C'est quoi un conteneur ?

Transcript

1. C’est quoi un Conteneur ? Support au podcast Infra

2. Caisson métallique parallélépipédique conçu pour le transport de marchandises par

   différents modes de transport. Ses dimensions ont été normalisées au niveau international. Il est muni à tous les angles de pièces de préhension permettant de l'arrimer et de le transborder d'un véhicule à l'autre

3. Myth et légendes • C’est de la virtualisation ? ◦

   Ca doit être moins rapide • C’est Docker ◦ CRI-o ? ◦ rkt ? ◦ LXC ?

4. Contexte Aussi vieux que 1982 (et même avant) Popularisé en

   2013 pas Docker

5. Virtualisation • Mutualisation et isolation • exemples ◦ VMware workstation

   (1999) ◦ QEMU ◦ KVM (2007)

6. Problèmes • Performances ◦ Accès périphériques ◦ Démarrage • Utilisation

   des ressources ◦ Mémoire réservée par une VM est “occupée” pour l’hôte. • Intervention • Auditabilité

7. Concrètement • Contextualisation d’un ensemble de programmes par le kernel.

   ◦ Réseau ◦ Système de fichier ◦ Processus ◦ etc

8. Historique Conteneurs • Pas nouveau ◦ Chroot (1982) ◦ Jail

   (2000) ◦ V-Server (2001) ◦ OpenVZ (2005) • Cgroups/Namespaces : ◦ LXC (2008) • Docker (2013) ◦ LXC-over-REST ◦ Layers ◦ Application-centric

9. Composants kernel • cgroups : limitation des ressources • namespaces

   : contextualisation • tout le reste du kernel (selinux…)

10. Server ou app centric • Server-centric ◦ Historique ◦ Concept

    proche d’une VM ◦ Le premier process est un manager ◦ De nombreux processus vont fonctionner dans le contexte • App-centric ◦ Popularisé par Docker ◦ Concept proche d’un package ◦ Le premier processus est l’application ◦ Elle est seule dans son contexte

11. Du tar… • Créer un conteneur ◦ Création de l’espace

    de fichier deboostrap, mock, … • Paramétrage ◦ Installation des logiciels ◦ Configuration • Déploiement ◦ tar

12. … à l’OCI • Layers ◦ Déduplication ◦ Mise à

    jour différentielle • Meta-info ◦ Point d’entrée ◦ Port ◦ Utilisateur ◦ etc

13. Outils de build • debootstrap … • docker / Dockerbuild

    ◦ Des étapes de script ◦ en root • buildah / Dockerfile ◦ userspace • ??

14. Opinion

15. Des formats pas satisfaisant • VM ◦ Compliqué à ▪

    créer ▪ auditer • Package ◦ Absolument pas agnostique de l’OS ◦ Black magic ◦ Effets de bord • Artefact (jar/war/… ) ◦ Dépendances système non-géré (→mail ? .docx ?) ◦ Dépendance à un écosystème

16. Un format d’échange dans un univers DevOps • immutable (immuable)

    • autosuffisant • descriptif • (assez)léger →mise à jour +++

17. Flexibilité • choix dev sans impact coté ops • choix

    ops sans impact coté dev

18. Liberté “Vous avez le choix de la technologie Du moment

    que c’est un conteneur” moi

19. Un écosystème toujours en innovation • Outillage de build ◦

    distribué (kaniko) • Nouveaux runners

20. Surtout une brique fondamentale • orchestrateurs • IOT • …

21. Aucune raison de ne pas utiliser Au pire, vous avez

    les mêmes problèmes qu’avant, Mais plus facilement résolvable.

22. Sécurité ? • auditabilité ◦ outils de vérification de l’état

    exact de la prod (ou future) • contextualisation kernel ◦ selinux a prévenu toutes les failles namespaces • contextualisation hardware ◦ Intel ?..