CloudDéveloppeursDSIPAASProjetsSécuritéVirtualisation

Docker : déjà bon pour le service ?

0 0

Il aura suffi de quelques mois à Docker pour entraîner derrière lui l’industrie IT, mais aussi des grandes entreprises. L’intérêt des conteneurs dans les architectures Cloud ou pour les démarches de continuous delivery explique cet engouement. Même si la technologie conserve quelques défauts de jeunesse.

La version 1.5 de Docker voit le jour en ce début février 2015. Le décalage entre ce numéro de version, témoignant d’une technologie encore juvénile, et l’incroyable engouement qui entoure Docker, le système de conteneurs bâti par la société éponyme créée – aux Etats-Unis – par d’anciens élèves de l’Epitech (voir la photo de l’équipe ci-dessous), en dit long sur le phénomène. En quelques mois, les fées Google, IBM, Microsoft ou encore VMware – pour ne citer que quelques noms – se sont penchées sur le berceau de la jeune pousse.

« Docker a pris une dimension très importante et dispose aujourd’hui d’assises financières solides. Je le vois un peu comme l’équivalent du projet OpenStack », dit Yacine Kheddache, directeur technique d’Alyseo, un intégrateur spécialisé dans les solutions Open Source. Cette petite société indique travailler avec 7 à 8 clients sur le sujet (surtout côté prestataires de service). « On a assisté à un gros changement en quelques mois. De plus en plus d’acteurs du Cloud supportent la technologie ; les entreprises se rendent compte qu’elles vont pouvoir aller en pré-production ou en production et réaliser des hybridations simplement », reprend le directeur technique de l’intégrateur. Et d’assurer que CoreOS, qui facilite la synchronisation de conteneurs (donc la mise en place d’architectures distribuées hautement scalables), et Kubernetes, outil de gestion des clusters Docker, ont grandement boosté la demande pour les conteneurs.

team docker

Autre intégrateur à avoir pris le train Docker très tôt, Alter Way, qui vient de signer un partenariat avec la start-up, via lequel l’hébergeur contribue à l’élaboration des formations à la technologie, propose des offres d’hébergement (la société envisage notamment d’héberger des Docker Enterprise Hub, portails de stockage d’images conteneurs) ainsi que du conseil. « Nous sommes le seul partenaire français ayant cette couverture globale », se réjouit Stéphane Vincent, le directeur des offres stratégiques Alter Way. « Nous sommes convaincus du potentiel du produit malgré sa jeunesse, ajoute le directeur technique de la société, Hervé Leclerc. Car cette technologie va changer la manière dont on conçoit les applications, avec l’apparition de la notion de micro-services. Il s’agit d’applications construites en associant de multiples conteneurs, qui vont pouvoir avancer à des vitesses différentes. Ces nouvelles architectures, pour lesquelles Docker sert de catalyseur, permettent une plus grande agilité, mais impactent toutes les activités applicatives, du développement à la maintenance. »

Prototype à la Société Générale

Chez IBM, le tableau est sans surprise un peu plus nuancé, même si Big Blue fait partie des supporters de la technologie et a accrédité son intérêt en publiant, mi-2014, une étude montrant que les conteneurs Docker sont plus performants que les machines virtuelles sous l’hyperviseur KVM. « Quelques précautions s’imposent : c’est une technologie un peu jeune pour être utilisée en production. Mais elle évolue vite. IBM se prépare à lancer des offres courant 2015 autour de Docker », résume Dominique Lacassagne, architecte Cloud chez IBM France.

De facto, si IBM est sur le point d’annoncer des offres, c’est que certaines grandes entreprises ont dépassé le stade de la simple curiosité. Exemple à la Société Générale. « La raison pour laquelle nous nous intéressons à Docker réside dans notre volonté, partagée avec les autres DSI du groupe, d’aller au-delà des démarches agiles pour atteindre ce qu’on appelle le continuous delivery, autrement dit la capacité à livrer rapidement de nouveaux applicatifs de très bonne qualité », résume Philippe Morère, le DSI adjoint au sein de la Banque de Grande Clientèle et Solutions Investisseurs.

A la Société Générale, l’intérêt pour Docker suit la mise en place d’un Cloud privé fonctionnant sur les technologies VMware. Une infrastructure offrant la capacité de provisionner ou déprovisionner des environnements au niveau mondial très rapidement. « Dans ce paysage, Docker apparaît comme un élément de plus dans l’offre de virtualisation des infrastructures. Et comme un outil facilitant la livraison en continu de nos applications », ajoute le DSI.

