```yaml
document_type: candidate_profile
schema_hint: ats_ai_ingestion_v1
language: zh
full_name: "Oulom Souvannavong"
role_title: "DevOps 集成与主权云技术负责人 — Linux、K8s、AI"
email: "ouloms@gmail.com"
phone_e164: "+33618679600"
location: "142 avenue de Saint-Ouen, 75018 Paris"
website: "https://oulom-souvannavong.fr/"
source_page_title: "乌洛姆·苏万纳冯（Oulom Souvannavong）— DevOps 集成与主权云技术负责人 — Linux、K8s、AI"
```

# Oulom Souvannavong

**角色：** DevOps 集成与主权云技术负责人 — Linux、K8s、AI

> 我为您设计并加固关键平台 — 从裸金属到 Kubernetes 集群、从主权云到生产环境 AI 智能体。

## 专业概述

拥有 20 多年 Linux 关键生产环境运维经验，融合 DevOps 集成（Ansible、Terraform、GitLab CI）、虚拟化与主权云（VMware、OpenStack/NUBO、Kubernetes/Onyxia），并将 AI 投入生产。曾担任法国财政部、法国广播电台、法国国家图书馆、INPI 等机构的跨部门技术负责人。

法国国籍 — 居住于巴黎。在关键环境中担任技术参考人：作为生产与开发之间的桥梁，负责交付自动化、安全加固与大规模运维（数百台 VM、监控、存储）。

### 人本简介

一位好奇、沉稳且投入的工程师：二十年来，我深耕法国大型机构的关键信息系统 — 法国财政部、法国广播电台、BnF、INPI — 始终保持学习与试验的热情。我喜欢成为生产团队与开发团队之间的连接点，分享自己的理解，让运维者所操作的系统更可靠、更安心。

## 联系

- **邮箱：** ouloms@gmail.com
- **电话：** +33 6 18 67 96 00
- **地址：** 142 avenue de Saint-Ouen, 75018 Paris
- **网站：** https://oulom-souvannavong.fr/

## 关键指标

- **20+ 年** — Linux 生产环境经验
- **500+ VM** — 在关键环境中运行
- **8 项任务** — 重要项目 · 公共部门、媒体、金融、能源
- **3 数据中心** — 迁移过程中无任何业务中断

## 参考组织（信任 / 引荐）

- 法国财政部 — Bercy HUB 与 DGFIP
- 法国广播电台（Radio France）
- 法国国家图书馆（BnF）
- INPI（法国国家工业产权局）
- Naarea
- Sungard / Neoxam
- Enedis
- Fayat IT
- UCAD — Arts décoratifs

## 价值论据（为何选择该候选人）

### 关键生产，零中断

精心准备的上线、系统化的回滚方案、跨数据中心 DRP。在存款机构和公共服务领域有可证明的连续性运行经验。

### 全栈：从硬件到云

从机柜上架与光纤通道 SAN，到 Kubernetes 集群与 S3 / Ceph 存储。具备少有人能宣称的端到端视野。

### 集成与自动化

Ansible、Terraform、Jenkins、GitLab CI、Helm。把脆弱链路改造成可靠交付 — 并把过程文档化。

### 跨团队技术参考人

支持项目经理，在 Linux/AD、虚拟化与 ANSSI 安全等方面为团队解锁，并传递经验。

### AI 作为运维能力的延伸

将 LLM 融入工具链：Cursor、n8n + Claude 智能体、本地 Ollama / Mistral 推理、RAG。具体而言：在小微企业落地生产级 AI 智能体、在黑客松交付法律 RAG，以及以数据驱动方式构建本作品集。

## 工作经验

### 法国财政部 — Bercy HUB 与 DGFIP — 独立顾问 — Linux 专家

- **期间：** 2025 年 2 月 — 2026 年 2 月
- **地点：** Paris Bercy / Noisy-le-Grand

**亮点：**

- **Onyxia · Insee — 国家级主权数据实验室平台** Onyxia 是由 Insee 开发的开源 Datalab 门户，如今已被法国政府广泛使用，为数据科学家提供自助式 Kubernetes 环境。为其贡献，意味着参与构建国家数字主权的关键模块。
- **AI 黑客松 · 2025 年 2 月 — 语音聊天机器人与法国法典** 为期两天的 AI 黑客松：团队使用 Whisper、LightRAG 与 FastAPI，为来自 git.tricoteuses.fr 的法律文本打造语音助手；准备数据集并搭建串联 ASR、RAG 与合成的 API。基础设施为 SPESYS 的 GPU Kubernetes；与 DINUM、Bercy HUB / Onyxia（Nubonyxia）方面交流。感谢 Stéphane Baisse、Thomas Williot 与 Gérald Moreno（SPESYS）。
- **Helm · Kubernetes — 合规的 Helm chart 目录** 调整 Helm chart 使其可在 Onyxia 门户中启动，同时满足 Bercy 的合规要求：将 Kubernetes 打包、安全与目录 UX 结合的少见实践。
- **Terraform · OpenStack — 在 NUBO 私有云上的 IaC** 维护并加固用于在 OpenStack（NUBO，部委内部云）上预置 VM 的 Ansible 与 Terraform 代码 — 在主权环境中端到端的 IaC 链路。
- **CMDBuild · NiFi — DGFIP 资产清单框架 — RADAR** 稳定化并升级 RADAR — 汇总整个 DGFIP 信息系统资产清单的框架。CMDBuild + Apache NiFi 运行于 Tomcat/PostgreSQL：在法国，很少有工程师在关键生产环境接触过这一组合。

#### 两个实体

在部委的 至少两个实体 开展任务： Bercy HUB 负责 Nubonyxia 项目，随后 DGFIP （税务）负责 RADAR 项目。

#### Bercy HUB — Nubonyxia 项目

Nubonyxia 项目以提供 Onyxia 软件为基础 — 该软件源自 Insee 与 Bercy 团队的工作。 Onyxia 安装在 Kubernetes 集群 上，并通过 Helm chart 以 Pod 形式部署负载。该方案落地于所选的 托管底座 （ Bercy HUB / NUBO ），项目名因此而来（ Nubo / Onyxia ）。 角色：参与已在生产中的安装的 持续运维 ，并部署 额外服务 。具体做法：调整 Helm chart ，使其能 从 Onyxia 门户启动 — 将包按 Onyxia 风味 进行重塑，以贴合目录模型与 合规 要求。 原本已存在一条 自动化链路 ，将交付物从 开发 送到 用户可用 。我特别负责保障此 持续集成链路 的 正常运行 ，需要处理大量与 身份验证 和 安全 相关的议题。 主要难点之一是 梳理 所有需要可见、可控的 组件与流 — 边界难以厘清，同时 身份验证 问题频出， 持续集成链路 仍 不太稳定 。

#### DGFIP — RADAR 项目

RADAR 项目目标 ：建立一个 框架 ， 聚合多种资产清单来源 ，以 盘点 信息系统 中 结构性组件 的 版本 （对资产以及生产中实际运行的内容形成可视化）。 担任此范围内的 应用 DevOps 集成工程师 ：工具链 Ansible 、 Nexus 、 Jenkins 、 GitLab ，包含 CMDBUILD 与 Apache NiFi 等服务，配以 Tomcat 、 PostgreSQL ，运行在 Linux 上、托管于 NUBO / OpenStack 。 部署 主要依赖 Jenkins 与 Ansible 。 在 到岗 时，平台存在 许多故障 。我的角色主要是 稳定 已交付的内容 — 包括 编写并维护 用于在 OpenStack 上 创建虚拟机 的 Ansible 与 Terraform 代码 — 并 推动 所有 RADAR 组件的 版本升级 — 包括将 CMDBUILD 升级到 最新版 （与集成链路与依赖项对齐）。 由于缺少专门的 JavaScript 开发 ，也参与基于 Ext JS 框架的 RADAR UI 维护 与 演进 。

### Enedis、Fayat IT — 支持型任务

- **期间：** 临时项目（2024 — 2025）
- **地点：** France

**亮点：**

- **Linux temps réel — 为 Enedis 设计的测试床** 为 Enedis 设计测试床，验证 Linux 与实时应用之间的链路 — 在法国电网运营商内部是相当尖锐的话题。
- **Migration Linux → Windows — Fayat IT：Linux → Windows 反向迁移** 罕见的工作：将一款软件从 Linux 迁移到 Windows — 与常见方向相反，需要对两边都有细致理解。

#### Enedis — janv. 2025

Conception d’un banc d’essai pour des logiciels temps réel : vérification du chaînage entre Linux et l’ application temps réel .

