La notion des conteneurs est apparue il y a juste quelques années. Ils servent en général à tester des applications en développement. Le but est d’avoir un environnement isolé pour réaliser tous les contrôles nécessaires avant le déploiement. Cela facilite la reconnaissance des failles de sécurité, des dysfonctionnements et d’éventuels problèmes de stabilité. Toutefois, certaines personnes pensent que les conteneurs ne sont pas l’avenir. Ils sont convaincus que la technologie disparaîtra pour des raisons de performance et certains problèmes de sécurité.Les conteneurs ne sont pas vraiment une nouvelle technologie. On dit qu’ils ont été élaborés à partir de projets open sources tels que Docker, rkt de CoreOS, etc. Leur adoption a été très rapide à leur apparition. Mais désormais, le taux d’adoption semble stagner. Certains estiment que plusieurs entreprises et développeurs les ayant adoptés commencent à prendre du recul et à chercher d’autres alternatives. C’est le cas de Ian Eyberg, PDG de NanoVMs, une startup proposant des outils pour exécuter vos applications en tant que machines virtuelles isolées sécurisées.
Le principal enjeu ici serait la sécurité. Selon Eyberg, « la sécurité est le couloir de la mort des conteneurs ». Il a déclaré que les conteneurs et la plateforme Kubernetes ont toujours eu une très mauvaise réputation en matière de sécurité, et la situation ne cesse d'empirer. Ce dernier étant une cible inavouée pour les attaquants. En effet, le fait de renoncer à des systèmes d’exploitation séparés est un avantage quant à la performance de la virtualisation par conteneur. Toutefois, en optant pour cela, l’on s’expose à un risque d’insécurité très élevé.
Dans le cas d’une virtualisation matérielle, les failles de sécurité dans le système s’appuient en général sur une seule machine virtuelle, elles ont un effet sur tous les conteneurs logiciels lors de la virtualisation au niveau du système d’exploitation. « Nous nous attendions depuis des années à ce que la sécurité entraîne la disparition de l'écosystème des conteneurs. Il est juste brisé par défaut et ne peut être réparé avec aucun assortiment d'outils ou de changements architecturaux », a-t-il déclaré. Il justifie ces propos à l’aide d’une vidéo montrant l’attaque d’un cluster Kubernetes (k8s).
Selon ces dires, Kubernetes et sécurité ne peuvent pas faire partie de la même phrase. « Le problème ici est que les conteneurs et, par extension, l'architecture k8s sont cassés par défaut. Malgré ce que tout vendeur prétend, il n’existe aucun moyen pour sécuriser un cluster de Kubernetes. Il n'y a jamais eu de sécurité dans sa conception au départ. C'était un château de cartes, avec une fondation de sable, colporté par des aboyeurs de carnaval », a-t-il déclaré. Il souligne que tout le monde commence à comprendre désormais l'escroquerie marketing derrière Kubernetes.
Dans son argumentation, il a déclaré que la majorité des gens qui utilisent des conteneurs et des k8s sont très réticents à l'idée que quoi que ce soit d'autre fasse partie du paradigme de l'infrastructure. Le problème est que ces personnes ont passé au moins 5 ans ou plus à construire leur marque personnelle autour de la mythologie des k8s, en disant à tout le monde et à leur mère que c'est la fin de tout, l'alpha et l'oméga, et que c'est la meilleure chose depuis le pain tranché. Ils sont juste incapables de changer les choses désormais.
Par ailleurs, Eyberg a également ajouté que Google et AWS savent et reconnaissent tous deux que les conteneurs et les Kubernetes sont cassés et ne sont pas l'avenir. Ne pouvant eux aussi changer le cours des choses, ils s’efforcent de les améliorer par le biais du marketing. Sur la base de ces explications, il est arrivé à la conclusion selon laquelle les conteneurs ne sont pas l’avenir. Par exemple, Google lui-même n’utilise pas Kubernetes. Eyberg recommande d'abandonner complètement les conteneurs et Kubernetes. Il propose une autre alternative, les microVMs.
Un microVM est une unité de mesure qui résume la consommation de ressources de cloud computing. Contrairement à la conteneurisation, en particulier Docker, qui utilise un seul noyau Linux partagé avec des cgroupes, des espaces de noms, etc., les microVMs utilisent un noyau Linux séparé virtualisé au-dessus de la machine virtuelle basée sur le noyau. Les avantages du microVM sont une surcharge de mémoire moindre, un noyau optimisé très minimal et une sécurité. La partie la plus intéressante est qu'elle est écrite en Rust, qu'elle possède un impressionnant SDK Go et que de nombreux outils sont déjà développés pour elle.
Beaucoup sont d’accord avec Eyberg en affirmant que si l'on utilise le terme conteneur pour désigner spécifiquement l'isolation des applications au niveau du système d'exploitation, la probabilité que les conteneurs soient remplacés par des machines virtuelles légères est très forte. L'essor des conteneurs a consisté à empaqueter des logiciels avec toutes leurs dépendances dans un paquet autonome qui est (à des degrés divers) isolé de l'hôte sous-jacent. En ce sens, les machines virtuelles légères sont une évolution du modèle de conteneur que nous utilisons déjà.
Source : Ian Eyberg
Et vous ?
Êtes-vous du même avis que Ian Eyberg ? Pourquoi ? Les conteneurs ont-ils encore de l'avenir selon vous ?Voir aussi
Kubernetes 1.16 apporte la disponibilité générale des définitions de ressources personnalisées, ainsi que des améliorations côté Windows Kubernetes 1.14 apporte une extension de l'écosystème qui passe de Linux-only à la prise en charge des conteneurs Windows Google cède le contrôle opérationnel de Kubernetes à la communauté qui devra désormais supporter les coûts d'infrastructure cloud du projet Les développeurs exercent une influence considérable à l'ère de Kubernetes et du cloud, selon une nouvelle étude d'IDC 
Envoyé par atha2
