes non résolus, contacter le support via la [**procédure de demande de support technique**](../../console/console_quickstart.md#accès-au-support-technique) ou par mail à l'adresse [**contact**](mailto:contact@cloud-temple.com). +1. **Plan resources**: Ensure sufficient cluster capacity for peak workloads. +2. **Validate configurations**: Test applications in staging environments before deploying to production. +3. **Monitor regularly**: Use built-in tools to track resource usage and detect issues as early as possible. +4. **Stay informed**: Follow the roadmap and guides to avoid deprecated features. +5. **Contact support**: For unresolved issues, contact support via the [**technical support request procedure**](../../console/console_quickstart.md#access-to-technical-support) or by email at [**contact**](mailto:contact@cloud-temple.com). -Pour retrouver les responsabilités en détail, merci de prendre connaissance de notre [**matrice de responsabilité**](./raci.md). +For detailed responsibilities, please review our [**responsibility matrix**](../../contractual/paas/raci.md). \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/home.md b/i18n/en/docusaurus-plugin-content-docs/current/home.md index 7e354279..e200b4fa 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/home.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/home.md @@ -7,7 +7,7 @@ tags: # Welcome to the Documentation Space -Welcome to the **Cloud Temple** documentation space! This area has been designed to guide you through managing your Cloud Temple services via our **Cloud Temple Console**, also known as **Shiva**. +Welcome to the **Cloud Temple** documentation space! This space has been designed to guide you through managing your Cloud Temple services via our **Cloud Temple Console**. ## Getting Started @@ -28,7 +28,7 @@ Welcome to the **Cloud Temple** documentation space! This area has been designed Get started →
-

Deploy with just a few clicks

+

Deploy with a few clicks

Set up your services easily with our detailed guides.

Deploy →
@@ -36,8 +36,8 @@ Welcome to the **Cloud Temple** documentation space! This area has been designed ## How to use this documentation? -This documentation is your guide to unlocking the full potential of our Cloud products and the **Cloud Temple** console. +This documentation is your guide to unlocking the full potential of our Cloud products and the **Cloud Temple Console**. You'll find tutorials, technical guides, and references to simplify the management of your cloud resources. -We hope you find this documentation helpful and fully take advantage of the possibilities offered by **Shiva**. \ No newline at end of file +We hope you find this documentation helpful and make the most of the opportunities offered by **Console**. \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/housing/tutorials.md b/i18n/en/docusaurus-plugin-content-docs/current/housing/tutorials.md index e15289b1..00c98e64 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/housing/tutorials.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/housing/tutorials.md @@ -2,10 +2,10 @@ title: Tutorials --- -These tutorials help you deploy and manage a Cloud Temple Bastion from the Shiva portal. +These tutorials help you deploy and manage a Cloud Temple Bastion from the Console portal.

Tutorials

-

No Tutorial is available yet, but we are working on it actively. Come back soon for more information!

- Access the Home Page → +

No tutorials are currently available, but we are working on them actively. Please check back soon for more information!

+ Go to the Home Page →
\ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md index dc22eee6..733ca408 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/concepts.md @@ -20,7 +20,7 @@ This architecture is based on the __VersaStack__ model, a strategic alliance bet Although fully automated through APIs and a Terraform provider, Cloud Temple's IaaS offering provides a unique infrastructure: - __Dedicated resources__: Compute blades, storage volumes, and software stacks (virtualization, backup, firewalling, etc.) are never shared among clients. -- __Maximum predictability__: You control virtualization rates, storage IOPS load, and benefit from clear, consumption-based monthly billing. +- __Maximum predictability__: You control virtualization rates, IOPS pressure on storage, and benefit from clear, consumption-based monthly billing. The platform is certified __SecNumCloud__ by the [ANSSI](https://www.ssi.gouv.fr/), ensuring a high level of automation and security. @@ -31,7 +31,7 @@ The platform is certified __SecNumCloud__ by the [ANSSI](https://www.ssi.gouv.fr - Networking resources (Internet, private networks). - Cross-backups with configurable retention. - Asynchronous replication for storage or virtual machines. -- Management via the [Shiva Console](../console/console.md) or in Infrastructure as Code mode using APIs and the Terraform provider. +- Management via the [Console](../console/console.md) or in Infrastructure as Code mode using APIs and the Terraform provider. ## Benefits @@ -50,11 +50,11 @@ The OpenIaaS product is deployed within an availability zone. An availability zone is part of a region. This deployment model allows you to choose the location of clusters and distribute them across different availability zones (AZ). -This provides better load distribution, maximizes redundancy, and simplifies the implementation of a Disaster Recovery Plan (DRP) in case of an incident. +This provides better load distribution, maximizes redundancy, and facilitates the implementation of a Disaster Recovery Plan (DRP) in the event of an incident. ## Compute Blade Classes -The available compute blades for the Bare Metal offering provide a range of performance levels to meet diverse requirements: +The available compute blades for the Bare Metal offering provide a range of performance options to meet diverse requirements: | Reference | RAM __(1)__ | Frequency __(2)__ | Number of Cores / Threads | Connectivity __(3)__ | GPU __(4)__ | |-----------------------|--------------|-------------------------------------------|---------------------------|----------------------|----------------------| @@ -80,7 +80,7 @@ Infrastructure availability is guaranteed at 99.9%, measured monthly, including Distributed block storage, based on __IBM Spectrum Virtualize__, offers a range of performance tiers suited to various use cases: -| Reference | IOPS/To | Primary Usage | +| Reference | IOPS/To | Primary Use Case | |-----------------------------------|-------------------------|----------------------------------------| | __FLASH - Essential__ | 500 | Light workloads | | __FLASH - Standard__ | 1500 | Standard workloads | @@ -97,18 +97,16 @@ Distributed block storage, based on __IBM Spectrum Virtualize__, offers a range ### Storage Block Security and Encryption -To ensure the confidentiality of your data at rest, our entire block storage infrastructure integrates a robust hardware-based encryption. +To ensure the confidentiality of your data at rest, our entire block storage infrastructure integrates a robust hardware-based encryption solution. - **Encryption Type**: Data is encrypted directly on the disks (`Data At Rest`) using the **XTS-AES 256** algorithm. - **Compliance**: This encryption method complies with the **FIPS 140-2** standard, ensuring a high level of validated security. - **Operation**: Encryption is applied at the time data is written to the physical storage medium. -:::warning Attention point regarding replication +:::warning Attention Point on Replication It is important to note that this encryption protects data stored on disks. It is not active "on-the-fly," meaning data is not encrypted during storage replication operations between availability zones. Security of transfers is ensured through dedicated and secure communication channels. ::: ---- - ## Networks The OpenIaaS product is compatible with [private networks](../network/private_network) and [internet access](../network/internet). @@ -117,35 +115,35 @@ Two types of networks are available from the virtual machine configuration. ### VLAN-type networks -VLAN-type networks are deployed at a rate of one VLAN per network interface card. If you want to use multiple networks, simply create multiple network interface cards. +VLAN-type networks must be deployed at a rate of one VLAN per network interface card. If you wish to use multiple networks, simply create multiple network interface cards. A limitation exists regarding the maximum number of network cards that can be created on a VM, which is 7. ### VLAN Trunk When you need to propagate more than 7 VLANs, you must use a VLAN Trunk. -The VLAN Trunk allows all your VLANs to pass through a single network interface. VLAN ID configurations must be performed via virtual VLAN interfaces from the VM's operating system. The VLAN IDs are the same as those present and visible from the console. +The VLAN Trunk allows all your VLANs to pass through a single network interface. VLAN ID configuration must be performed via virtual VLAN interfaces from the VM's operating system. The VLAN IDs are the same as those present and visible from the console. ## Virtual Machine Backup -Cloud Temple offers a __native, non-disruptive distributed backup architecture__, a mandatory requirement for achieving French SecNumCloud certification. +Cloud Temple offers a __native, non-disruptive distributed backup architecture__, a mandatory requirement for compliance with the French SecNumCloud certification. -Backups are stored on the [SecNumCloud-qualified Object Storage](../storage/oss) solution, ensuring optimal protection in the event of a major datacenter failure. This approach enables data restoration on a secondary datacenter, even in critical incidents such as fires. +Backups are stored on the [SecNumCloud-certified Object Storage](../storage/oss) solution, ensuring optimal protection in the event of a major datacenter failure. This approach enables data restoration on a secondary datacenter, even in critical incidents such as fires. This comprehensive solution includes: - Hot off-site backup of all virtual disks -- Flexible restoration capabilities allowing selection of both recovery point and location +- Flexible restoration options allowing selection of both recovery point and location The backup infrastructure is based on an open-source, agentless architecture, combining ease of use with automated processes. This solution optimizes storage space utilization while maintaining high performance. -Backup and restoration speeds depend on the rate of change within the environments. Backup policies are fully configurable per virtual machine via the [Cloud Temple Console](../console/console.md). +Backup and restore speeds depend on the rate of change within the environments. Backup policies are fully configurable per virtual machine via the [Cloud Temple Console](../console/console.md). __Important note:__ -*Some virtual machines are incompatible with this backup technology*, which relies on the hypervisor's snapshot mechanisms. This typically applies to machines with continuous disk write workloads. In such cases, the hypervisor cannot complete the snapshot, requiring the