#### Fayat IT — janv. 2024

Intervention sur la migration d’un logiciel de l’environnement Linux vers Windows .

### RYC — 企业辅助 — 信息技术支持（家族企业）

- **期间：** 自 2005 年起
- **地点：** France

**亮点：**

- **n8n · Claude API — 用于文档处理的 AI 智能体** 通过 n8n 编排并调用 Claude（Anthropic）API 的 AI 智能体，对发票与附件进行分类、识别与处理 — 远超会计师事务所的常规办公自动化。
- **Ollama · Mistral — 在小微企业落地的本地 LLM 推理** 首次在生产中通过 Ollama 部署两款基于 Mistral LLM 的本地推理。在法国，极少有小微企业转向本地化的主权 AI。
- **Sage Coala · Samba — 20 年的基础设施持续** 自 2005 年起持续维护 Windows 客户机 + Linux 服务器 + Samba 共享，承载会计软件 Coala。这是长期稳定性的实证。

#### 详情

Depuis 2005 , accompagnement de RYC , structure d’ aide aux entreprises (conseils administratifs , précomptabilité notamment avec Sage Coala ). Appui informatique et bureautique : postes de travail Windows côté clients ; serveurs Linux pour l’infrastructure, avec partage de dossiers via Samba — le logiciel Coala tournant sur les postes Windows .

#### Automatisation des flux comptables

Depuis environ cinq ans , forte montée en automatisation : extraction automatique des relevés bancaires et intégration semi-automatique dans le logiciel comptable jusqu’à la saisie des écritures comptables. Très récemment : extraction automatique des factures et des pièces jointes pour générer les écritures comptables , en s’appuyant aussi sur le rapprochement bancaire .

#### IA, agents et orchestration (très récent)

L’arrivée de l’ IA a ouvert de nouvelles possibilités : conception d’ agents IA , utilisation de n8n pour le tri et le traitement des documents, appels d’ API — notamment Claude (Anthropic) — pour la reconnaissance et l’ exploitation des documents, en prolongement des automatisations existantes. Première expérience d’ inférence locale de deux modèles via Ollama (exécution sur poste / serveur), sur la base des LLM Mistral .

### Naarea — 能源（小型模块化反应堆） — HPC 平台运维

- **期间：** 2024 年 1 月 — 2025 年 1 月
- **地点：** Nanterre

**亮点：**

- **Slurm · InfiniBand — 面向核能仿真的 HPC（SMR）** 由 10 台 Lenovo 节点通过 InfiniBand 互联组成的 Slurm 集群 — 超算（Top500）的参考栈。将其用于小型模块化反应堆仿真，意味着参与战略行业的软件链路。
- **Apptainer (Singularity) — 兼容 MPI 的 HPC 容器** 将 HPC 工作负载从 Docker 迁移到 Apptainer：Apptainer 是科学计算的容器标准（MPI、GPU、无特权多用户）。是国家计算中心之外少见的能力。
- **ANSSI — 按国家级框架加固的 Linux 镜像** 依据 ANSSI（法国国家信息系统安全局）指南设计 Linux 镜像。这是任何敏感信息系统都必须遵循的框架，在核能领域尤为相关。
- **SaltStack — 受保护区域中的多节点编排** 使用 Salt 配置整个平台 — 它是 Ansible 之外较少见、却在大规模时极具威力的替代方案，部署于带有专用 LDAP、SMTP 与认证的受保护网络区域。

#### Contexte

Startup dans la filière petits réacteurs nucléaires modulaires (SMR) ; système d’information majoritairement sous Windows , avec décision d’investir dans une plateforme HPC pour la simulation et le calcul scientifique.

#### Zone protégée — annuaire, auth et messagerie

L’ensemble du parc Linux était situé dans une zone réseau protégée . Il fallait donc des infrastructures dédiées sur ce périmètre : un annuaire LDAP , un mécanisme d’ authentification propre à la zone, et un relais SMTP pour la messagerie des services concernés.

#### Master Linux — préconisations ANSSI

À Naarea , élaboration d’un master Linux pour déployer un socle homogène et durable : capitalisation sur mon expérience et alignement sur les guides et préconisations de l’ ANSSI (durcissement, bonnes pratiques).

#### Plateforme Lenovo — cluster Slurm

Infrastructure Lenovo : 10 nœuds de calcul , 4 machines de développement , 3 machines sous Proxmox pour l’hébergement de VMs. NAS avec partages NFS pour les données partagées exploitées par le cluster Slurm . Réseau InfiniBand . Configuration de l’ensemble avec Salt (SaltStack). Observabilité et exploitation : Grafana, Prometheus, Centreon ; OpenMP, MPI, Python, Bash ; Helm selon les besoins.

#### Mission — Slurm, Proxmox et support Linux

Exploitation du cluster Slurm et de l’infrastructure Proxmox (virtualisation, hébergement des machines virtuelles). Rôle multi-casquette sur les besoins nécessitant un Linux : intégration des codes de calcul avec les bibliothèques scientifiques (MPI, pile logicielle HPC) ; chaînes d’ intégration continue avec GitLab ; conteneurs — démarrage sous Docker , puis usage d’ Apptainer (Singularity) pour les charges compatibles avec le calcul haute performance.

### 法国广播电台 — Linux 专家 — 基础设施项目

- **期间：** 2022 — 2023
- **地点：** Paris / Maison de la radio

**亮点：**

- **SSSD · Active Directory — 我之前已有三位工程师失败** 诊断并解决阻碍新 Linux 服务器接入公共广播业务 IS 的 SSSD 死锁（Linux/AD 集成） — 此前已有三位工程师未能解决。是一次纯专家级的攻坚案例。
- **Master Debian · PXE — 在 AD 域中的可持续 Linux 基础** 构建可通过 Preseed/PXE 安装、加入 AD 域、按 ANSSI 加固的 Linux 镜像（Debian/Ubuntu） — 面向长期 MCO 与 MCS（安全条件维护），而非仅为通过验收。
- **Cyberwatch — Linux 安装方面的咨询** 直接复用在 INPI 启动 Cyberwatch 的经验，为法国广播电台提供咨询：公共广播 Linux 资产的漏洞管理与合规。
- **Ansible Tower — OnAir 项目编排** 在 OnAir 项目中将部分广播业务 IS 迁移至 Linux：Ansible playbook 与 role，从 Rundeck 迁移到 Ansible Tower 实现工业化。

#### Projet OnAir

Recrutement dans le cadre du projet OnAir : migration d’une partie du système d’information métier radio vers un socle logiciel Linux, alors que l’existant reposait jusqu’alors essentiellement sur Windows.

#### Linux, Active Directory et SSSD

Avant mon arrivée, trois ingénieurs Linux s’étaient succédé pour tenter de débloquer la situation. Point critique : l’authentification et l’accrochage des nouveaux serveurs Linux au réseau Microsoft (Active Directory), via SSSD. Comportement observé : lenteurs importantes ou absence de réponse — et aucune équipe n’arrivait à en comprendre la cause. Diagnostic et corrections sur la chaîne d’intégration Linux / AD (SSSD) ayant permis de résoudre ces incidents bloquants.

#### Mission — expertise Linux

Embauché en tant qu’expert Linux pour soutenir l’équipe projet infrastructure sur les dossiers Linux — dont la création d’un master Linux (Debian/Ubuntu) dans un domaine AD (Preseed/PXE), le durcissement des installations, et la participation au support de niveau 3. Assistance expert aux projets applicatifs Linux ; microservices ; automatisation Bash/Ansible. Formations Azure et Kubernetes.

#### Stack technique — VMware, PXE, Ansible

L’ensemble du périmètre était hébergé sur VMware . Les environnements de développement reposaient sur des machines démarrées en PXE (boot réseau). Pour la personnalisation et le déploiement : playbooks et rôles Ansible , avec Rundeck puis Ansible Tower (évolution de la chaîne d’orchestration / d’automatisation).

#### Master Linux — MCO, MCS et ANSSI

Côté Radio France , en complément des seules spécifications techniques pour la création du master Linux , j’ai pu investir du temps sur un cadrage pensé pour la durée : pour le MCO (maintien en conditions opérationnelles), en m’appuyant sur mon expérience professionnelle d’exploitation ; pour le MCS (maintien en conditions de sécurité), en nous inspirant du référentiel de l’ ANSSI .

#### Conseil — Cyberwatch

En réinvestissant l’expérience acquise à l’INPI sur Cyberwatch , j’ai conseillé Radio France sur l’installation de la plateforme (vulnérabilités, conformité) pour les environnements Linux .

