La sécurité, l'exploitation et la gestion des conteneurs au coeur des offres Kubernetes
Le KubeCon + CloudNativeCon 2018 organisé du 10 au 13 décembre à Seattle regorgeait de solutions opérationnelles et autres services cloud/conteneurs destinés à améliorer Kubernetes, de la part de fournisseurs comme VMware et Arista, mais pas seulement.
Une étude publiée par la Cloud Foundry Foundation confirme l'engouement croissant pour le cloud, Kubernetes et les conteneurs. Ce sondage révèle aussi que 45 % des entreprises développent au minimum des applications cloud natives, et que 40 % d'entre elles restructurent/remanient le code de leurs applications héritées. « En août 2016, 51 % des personnes interrogées déployaient entre 0 et 100 conteneurs, et seulement 37 % en déployaient plus de 100. Les chiffres de cette dernière enquête montrent que, entre 2016 et aujourd'hui, la tendance s'est pratiquement inversée : 47 % déploient désormais plus de 100 conteneurs et seulement 42 % en déploient moins de 100 », indique le sondage. Par ailleurs, les décideurs IT trouvent que leurs environnements de développement d'applications sont beaucoup plus axés sur le cloud que lors de la dernière étude réalisée en mars 2018. Ainsi, « au mois de septembre 2018, plus de 50 % des décideurs IT ont déclaré qu'ils avaient développé 60 % ou plus de leurs applications dans le cloud, en augmentation de 13 points ».
De plus, selon une récente étude de Gartner, les logiciels dans le cloud allaient croître de plus de 22 % en 2019, contre 6 % pour toutes les autres solutions. Concernant Kubernetes, Gartner fait aussi le commentaire suivant : « Étant donné que Kubernetes devient la norme de facto dans l'orchestration de conteneurs, les équipes internes de développement d'applications commencent à exiger des environnements de production Kubernetes. Les modalités de déploiements Kubernetes sont très variables : elles vont du DIY open source jusqu'aux solutions logicielles commerciales avec support en passant par les services cloud. Chaque déploiement a des implications significatives en matière de coûts, de risques et de compétences ».
Equilibrer la charge des microservices
Dans ce contexte, beaucoup de fournisseurs présents à la KubeCon ont cherché à améliorer leurs offres Kubernetes avec divers types services et modalités de support clés. Par exemple, VMware a modifié sa plate-forme réseau NSX afin d'offrir le support de la gestion des microservices et de la sécurité, s'appuyant pour cela sur la plate-forme ouverte Istio qui permet de configurer et de gérer un réseau de microservices ou un service mesh. Baptisé VMware NSX Service Mesh, la solution, encore en version bêta, pourra, selon VMware, sécuriser, surveiller, gérer et équilibrer la charge des communications entre les microservices exécutés sur site ou hors site. VMware explique que la montée en puissance des architectures cloud natives construites sur des microservices distribués met les développeurs face à de nouveaux défis en matière visibilité, de gestion et de contrôle des applications. Les microservices qui composent ces applications sont développés sur des plates-formes cloud natives comme Kubernetes ou Cloud Foundry, en utilisant divers langages de programmation, et souvent à travers de multiples environnements cloud.
« NSX Service Mesh s'appuie sur les fondations d'Istio pour résoudre les problèmes que l'on peut rencontrer dans les environnements cloud natifs. NSX Service Mesh va d'une part simplifier l'intégration des clusters Kubernetes, mais le service pourra aussi fédérer les clusters Kubernetes sur plusieurs clouds. Cela permettra au service mesh de se connecter à la totalité du portefeuille et de la plate-forme NSX, et d'offrir ainsi des politiques unifiées et intelligentes, des services réseau et des outils de visibilité », a écrit VMware dans un blog de présentation du service. « NSX Service Mesh permettra également d'élargir la découverte des services - une capacité que l'on trouve dans d'autres services mesh - de façon à inclure les données auxquelles ils accèdent, et les utilisateurs à l'origine des transactions de microservices. NSX Service Mesh offrira plus de visibilité sur le service et les API afin d'assurer la cohérence des politiques de niveau de service pour les applications et supporter les déploiements progressifs », a encore déclaré VMware.