virtual machine to be frozen to finalize the operation. This freeze can last several hours and cannot be interrupted. +*Some virtual machines are incompatible with this backup technology*, which relies on the hypervisor’s snapshot mechanisms. This typically applies to machines with continuous disk write workloads. In such cases, the hypervisor cannot complete the snapshot, requiring the virtual machine to be frozen to finalize the operation. This freeze can last several hours and cannot be interrupted. -The recommended solution is to exclude the disk subject to constant writes and instead back up the data using an alternative method. +The recommended solution is to exclude the disk subject to continuous writes and instead back up the data using an alternative method. | Reference | Unit | SKU | | ----------------------------------------------| ----- | ------------------------------ | @@ -167,9 +165,9 @@ Creating a new backup policy is done through a __service request__ specifying: ### vCPU Resource Management -vCPU resource modifications are performed while the machine is powered off (cold). The platform supports up to 254 vCPUs per virtual machine (theoretical limit), with successful tests conducted on Linux VMs equipped with 128 vCPUs. +vCPU resource modifications must be performed while the machine is powered off (cold). The platform supports up to 254 vCPUs per virtual machine (theoretical limit), with successful testing conducted on Linux VMs equipped with 128 vCPUs. -It is important to note that guest operating system support is a determining factor when allocating resources. Allocating resources beyond the limits supported by the guest operating system may result in significant performance issues. +It is important to note that guest operating system support is a determining factor when allocating resources. Allocating more resources than supported by the guest operating system may result in significant performance issues. ### Memory Resource Management @@ -179,7 +177,7 @@ Memory modifications are also performed cold. The following limits apply: - 8 TiB without memory snapshot support - 16 TiB (theoretical maximum, without security support, minus RAM allocated to Xen and the control domain) -The actual usable memory may be limited by the guest operating system. Exceeding the limits supported by the guest OS can result in performance degradation. +The actual usable memory may be limited by the guest operating system. Exceeding the limits supported by the guest OS may result in performance degradation. ### Disk Management @@ -192,14 +190,14 @@ It is not possible to resize disks after they are created. To increase storage c ### Virtual Machine Tools These tools are used to ensure optimal performance of virtual machines. When you need to perform an action requiring one of these tools, a message will appear on the Cloud Temple console. -To install these tools, refer to the official Xen Server websites for detailed instructions specific to your OS. +To install these tools, refer to the official Xen Server websites to obtain precise instructions based on your OS. #### Management Agent The Management Agent is a component installed on each virtual machine. It enables the hypervisor to better manage the machine by providing access to more information and allows certain actions to be performed more cleanly. #### PV Drivers (Paravirtualization Drivers) PV Drivers are drivers installed within the virtual machine to enhance its performance. -Without these drivers, the machine still functions, but more slowly. Additionally, they enable certain advanced operations. +Without these drivers, the machine still functions, but at a slower speed. Additionally, they enable certain advanced operations. PV Drivers are natively included in most current Linux kernels. #### Tools @@ -213,13 +211,13 @@ The catalog allows you to manage three essential types of items: - Configuration templates - Pre-installed virtual machine templates -In the detailed view of a virtual machine template, you can review critical information such as location, number of disks, and number of network adapters. +In the detailed view of a virtual machine template, you can access critical information such as location, number of disks, and number of network adapters. When the number of virtual disks is listed as 0, this indicates a configuration template without a preinstalled operating system, allowing you to deploy your own customized environment. ## Virtual Machine Replication -The __Virtual Machine Replication__ feature of Cloud Temple ensures the protection and continuity of your critical data by automatically copying your environments to a distinct availability zone. This capability, natively integrated into the Open Source IaaS offering, meets the most stringent requirements for business continuity and disaster recovery. +__Virtual Machine Replication__ from Cloud Temple ensures the protection and continuity of your critical data through automated copies of your environments to a separate availability zone. This feature, natively integrated into the Open Source IaaS offering, meets the most stringent requirements for business continuity and disaster recovery. ### Automated and Secure Protection @@ -236,8 +234,8 @@ Cloud Temple replication relies on a __SecNumCloud-certified__ infrastructure, e |-------------------------|------------------------------------------------------------------------------------------------------------------------------------------------| | Business Continuity | Protection of your critical services in case of a major incident at the primary site. | | Geographic Protection | Replication to a distinct availability zone, safeguarding against localized disasters. | -| Temporal Flexibility | Choice of replication interval according to your needs: from 1 minute to 24 hours. | -| Ease of Management | Configuration and monitoring fully integrated into the Cloud Temple Console. | +| Temporal Flexibility | Choose the replication interval according to your needs: from 1 minute to 24 hours. | +| Ease of Management | Fully integrated configuration and monitoring within the Cloud Temple Console. | | SecNumCloud Compliance | Qualified infrastructure ensuring the highest level of security for your sensitive data. | ### Replication Configuration @@ -250,30 +248,30 @@ Creating a replication policy defines the protection settings for your virtual m - __Frequency__: Replication interval tailored to your recovery objectives (RPO) - __Retention__: Number of recovery points to retain -#### Available Intervals +#### Available intervals -| Interval | Recommended Usage | RPO (Maximum Data Loss) | +| Interval | Recommended usage | RPO (Maximum data loss) | |-----------------------|---------------------------------------------|--------------------------| | __1 to 59 minutes__ | Real-time critical applications | < 1 hour | | __1 to 24 hours__ | Business applications and standard environments | < 24 hours | -#### Virtual Machine Association +#### Associating Virtual Machines -After creating the policy, you can associate your virtual machines to protect: +Once the policy is created, you can associate your virtual machines to protect: - __Single selection__: Select VMs from the Console interface -- __Automatic validation__: Compatibility and prerequisite verification +- __Automatic validation__: Compatibility and prerequisites verification - __Immediate activation__: Automatic replication start after configuration ### Replica Management #### Policy View -The Cloud Temple Console provides a centralized view of your replication policies, including: +The Cloud Temple Console provides a centralized view of your replication policies with: -- Name and frequency of each policy -- Destination availability zone -- Associated pool and storage +- Name and frequency of each policy +- Destination availability zone +- Associated pool and storage - Available management actions #### Replica View @@ -316,7 +314,7 @@ To properly configure high availability within an OpenIaaS pool, it is mandatory Each VM must be configured with a high availability restart priority level: #### Disabled - High availability is not configured. In the event of host failure, the virtual machine will not be restarted. +High availability is not configured. In the event of host failure, the virtual machine will not be restarted. #### Restart In the event of host failure, the virtual machine will be automatically restarted as soon as resources become available in the pool. Virtual machines configured in "restart" mode are prioritized over those configured in "best-effort" mode. diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md index 72a80a77..48fdd211 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/quickstart.md @@ -22,7 +22,7 @@ import openIaasVmConsoleClipboard from './images/open_iaas_vm_console_clipboard. ### Virtual Machine Management -The interface for managing your virtual machines is available in the Shiva console under the __'OpenIaaS'__ menu, located on the green bar on the left side of the screen. +The interface for managing your virtual machines is available in the Console under the __'OpenIaaS'__ menu, located on the green bar on the left side of the screen. ### List of Virtual Machines @@ -75,15 +75,15 @@ In the **General** tab, you find detailed information about your virtual machine The **Advanced** tab allows you to view more specific information: -- Virtual machine UUID -- Guest tools -- Guest OS -- DVD drive +- Virtual machine UUID +- Guest tools +- Guest OS +- DVD drive As well as modify certain settings such as: -- Boot order -- Secure Boot +- Boot order +- Secure Boot - Automatic startup (not possible if no backup policy is associated with the VM) @@ -112,14 +112,14 @@ Input entered in the console depends on the keyboard language of your web browse Here is a summary of the possible scenarios: | Physical Machine Keyboard Language (input) | Virtual Machine Keyboard Language | 'Enforce Keyboard' Option Selected | Result (output) | -|--------------------------------------------|-----------------------------------|------------------------------------|------------------------| -| French | French | No | ✅ | +| ------------------------------------------ | --------------------------------- | ---------------------------------- | ---------------------- | +| French | French | No | ✅ | | French | French | Yes | Not recommended | | French | English | No | English | -| French | English | Yes | ✅ | +| French | English | Yes | ✅ | | English | French | No | French | -| English | French | Yes | ✅ | -| English | English | No | ✅ | +| English | French | Yes | ✅ | +| English | English | No | ✅ | | English | English | Yes | Not recommended | __Note__: @@ -137,7 +137,7 @@ Upon clicking the "Paste" button, the content of your text field is sent to your ### Access to Replication Management -The replication management interface is available in the Shiva console under the __'OpenIaaS'__ > __'Replication'__ menu, located on the green bar on the left side of the screen. +The replication management interface is available in the Console under the __'OpenIaaS'__ > __'Replication'__ menu, located on the green bar on the left side of the screen. @@ -158,9 +158,9 @@ To create a new policy, click the __'Add Policy'__ button. A form opens with the #### Step 2: Storage Selection -- __Availability Zone__: Select the destination zone -- __Pool__: Choose the resource pool -- __Block Storage__: Select the destination storage +- __Availability Zone__: Select the destination zone +- __Pool__: Choose the resource pool +- __Block Storage__: Select the destination storage @@ -215,11 +215,11 @@ The __'Replicas'__ tab displays all virtual machines currently being replicated: You can view: - The names of replicated virtual machines -- Source and target locations -- Associated replication policy +- The source and target locations +- The associated replication policy Available actions include: -- Export data in CSV format +- Export data to CSV format - View replication details - Manage replicas by policy \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md index 465c28b7..336db56d 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials.md @@ -1,24 +1,24 @@ --- -title: Tutorials IaaS Open Source +title: OpenSource IaaS Tutorials sidebar_position: 4 --- -# Open Source IaaS Tutorials +# OpenSource IaaS Tutorials -This section contains practical tutorials to effectively use the Open Source IaaS platform of Cloud Temple. +This section contains practical tutorials to effectively use Cloud Temple's OpenSource IaaS platform. -## Available Tutorials +## Available tutorials ### High Availability -- [Resource Pool Management](./tutorials/high_availability/manage_pool.md) -- [Virtual Machine Management](./tutorials/high_availability/manage_vm.md) +- [Managing resource pools](tutorials/high_availability/manage_pool.md) +- [Managing virtual machines](tutorials/high_availability/manage_vm.md) ### Backup -- [Frequently asked questions about backup](tutorials/backup/iaas_opensource_backup.md) +- [Frequently Asked Questions about Backup](tutorials/backup/iaas_opensource_backup.md) ## Prerequisites Before starting these tutorials, make sure you have: - Access to the Cloud Temple console -- Necessary permissions to manage OpenSource IaaS resources +- The necessary permissions to manage OpenSource IaaS resources \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md index 86f9e9a7..b59f3931 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_opensource/tutorials/backup/iaas_opensource_backup.md @@ -1,5 +1,5 @@ --- -title: Frequently asked questions about backup +title: Frequently Asked Questions about Backup tags: - iaas_opensource - tutorials @@ -21,18 +21,16 @@ import backupRestorationOpenIaas_002 from './images/backup_restoration_iaas_open ### How to clone a virtual machine? -You can export a virtual machine by clicking on the __'Export'__ icon : +You can export a virtual machine by clicking the __'Export'__ icon: ---- - -### How to add a backup policy to a virtual machine? +### How to Add a Backup Policy to a Virtual Machine? -Go to the __'Virtual Machines'__ page in the __'OpenIaaS'__ section of the green menu banner on the left side of the screen. +Go to the __'Virtual Machines'__ page in the __'OpenIaaS'__ section of the green sidebar menu on the left side of the screen. -Select a virtual machine then the __'Backup Policies'__ tab of this machine: +Select a virtual machine, then choose the __'Backup Policies'__ tab for that machine: @@ -40,41 +38,33 @@ Add the desired backup policy: ---- - ### How to remove a backup policy from a virtual machine? -Go to the __'Virtual Machines'__ page, select a virtual machine then the __'Backup Policies'__ tab of this machine. +Go to the __'Virtual Machines'__ page, select a virtual machine, then navigate to the __'Backup Policies'__ tab for that machine. -Delete the desired backup policy and confirm the deletion: +Remove the desired backup policy and confirm the deletion: -__*Note:*__ *Warning! __SecNumCloud requires that there be at least one assigned backup policy.__ for each virtual machine.* - ---- +__*Note:*__ *Warning! __SecNumCloud requires that at least one backup policy be assigned__ to each virtual machine.* -### How to know if a backup has been successfully executed? +### How to check if a backup has executed successfully? -Go to the __'Reports'__ page of the __'Backup'__ menu in the navigation menu on the left of your screen. Choose the policy of your choice and select it. +Go to the __'Reports'__ page in the __'Backup'__ menu from the navigation menu on the left side of your screen. Select the policy of your choice and choose it. -Once a policy is selected, you have access to the backups sorted by __Start Date__. +Once a policy is selected, you can access backups sorted by __Start Date__. -You have at your disposal the complete detail of each backup from the __View__ action. +You can view the complete details of each backup by using the __View__ action. ---- - -### How to start a restoration? +### How to initiate a restoration? -Go to the __'Virtual Machines'__ page, select a virtual machine then the __'Backups'__ tab of this machine. To start the restoration, select the backup to restore. +Go to the __'Virtual Machines'__ page, select a virtual machine, then the __'Backups'__ tab for that machine. To start the restoration, select the backup you want to restore. - - ---- + \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md index 0112d752..f8ea6d1b 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/concepts.md @@ -32,14 +32,14 @@ The platform is certified __SecNumCloud__ by the [ANSSI](https://www.ssi.gouv.fr - Networking resources (Internet, private networks). - Cross-backups with configurable retention. - Asynchronous replication for storage or virtual machines. -- Management via the [Shiva Console](../console/console.md) or in Infrastructure as Code mode using APIs and the Terraform provider. +- Management via the [Console](../console/console.md) or in Infrastructure as Code mode using APIs and the Terraform provider. ## Benefits | Benefit | Description | |---------------------|------------------------------------------------------------------------------------------------------------------------------------------------| | Digital Trust | Data hosting in France and GDPR compliance. | -| Security | Highly secure platform, certified __SecNumCloud__, __HDS__ (Health Data Hosting), __ISO 27001__, and __ISAE 3402 Type II__. | +| Security | Highly secure platform, certified __SecNumCloud__, __HDS__ (Health Data Hosting), __ISO 27001__, and __ISAE 3402 Type II__. | | High Availability | Platform availability rate of 99.99%, measured monthly, including maintenance windows. | | Resilience | Business continuity and disaster recovery plans implemented as needed. | | Automation | Fully automated platform designed to integrate into a digital transformation program. | @@ -50,8 +50,8 @@ The platform is certified __SecNumCloud__ by the [ANSSI](https://www.ssi.gouv.fr The VMware IaaS product is deployed within an availability zone. An [availability zone](../additional_content/concepts_az.md) is part of a [region](../additional_content/concepts_regional.md). -This deployment model allows you to select the location of clusters and distribute them across different availability zones (AZs). -It enables better load distribution, maximizes redundancy, and simplifies the implementation of a disaster recovery plan (DRP) in the event of an incident. +This deployment model allows you to choose the location of clusters and enables their distribution across different availability zones (AZ). +This provides better load distribution, maximizes redundancy, and simplifies the implementation of a disaster recovery plan (DRP) in the event of an incident. ## Compute @@ -59,7 +59,7 @@ The blades provided by Cloud Temple are of type __CISCO UCS B200__ or __CISCO UC Several categories of compute blades are available in the catalog to support your workloads (virtualization, containerization, etc.). These blades feature different characteristics and performance levels to best meet your needs. The compute blade catalog is regularly updated. -When using the virtualization offering, a hypervisor cluster must consist exclusively of compute blades of the same type (mixing different blade types within a single cluster is not allowed). +When using with a virtualization offering, a hypervisor cluster must consist exclusively of compute blades of the same type (mixing different blade types within a single cluster is not allowed). | Reference | RAM __(1)__ | Frequency __(2)__ | Number of Cores / Threads | Connectivity __(3)__ | GPU __(4)__ | SKU for VMware Offering | | --------------------- | ------------ | ----------------------------------------- | -------------------------- | -------------------- | -------------------- | ------------------------------- | @@ -81,8 +81,8 @@ __Notes__: - __(4)__ The available GPU offering is continuously evolving. As of May 1, 2024, the offering is based on NVIDIA LOVELACE L40S GPUs. By default, the PERF4 blade is delivered with two 48 GB L40S GPUs. Contact support for further details if needed. -The compute offering availability is 99.99%, calculated monthly, including maintenance windows. Eligibility for SLA breach compensation is subject to the creation of an incident ticket. You must also have at least two hosts per cluster and enable the __High Availability__ (HA) feature. -This feature allows your architecture to automatically restart your virtual machines on the second hypervisor in case of failure. If a zone of availability contains only a single hypervisor, automatic restart is not possible. +The compute offering availability is 99.99%, calculated monthly, including maintenance windows. Eligibility for SLA non-compliance claims requires the creation of an incident ticket. You must also have at least two hosts per cluster and enable the __High Availability__ (HA) feature. +This feature allows your architecture to automatically restart your virtual machines on the second hypervisor in case of failure. If a zone of availability contains only one hypervisor, automatic restart is not possible. ## Network @@ -90,13 +90,13 @@ The networking service on Cloud Temple's IaaS platform is built on a VPLS-based ### Layer 2 VLANs -The VLANs provided in the IaaS offering are __layer 2__ types, delivering full network isolation and configurable adaptability to meet specific requirements. +The VLANs provided in the IaaS offering are __layer 2__ types, delivering full network isolation and configurable adaptability according to your needs. #### Key Concepts - __Cross-cluster and Availability Zone (AZ) sharing__: - VLANs can be shared across different AZs and clusters belonging to the same tenant. -- __Inter-tenant propagation__: +- __Cross-tenant propagation__: - VLANs can be propagated across multiple tenants within the same organization, enabling internal communications. ### Network Performance @@ -108,8 +108,8 @@ The network infrastructure ensures low latency for optimal performance: ### Key Points -1. __Flexibility__: VLANs can be configured to adapt to multi-cluster and multi-tenant environments. -2. __High performance__: Minimal latency ensures fast and efficient communication between availability zones. +1. __Flexibility__: VLANs can be configured to adapt to multi-cluster and multi-tenant environments. +2. __High performance__: Minimal latency ensures fast and efficient communication between availability zones. 