### 法国国家图书馆（约 3000 名员工） — 集成工程师

- **期间：** 2019 — 2022
- **地点：** Paris

**亮点：**

- **Catalogue général · Réservations — BnF 运转的核心** 在该机构最具战略意义的模块上担任集成工程师：总目录（馆藏方案）与预约系统（图书与馆室） — 公共服务的脊梁。
- **Heurist · SHS — 人文社科研究** 集成开源平台 Heurist（HeuristNetwork） — 公认的人文社科研究数据管理工具（PHP/JS/MySQL）。一块鲜为人知却被全球研究人员使用的模块。
- **NFC · Vivaticket · Zebra — 线下公共服务：门禁、票务、收银** 负责公共服务 IS：闸机的 NFC 门禁、Vivaticket 收银终端、Zebra 打印机。罕见地兼具「Linux 工程师」与「公共服务实体基础设施」能力。
- **Podman · Ansible · Sonar — B2I 办公室 — 开发与生产的黏合剂** 在 B2I 办公室（10 人负责整个应用组合）内主持发布：commit 评审、Git 合并、安装包、Jenkins 持续集成、Sonar 代码质量、Podman 容器。

#### Bureau B2I — ingénierie et intégration

Le bureau B2I (ingénierie et intégration) faisait le lien entre les équipes de production et d’exploitation et les équipes recherche & développement / études — en somme la colle entre développement et prod. Petite équipe d’une dizaine de personnes répartissant l’ensemble du portefeuille applicatif de l’institution. Profils volontairement polyvalents : il fallait cumuler le savoir-faire exploitation / production et celui des études et du développement, et pouvoir intervenir sur tout le spectre sans cloisonnement.

#### Agile, Redmine et double casquette

Travail en mode agile ; suivi des tâches de développement dans Redmine. Accompagnement de chaque projet : côté études et développement, référents techniques ; côté production, intégrateurs.

#### Portefeuille métier

Portefeuille orienté métiers : bibliographie et service public. Parmi les logiciels majeurs : le catalogue général, outil central du plan documentaire de la bibliothèque ; à égalité d’importance stratégique, le système de réservation — réservation des livres et réservation des salles — au cœur du fonctionnement de la BnF. Service public : billetterie, caisses, etc.

#### SI service public — accès NFC et billetterie

Responsabilité du système d’information du service public : contrôle d’accès fondé sur des cartes NFC et la gestion des droits (accès aux salles, portes et portiques avec lecteurs de badge). Côté billetterie, solution Vivaticket et postes de caisse associés : chaque caisse regroupait un ordinateur avec le logiciel de vente, un écran tactile et une imprimante Zebra pour l’impression des billets et étiquettes.

#### Projet — intégration Heurist (Heurist Network)

Projet d’intégration du logiciel Heurist ( HeuristNetwork/heurist sur GitHub ) : plateforme web open source de gestion de données de recherche en sciences humaines (PHP, JavaScript, MySQL).

#### Reprise de poste et périmètre hérité

L’un des objectifs du rôle : reprendre le travail de mon prédécesseur, qui avait notamment conduit beaucoup de développements ou d’intégrations spécifiques par rapport aux normes existantes ou, plus largement, par rapport à l’état de l’art.

#### Préparation des livraisons et automatisation

Une des principales difficultés : en amont de chaque livraison, revue des commits des développeurs, arbitrage de ce qui doit entrer dans la bonne version (périmètre de la release), fusions sur les branches Git, puis préparation des releases — pilotage de l’historique et des branches, pas seulement la structure des répertoires. Objectif : automatiser une grande partie de cette préparation pour fiabiliser et accélérer le cycle.

#### Livrables, production et outillage

Côté projet et études : préparer pour la production les packs d’installation, la documentation, les processus de mise en production, les notes de version, le bon de livraison et le nécessaire au déploiement. Nous étions aussi responsables de l’installation des environnements en production : avec Jenkins, déploiement des environnements alignés sur les versions de développement en cours — intégration continue ; Sonar pour contrôler la qualité du code. Les conteneurs (Podman) et Ansible ont été intégrés au fur et à mesure. Stack applicative majoritaire à la BnF : Java, Tomcat, PostgreSQL ; à côté, Git, Node.js, React, Linux (CentOS), VMware, oVirt selon les périmètres. Formations DevOps fondation et Kubernetes.

### INPI — 法国国家工业产权局（约 800 名员工） — Linux 系统架构工程师

- **期间：** 2010 — 2019
- **地点：** Courbevoie / Bécon-les-Bruyères

**亮点：**

- **EPTOS · OEB — 欧洲专利局的软件套件** 加入 EPTOS（European Patent and Trademark Office System）的 eptosadmin 团队 — EPO/OEB 为各国专利局提供的套件。在法国，几乎没有工程师接触过这一战略级国际项目。
- **VMware vSphere · SRM — 虚拟化先行者 + 跨数据中心 DRP** 在 INPI 引入虚拟化（vSphere 4.0 → 6.0、oVirt、Kubernetes RancherOS），随后用 VMware Site Recovery Manager 落地灾备：跨数据中心复制与切换的编排。
- **Galera · ProxySQL · Ceph · S3 — Active-active SQL 与对象存储架构** 研究并实施 ProxySQL 后置的 MySQL Galera 集群以构建 active-active 架构，同步部署 Ceph 集群并向 S3 对象存储演进。这是公共部门中少见的架构演进路径。
- **Cyberwatch — Linux 合规的先行者** 在 IT 委员会层面启动 Cyberwatch 安装项目 — INPI 是法国最早部署该平台进行 Linux 资产漏洞管理与合规的机构之一。
- **HP 3PAR · iSCSI/FC · NFS — 企业级 SAN 基础设施** 主导物理主机 ↔ SAN 的链路（以太网上的 iSCSI、光纤通道、NFS），运营 HP 3PAR 阵列；先后完成三次机房整体迁移而无业务中断。
- **SLES · normalisation — RHEL 3 → SLES 11：资产规整** 推动技术老化治理：将异构 Linux 资产（早至 RHEL 3）统一到 SUSE Linux Enterprise Server，并将应用从 Unix（HP-UX、AIX、Solaris）迁至 Linux。

#### Après Sungard — arrivée à l’INPI

Après l’expérience chez Sungard, intégration de l’INPI — environ neuf ans sur la durée, expérience très riche. À l’arrivée : pas encore de virtualisation ni de conteneurs au sens où on les pratique aujourd’hui ; les services étaient encore massivement installés sur machines dédiées (approche « bare metal »). Linux n’était pas encore majoritaire sur l’ensemble du parc : beaucoup de Windows et d’Unix propriétaires (HP-UX, AIX, Solaris). Les années suivantes ont largement fait évoluer le paysage (virtualisation, Linux, automatisation — voir ci-dessous).

#### Référent technique — Linux, VMware et virtualisation

À l’ INPI , j’ai accompagné en tant que référent technique toutes les installations logicielles sous Linux . J’étais aussi référent technique sur l’ensemble du périmètre VMware et, plus largement, de la virtualisation . C’est moi qui ai installé cette virtualisation à l’INPI : VMware vSphere de la 4.0 à la 6.0 , puis oVirt ( oVirt ), et plus tard les premiers environnements Kubernetes (« nuage » conteneurisé) avec RancherOS comme socle pour monter ces clusters. J’ai aussi réalisé les premiers masters Linux de l’INPI (images / installateurs de référence pour déployer le socle), ainsi que les premiers référentiels de sécurité Linux (durcissement, règles et bonnes pratiques d’exploitation). Chaque fois qu’un projet devait être installé sous Linux , j’ accompagnais systématiquement le chef de projet (cadrage, déploiement, exploitation).

#### Normalisation du parc Linux et gestion de l’obsolescence (RHEL, SUSE)

À mon arrivée, le système d’information comportait de nombreuses distributions Linux différentes, aux côtés de plusieurs Unix . À l’INPI , j’ai piloté la gestion de l’ obsolescence du parc Linux : récupération des anciennes installations et report sur des plateformes à niveau — en faisant évoluer des socles très anciens (par ex. RHEL 3 ) vers des versions supportables ( RHEL 5 , puis RHEL 7 selon les trajectoires). Au terme de la normalisation, le parc entreprise ne reposait plus que sur des installations SUSE Linux Enterprise Server : SUSE Linux Enterprise Server — une réussite notable au vu de l’hétérogénéité de départ. Nous avons remplacé l’ensemble des machines Unix par des systèmes Linux et migré les applications d’ Unix vers Linux , afin de ne conserver sur Unix que les bases de données Oracle .

