PTKE — Prime Telecom Kubernetes Engine

Faire tourner OpenStack, c'est faire tourner Keystone, Nova, Neutron, Cinder, Swift et Octavia — chacun avec sa propre surface d'API, son modèle d'authentification et ses modes de défaillance. Y faire tourner Kubernetes, c'est empiler Rancher, RKE2, CAPI, Helm, des fichiers kubeconfig et des DaemonSets. Offrir aux locataires une UI self-service propre par-dessus tout ça — sans laisser fuir la plomberie bas niveau ni casser la sûreté opérationnelle — c'est l'essentiel du travail.

Et tout doit être strictement multi-locataire. Des quotas par locataire, des projets OpenStack distincts, des pistes d'audit sur chaque action modifiante, des clés SSH diffusées uniquement sur les bons nœuds, des téléchargements de kubeconfig impossibles à abuser. Un seul cluster exposé ou une seule action inter-locataires tuerait la crédibilité de la plateforme pour tous les autres.

Laravel 12 + Inertia v2 + Vue 3 + Tailwind CSS v4 offre aux opérateurs une expérience rapide et typée sans pipeline frontend séparé. Wayfinder génère des clients typés de routes et d'actions, pour que chaque page Vue parle au backend à travers des contrats vérifiés. Fortify gère les sessions, le 2FA et la vérification d'e-mail ; Sanctum émet des tokens API pour le provider Terraform et les consommateurs d'automatisation.

Le backend est structuré en Controllers → Form Requests → Services → Jobs. Tout travail de plus de quelques secondes passe toujours par la file. Onze wrappers de services OpenStack sont placés devant Keystone, Nova, Neutron, Cinder, Swift et Octavia ; une couche de wrappers distincte parle à Rancher (v1, v3 et CAPI) pour le cycle de vie des clusters. Vingt-huit jobs en file orchestrent le provisioning, les modifications de node pools, les sauvegardes, les health checks, l'enregistrement d'usage et la diffusion des clés SSH. Horizon les supervise ; Reverb renvoie des mises à jour WebSocket vers le navigateur de l'opérateur, pour que les changements d'état se sentent immédiats.

Le multi-locataire est appliqué de bout en bout : chaque action modifiante passe par une Policy avec vérification de locataire plus une permission Spatie, les quotas sont appliqués à chaque allocation de ressources et le rate limiting fonctionne par utilisateur et par locataire. Les téléchargements de kubeconfig sont journalisés et limités. Les clés SSH privées ne touchent jamais la plateforme — un DaemonSet intra-cluster (ptke-ssh-sync) distribue seulement les clés publiques dans des Kubernetes Secrets au sein du propre cluster de chaque locataire.

PTKE est en production, livrant du Kubernetes managé sur une infrastructure roumaine souveraine. Des opérations qui nécessitaient autrefois un ingénieur de plateforme dans une file de tickets — provisioning de clusters, mises à jour, attach/détach de volumes, installation d'add-ons, backup/restore — sont désormais des actions en self-service en deux clics, avec des pistes d'audit complètes et une API REST typée. Un provider Terraform bêta étend le même contrat aux workflows infrastructure-as-code.