3. __Isolation and security__: Layer 2 VLANs provide strict network segmentation to protect data and traffic. ## Block Storage @@ -149,8 +149,8 @@ The __'Mass Storage'__ storage class offers mechanical disks for archival needs - *Actual performance for a storage class is tied to the volume actually ordered, based on the "IOPS/To" metric, meaning "maximum IOPS per allocated terabyte",* -> *Thus, a 0.5 To volume in the 'Standard' performance class will have an IOPS limit capped at 750 IOPS,* -> *Similarly, a 10 To volume in the 'Ultra' performance class will have an IOPS limit of 150,000 IOPS,* +> *Thus, a 0.5 TiB volume in the 'Standard' performance class will have an IOPS limit capped at 750 IOPS,* +> *Similarly, a 10 TiB volume in the 'Ultra' performance class will have an IOPS limit of 150,000 IOPS,* - *The IOPS limit is applied per volume, thus per Datastore in a VMware environment,* - *Storage availability is 99.99% measured monthly, including maintenance windows,* @@ -158,17 +158,17 @@ The __'Mass Storage'__ storage class offers mechanical disks for archival needs - *There is no billing based on IOPS,* - *No performance commitment is provided for the __'Mass Storage'__ class,* - *The minimum size for a storage LUN is 500 GiB,* -- *When using a storage replication mechanism, performance must be identical across both availability zones,* -- *No "intelligent" optimization mechanisms such as compression or deduplication are implemented: when you reserve 10 TiB of storage, you physically have 10 TiB of usable storage deployed on IBM machines.* +- *When using storage replication, performance must be identical across both availability zones,* +- *No intelligent optimization mechanisms such as compression or deduplication are implemented: when you reserve 10 TiB of storage, you physically have 10 TiB of usable storage deployed on IBM machines.* - *Storage LUNs are dedicated to the client environment.* ### Usage within the VMware Compute Offering -Within the context of using block storage in the form of a datastore in Cloud Temple's VMware compute offering, __you must take several important considerations into account__: +Within the context of using block storage in the form of a datastore in Cloud Temple’s VMware compute offering, __you must take several important considerations into account__: -1. __Swap file (.VSWP) creation during virtual machine startup__: When a virtual machine starts up, it creates a .VSWP file equal in size to its allocated memory on disk. Therefore, to successfully start your virtual machines, you must always have free space in your datastore equivalent to the total memory size of all your virtual machines. For example, if your datastore has 1 TiB of block storage and you want to start 10 virtual machines each with 64 GiB of memory, 640 GiB of disk space will be required. Without this available space, virtual machine startup will be limited by the capacity available to create swap files. +1. __Swap file (.VSWP) creation during VM startup__: When a virtual machine starts up, it creates a .VSWP file equal in size to its allocated memory on disk. Therefore, to successfully start your virtual machines, you must always have free space in your datastore equivalent to the total memory size of all your virtual machines. For example, if your datastore has 1 TiB of block storage and you want to start 10 virtual machines each with 64 GiB of memory, 640 GiB of disk space will be required. Without sufficient free space, VM startup will be limited by the available capacity to create swap files. -2. __Free space required for backup snapshots__: The backup service uses instant snapshots. You must therefore always have sufficient free space to allow the creation of a snapshot during a virtual machine backup. The size of the snapshot depends on the amount of write activity from the virtual machine and the time required to perform the backup. Generally, it is recommended to maintain at least 10% free space for this operation. +2. __Free space required for backup snapshots__: The backup service uses instant snapshots. You must therefore always have sufficient free space to allow the creation of a snapshot during a VM backup. The size of the snapshot depends on the amount of write activity from the virtual machine and the time required to perform the backup. Generally, it is recommended to maintain at least 10% free space for this operation. 3. __Management of dynamic disks__: Exercise caution when using dynamic disks. If you do not properly manage their growth, a lack of physical space can result in the virtual machine freezing (in the best case), or crashing with data corruption (in the worst case). It is crucial to closely monitor available space on your datastores when using this type of disk. @@ -186,80 +186,80 @@ The dedicated storage for backing up your virtual machines is automatically prov #### Principles -To enable the implementation of your business continuity plans, when it is not possible to maintain continuous operations using application-level mechanisms and virtual machine replication is unsuitable, Cloud Temple offers __block-level storage replication mechanisms between availability zones within a region__. +To enable the implementation of your business continuity plans, when it is not possible to maintain business continuity using application-level mechanisms and virtual machine replication is not suitable, Cloud Temple offers __block-level storage replication mechanisms between availability zones within a region__. These replication mechanisms are applied to the storage LUNs of your environments, complementing backup solutions. The decision to use a replication mechanism for a given environment __depends on multiple factors, including its criticality, acceptable data loss tolerance, and performance requirements for the application__. Cloud Temple provides two types of replication mechanisms deployed in an active/passive configuration: -- **Asynchronous replication** (or **'Global Mirror'**): *The **'Global Mirror'** function provides an asynchronous copy process. When a host writes to the primary volume, the confirmation of the I/O completion is received before the write operation finishes on the secondary volume. If a failover operation is initiated, the application must recover and apply all updates that were not confirmed on the secondary volume. If I/O operations on the primary volume are paused briefly, the secondary volume can become an exact match of the primary volume. This function is comparable to a continuous backup process where the latest updates are always missing. When using Global Mirror for disaster recovery purposes, you must consider how you intend to handle these missing updates.* +- **Asynchronous replication** (or **'Global Mirror'**): *The **'Global Mirror'** function provides an asynchronous copy process. When a host writes to the primary volume, the confirmation of the I/O completion is received before the write operation finishes on the secondary volume. If a failover operation is initiated, the application must recover and apply all updates that were not confirmed on the secondary volume. If I/O operations on the primary volume are paused briefly, the secondary volume can become an exact match of the primary volume. This function is comparable to a continuous backup process in which the latest updates are always missing. When using Global Mirror for disaster recovery purposes, you must consider how you intend to handle these missing updates.* -- **Synchronous replication** (or **'Metro Mirror'**): *The **'Metro Mirror'** function is a type of remote copy that creates a synchronous copy of data from a primary volume to a secondary volume. With synchronous copies, host applications write to the primary volume but do not receive confirmation that the write operation is complete until the data has been written to the secondary volume. This ensures that both volumes contain identical data once the copy operation is complete. After the initial copy operation finishes, the Metro Mirror function maintains a fully synchronized copy of the source data at the target site at all times. **As of January 1, 2024, the 'Metro Mirror' function is no longer available for sale.*** +- **Synchronous replication** (or **'Metro Mirror'**): *The **'Metro Mirror'** function is a type of remote copy that creates a synchronous copy of data from a primary volume to a secondary volume. With synchronous copies, host applications write to the primary volume but do not receive confirmation that the write operation is complete until the data has been written to the secondary volume. This ensures that both volumes contain identical data when the copy operation completes. After the initial copy operation finishes, the Metro Mirror function maintains a fully synchronized copy of the source data at the target site at all times. **As of January 1, 2024, the 'Metro Mirror' function is no longer available for sale.*** -An active ("primary") site and a passive ("standby") site are then defined. The business continuity plan is activated in the event of a disaster or during a PRA test. The passive site then takes over from the active site. +An "active" or "primary" site and a "passive" or "standby" site are then defined. The business continuity plan is activated in the event of a disaster or during a PRA test. The passive site then takes over from the active site. #### Asynchronous Replication When your workloads require short recovery times and application-level replication or virtual machine replication mechanisms are not acceptable or suitable, it is possible to replicate a SAN storage LUN between two Availability Zones within the same region. -This solution provides a __RPO of 15 minutes__ and an __RTO under 4 hours__. It enables much faster recovery compared to restoring from backup. +This solution provides a __RPO of 15 minutes__ and an __RTO under 4 hours__. It enables much faster recovery than implementing a backup restoration process. -In an asynchronously replicated storage volume (__Global Mirror__), the SAN virtualization controllers in both Availability Zones collaborate to perform write operations across both sites. The primary site does not wait for acknowledgment of the write operation from the secondary site. +In an asynchronously replicated storage volume (__Global Mirror__), the SAN virtualization controllers from both Availability Zones collaborate to perform write operations across both sites. The primary site does not wait for write acknowledgment from the secondary site. The steps of a write operation are as follows: 1. An hypervisor wishes to perform a __write operation on a Global-Mirror volume__: it sends its request to the SAN controller in its Availability Zone, 2. The local SAN controller requests the remote SAN controller to perform the write operation, -3. The local SAN controller does not wait for acknowledgment from the remote SAN and performs the write locally, +3. The local SAN controller does not wait for acknowledgment from the remote SAN and proceeds to perform the write locally, 4. It then