#### Projet EPTOS — équipe eptosadmin (run, intégration & architecture)

Première mission : intégration de l’équipe eptosadmin du projet EPTOS ( European Patent and Trademark Office System ) — la suite logicielle de gestion portée par l’ Office européen des brevets (OEB / EPO) pour les offices membres. L’équipe ne se limitait pas au run et à la production : nous étions aussi responsables de l’ intégration et de l’ architecture — en résumé tout le volet technique , y compris l’ infrastructure : installation des serveurs sous Linux , montage en baie en salle informatique, administration de la baie SAN , câblage et raccordement réseau , etc. Pour une synthèse académique du programme EPTOS comme transfert de système de gestion des brevets depuis l’OEB : Marcuzzo Cavalheiro & Joia (2016), Public Administration & Development , DOI 10.1002/pad.1753 (étude de cas sur un office national en coopération avec l’EPO ; même famille de programme que les déploiements EPTOS). La suite reposait sur quatre applicatifs majeurs : Soprano (back-office ; tierce maintenance assurée notamment par Jouve , groupe rebaptisé Luminess ), e-OLF (dépôt en ligne), PHOENIX (gestion documentaire), et Register (registre). Développements en Java , servis via Tomcat , avec base de données MySQL ; le tout opéré sous Linux . Les premières mises en production étaient exclusivement en bare metal : la virtualisation n’était pas encore déployée sur le site. À l’arrivée de VMware ( vSphere 4 ), nous avons été parmi les premiers à migrer vers la virtualisation et à réaliser les premières conversions . Tout n’était pas encore abouti : en début de courbe, les outils de conversion P2V ne fonctionnaient pas pour tous les cas — il a fallu recourir à la création d’images disque brutes (copie depuis la machine physique) pour les réintégrer en machine virtuelle lorsque la conversion standard échouait. Puis généralisation des pratiques (vSphere 5.x, etc.). Au départ, la virtualisation ciblait d’abord le périmètre EPTOS . Pour l’ étendre à l’ensemble du système d’information , c’est notre équipe qui a porté le chantier : nous avions le plus d’ expérience sur la virtualisation. Plus précisément, EPTOS disposait d’une infrastructure dédiée : sauvegardes, bases de données et switchs propres au périmètre — fonctionnement autonome par rapport au reste du SI. Vers la fin du projet, décision de converger avec l’infrastructure centrale pour les fonctions transverses, notamment supervision et sauvegarde . L’effort de normalisation réalisé dans le cadre d’EPTOS a ensuite été réinvesti pour l’ensemble du système d’information : notamment création des bases (données et référentiels), et migration des machines obsolètes vers le nouveau socle technique . Plus tard, d’autres logiciels ont été intégrés autour de l’environnement EPTOS, notamment pour la diffusion et la valorisation des données : stack Talend couvrant entre autres ETL , ESB et MDM ( Master Data Management ).

#### SUSE Linux Enterprise — migrations SLES 9 → 11 (EPTOS)

À l’ INPI , nous avons géré les migrations de SLES 9 vers SLES 11 ( SUSE Linux Enterprise Server ) au fil de l’eau pour le périmètre EPTOS — planification des montées de version progressivement , sans tout basculer d’un seul coup.

#### Parcours d’équipe — production brevets, fusion Linux/Unix, diffusion EPTOS

D’abord rattaché uniquement à une équipe dédiée à la production du système d’information brevets , j’ai ensuite rejoint le reste de l’équipe système Linux / Unix (élargissement de mon périmètre). J’y ai réinvesti dans l’ ensemble du SI les briques nouvelles mises en place pour le projet EPTOS (socles, outillages, pratiques de normalisation).

#### Salle serveurs — baies, KVM Raritan IP, volumes, câblage

Nous montions nous-mêmes en baie les machines et gérions l’exploitation des serveurs en salle serveur — notamment KVM over IP Raritan ( Raritan , consoles distantes), mises à jour de firmwares , création de volumes disque côté serveurs / stockage, raccordements électriques et réseau , etc.

#### Disponibilité du dépôt — e-OLF, confidentialité et mises en production

L’ INPI est un organisme de dépôt : le service de dépôt doit fonctionner en permanence . J’avais la responsabilité du volet dépôt des brevets , notamment e-OLF (dépôt en ligne — périmètre EPTOS), et la mise en place ainsi que l’ exploitation de l’ environnement sécurisé pour les données soumises au secret jusqu’à leur publication éventuelle. Les mises en production étaient donc minutieusement préparées pour garder un temps de coupure aussi court que possible .

#### Physique vers virtuel (P2V) — VMware Converter, dd, méthodes artisanales

Passer d’une installation sur machine physique à une installation sur machine virtuelle n’a pas été de tout repos . La voie « standard » était VMware Converter (conversion P2V), mais il existait des cas où l’outil ne suffisait pas. Il a alors fallu créer des images disque brutes ( raw ) avec dd (copie secteur à secteur), puis parfois des chemins artisanaux : transfert par archives compressées et décompression sur la cible, réimport et ajustements manuels dans VMware lorsque la chaîne Converter / import direct échouait.

#### Ordonnancement des flux (Dollar Universe)

Les volumes de données étaient importants : les sauvegardes constituaient un sujet critique — d’où la nécessité d’une fenêtre de sauvegarde bien organisée — typiquement en fenêtre de nuit / heures creuses, avec planification fine des plages rigoureusement orchestrée avec Dollar Universe : Broadcom — Dollar Universe (workload automation). Les traitements automatisés présentaient encore beaucoup d’erreurs : j’ai dû tout corriger et fiabiliser l’ensemble des scripts shell et Python qui les supportaient.

#### MySQL — maintenance, sauvegardes et restaurations

Il a été nécessaire de disposer d’un savoir-faire solide sur la maintenance des bases MySQL : en particulier la capacité à sauvegarder correctement des bases importantes (volumétrie, criticité métier), et surtout à pouvoir les restaurer de manière fiable en exploitation. À l’ INPI , nous avons beaucoup étudié des sujets avancés dans le MCO MySQL : haute disponibilité , performance , sécurité et sauvegarde . Historiquement , le parc incluait aussi des bases MaxDB en complément de MySQL : MaxDB (moteur SAP, héritage de l’écosystème applicatif de l’époque).

#### Évolution SI — SQL actif-actif (Galera, ProxySQL) et stockage (S3, Ceph)

Plus tard dans l’ évolution du système d’information , pour des architectures plus solides et plus performantes , nous avons étudié la mise en place de SQL actif-actif : notamment des clusters MySQL Galera avec ProxySQL en couche d’accès : ProxySQL . Nous avons aussi étudié les futures solutions de stockage : stockage objet exposé via le protocole S3 , et installation de clusters Ceph .

#### Conteneurs et orchestration (Docker, Kubernetes, Rancher)

Nous avons évidemment commencé à migrer et à déployer des applications sous conteneurs avec Docker , et à étudier l’ orchestration avec Kubernetes ; la première approche est passée par Rancher : Rancher .

#### Intégration continue — Jenkins, Git, Ansible

Nous avons aussi mis en place des solutions d’intégration continue — ou du moins les socles pour les porter : installation de Jenkins ( Jenkins ) branché sur Git , et les premiers playbooks Ansible .

#### Automatisation et industrialisation (Go, JavaScript, React)

Sur les volets automatisation et industrialisation , j’ai réalisé des développements en Go , en JavaScript et avec le framework React : React .

#### Supervision et alertes sur les journaux (Nagios, Centreon, Prometheus / Grafana, Graylog, Elastic)

Le socle de supervision était d’abord Nagios . Nous avons ensuite migré vers Centreon , puis, plus tard, vers une stack Prometheus et Grafana — en complément de Centreon (cohabitation et périmètres selon les besoins). Nous avons aussi exploré les alertes basées sur les logs avec Graylog : Graylog — gestion centralisée des journaux et corrélation pour l’exploitation. La création de tableaux de bord avec Grafana a permis de compléter les tableaux de bord techniques par un tableau de bord technico-fonctionnel de production . À l’ INPI , nous avons aussi utilisé l’écosystème Elastic autour d’ Elasticsearch pour centraliser les logs applicatifs , avec Logstash (pipelines) et les modules Filebeat pour la collecte : Elastic Stack .

#### Agents et métrologie Java — Tomcat, JMX

Au niveau des agents et de l’exposition des métriques applicatives : une grande partie du parc était en Java servie par Apache Tomcat (dont Tomcat 4 sur une partie du périmètre à l’époque). Nous avons utilisé le protocole JMX ( Java Management Extensions ) pour superviser et instrumenter les JVM et les composants serveur : Oracle — tutoriel JMX .