Support de Kubernetes chez Arista
Pour répondre aux défis de sécurité et de réseau posés par les environnements Kubernetes, Arista s'est associé à Red Hat et à Tigera. Lors du KubeCon + CloudNativeCon 2018, le fournisseur a présenté un service intégré, disponible en 2019. Plus précisément, le service intégré combinera le système conteneurisé Extensible Operating System (cEOS) et le logiciel CloudVision d'Arista avec la plate-forme OpenShift Container Platform de Red Hat et le logiciel Secure Enterprise Edition de Tigera afin d'offrir aux clients un réseau de conteneurs Kubernetes, de la segmentation de réseau et un support de sécurité. Lancé en 2017, cEOS est une version conteneurisée du système d'exploitation réseau d'Arista. Ce dernier peut être exécuté sur les propres plates-formes informatiques d'Arista, sur des switchs bare metal et des machines virtuelles ou des conteneurs standard de l'industrie. OpenShift Container Platform de Red Hat gère les applications traditionnelles et cloud natives sur une seule plate-forme.
Le logiciel Secure Enterprise Edition de Tigera apporte un modèle de sécurité « Zero-trust » aux conteneurs Kubernetes. Il permet entre autres choses de surveiller les logs de flux de données pour repérer les manquements à la politique de sécurité et autres anomalies. Il peut être configuré pour placer automatiquement en quarantaine les charges de travail anormales et envoyer une alerte pour inspection ultérieure. « Le système renforce certains des principaux points faibles liés à la configuration des environnements Kubernetes, à savoir la mise en réseau de plusieurs conteneurs et services sur site et hors site, et la sécurisation et la gestion des charges de travail dans cet environnement », a expliqué Fred Hsu, Technical Marketing Engineer chez Arista. Selon le vendeur, le système conteneurisé cEOS avec le support Secure Enterprise Edition de Tigera est disponible dès maintenant pour certains clients abonnés aux aperçus technologiques, la disponibilité générale étant prévue pour 2019.
Plus de sécurité
Google a également profité de la Kubecon pour annoncer des améliorations dans la sécurité des conteneurs. Dans un blog de la conférence traitant des questions de sécurité de Kubernetes, Maya Kaczorowski, chef de produit, Sécurité & Confidentialité, a rappelé que « lors du KubeCon de Copenhague organisé plus tôt cette année, la communauté avait clairement demandé de placer la sécurité en tête des priorités. Il y avait en effet de sérieux défis de sécurité à relever avant de faire entrer Kubernetes dans l'entreprise. Nous sommes heureux d'annoncer, six mois après cette conférence, que la communauté a largement répondu à cet appel. Globalement, Kubernetes a fait d'énormes progrès en matière de sécurité cette année, et d'énormes progrès sur Google Cloud ».
Oracle a également présenté Oracle Cloud Native Framework, un framework qui doit permettre aux développeurs de créer des applications et des services pour les déploiements sur site, hybrides et dans le cloud public. Oracle Cloud Native Framework est composé d'Oracle Linux Cloud Native Environment annoncé récemment et d'un set de nouveaux services riches cloud natifs Oracle Cloud Infrastructure Cloud. Ce set comprend Oracle Functions, le pack serverless ouvert d'Oracle disponible en tant que service cloud géré basé sur le projet open source Fn Project, comme l'a écrit Bob Quillin, vice-président d'oracle, chargé des relations avec les développeurs. Enfin, toujours lors du Kubecon de Seattle, Microsoft a annoncé que Azure Monitor pour conteneurs, « une fonctionnalité conçue pour surveiller les performances des charges de travail de conteneur déployées sur des clusters Kubernetes managés hébergés sur Azure Kubernetes Service (AKS) », était généralement disponible.