sends the __acknowledgment__ back to the hypervisor that issued the request, 5. __Hypervisors at the remote site do not directly access the Global Mirror LUN__: a service request is required. | SLA | Description | |-----------|---------------------------------------------------------------------------------------------------------------------------------------------------| -| RPO 15 min | In case of a disaster at the primary datacenter, the maximum amount of data lost corresponds to the last 15 minutes of writes. | -| RTO < 4H | In case of a disaster at the primary datacenter, business continuity is guaranteed within 4 hours, depending on environment complexity. | +| RPO 15 min | In the event of a disaster at the primary datacenter, the maximum amount of data lost corresponds to at most the last 15 minutes of writes. | +| RTO < 4 h | In the event of a disaster at the primary datacenter, business continuity is guaranteed within 4 hours, depending on environment complexity. | -In the event of PRA activation, the Cloud Temple team performs a presentation operation of the __'Global Mirror'__ LUN to the remote hypervisors, enabling them to access the data. Therefore, this solution requires reserving compute resources and RAM at the 'standby' site to resume operations in case of a disaster. +In the event of a PRA activation, the Cloud Temple team performs a presentation operation of the __'Global Mirror'__ LUN to the remote hypervisors, enabling them to access the data. Therefore, this solution requires reserving compute resources and RAM at the 'standby' site to resume operations in case of disaster. Using this technology also requires doubling the disk space: the remote site must have exactly the same disk capacity as the local site. This mechanism may impact application performance by up to 10%. __Only storage classes 500 IOPS/To, 1500 IOPS/To, and 3000 IOPS/To are compatible.__ | Reference | Unit | SKU | -|------------------------------------|-------|---------------------------------------------------| -| STORAGE - Global Replication SAN | 1 TiB | csp:(region):iaas:storage:licence:globalmirror:v1 | +|------------------------------------|--------|---------------------------------------------------| +| STORAGE - Global Replication SAN | 1 TiB | csp:(region):iaas:storage:licence:globalmirror:v1 | *__Note__*: -- *Since this offering is asynchronous, there is a possibility that some disk operations were not written to the remote site during a disaster. There may therefore be a risk to data consistency, which should be mitigated in the risk analysis of the business continuity plan.* +- *Since this offering is asynchronous, there is a possibility that some disk operations were not written to the remote site during a disaster. There may therefore be a risk to data consistency, which should be mitigated in the risk assessment of the business continuity plan.* - *Block-level storage replication is transparent to virtual machines and applications.* - *For this reason, it is important to prioritize application-level replication scenarios, or alternatively virtual machine replication.* -- *Compute and memory resources at the recovery site may be reduced to optimize costs, if a degraded state is acceptable for the business during the execution of the business continuity plan.* +- *Compute and memory resources at the recovery site may be reduced to optimize costs, provided that a degraded operational state is acceptable for the business during the execution of the business continuity plan.* ## VMware Virtualization The VMware Cloud Temple offering qualified SecNumCloud is based on the __VMware vSphere__ technology. The platform is managed automatically by Cloud Temple (security compliance maintenance, operational readiness maintenance, etc.). -It can be controlled via the Shiva console's graphical interface or through the associated APIs. +It can be controlled via the Console's graphical interface or through the associated APIs. *__Note__*: *For security reasons related to the SecNumCloud qualification, -__the customer is not allowed to access the VMware virtualization platform directly__ (no direct access to vCenter, for example). -Indeed, the SecNumCloud qualification requires __complete segregation__ between the technical assets' management interfaces and the customer's interface (the Shiva console).* +__the customer is not permitted to access the VMware virtualization platform directly__ (no direct access to vCenter, for example). +Indeed, the SecNumCloud qualification requires __complete segregation__ between the technical assets' management interfaces and the customer's interface (the Console).* -- The deployed products are VMware ESXi, VMware vCenter, and VMware Replication. +- The implemented products are VMware ESXi, VMware vCenter, and VMware Replication. - *The virtualization offering's network does not use VMware NSX technology, but is instead managed physically using Juniper technology and the VPLS protocol.* - *The storage does not use VMware vSAN technology, but exclusively IBM SANs over 32G Fiber Channel.* -- *No hidden optimization techniques are implemented (compression, deduplication, etc.).* +- *No hidden optimization techniques are applied (compression, deduplication, etc.).* ### Definition of a Compute Blade Cluster ('Cpool') The __'Cpool'__ is a grouping of VMware ESXi hypervisors, also known as an *'ESX cluster'*. -All hosts within a __'Cpool'* belong to the __same tenant and the same availability zone (AZ)__ and must necessarily have the same class: -__it is not possible to mix different types of compute blades within the same cluster__. +All hosts within a __'Cpool'* belong to the **same tenant and the same availability zone (AZ)**. They must necessarily have the same class: +__It is not possible to mix different types of compute blades within the same cluster__. -Since all compute blades are delivered with the maximum physical memory, a software-level RAM usage limit is enforced at the cluster level to ensure it matches the billed RAM. +Since all compute blades are delivered with the maximum physical memory, a software-level RAM usage limit is applied at the cluster level to ensure it matches the billed RAM. By default, each compute blade has 128 GB of memory enabled within the __'Cpool'*. @@ -271,17 +271,17 @@ Storage can be shared among __'Cpool'* clusters. RAM reservation is configurable per cluster. You can reduce or increase the amount of RAM to match your cluster-wide requirements. -__Be careful not to exceed an average memory utilization of 85% per compute node__. -Indeed, VMware's technology uses a compression-based optimization method that can significantly impact the performance of your workloads and complicate diagnostics. +__Be careful not to exceed an average memory utilization of 85% per compute node__. +Indeed, VMware's technology uses a compression-based optimization method that can significantly impact the performance of your workloads and complicate diagnostics. Similarly, excessive memory pressure on your compute nodes will force the hypervisor to offload part of its memory to disk to meet the needs of virtual machines. -This situation, known as __'Ballooning'__, severely impacts the performance of all virtual machines located on the affected datastore. -__Diagnosis becomes complex in this context__, as your monitoring will detect performance impacts at the CPU level rather than at the memory or storage level. +This situation, known as __'Ballooning'__, severely impacts the performance of all virtual machines located on the affected datastore. +__Diagnosis becomes complex in this context__, as your monitoring will show performance impacts at the CPU level rather than at the memory or storage level. Also keep in mind that the first action the hypervisor performs when starting a virtual machine is to create a __memory swap file (.vswap)__ on disk, sized exactly to the amount of memory assigned to the virtual machine. You must __account for this when sizing your storage__. Each compute node is delivered with 128 GB of memory enabled at the __'Cpool'__ level, but physically has access to the full amount of allocatable memory. -For example, in a cluster of three hosts of type ```vmware:standard:v2```, the RAM reservation upon activation of the _*'Cpool'*_ will be 3 × 128 GB = 384 GB of RAM. +For example, in a cluster of three hosts of type ```vmware:standard:v2```, the RAM reservation upon activation of the _*'Cpool'*_ will be 3 × 128 GB = 384 GB of RAM. You can extend this up to a maximum of 3 × 384 GB = 1,152 GB of memory. Minimum memory for a 'Cpool' = number of hosts × 128 GB of memory @@ -304,17 +304,17 @@ The update process is fully automated. To ensure service continuity, a minimum o __Affinity and anti-affinity rules__ allow you to control the placement of virtual machines across your hypervisors. They can be used to manage resource utilization within your __'Cpool'__. For example, they help balance workloads across servers or isolate resource-intensive workloads. -In a VMware __'Cpool'__, these rules are commonly used to manage virtual machine behavior with vMotion. +In a VMware __'Cpool'__, these rules are commonly used to manage virtual machine behavior during vMotion. vMotion enables moving virtual machines from one host to another without service interruption. You can configure the following rules through rule management: - __Affinity Rules__: These rules ensure that certain virtual machines run on the same physical host. - They are used to improve performance by keeping virtual machines that frequently communicate together on the same server, thus reducing network latency. Affinity rules are particularly useful in scenarios where performance is critical, such as databases or applications requiring fast server-to-server communication. + They are used to improve performance by keeping virtual machines that frequently communicate together on the same server, thus reducing network latency. Affinity rules are particularly useful in scenarios where performance is critical, such as databases or applications requiring fast inter-server communication. - __Anti-Affinity Rules__: Conversely, these rules ensure that certain virtual machines do not run on the same physical host. - They are essential for availability and resilience—for example, to prevent all critical machines from being affected in the event of a single server failure. Anti-affinity rules are crucial for high-availability applications, such as in production environments where fault tolerance is a priority. - For instance, you would not want both of your Active Directory servers located on the same hypervisor. + They are essential for availability and resilience—for example, to prevent all critical machines from being affected in the event of a single host failure. Anti-affinity rules are crucial for high-availability applications, such as in production environments where fault tolerance is a priority. + For instance, you wouldn’t want both of your Active Directory servers located on the same hypervisor. When creating a rule, you define the rule type (affinity / anti-affinity), the rule name, its activation status (__'Status'__), and the virtual machines involved within your hypervisor cluster. @@ -329,11 +329,11 @@ The interval depends on the volume of writes (ranging from every hour to every 2 VM replication relies on the hypervisor’s snapshot mechanism. As such, this solution shares the same drawbacks, particularly sensitivity to the VM’s write volume, since the snapshot process is recursive and requires closing the snapshot. -A typical example of a machine that does not support VM replication is an FTP server receiving real-time video streams from surveillance cameras. __The machine is constantly writing data and will not be able to close a snapshot without pausing the operating system for a significant period (several tens of minutes).