#### Proactivité — jobs de vérification Selenium (production)

Pour renforcer la proactivité sur la résolution d’incidents , nous avons mis en place des jobs de vérification avec Selenium : Selenium , afin de tester automatiquement les services en production (parcours critiques / contrôles de bout en bout).

#### Sécurité — Cyberwatch

À l’INPI , dans le cadre du CODIR informatique , j’ai lancé le projet d’installation de Cyberwatch pour améliorer la sécurité des installations Linux : gestion des vulnérabilités et contrôle de conformité sur le système d’information. L’établissement a été parmi les premiers à déployer la plateforme. J’ai accompagné ce déploiement pour la conformité vis-à-vis des référentiels de sécurité (cartographie des exigences, preuves et suivi des écarts).

#### Infrastructure, salles informatiques et PRI / PRA (VMware Site Recovery)

Au niveau de l’ infrastructure , nous avons migré de salles informatiques à trois reprises pour toute la production . Après ces chantiers, la sécurité et la continuité d’exploitation se sont largement appuyées sur la virtualisation VMware , en particulier sur la capacité à déplacer ou répliquer les machines virtuelles d’un datacenter à un autre via VMware Site Recovery Manager : VMware — Site Recovery Manager (PRA / réplication inter-sites). C’est moi qui ai mis en place le dispositif de plan de reprise informatique ( PRI ) et le volet PRA associé, avec VMware Site Recovery Manager : mise à jour du tableau de production (inventaire et criticité), définition de l’ ordre d’importance des systèmes pour les bascules, et arbitrage sur ce qui devait être intégré pleinement au PRA (réplication, orchestration avec Site Recovery) ou laissé hors périmètre .

#### SAN — hôtes physiques et accès (iSCSI, Fibre Channel, NFS)

À l’ INPI , j’ai dû piloter le lien entre les hôtes physiques et le SAN . Plusieurs technologies ont été mises en œuvre : iSCSI sur câble Ethernet , Fibre Channel , et NFS pour les usages adaptés au partage de fichiers sur le réseau. J’ai aussi eu l’occasion d’exploiter des SAN HP , notamment des baies HP 3PAR : HPE 3PAR . Pour le plan de reprise informatique ( PRI ) avec VMware Site Recovery Manager , il était indispensable que le stockage soit compatible avec la réplication et l’orchestration inter-sites VMware.

#### 详情

MCO de larges parcs Linux (+500 VMs en phase mature) : CentOS, Red Hat, SUSE ; supervision : évolution Nagios → Centreon → Prometheus/Grafana (avec Centreon en complément) ; alerting logs (Graylog, Elasticsearch / Logstash / Filebeat) ; intégration Apache, Tomcat, PHP, MySQL/Galera, MaxDB, Oracle ; Dollar Universe ; automatisation (bash, Python, Go, Java, PHP, Selenium, AutoIt, Node, React) ; stockage NFS, SAN HP 3PAR, Ceph, NetApp, Samba ; support niveau 2.

#### Projets

Virtualisation VMware vSphere 5.5, PRA (VMware Site Recovery Manager, réplication inter-datacenters), évolution stockage (Ceph, Cassandra, S3), Puppet et Ansible, réflexion cloud / conteneurs / OpenStack, trois migrations de salles informatiques pour la production.

#### Synthèse du périmètre — Linux, mise en production, scripts

Mon travail à l’ INPI m’a permis d’intervenir sur un large périmètre : installation et maintenance des machines physiques ; hébergement via la virtualisation ; infrastructure de stockage ; puis installation et MCO des services en production — complété par les choix et évolutions du socle Linux , les mises en production , les retours arrière et les scripts d’exploitation pour le run (dans un SI où Unix et autres environnements coexistaient encore). Sur la chronologie , nous avions déjà réussi l’ensemble de l’ automatisation et de la normalisation du périmètre avant l’arrivée d’ Ansible et de Puppet , qui sont venus ensuite compléter le dispositif. Mon expérience à l’ INPI m’a permis de consolider une expérience validée et profonde de la production informatique sur des environnements critiques . J’y ai porté une attention particulière aux bonnes pratiques pour conduire les mises en production : préparation poussée et plans de retour arrière systématiques.

#### Contexte (chronologie)

Agence publique, DSI ~40 agents, +500 postes Windows. Production applicative Java/PHP, Apache, MySQL ; administration SUSE, Red Hat ; +20 hôtes ESX (HP DL560) ; Dollar Universe, scripts Bash/Python ; 3 baies SAN HP 3PAR (~180 To) ; deux salles (production et développement). Assistance aux projets technico-fonctionnels, migration vers VMware, PRA, normalisation de l'infrastructure.

### Sungard 集团 — Global Portfolio 3 / 资产管理（Neoxam） — 高级支持顾问与集成工程师

- **期间：** 2007 — 2010
- **地点：** Saint-Cloud

**亮点：**

- **Global Portfolio 3 (GP3) — 法国资产管理领域的近乎垄断** 旗舰产品的客户名单包括：Société Générale、Crédit Agricole、Banque Populaire 网络、Caisse des dépôts、State Street、Allianz、MMA、CNP Assurances，加之已大规模部署 GP3 的 CACEIS、Natixis、Covéa、CM-CIC 等 — 覆盖法国与海外。这是与金融机构高要求接触的稀缺机会。
- **OpenVMS · runtime Unix — VMS 遗产向 Unix 移植** GP3 历史上运行于 OpenVMS；为了在 Unix 上销售，专用 runtime 让 VMS 代码与界面能在 HP-UX、Solaris、AIX、Linux 上运行。如今鲜有工程师还做过此类迁移。
- **Bamboo · SVN — Git 时代之前的持续集成** 我们是最早用 Atlassian Bamboo 工业化 CI 的团队之一，源代码托管在 Subversion，在 Red Hat、AIX 与 Solaris 上做精细化质量验证。这是早于 Jenkins/Git 普及的 CI 经验。
- **Méthode d’analyse d’incidents — 关键环境中的复杂诊断** 处理难以定位的事件：file descriptor 耗尽、由网络团队悄悄加入的 HTTP 代理修改流量等等 — 且无法直接访问生产。这是真正的专家支持训练场。

#### 详情

Après l’expérience à l’UCAD, mission chez Sungard (une partie de l’offre GP3 existe aujourd’hui sous la marque Neoxam) : produit phare Global Portfolio 3 (GP3), solution de gestion d’actifs (asset management) pour banques et assureurs. Part très importante du marché : en France, la quasi-totalité des banques et assureurs actifs en asset management utilisaient la solution ; clients aussi à l’étranger (États-Unis, Allemagne, perspective internationale incluant la Chine à l’époque). Société d’environ 500 salariés, déploiements Unix (HP, AIX, Solaris, Linux…). Mon travail chez Sungard m’a appris à intervenir sur des environnements critiques dans un contexte à forte pression (exigence des acteurs financiers, délais serrés, enjeux de production).

#### Références clients (exemples)

Parmi les clients ou périmètres côtoyés chez Sungard, notamment : Société Générale, Crédit Agricole, Banque Populaire, Caisse des dépôts, State Street, Allianz, MMA, CNP Assurances, ainsi que CACEIS, Natixis, Covéa, CM-CIC (Crédit Mutuel / CIC) et d’autres grands comptes asset management — liste non exhaustive, selon missions et filiales.

#### Projets transverses, filiales & messagerie (JMS)

Référent sur les projets transverses : Sungard était un groupe possédant plusieurs filiales, dont une SSII — Décalog (services / intégration). Ces projets mobilisaient plusieurs entités pour faire circuler des informations entre logiciels métiers, en s’appuyant notamment sur des bus de messagerie et des mécanismes de type JMS (Java Message Service).

#### International & mobilité

Collaboration avec des correspondants allemands et déplacement professionnel en Allemagne — premier déplacement à l’étranger dans ce cadre. La société ambitionnait aussi de se développer sur des marchés internationaux, en particulier la Chine. Aux États-Unis, périmètres incluant notamment State Street (banque / services financiers).

#### Produit : héritage VMS, portage Unix, Java & Tomcat

La base historique reposait sur OpenVMS . Pour poursuivre la vente sur Unix, l’éditeur avait mis en place un runtime / socle d’exécution permettant d’héberger code et composants issus du monde VMS sur Unix. Développement surtout sous Linux , puis compilation et livraison vers les plateformes clients HP-UX , Solaris , AIX . Les services étaient exposés via Apache Tomcat ; une couche Java reprenait les anciens écrans, frames et masques « verts » VMS pour une interface Java. Pile effective : Java , Python , avec prolongement du patrimoine VMS .

