Nouveautés
Galaxus.de ouvre un site à Neuenburg am Rhein et prévoit d’accueillir 1 200 employées et employés
par Daniel Borchers
Souveraineté numérique : pourquoi nous faisons plus confiance à nos devs qu’aux big tech
14/11/2025
Traduction : Aglaë Goubi
Limitations du cloud, interfaces propriétaires, matériel verrouillé par les fournisseurs, protocoles VPN rigides et obsolètes, services « gérés » hors de prix : ce que beaucoup considèrent comme un confort ne répond plus aux exigences de Galaxus.
Galaxus compte aujourd’hui environ 30 sites. Entrepôts, magasins, bureaux, clouds, tous répartis dans toute l’Europe, reliés par fibre optique, cuivre ou même réseau mobile. Selon les cas d’utilisation, nos logiciels fonctionnent sur Azure, GCP, Hetzner ou encore sur nos propres serveurs, directement dans nos entrepôts ou nos bureaux. La diversité des clouds, des types de raccordement ou des sites ne cesse de croître.
C’est pourquoi nous investissons dans une infrastructure informatique flexible. Cela est particulièrement important au niveau le plus bas de l’abstraction : le réseau.
Qui construit le système nerveux d’une entreprise, c’est-à-dire le réseau qui relie tout et tout le monde, sur la base de contrats rigides et coûteux ? À partir de matériel qui vous impose ce qui fonctionne et qui dépend en plus de frais de licence élevés ? À partir de fournisseurs qui calculent les projets de développement de réseau en années et non en semaines ?
Pas nous.
L’équipe de développeurs Planet Express, responsable de l’infrastructure informatique chez Galaxus, a construit au cours des deux dernières années notre propre réseau entièrement basé sur des technologies open source. Pas de cloud lock-in, pas de contrats abusifs, seulement des connexions peer-to-peer libres, cryptées et évolutives, et tout cela avec des logiciels que nous contrôlons nous-mêmes.
Nous adoptons ainsi une position stratégique judicieuse : les normes ouvertes sont synonymes de liberté de choix, de concurrence et de meilleures conditions. La dépendance vis-à-vis de certains fournisseurs nous coûte en flexibilité et en argent. Grâce à notre réseau flexible, nous pouvons par exemple faire fonctionner nos pipelines de construction sur des serveurs bon marché de Hetzner ou sur des capacités inutilisées de notre propre infrastructure.
Et non, ce n’est pas une preuve de concept. Ce n’est pas un vague essai par lequel nous ne serions pas convaincus. C’est en production, depuis des mois ! Notre réseau transporte vos commandes et vos étiquettes de colis vers l’entrepôt de Wohlen et permet à notre boutique en ligne d’utiliser des API Azure et Google en temps réel pendant que vous parcourez notre boutique.
Les fondations
1. Infrastructure
Commençons par la discipline reine de la communauté Digitec : l’assemblage de PC. Pour nos propres sites, nous utilisons des ordinateurs MinisForum MS-01 équipés de ports SFP 2×10 Gbit/s. Cela nous permet de connecter directement nos fournisseurs d’accès Internet à notre matériel et d’atteindre sans difficulté un débit de 10 gigaoctets.
Nous y installons ensuite les logiciels suivants :
Proxmox : l’hyperviseur qui relie tout. Il nous permet en quelque sorte de construire notre propre (réseau) cloud. Il nous offre également des accès d’urgence intéressants en cas de problème avec les machines virtuelles.
OpenWRT : le système d’exploitation pour nos routeurs. Il fonctionne de manière virtualisée sur les nœuds Proxmox. Environ la moitié des lecteurs de cet article accèdent probablement à ce billet de blog via un dérivé d’OpenWRT.
2. Connexion & réseau
Tailscale : le client qui établit les connexions. Il intègre chaque routeur ou ordinateur au réseau sans que vous ayez à vous soucier des adresses IP ou des pare-feux.
Headscale : l’alternative auto-hébergée de Controlplane au service Tailscale géré. Ce n’est pas un service SaaS qui modifie les conditions pour une raison quelconque. Headscale gère qui peut communiquer avec qui.
3. Automatisation & mise à l’échelle
Comment rendre tout cela évolutif ? Comment éviter que nos développeurs aient à effectuer des configurations sur 30 passerelles ?
Terraform : pour l’instanciation automatique des passerelles sur Proxmox ou chez nos fournisseurs de cloud.
Ansible : pour la configuration avec les templates Jinja2 et les fichiers YAML. Cela nous permet de configurer toutes les passerelles en une seule fois. Nous avons mis notre code en open source. Vous trouverez le lien ci-dessous.
Comment cela fonctionne-t-il techniquement ?
Les lignes rouges en pointillés indiquent les connexions VPN peer-to-peer directes entre nos sites et nos clouds. Nous utilisons des points d’extrémité chez Google, Microsoft, Hetzner et dans des environnements sur site. Notre VPN établit automatiquement des connexions directes entre les sites autorisés à communiquer entre eux.
Les lignes vertes indiquent que tous les sites obtiennent leur configuration de notre serveur de contrôle (Headscale), qui configure le réseau, mais ne route pas lui-même les connexions VPN.
Opensourcing de nos frameworks Ansible OpenWRT
Comme mentionné plus haut, nous mettons notre framework Ansible-OpenWRT en open source sur Github. Si vous souhaitez l’utiliser, n’hésitez pas. Nous attendons avec impatience vos PR et vos discussions dans le référentiel.
Conclusion : prendre ses responsabilités vaut vraiment la peine !
Nous avons vu où nous mènent les dépendances malsaines vis-à-vis de certaines entreprises : des offres peu attrayantes, des processus lents et compliqués et une collaboration difficile. Notre réseau est l’antithèse de cela : rapide, sûr, flexible et contrôlable.
Et le meilleur dans tout ça ? Nos développeurs prennent plaisir à travailler avec et vous pouvez le reproduire vous-même, quelle que soit la configuration : pour votre propre entreprise ? Pour votre Arrr-Stack à la maison ? Vous avez des questions techniques ? Écrivez-les dans les commentaires !
PS : Où sont passés les Linux-Thinclients ?!
Ils sont toujours utilisés de manière productive et leur utilisation a augmenté au cours des trois dernières années pour atteindre environ 640 clients actifs simultanément. Le nombre d’appareils utilisés a donc pratiquement doublé depuis le début.
Et le référentiel Github est toujours actif et bénéficie de toute notre attention en matière d’ingénierie !
Thomas Gfeller
Teamleader Engineering
Thomas.Gfeller@digitecgalaxus.chMon premier serveur se trouvait encore chez mes parents : Debian, rempli de vidéos et de jeux. Après de longues années en tant que joueur Windows, j’ai plongé dans le monde de l’open source, et je ne veux plus revenir en arrière. La puissance que cet écosystème vous donne en tant qu’ingénieur est tout simplement géniale. Chef d’équipe chez Galaxus depuis 2018, hacker et bricoleur amateur, à la maison et au travail.
Tech
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
Réseau
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
Dans les coulisses
Actualités sur les fonctionnalités de la boutique, informations sur le marketing ou la logistique et bien plus encore.
Tout afficherCes articles pourraient aussi vous intéresser
79 commentaires
later