__ If the hypervisor fails to close the snapshot, it will proceed to do so anyway—without any possibility to intervene, unless the virtual machine becomes corrupted. +A typical example of a machine that does not support VM replication is an FTP server receiving real-time video streams from surveillance cameras. __The machine is constantly writing data and will not be able to close a snapshot without pausing the operating system for a significant period (several tens of minutes).__ If the hypervisor fails to close the snapshot, it will proceed to do so anyway—without any possibility to intervene, except by corrupting the virtual machine. | SLA | Description | |-----------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------| -| RPO of 1H to 24H | In the event of a disaster at the primary datacenter, the maximum amount of data lost corresponds to the last write push to the standby site. | +| RPO of 1H to 24H | In the event of a disaster at the primary datacenter, the maximum amount of data lost corresponds to the last write push to the standby site. | | RTO < 15 min | Virtual machine startup operation on the remote site after stopping the VM at the primary site. | In case of need or failure on a machine at the primary site, the mirrored machine at the standby site is activated. @@ -347,29 +347,29 @@ Recovery requires reserving compute and RAM capacity at the standby site. It is ## Virtual Machine Backup -Cloud Temple offers a __native, non-disconnectable cross-backup architecture__ (mandatory for the French secnumcloud qualification). +Cloud Temple offers a __native, non-optional cross-architecture backup solution__ (mandatory for French secnumcloud certification). -Backups are stored in a different availability zone and on a physically separate datacenter from the one hosting the virtual machine. They are encrypted using the AES 256-bit symmetric key algorithm (cipher mode `xts-plain64`) to ensure data confidentiality. +Backups are stored in a different availability zone and on a physically distinct datacenter from the one hosting the virtual machine. They are encrypted using the AES 256-bit symmetric key algorithm (cipher mode `xts-plain64`) to ensure data confidentiality. This setup protects against major failures in the production datacenter and enables restoration on a secondary datacenter (e.g., in case of fire). This solution includes: - Hot off-site backup of all disks, -- Instant presentation and booting of a virtual machine from the mass storage infrastructure, followed by hot reloading onto production SANs, +- Instant presentation and boot of a virtual machine from the mass storage infrastructure, followed by hot reloading onto production SANs, - Partial file restoration from backups, -- Retention limited solely by the allocated mass storage space. +- Retention limited solely by allocated mass storage space. -This backup infrastructure is based on the *IBM Spectrum Protect Plus* solution — a no-agent architecture, easy to use, enabling automation of backup processes and optimization of mass storage space. +The backup infrastructure is based on *IBM Spectrum Protect Plus*, a no-agent architecture solution that is easy to use, enables automation of backup processes, and optimizes mass storage usage. Backup and restore speeds depend on the change rate within the environments. Backup policies are configurable per virtual machine via the [Cloud Temple Console](../console/console.md). *__Note:__* -*__Some virtual machines are incompatible with this backup technology__, which relies on the hypervisor’s snapshot mechanisms. These are typically machines with constant disk write workloads. The hypervisor cannot close the snapshot, forcing the virtual machine to be frozen to complete the closure operation. This freeze can last several hours and cannot be stopped.* +*__Some virtual machines are incompatible with this backup technology__, which relies on the hypervisor’s snapshot mechanisms. These typically include VMs with constant disk write workloads. The hypervisor cannot close the snapshot, which forces the virtual machine to be frozen to complete the closure operation. This freeze can last several hours and cannot be stopped.* -*In such cases, the solution is to exclude the disk subject to continuous writes and back up the data using an alternative method.* +*In such cases, the recommended approach is to exclude the disk subject to continuous writes and back up the data using an alternative method.* | Reference | Unit | SKU | | ------------------------------------------------------- | ----- | ------------------------------ | @@ -393,7 +393,7 @@ Cloud Temple offers an __advanced virtual machine encryption solution__ based on ### Technical Architecture -The solution is based on a robust security infrastructure composed of: +The solution is built on a robust security infrastructure composed of: - __HSM (Hardware Security Module)__ : __Thales Luna S790__ modules certified __FIPS 140-3 Level 3__ - __KMS (Key Management System)__ : __Thales CipherTrust Manager__ for centralized key management @@ -417,14 +417,14 @@ The system uses a __cryptographic key hierarchy__ to ensure data security: |-------|----------|-------------|----------| | 1 | __Root of Trust (RoT)__ | Master key managed by KMS | HSM Luna | | 2 | __Domain Key (DK)__ | Domain key per client (multi-tenant isolation) | HSM Luna | -| 3 | __Key Encryption Key (KEK)__ | Encryption key per VM | CipherTrust Manager | -| 4 | __Data Encryption Key (DEK)__ | Data key per VM | VMware ESXi | +| 3 | __Key Encryption Key (KEK)__ | Key encryption key per VM | CipherTrust Manager | +| 4 | __Data Encryption Key (DEK)__ | Data encryption key per VM | VMware ESXi | #### Encryption Process 1. __Generation__: VMware ESXi generates a unique DEK for each virtual machine 2. __Protection__: The DEK is encrypted by the KEK stored in CipherTrust Manager -3. __Securing__: The KEK is protected by the HSM key hierarchy +3. __Securing__: The KEK is itself protected by the HSM key hierarchy 4. __Storage__: The encrypted DEK is stored alongside the VM's configuration files ### Security and Compliance @@ -443,21 +443,21 @@ The system uses a __cryptographic key hierarchy__ to ensure data security: ### Activation and Usage -VM encryption can be activated __with a single click__ from the [Shiva Console](../console/console.md). +VM encryption can be activated __with a single click__ from the [Console](../console/console.md). For a detailed step-by-step guide with screenshots, see the [VM Encryption Tutorial](tutorials/vm_encryption.md). #### Prerequisites - __Key provider configured__: A HSM/KMS provider must be enabled on the vStack -- __Virtual machine powered off__: The VM must be shut down before encryption +- __Virtual machine powered off__: The VM must be stopped before encryption - __No active replication__: The VM must not be replicated (incompatible with Global Mirror) - __No snapshots__: No snapshots must be present - __Service subscription__: Advanced protection service must be subscribed *__Note__: For more details on prerequisites and the complete procedure, refer to the [VM Encryption Guide](tutorials/vm_encryption.md).* -### Limitations and Considerations +### Limitations and considerations #### Compatibility @@ -474,7 +474,7 @@ For a detailed step-by-step guide with screenshots, see the [VM Encryption Tutor This advanced protection solution is particularly well-suited for: -- __Sensitive Data__: Personal information, financial data, industrial secrets +- __Sensitive Data__: Personal information, financial data, trade secrets - __Regulatory Compliance__: GDPR, HIPAA, PCI-DSS, ISO 27001, PDIS requirements - __Critical Sectors__: Banking, insurance, healthcare, defense - __Digital Sovereignty__: Protection against unauthorized access, even in case of compromise diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md index e961c2b7..b78803eb 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/quickstart.md @@ -52,7 +52,7 @@ import shivaVmBackup_2prod from './images/shiva_vm_backup_2prod.png' ### Virtual Machine Management -The interface for managing your virtual machines is available in the Shiva console under the __'IaaS'__ menu located on the green bar on the left side of the screen. +The interface for managing your virtual machines is available in the Console under the __'IaaS'__ menu located on the green bar on the left side of the screen. ### List of Virtual Machines @@ -107,11 +107,11 @@ A quick action bar enables you to perform the following actions: - Mount an ISO; - Unmount an ISO; - Clone the virtual machine; -- Migrate the virtual machine (vMotion); +- Move the virtual machine (vMotion); - Rename the virtual machine; - Delete the virtual machine. -A quick view provides visualization of the virtual machine’s __storage__, __CPU__, and __RAM__. +A quick view provides a visualization of the virtual machine’s __storage__, __CPU__, and __RAM__. @@ -125,7 +125,7 @@ From this view, you can perform the following actions: - Update the hardware version (the virtual machine must be powered off), - Modify RAM or CPU settings. -An __'Advanced'__ tab allows you to view more specific information, such as "VMware Tools" details, hardware version, manager, and others. +An __'Advanced'__ tab allows you to view more specific information, such as "VMware Tools" details, hardware version, manager, and so on. @@ -192,7 +192,7 @@ The input entered in the console depends on the keyboard language of your web br | English | English | Yes | Not recommended | __Note__: -- If certain characters do not appear during manual input, you may try copying them from the clipboard. +- If certain characters do not appear during manual input, you may try using the clipboard. #### Clipboard Functionality This feature allows you to send an entire string of characters to your virtual machine. It is important to note that the "enforce keyboard" option affects how this string of characters is transmitted to your virtual machine. If you notice during console input that the "enforce keyboard" option is required, make sure to enable it before using the clipboard. @@ -209,7 +209,7 @@ To date, the catalog includes dozens of `Templates` and images ready to be deplo -To publish an ISO/OVF file, navigate to the __'Catalogue'__ view and click the __'Publish Files'__ button at the top of the page: +To publish an ISO/OVF, navigate to the __'Catalogue'__ view and click the __'Publish Files'__ button at the top of the page: @@ -223,7 +223,7 @@ Select __'Export as vm-template'__: Then fill in the required information. Once completed, you’ll be able to deploy a new VM from the template using the __'New Virtual Machine'__ button or from the __'Catalogues'__ page. It is also possible to export the VM in OVF format. -__Pro tip__: It is possible to convert between OVA and OVF files. +__Pro tip__: It is possible to convert between OVA and OVF formats. The most common method uses VMware Converter, but a simple alternative exists using the ```tar``` command: Extracting an OVA file: @@ -232,7 +232,7 @@ Extracting an OVA file: tar -xvf vmName.ova ``` -Creating an OVA file from an OVF file: +Creating an OVA file from an OVF: ``` tar -cvf vmName-NEW.ova vmName.ovf vmName-disk1.vmdk vmName.mf @@ -248,11 +248,11 @@ You can now directly modify __Extra Config__ properties in the advanced options You can add a property from a predefined list of keys. Additionally, you can modify the value of a key you have added yourself. Pre-existing key=value pairs cannot be modified. -Please contact support for any request to add new keys. +Please contact support for any requests to add new keys. -__Note__: *To enable GPU usage by the virtual machine, it is mandatory to enable the key 'pciPassthru.use64bitMMIO' and allocate the required MMIO (Memory-mapped I/O) space via 'pciPassthru.64bitMMIOSizeGB'. It is strongly recommended to refer to the [official Nvidia documentation](https://docs.nvidia.com/vgpu/17.0/grid-vgpu-release-notes-vmware-vsphere/index.html#tesla-p40-large-memory-vms).