#### Intégration, support applicatif & Atlassian

Première expérience structurante en intégration logicielle et support applicatif : montée en compétence sur la résolution d’incidents applicatifs en environnement client critique. Avant Jira, le suivi des anomalies et demandes s’appuyait sur MantisBT (bug tracker open source). Ensuite, passage à la suite Atlassian en premières versions — Jira, Confluence et Bamboo — pour piloter le cycle de vie du produit, la documentation et les recettes.

#### SVN, Bamboo & qualification plateformes

À l’époque, Git n’était pas encore l’outil de référence dans nos chaînes — le source était versionné avec Subversion (SVN). L’équipe était parmi les premières à industrialiser de l’intégration continue via Bamboo, en particulier pour enchaîner la recette qualité. Les builds étaient qualifiés sur des plateformes très précises — Red Hat Enterprise Linux, IBM AIX, Oracle Solaris — avec des versions majeures et mineures du système strictement cadrées.

#### Performance applicative

Périmètre personnel sur les sujets de performance du logiciel : lorsque le client constatait des lenteurs ou que « le logiciel était trop lent », j’étais chargé du diagnostic et du traitement de ces dossiers. J’avais défini une méthode d’analyse structurée pour investiguer (reproduction, mesures, identification des goulots d’étranglement, pistes de correction côté applicatif et plateforme).

#### Diagnostics difficiles — file descriptors, proxy HTTP (réseau)

Chez Sungard , il a fallu traiter des problèmes difficiles à détecter et à localiser — par exemple des incidents liés aux file descriptors sur des composants fortement sollicités , ou une modification du flux HTTP par un proxy ajouté par une équipe réseau dans un environnement critique , avec peu d’indices applicatifs visibles immédiatement.

#### Outillage d’analyse & automatisation

Pour outiller les analyses (performance et autres investigations), scripts en Python et en shell ; développement de tableaux de bord avec Django. Automatisation de traitements sur documents en VBA (Visual Basic for Applications), puis passage à VB.NET pour fiabiliser et faire évoluer ces chaînes.

#### Support & contraintes d’exploitation

Poste très exigeant : équipe support sous forte pression, sans accès systématique à la production — il fallait donc cerner un problème au mieux à partir d’informations partielles pour orienter et dépanner les équipes d’exploitation. Rythme soutenu. Les intégrations et livraisons vers la production restaient particulièrement délicates. Nous avons dû mettre en place des méthodes d’analyse d’incidents : communication avec le client , analyse des journaux , vérifications minutieuses — nous sommes ainsi devenus de véritables experts support .

#### Missions

Intégration des composants sur Unix ; support et TMA auprès des banques et assurances ; outils de support (VB .NET, Python) ; participation aux projets inter-filiales et aux nouvelles versions.

### UCAD — Union centrale des arts décoratifs（博物馆） — 信息工程师

- **期间：** 2006 — 2007
- **地点：** Paris

**亮点：**

- **LTSP · PXE · diskless — 瘦客户端 — Linux Terminal Server（LTSP）** 使用 LTSP 项目（Linux Terminal Server Project，ltsp.org）：瘦客户端通过网络从服务器上的镜像启动 — 配合 PXE、按 MAC 区分的配置、无盘工作站和 NFS 挂载。非常适合把低配硬件回收为简单终端。
- **DD-WRT · Linksys WRT54G — Wi-Fi 路由器上的自由固件** 用 DD-WRT 替换 Linksys WRT54G 的厂商固件 — 网络社区的经典自由项目 — 提升运维能力并简化博物馆 Wi-Fi 维护。
- **Compilation noyau Linux — 对系统的端到端把控** 通过反复编译内核，让 Linux 跑在「将就」的硬件上：特定驱动、裁剪（CPU、RAM、磁盘）。在今天已是极为稀缺的能力。
- **GLPI · OCS Inventory — 为完整资产清单开发的自定义插件** 在 GLPI 与 OCS Inventory 早期开发了一款插件，将 OCS 上报喂给 GLPI — 在开源 ITSM 成为标准之前的先行者。

#### 详情

Institution muséale, +300 salariés. Parc mixte : postes de travail Windows et postes Linux ; serveurs Linux (production Debian, etc.) et stack Windows/Novell. Pas encore d’Active Directory : l’institution reposait sur Novell, dont l’annuaire (NDS / eDirectory) centralisait utilisateurs et ressources — l’équivalent fonctionnel antérieur à l’écosystème AD dans ce type d’infrastructure. MCO serveurs Windows et Novell, Solaris ; support bureautique niveau 1 et production niveau 2.

#### Contexte — recyclage Windows → Linux

Pour revenir en arrière à l’époque où j’étais à l’ UCAD , l’un des points les plus remarquables était le recyclage des anciennes machines abandonnées ou jugées obsolètes sous Windows : les nouvelles générations de Windows exigent toujours plus de puissance, alors que des installations sous Linux permettaient de réutiliser le matériel existant et de prolonger le service à moindre frais . Expérience marquante dans l’ensemble du mandat : remettre à niveau un parc longtemps délaissé avec très peu de moyens ; les alternatives open source ont aussi permis de remplacer des logiciels propriétaires à coût de licence quasi nul, tout en évitant de mettre au rebut du matériel encore exploitable.

#### Site distant & portables recyclés

Avec des budgets serrés, il fallait optimiser tout le parc et recycler au maximum. Les portables étaient encore très chers ; peu de collaborateurs en avaient un — le standard restait la tour sous le bureau. Pour équiper un site distant et permettre aux équipes de réaliser des inventaires dans les réserves du musée, nous avons récupéré d’anciens ordinateurs portables, à peine assez puissants pour faire tourner Linux avec une stack graphique légère (X11), puis le client Citrix pour accéder aux applications métier en mode bureau distant. L’association Linux + Citrix permettait de donner au personnel une expérience de poste de travail exploitable avec très peu de ressources locales.

#### Debian, noyau & pilotes (matériel recyclé)

Pour arriver à ce résultat (fait tourner des machines « bout de course » sous Linux), il a fallu maîtriser l’ensemble des composantes du système Linux et, au premier chef, la compilation du noyau : itérations successives — compiler encore et encore jusqu’à obtenir une installation suffisante (stable et utilisable) sur le matériel cible. Un effort considérable est aussi allé à la compatibilité matérielle : le support n’était pas encore homogène comme aujourd’hui, peu de pilotes vraiment génériques dans les noyaux standards ; traque de pilotes adaptés, recompilation pour du matériel très spécifique, et recompilation pour alléger le noyau (RAM, CPU, disque) en retirant les modules inutiles. Base essentiellement Debian . À l’époque, je m’étais beaucoup appuyé sur la documentation et la formation qu’ Alexis Delattre mettait librement à disposition sur Internet : Formation Linux (PDF) — linux.bouzzi.com .

#### Affichage graphique — interfaces et configurations optimisées

À l’ UCAD , j’ai aussi dû étudier les interfaces graphiques — ou du moins toute la chaîne de composants nécessaire à l’ affichage graphique sous Linux — puis choisir et configurer les combinaisons les plus optimisées possibles pour qu’elles restent tenables sur du matériel peu puissant (parc recyclé), tout en restant compatibles avec l’usage bureautique.

#### Contrôle et bureau à distance (VNC, RDP, NX Server)

J’ai aussi dû étudier les solutions de contrôle à distance et de bureau à distance : VNC , RDP (Remote Desktop Protocol) et NX Server / NoMachine (NX) — pour l’assistance, l’accès aux postes distants et l’exploitation d’un parc Windows / Linux hétérogène.

#### Compilation depuis les sources (Apache, SSL, modules)

Il n’était pas rare de devoir compiler nous-mêmes des logiciels plutôt que de nous limiter aux paquets fournis : pour plusieurs briques, le packaging n’était pas encore assez abouti. C’était souvent le cas pour les serveurs Apache, les bibliothèques SSL/TLS et les différents modules Apache associés (mod_ssl, etc.).

#### Proxy Squid et miroir local de paquets (Apache)

À l’ UCAD , j’avais installé un serveur proxy Squid : Squid — pour sécuriser et fluidifier les accès Internet lors des installations de logiciels . Nous utilisions en parallèle un miroir local des paquets d’installation, exposé sous Apache ( HTTP Server ), afin de limiter la bande passante sortante et d’accélérer les déploiements sur le parc.

