JiSign - Fotolia
Paris Container Day : et voici venu le temps de la production pour les conteneurs
Pour sa deuxième édition, le Paris Container Day s’est focalisé sur le passage en production des conteneurs avec en point d’orgue la sécurité et les outils essentiels au pipeline d’une intégration continue.
La deuxième édition du Paris Container Day, organisée conjointement par Xebia et WeScale, s’est tenue hier, le 13 juin, à Paris avec comme thème de fond « l’utilisation des containers en production ». Une journée pour faire le point sur l’un des points d’achoppement des conteneurs dans les entreprises qui adoptent petit à petit la philosophie DevOps et le Continuous Delivery.
Il est vrai que l’univers des conteneurs est encore très mouvant ; ce qui ne simplifie pas leur exploitation en production : le format des images est en évolution (histoire Rocket et format ACI ?), des solutions ancestrales et stables comme Fleet sont aujourd’hui abandonnées, et bien des technologies considérées comme les plus prometteuses sont encore loin d’être stabilisées.
Il est vrai aussi qu’il n’existe pas un seul format de conteneur, pas un seul OS possible, pas un seul moyen de les orchestrer ni même une seule approche globale. Il en découle des visions différentes qui peuvent mener à des implémentations différentes en fonction des objectifs visés. Au-delà des conteneurs, le cluster qui les exécute et les gère est tout aussi essentiel. C’est en substance ce qu’était venu rappeler Ori Pekelman de Platform.sh dans une session perfidement dénommée « There is no container » (parce que le conteneur n’est finalement qu’une abstraction et que pour le Kernel lui-même, qui voit tout, il n’existe pas de conteneurs).
Passer en production
Au final, on a peu parlé des conteneurs eux-mêmes, de leurs avantages, et de leur raison d’être mais bien davantage de leur écosystème et des enrichissements en cours pour faciliter leur passage en production.
Certes, Docker avait droit à sa propre session pour notamment revenir sur la réorganisation des distributions : Moby (version Open Source destinée aux intégrateurs et aux System Builders comme Rancher Labs), Community Edition (l’implémentation propre à la société Docker et basée sur Moby, qui désormais se focalise beaucoup sur la simplification de l’utilisation de Docker sous MacOSX, Windows mais aussi sous AWS, Azure et depuis peu Google Cloud) et enfin Enterprise Edition (avec tout le support entreprise qui l’accompagne).
Mais hormis cette session revenant au cœur des conteneurs d’aujourd’hui, toute cette journée était plutôt focalisée sur les difficultés rencontrées pour les mettre en production, ou plus exactement pour définir les processus permettant de fluidifier et sécuriser leur mise en production. Deux thèmes ont ainsi été déclinés tout au long de la journée avec des retours d’expériences (BlaBlaCar et Vente Privée venus témoignés des réalités d’un quotidien qui impose de s’appuyer sur des technologies stables et confirmées même si elles tombent parfois en désuétude dans cet univers en forte évolution) et des bonnes pratiques : la sécurité et les outils.
Sécurité et Outils
La sécurité reste un élément encore mal maîtrisé, car les conteneurs soulèvent des problématiques qui leur sont propres et que tout dépend de leur implémentation au sein des infrastructures sur site et Cloud. C’est d’ailleurs par cette thématique que la journée a commencé avec une session de Jessie Frazelle de Google venue rappeler l’importance de technologies comme AppArmor, SecComp et SELinux dans la sécurisation des conteneurs. La sécurité était aussi au cœur de la session de Justin Cormack sur le nouveau LinuxKit de Docker ainsi que d’une des sessions Red Hat les plus orientées pratiques et bonnes pratiques, intitulée « OpenShift en production, 7 pièges à éviter ».
Les outils étaient probablement les vraies stars de la conférence. Pour fluidifier la mise en production, il faut de nouveaux outils qui viennent combler les trous dans les pipelines et viennent surtout simplifier des processus parfois encore trop manuels et basés sur des fichiers de configuration souvent édités à la main, avec les risques qui y sont liés. Fluidifier le passage du développement en production était ainsi au cœur de bien des sessions à commencer par celles Xebia sur le monitoring et la métrologie des conteneurs, celles de CloudBees sur le Continuous Delivery, celles de Pivotal et d’Amazon ECS.
D’outils, il en a aussi été question avec Nomad, Prometheus, Traefik, Kodo Kojo, ou DC/OS. En la matière, l’une des sessions les plus inattendues aura été celle de Jason Hansen de Microsoft.
Nouvellement nommé Program Manager Azure Container Service, Jason Hanson est entré chez Microsoft suite au rachat de Deis (en avril dernier), une start-up de San Francisco réputée pour ses développements autour de Kubernetes. Il est revenu sur la collection d’outils Open Source développés par Deis (Steward, Helm, Workflow ainsi que le tout nouveau Draft pour simplifier le passage du développement au déploiement sous Kubernetes sans quitter l’IDE), en s’appuyant sur des technologies purement Linux et sur Jenkins, et s’exécutant sous Azure Container Service avec une orchestration Kubernetes (fruit de Google). Une façon discrète et diplomatique de rappeler, face à une audience bien peu habituée à Microsoft, la vocation « any OS, any Dev, any App » du Cloud Azure et de montrer le nouveau visage ouvert de Microsoft depuis l’arrivée au pouvoir de Satya Nadella.
« Paris is the true home of Containers » (Paris est la vraie demeure des conteneurs, en français) rappelait Jessie Frazelle en introduction de la conférence, faisant référence aux origines françaises du patron de Docker. Et cette maxime sonnait sans aucun doute juste pour les quelque 420 développeurs (soit le double de l’an dernier) venus assister à cette deuxième édition du Paris Container Day.