* +__Note__: *To enable GPU usage by the virtual machine, it is mandatory to enable the key 'pciPassthru.use64bitMMIO' and allocate the required MMIO (Memory-mapped I/O) space via 'pciPassthru.64bitMMIOSizeGB'. It is strongly recommended to refer to the [official NVIDIA documentation](https://docs.nvidia.com/vgpu/17.0/grid-vgpu-release-notes-vmware-vsphere/index.html#tesla-p40-large-memory-vms).* ### Advanced Virtual Machine Configuration: vAPP @@ -268,7 +268,7 @@ __Note__: *The virtual machine must be stopped to modify its vAPP properties.* ### Management of __'hypervisors'__ and __'Cpool'__ (hypervisor clusters) -Your hypervisor management is performed in the __'Compute'__ submenu under __'IaaS'__, located in the green bar on the left side of your screen. +Your hypervisor management is performed in the __'Compute'__ submenu under the __'IaaS'__ menu, located in the green bar on the left side of your screen. @@ -279,7 +279,7 @@ In this submenu, you have visibility on: As of January 2024, the available hypervisor offering on the Cloud Temple-qualified infrastructure is based on VMware. The backup software used is IBM Spectrum Protect Plus. -### VMware Cluster Management +### Managing VMware Clusters To access VMware cluster management, click on the __'Compute'__ submenu under the __'IaaS'__ menu: @@ -300,28 +300,28 @@ When you click on a cluster, you see a summary of its composition: - Total computing power expressed in GHz, - Total available memory and usage ratio, - Total storage space (all types combined) and percentage used, -- Automation mechanisms for handling compute node outages (__'vSphere DRS'_), +- Automation mechanisms for handling compute host failures (__'vSphere DRS'_), - Number of virtual machines, - Number of hypervisors. - + -In the __'Hosts'__ tab, you see the following information for each hypervisor: +In the __'Hosts'_ tab, you see the following information for each hypervisor: - CPU and Memory usage, - Number of assigned virtual machines, - Availability of a new OS build for the hypervisor, if applicable, -- Hypervisor status (production, maintenance, powered off, etc.), +- Hypervisor status (connected in production, in maintenance, powered off, etc.), - Action menu. -Several actions are available from the __'Hosts'__ tab: +Several actions are available from the __'Hosts'_ tab: -- Request new hypervisors using the __'Add Host'__ button: +- Request new hypervisors using the __'Add Host'_ button: @@ -345,26 +345,26 @@ Several actions are available from the __'Hosts'__ tab: - Cloud Temple provides hypervisor builds at regular intervals. It is important to keep your hypervisors regularly updated, especially to apply security patches. However, __we do not automatically update your hypervisors__. Cloud Temple does not have visibility into your workload availability commitments. -Therefore, we leave the change management process to you, allowing you to apply new builds at the most appropriate time. +Therefore, we leave it to you to manage your change process and apply new builds at the most appropriate time. - The update process is fully automated. You must have at least two hypervisors in your cluster to ensure uninterrupted service during updates. -You can also view all affinity/anti-affinity rules for your hypervisor cluster in the __'Rules'__ section. +You can also view all affinity/anti-affinity rules for your hypervisor cluster in the __'Rules'_ section. -### VM Affinity Management +### Managing VM Affinity __Affinity and anti-affinity rules__ allow you to control the placement of virtual machines across your hypervisors. They can be used to manage resource utilization within your __'Cpool'__. For example, they can help balance workloads across servers or isolate resource-intensive workloads. -In a __'Cpool'__ VMware environment, these rules are often used to manage virtual machine behavior with vMotion. -vMotion enables the migration of virtual machines from one host to another without service interruption. +In a VMware __'Cpool'__, these rules are often used to manage the behavior of virtual machines during vMotion. +vMotion enables moving virtual machines from one host to another without service interruption. -You can configure the following rules through rule management: +You can configure rules using the following options: - __Affinity Rules__: These rules ensure that certain virtual machines run on the same physical host. - They are used to improve performance by keeping virtual machines that frequently communicate together on the same server, thus reducing network latency. Affinity rules are particularly useful in scenarios where performance is critical, such as in database systems or applications requiring fast inter-server communication. + They are used to improve performance by keeping virtual machines that frequently communicate together on the same server, thus reducing network latency. Affinity rules are particularly useful in scenarios where performance is critical, such as databases or applications requiring fast inter-server communication. - __Anti-Affinity Rules__: Conversely, these rules ensure that certain virtual machines do not run on the same physical host. They are essential for availability and resilience—for example, to prevent all critical machines from being affected in the event of a single server failure. Anti-affinity rules are crucial for high-availability applications, such as in production environments where fault tolerance is a priority. @@ -400,7 +400,7 @@ SecNumCloud requires that a backup policy be assigned to a virtual machine befor -Click on the **Backup Policies** tab in your virtual machine's menu. You can view the backup policy or policies assigned to the VM here. +Click on the **Backup Policies** tab in your virtual machine's menu. You can view the backup policy or policies assigned to this VM here. To assign a new backup policy to the virtual machine, click the **Add Policy** button and select the desired backup policy. @@ -410,7 +410,7 @@ To assign a new backup policy to the virtual machine, click the **Add Policy** b It is also possible to assign an SLA directly to a specific virtual disk of a machine. In this case, the virtual machine does not inherit this SLA applied individually to the disk. However, it is not possible to manually trigger backup execution at the disk level, as this functionality is not supported in Spectrum Protect Plus. -On the other hand, it is possible to exclude certain disks from one or more VM backup policies (SLAs), allowing you to unassign one or more SLAs on a per-disk basis. This approach provides the flexibility to manually initiate backup execution for a specific SLA without affecting all disks of the virtual machine, enabling more granular backup management. +On the other hand, it is possible to exclude specific disks from one or more backup policies (SLAs) of the VM, thereby allowing the removal of one or more SLAs on a per-disk basis. This approach provides the flexibility to manually initiate backup execution for a specific SLA without affecting all disks of the virtual machine, enabling more granular backup management. Click on the action bar of the disk to which you want to assign a backup policy. Then, click on __'Policies'__ and select the desired backup policy. @@ -444,7 +444,7 @@ When the last resource is disassociated from an SLA policy, the system automatic First, verify that the affected jobs are indeed in the "Held" state. Once confirmed, these jobs can be deleted. Only after removing these dependent jobs can the SLA policy be permanently erased from the system. -A special case requires particular attention: adding a new resource to an SLA policy whose dependent jobs have not been deleted. In this scenario, the job identifiers will be retained. However, it is crucial to note that jobs in the "Held" state will not resume automatically. Manual intervention will be required to reactivate them and allow their execution. +A special case requires particular attention: adding a new resource to an SLA policy whose dependent jobs have not yet been deleted. In this scenario, the job identifiers will be preserved. However, it is crucial to note that jobs in the "Held" state will not resume automatically. Manual intervention will be required to reactivate them and allow their execution. > **Note:** For any clarification regarding this situation, please contact Cloud Temple support. @@ -458,21 +458,21 @@ Similarly, it is not possible to start a virtual machine associated with a suspe ### Restore a Backup -The __'Backups'__ tab in your virtual machine menu allows you to access the list of backups for that machine. +The __'Backups'__ tab in your virtual machines menu allows you to access the list of backups for that machine. To restore a backup, click the __'Restore'__ button on the row corresponding to the backup you wish to restore. -1. __Production Mode__: Production mode enables disaster recovery at the local site using primary storage or a remote disaster recovery site, replacing the original machine images with recovery images. All configurations are transferred during recovery, including names and identifiers, and all data copy jobs associated with the virtual machine continue to run. During a production restore, you can choose to replace the virtual machine's storage with a virtual disk from a previous virtual machine backup. +1. __Production Mode__: Production mode enables disaster recovery at the local site using either the primary storage or a remote disaster recovery site, replacing the original machine images with recovery images. All configurations are transferred during recovery, including names and identifiers, and all data copy jobs associated with the virtual machine continue to run. During a production restore, you can choose to replace the virtual machine's storage with a virtual disk from a previous virtual machine backup. 