#### Sauvegardes

La sauvegarde sur bande était assurée par Bacula (pools, jobs, lecteurs…). La sauvegarde sur disque reposait sur BackupPC — solution libre de sauvegardes incrémentelles vers stockage disque, complémentaire à la partie magnétique.

#### Messagerie

Le socle messagerie : Postfix (MTA) avec accès IMAP pour les clients lourds, et webmail via SquirrelMail pour l’accès dans le navigateur.

#### Périmètre réseau (Linux & iptables)

Il n’y avait pas encore d’appliance pare-feu dédiée : une machine Linux tenait lieu de pare-feu ; la configuration passait par iptables pour filtrer et piloter l’ensemble du trafic réseau du musée.

#### DNS (BIND)

Le service DNS était assuré par BIND ( Berkeley Internet Name Domain ), tel que maintenu par l’ISC.

#### Wi-Fi : Linksys WRT54G & DD-WRT

Pour l’accès sans fil, utilisation de routeurs Linksys WRT54G . Pour maximiser la capacité d’exploitation et simplifier la maintenance, le firmware constructeur a été remplacé par le projet libre DD-WRT .

#### Sécurité, recyclage : LTSP, PXE & postes diskless

Pour les postes légers , je m’étais notamment appuyé sur LTSP — Linux Terminal Server Project — qui permet de faire démarrer les clients sur le LAN depuis une installation modèle sur le serveur (image/chroot), avec iPXE, DHCP/TFTP et root en squashfs/NFS : entretenir des dizaines de stations diskless comme un seul poste. J’ai aussi étudié et mis en place le boot à distance via PXE et des déploiements diskless (sans disque dur local) : on manquait souvent de disques sur le matériel récupéré, et ce modèle permettait de n’avoir côté poste que de simples terminaux — système et données servis depuis l’infrastructure centrale. Chaîne PXE opérationnelle (menu de boot, profils par adresse MAC , redéploiement à distance) pour sécuriser la remise en service du parc et prolonger le recyclage ; montages d’arborescences via NFS pour les postes diskless.

#### Matériel, vidéo et kiosques

Le parc n’était pas très puissant : les machines les plus récentes étaient des Intel Pentium 4 , à peine suffisantes pour la lecture vidéo. On travaillait surtout en MPEG-1 et MPEG-2 ; le H.264 / MP4 n’était pas encore la norme sur ce type de poste. VideoLAN existait déjà, mais n’était pas le plus léger sur ce matériel. Le lecteur le plus frugal et optimisé pour nos usages était MPlayer . Dans les salles du musée, kiosques sur mesure : postes Linux lançant un navigateur (affichage plein écran), avec verrouillage des touches de fonction et des raccourcis pour empêcher l’utilisateur de sortir du parcours prévu. Postes dédiés à la lecture vidéo et autres dédiés à l’affichage de sites intranet .

#### Gestion des collections (Mobidoc)

Pour la gestion des œuvres et du fonds muséal, le logiciel métier était Micro Musée, édité par la société Mobidoc ; à l’époque, aucun équivalent open source ne permettait de couvrir le besoin de façon satisfaisante.

#### Déploiement & migrations

Les déploiements couvraient le poste Windows (réinstallation massive sous délais serrés) et la partie Linux du parc (postes et serveurs). Pour Windows, l’habitude était l’image disque avec Symantec Ghost et des masters sur l’infrastructure Novell — peu souple. Nous avons expérimenté Unattended pour des installations automatisées et paramétrables, en complément des méthodes rigides par clone. Première expérience marquante en automatisation : les chaînes Unattended reposaient sur de nombreux scripts mélangeant shell , Perl et AutoIt — langage dédié au pilotage de l’interface Windows (fenêtres, frappes clavier, mouvements de souris) pour fiabiliser les installations, en parallèle de la préparation de paquets MSI et de déploiements silencieux. Côté bureautique et fichiers : migration vers Samba pour le partage (Windows XP / NT4 / 2000), cohabitant avec l’annuaire Novell ; rationalisation des lecteurs CD. Les débuts de GLPI et de l’ OCS Inventory (serveur) sur le site : réalisation d’un plugin pour alimenter GLPI à partir des remontées OCS, ce qui a permis d’obtenir un inventaire complet et exploitable de tout le parc. À l’époque, peu d’institutions avaient encore généralisé un système de tickets pour les incidents ; il a été décidé d’adopter Request Tracker (RT) , logiciel libre de gestion d’incidents et de suivi d’actions.

#### Documentation

La documentation technique et procédurale a été rédigée en LaTeX ( LaTeX Project ), pour des livrables structurés, révisables et export PDF.

### DGC — 培训中心（与 EPSI 同集团） — 学生兼职 — IT 支持

- **期间：** EPSI 学习期间
- **地点：** Paris

**亮点：**

- **Norton Ghost · multicast — 整间教室的重灌镜像** 通过组播部署 Ghost 镜像，一次性重灌所有学生工作站（先 Windows NT 4，后 2000） — 在当时是先进的资产管理实践。

#### Support et parc étudiants

Pendant les études à l’EPSI , job étudiant au DGC , centre de formation du même groupe que l’école. Support informatique et gestion du parc des postes dédiés aux étudiants : Windows NT 4 , puis Windows 2000 . Création d’ images avec Ghost (Symantec / Norton Ghost) et déploiement en multicast pour re-imager régulièrement les machines ; gestion des profils Windows (nombreux incidents à traiter) ; droits et accès pour les comptes étudiants ; installation des antivirus . Prise en charge aussi de logiciels de formation / e-learning déployés sur le site. L’occasion aussi de mettre en place Linux sur du matériel recyclé pour offrir des postes supplémentaires au service des usages du site.

## 技术技能（摘要）

与履历相对应的综合：在公共服务、金融、媒体与能源行业的 Linux/Unix 运维；从 VMware 到 Proxmox 的虚拟化、OpenStack/NUBO 私有云、Kubernetes 与 Helm（Onyxia，行业级公共合规）、Slurm/Apptainer HPC；Ansible、Terraform、GitLab、Salt 自动化；按 ANSSI、MCS、Cyberwatch 进行加固；生产环境中的 AI 智能体与文档处理链路。

### 系统与网络（等级 3/3）

Linux Red Hat/CentOS、Debian/Ubuntu、SUSE 生产环境（等级 3）；Active Directory / LDAP / SSSD 集成（Radio France、Naarea）；PXE 启动 / Preseed、为瘦客户端使用 LTSP（UCAD）；BIND DNS、iptables 防火墙；内核编译与裁剪（旧机回收）。Unix AIX、Solaris、HP-UX（INPI、Sungard GP3 迁移）。在混合环境中使用 Windows 与 Samba（小微企业、博物馆）。

### 监控与可观测性（等级 3/3）

Centreon、Grafana、Prometheus；Nagios → Centreon → Prometheus 的演进路径（INPI、Naarea）。Graylog、Elastic Stack 用于日志与关联。JMX 指标（Tomcat/Java）。技术-业务运维仪表盘。

### 存储、SAN 与灾备（等级 3/3）

HP 3PAR SAN、iSCSI、光纤通道、NFS；Ceph、对象存储 S3 / MinIO；MySQL Galera + ProxySQL。VMware Site Recovery Manager DRP / BCP，跨数据中心复制与机房迁移（INPI）。备份：Bacula、BackupPC、NetBackup、Veeam。

### 虚拟化、云与 Kubernetes（等级 3/3）

VMware vSphere、oVirt、KVM、Proxmox、Hyper-V；OpenStack（NUBO，部委）。Kubernetes 与 Helm（Onyxia / Nubonyxia，「Onyxia 风味」 chart、目录 CI）。Docker；Apptainer 用于容器化负载；通过 Rancher / RancherOS 启动的首批集群（INPI）。

### 数据库与中间件（等级 2/3）

MySQL / MariaDB、PostgreSQL、Oracle（运维）、MongoDB、MaxDB。Tomcat / Java 栈、Apache NiFi、CMDBuild（DGFIP RADAR）。PHP、Node、Heurist 集成（BnF SHS）。Ext JS（业务 UI）。

### 自动化与 CI/CD（等级 3/3）

Ansible（Tower）、Terraform（OpenStack VM）、Puppet、SaltStack；Git、Jenkins、GitLab CI，Bercy/BnF/INPI 发布链；Rundeck → Ansible Tower（Radio France）。Dollar Universe（任务调度）。Bamboo / SVN（Sungard 时期）。