2. __Test Mode__: Test mode creates temporary virtual machines for development, testing, snapshot verification, and disaster recovery validation based on a repeatable schedule, without impacting production environments. Test machines run as long as needed for testing and verification, then are automatically cleaned up. Using isolated networking, you can establish a secure environment to test your work without interfering with production virtual machines. Virtual machines created in test mode have unique names and identifiers to prevent conflicts in your production environment. 3. __Clone Mode__: Clone mode creates permanent or long-running copies of virtual machines for use cases requiring persistent duplicates, such as data exploration or duplicating a test environment on an isolated network. Virtual machines created in clone mode have unique names and identifiers to avoid conflicts in your production environment. In clone mode, be mindful of resource consumption, as this mode creates permanent or long-term virtual machines. -__Restore is set to 'TEST' mode by default to protect production__, and you can specify the name of the restored VM: +__Restore is set to 'TEST' mode by default to protect production__, and you can choose the name of the restored VM: -Note that if testing is successful, you can promote a test virtual machine to production mode: +Note that if testing is successful, you can promote a virtual machine from test mode to production mode: \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md index bf3e9f5c..0abc8931 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials.md @@ -2,7 +2,7 @@ title: Tutorials --- -These tutorials help you use and configure the VMWare IaaS part from the Shiva portal. +These tutorials help you use and configure the VMWare IaaS part from the Console portal. ## Encrypt a VMWare virtual machine @@ -19,7 +19,7 @@ These tutorials help you use and configure the VMWare IaaS part from the Shiva p ## Interface -Once logged into the Shiva web portal, from the __'IaaS'__ menu, sub-menu __'Configuration'__ then the __'vCenters'__ tab, you will find the information indicating whether encryption is enabled on the vstack in question. +Once logged into the Console web portal, from the __'IaaS'__ menu, sub-menu __'Configuration'__ then the __'vCenters'__ tab, you will find the information indicating whether encryption is enabled on the vstack in question. ![](images/shiva_hsm_kms_000.png) @@ -39,4 +39,4 @@ A confirmation window will appear, select Encrypt. Once the action is completed, you should see the information that has changed and which indicates that your machine is encrypted. -![](images/shiva_hsm_kms_004.png) \ No newline at end of file +![](images/shiva_hsm_kms_004.png) diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md index bcd6a251..ca8c8bcf 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/deploy_vm_template.md @@ -8,20 +8,22 @@ import shivaCatalogsCharger from './images/shiva_catalogs_charger.png'; import shivaCatalogsAjout from './images/shiva_catalogs_ajout.png'; import shivaCatalogsDeployer from './images/shiva_catalogs_deployer.png'; -This guide will allow you to deploy your first instances on the Cloud of Trust in less than 5 minutes. +This guide will enable you to deploy your first instances on the Cloud of Trust in less than 5 minutes. ## __Prerequisites__ -1. Have subscribed to the Cloud Temple offer (subscription to the IaaS offer). -2. Have the permissions enabled for the object driver __'IaaS'__ +1. Have subscribed to the Cloud Temple offering (IaaS subscription). +2. Have the necessary permissions enabled for the __'IaaS'__ object driver. ## Deploy a Virtual Machine from a Template -This guide shows you step by step how to deploy a virtual machine from a Template in the Shiva console. +This guide walks you through the steps to deploy a virtual machine from a Template in the Console. -On the Shiva portal, go to the "Cloud of Trust" tab, then "Catalogs". Before being able to deploy a Template, it must be uploaded to your private catalog, in the "My Catalog" tab. +In the Console portal, go to the **"Trusted Cloud"** tab, then **"Catalogs"**. Before you can deploy a Template, it must first be uploaded to your private catalog, under the **"My Catalog"** tab. -For this, you have two options: import your own Template directly into your private catalog or import a model from the Cloud Temple public catalog. +To do this, you have two options: +- Import your own Template directly into your private catalog, or +- Import a template from Cloud Temple's public catalog. ### Import a Personal Template into the Private Catalog @@ -29,19 +31,19 @@ In the "My Catalog" tab, click on "Publish Files". -Then follow the Template publishing steps, entering its name and description, and choosing its location in a library. +Then follow the template publishing steps by entering its name and description, and selecting its location within a library. -The Template should then appear in your private catalog. +The template should then appear in your private catalog. ### Import a Template from the Public Catalog -In the "Public Catalog" tab, click on the "Add to My Catalog" button of the Template of your choice to import it into your private catalog. It should then appear in your private catalog. +In the "Public Catalog" tab, click the "Add to My Catalog" button of the desired template to import it into your private catalog. It should then appear in your private catalog. ### Deploy the Template -Once the Template is imported into your private catalog, you can deploy it by clicking on "Deploy". +Once the template has been imported into your private catalog, you can deploy it by clicking "Deploy." -Then follow the different deployment steps of the resource, selecting its physical location (datacenter, compute cluster, datastore) and other optional configuration parameters. \ No newline at end of file +Then follow the resource deployment steps, selecting its physical location (datacenter, compute cluster, datastore) and other optional configuration parameters. \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md index d3652b01..b3ca60d4 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/iaas_vmware/tutorials/vm_encryption.md @@ -10,41 +10,41 @@ import shivaHsmKms_002 from './images/shiva_hsm_kms_002.png' import shivaHsmKms_003 from './images/shiva_hsm_kms_003.png' import shivaHsmKms_004 from './images/shiva_hsm_kms_004.png' -This tutorial helps you encrypt a VMware IaaS virtual machine from the Shiva portal. +This tutorial guides you through encrypting an IaaS VMware virtual machine from the Console portal. ### Prerequisites -1. **Key provider (HSM/KMS)** : - - A key provider must be configured on the vStack. (If no key provider is configured, please contact the support service through a ticket.) - - Ensure the key provider is correctly activated. +1. **Key Provider (HSM/KMS)**: + - A key provider must be configured on the vStack. (If no key provider is configured, please contact support via a ticket.) + - Ensure the key provider is properly enabled. -2. **Virtual machine status** : +2. **Virtual Machine State**: - The virtual machine must be powered off. - - The virtual machine must not be in 'test' spp mode. + - The virtual machine must not be in spp mode 'test'. - The virtual machine must not already be encrypted. - - The virtual machine must not have snapshots. + - The virtual machine must not have any snapshots. - The virtual machine must not be replicated. ### Interface -Once connected to the Shiva web portal, from the **'IaaS'** menu, under the **'Configuration'** submenu and the **'vCenters'** tab, you will find information indicating whether encryption is enabled on the relevant vStack. +After logging into the Console web portal, navigate to the **'IaaS'** menu, then the **'Configuration'** submenu, and select the **'vCenters'** tab to check whether encryption is enabled for the specific vStack. -Then go to the **'Virtual Machines'** submenu and select the machine you want to encrypt. +Next, go to the **'Virtual Machines'** submenu and select the virtual machine you wish to encrypt. -In the virtual machine's general information, you will find information indicating whether the machine is already encrypted or not. +In the virtual machine's general information, you will find the status indicating whether the machine is already encrypted or not. -If the virtual machine meets the prerequisites, you can proceed with the procedure by clicking the button with a lock icon in the toolbar indicating **'Encrypt the Virtual Machine'**. +If the virtual machine meets the prerequisites, proceed with the process by clicking the toolbar button displaying a lock icon labeled **'Encrypt Virtual Machine'**. -A confirmation window will appear, select Encrypt. +A confirmation window will appear—select **Encrypt**. -Once the action is completed, you should see the updated information indicating that your machine is encrypted. +Once the operation is complete, you should see the updated status indicating that your virtual machine is now encrypted. \ No newline at end of file diff --git a/i18n/en/docusaurus-plugin-content-docs/current/llmaas/concepts.md b/i18n/en/docusaurus-plugin-content-docs/current/llmaas/concepts.md index de990bc3..8baf1caf 100644 --- a/i18n/en/docusaurus-plugin-content-docs/current/llmaas/concepts.md +++ b/i18n/en/docusaurus-plugin-content-docs/current/llmaas/concepts.md @@ -7,7 +7,7 @@ sidebar_position: 3 ## Overview -The **LLMaaS** (Large Language Models as a Service) offering from Cloud Temple provides secure and sovereign access to the most advanced artificial intelligence models, with the **SecNumCloud certification** from ANSSI. +The **LLMaaS** (Large Language Models as a Service) service from Cloud Temple provides secure and sovereign access to the most advanced artificial intelligence models, with the **SecNumCloud certification** from ANSSI. ## 🏗️ Technical Architecture @@ -21,7 +21,7 @@ import ArchitectureLLMaaS from './images/llmaas_architecture_001.png'; #### 1. **API Gateway LLMaaS** - **OpenAI Compatible**: Seamless integration with existing ecosystem -- **Rate Limiting**: Quota management per billing tier +- **Rate Limiting**: Quota management by billing tier - **Load Balancing**: Intelligent distribution across 12 GPU machines - **Monitoring**: Real-time metrics and alerting @@ -34,7 +34,7 @@ import ArchitectureLLMaaS from './images/llmaas_architecture_001.png'; ### Model Catalog -*Complete catalog: [Model List](./models)* +*Complete catalog: [List of models](./models)* ### Token Management @@ -55,8 +55,8 @@ Total cost = (Input tokens × 0.9€/M) + (Output tokens × 4€/M) + (Reasoning ### Tokenization -# Token Estimation Example ```python +# Example token estimation def estimate_tokens(text: str) -> int: """Approximate estimation: 1 token ≈ 4 characters""" return len(text) // 4 @@ -115,7 +115,7 @@ It is possible to disable this security analysis for very specific use cases, al - **HTML Injection**: Hidden or malicious HTML tags, for example `