### 开发、脚本与 AI（等级 3/3）

Bash/shell、Python、JavaScript/React、Go、Ext JS；Django、PHP、VBA/AutoIt。近期项目：FastAPI、RAG、Whisper。生产环境：n8n 智能体、Claude API、本地 Ollama / Mistral 推理（小微企业）、运维脚本与 Selenium（生产巡检）。

### HPC 与运维安全（等级 2/3）

Slurm、InfiniBand、Apptainer（MPI、科学计算负载）、Lenovo 平台；受保护网络区域、专用 LDAP（Naarea）。按 ANSSI 指南与 MCS 加固的 Linux 镜像。Cyberwatch（INPI 启动、Radio France 咨询）。

## 学历

- **2004** — EPSI Paris : Bac+5 — 信息系统专家

### 学历 — 补充信息

- 典型路径：Bac — BTS — EPSI 课程（LIS、DGC…） — 硕士 / 信息系统专家。
- 工程实习：ISTA、STMI、METO X SILICIO、LFB、LIS、DGC（1999–2005）。可在 index.html 或本 JSON 中补充，然后运行 npm run build。

## 语言

- **法语** : 母语
- **英语** : 工作语言 — 阅读、国际项目交流（EPTOS、Sungard）
- **老挝语** : 家族传承 — 基础

## 兴趣爱好

- 开源与自托管
- 艺术与博物馆藏品管理
- 主权 AI 与本地推理
- 黑客松与公共生态（DINUM、Bercy HUB）
- 技术志愿（埃希罗勒艺术学院）
- 系统、虚拟化与 HPC 技术观察

## 软技能

### 自主性与结果导向

作为独立顾问，我能自主推进高难度议题，明确优先级，并在严苛环境中按时交付。

### 传授与分享

跨部门技术参考人：我喜欢支持项目经理，解释「为什么」，让团队在我离开后比我到来时更强。

### 诊断与排查

擅长解决他人未能搞定的僵局 — 例如在法国广播电台，我接手了三位工程师都未能解决的 SSSD 问题。

### 严谨与风险意识

上线前精细准备、系统化回滚方案。我深知在存款机构或公共服务中，宕机的代价非常高昂。

### 好奇心与适应力

从 2000 年代编译 Linux 内核到 2026 年的本地 Mistral 推理 — 一路穿越所有技术变革，从未停滞。

### 跨团队协作精神

在 BnF 担任 B2I 岗位 — 开发与生产之间的「黏合剂」 — 让我学会倾听、仲裁，从不把研发与运维对立起来。

## AI、智能体与工具（职业使用）

AI 对我而言不是流行词：自从可用的 LLM 出现以来，我就把它们既作为日常工作伙伴，也作为实验领域。我用它来写代码、做设计、做推理 — 并构建在生产中运行的智能体，包括用于保障数据主权的本地推理。

### 增强代码与推理（日常）

- **Cursor** — AI 增强 IDE. 我的主要开发环境，内置智能体与自动化
- **Claude (Anthropic)** — 主要 LLM 助手. 设计、分析、文档、重构、代码评审
- **Grok (xAI)** — 调研与推理. 技术观察、基准测试、多源综合
- **GitHub Copilot** — 上下文自动补全. 在 GitHub 托管的项目上偶尔补充使用

### 智能体与推理（生产环境）

- **n8n** — 智能体编排器. 文档分类与处理流水线、触发器与 API 调用
- **Claude API (Anthropic)** — 识别与抽取. 发票、会计单据、非结构化文档的结构化
- **Ollama** — 本地 LLM 推理. 在工作站 / 服务器上运行，保障数据主权
- **Mistral** — 开放权重 LLM. 通过 Ollama 在本地提供模型服务，已在小微企业首次部署

### 黑客松与 RAG（实验）

- **Whisper (OpenAI)** — ASR — 语音转文本. 2025 年 2 月黑客松：法律聊天机器人的语音输入
- **LightRAG** — 上下文化 RAG. 答案锚定于法国法典（来源 git.tricoteuses.fr）
- **FastAPI** — REST API. Python 层连接 ASR、RAG 引擎与渲染

### 提及的 AI 项目或经验

- AI 辅助的艺术品藏品管理门户（2026）
- AI 黑客松 — 基于法国法典的语音聊天机器人，Whisper / LightRAG / SPESYS GPU K8s（2025 年 2 月）
- 面向数据科学家的数据科学与 AI 软件门户（自 2023 年起）
- 为某小微企业会计链开发的 AI 智能体（生产中）

## 技术观察与新奇发现

精选项目，帮助理解系统、虚拟化与浏览器生态的演进方向。是当下 Linux、low-level 与 WebAssembly 边界的良好示范。

### Linux/Wasm _(Linux 内核 · WebAssembly)_

通过 WebAssembly 让 Linux 内核直接在浏览器中启动：BusyBox + musl，Xterm.js 终端。对调度、系统原语以及现代 JS 沙箱限制（无 MMU、通过 Web Workers 模拟任务挂起等）感兴趣者必看。

链接： <https://joelseverin.github.io/linux-wasm/>

### DOS Wasm X _(模拟 · WebAssembly)_

在浏览器中运行的 DOS / Windows 95-98 模拟器，基于通过 Emscripten 编译为 WebAssembly 的 DOSBox-X。浏览器侧持久化硬盘、ISO/IMG/CD 支持、手柄支持 — 充分展示了带异常和 asyncify 的 Wasm 当下能做到的事。

链接： <https://github.com/nbarkhina/DosWasmX>

## 个人项目与举措

在常规项目之外：

### 藏品门户与 AI (2026)

在 2026 年， 主导 一个用于 艺术藏品管理 的 Web 门户 建设，并由 人工智能辅助 。

### AI 黑客松 — 语音聊天机器人与法国法典 (2025 年 2 月)

在 2025 年 2 月 参加一次 聚焦人工智能的黑客松 ：我们的团队开发了一款 语音聊天机器人 ，能够快速从 法国法典 中抽取并返回信息。目标：通过语音识别与合成 简化法律的可访问性 。 法律来源 — 参考文本来自 git.tricoteuses.fr ，构成完整的法律基础。 技术栈 — Whisper （语音→文本）、 LightRAG （ GitHub 上的上下文 RAG ）、用于清洗与格式化数据集的 shell 脚本， Python & FastAPI 暴露 Web 服务，开发机（Mac mini，24 GB 内存）准备数据集。 基础设施 — 在 SPESYS Services 的 Kubernetes GPU 集群 上部署 LLM，借助 GPU 满足黑客松的紧迫节奏。 我的角色 — 数据集准备：法律文本的抽取、结构化与归一化；编写连接语音识别层、RAG 模块与渲染端的 Python/FastAPI 原语 API 。 合作 — 为期 两天 的黑客松，与 DINUM 、 Bercy HUB 围绕 Onyxia (Nubonyxia) 项目以及其他公共部门（经济部、司法部等）进行交流。 致谢 — 感谢 Stéphane Baisse 以及 SPESYS 团队（ Thomas Williot 、 Gérald Moreno ）提供的基础设施访问与支持。 创新 — 可访问性（语音提问）、GPU 带来的速度、对专业人士与公众的社会影响。

### 软件门户 — 数据科学与 AI (自 2023 年起)

自 2023 年起，开发一个面向 数据科学家 、聚焦 数据科学 与 AI 的 软件门户 。

### 艺术学院 — 埃希罗勒（志愿者） (2022)

在 2022 年，作为 IT 专家 志愿 参与 埃希罗勒 一所 艺术学院 的筹建（咨询并搭建数字基础）。

### WordPress 展示型网站 (2020)

在 2020 年，使用 WordPress 与 Elementor 为 小微创业者 建设 网站 。

### Le Signe — 藏品管理（Chaumont） (约 2019)

Le Signe — 艺术藏品管理 软件： Groovy （后端）、 JavaScript 与 React （前端）。在 2019 年前后于 Le Signe （ 法国国家平面设计中心 ，位于 Chaumont ）的藏品盘点工作中尝试与开发。

### 试题自动批改 — AMC (2013)

在 2013 年，基于自由软件 Auto Multiple Choice (AMC) 设计了 选择题自动批改 方案：每场考试生成 独一无二的试卷 （题目与选项 顺序各异 ），每份纸质试卷拥有 唯一条码 ，随后 扫描 、 自动答案识别 （OMR）并完成 自动批改 。

---

*本文档由站点结构化数据自动生成（build）。面向 ATS 和招聘方 AI 助手：纯文本、明确章节、顶部 YAML 块包含结构化元数据。*