Un enfant du mouvement Devops

La DSI de la Banque de Grande Clientèle et Solutions Investisseurs, en collaboration avec les autres directions informatiques du groupe, a commencé à se familiariser avec Docker et va lancer dans les prochaines semaines un prototype basé sur la technologie de conteneurs. « L’objectif de ce proof of concept est de valider certains points techniques, mais aussi notre capacité à adopter la technologie sur nos infrastructures avec un niveau d’investissement acceptable. Nous pensons qu’il est possible d’utiliser Docker sur tout le cycle de continuous delivery ». Et le DSI de préciser qu’il voit aujourd’hui les conteneurs davantage comme une technologie complémentaire des VM que comme leurs remplaçants.

« Une large majorité des grands comptes évalue aujourd’hui Docker », note Dominique Lacassagne d’IBM. Mais, pour lui, une partie de la promesse réside bien dans la perspective d’être moins tributaire de VMware. « La promesse n°1 de Docker reste la portabilité. Avec la virtualisation, il faut choisir son camp : on reste lié à un jeu d’instructions, analyse Yacine Kheddache (Alyseo). Avec Docker, cette contrainte disparaît. On se situe un gros cran au-dessus de la virtualisation en matière de capacité à se libérer de l’infrastructure physique et à s’ouvrir les portes du Cloud. »

dockerSi la technologie est susceptible de rebattre les cartes dans les architectures virtualisées, c’est avant tout la proximité de Docker avec le mouvement Devops qui revient comme une litanie. « Docker est poussé par tout le mouvement Devops. La technologie se révèle très adaptée aux filières de développement rapide. La logique consiste à intégrer les conteneurs le plus tôt dans le cycle, dès le poste de travail du développeur, avec des tests automatisés réalisés là encore le plus tôt possible, reprend l’architecte Cloud d’IBM France. Aujourd’hui, très peu d’entreprises fonctionnent dans ce modèle qui nécessite des usines de développement très pointues intégrant 90 % de tests automatisés. »

Dès le poste de travail du développeur

Surtout le réel enjeu de Docker est aujourd’hui d’aller au bout de la logique Devops, autrement dit de couvrir tout la chaîne, du poste du développeur jusqu’aux environnements de production. Un gros morceau pour une technologie encore bien jeune. « Avec Docker, les développeurs gèrent le versionning de l’application de la même façon qu’ils codent, avec la même facilité, dit Yacine Kheddache. C’est pour cela que les conteneurs ont suscité tant d’intérêt, surtout auprès des sociétés qui accordent plus de place aux développeurs via des démarches d’intégration continue. » Alyseo affirme avoir aujourd’hui une base installée Docker, sur des besoins de développement, de tests de qualification ou d’intégration continue. « Et certaines de ces entreprises veulent maintenant passer une partie de leur production sur Docker. Par exemple, dans le monde scientifique, une organisation se lance sur un cluster Docker afin de mettre à disposition des services Linux, avec des machines partagées pour des besoins de développement, de pré-production et de production », précise le directeur technique. A la clef, selon Alyseo : un impact sur les performances inférieur à celui de la virtualisation et une consommation de ressources plus modérée. « Ce qui a un impact sur les coûts : avec Docker, on peut notamment instancier un conteneur à chaque démarrage ».

Chez Alter Way, Docker est utilisé en interne depuis plusieurs mois, « depuis le poste du développeur jusqu’à l’environnement de pré-production, via une plate-forme d’intégration continue. A une échelle réduite, on est capable de simuler l’architecture de production dès le poste de développement. C’est essentiel car les applications Web deviennent de plus en plus complexes. Cela permet aux développeurs d’appréhender très tôt ce que sera la production, afin d’effectuer les bons paramétrages et de régler d’emblée les problématiques de flux par exemple », dit Stéphane Vincent. « La philosophie de Docker colle bien à celle de l’intégration continue. Dans les deux cas, quand cela ne marche pas, on jette et on relance. L’échec n’est pas un problème », ajoute Hervé Leclerc. Avec les conteneurs, plus besoin de Puppet, Ansible et autres outils d’orchestration, pense même Yacine Kheddache : « On gère l’intégration continue en remplaçant les versions de conteneurs par de nouvelles. »

Véritable rejeton de la mouvance Cloud, Docker suppose toutefois une industrialisation des processus et des applications hautement distribuées. « Sinon cette technologie n’a pas vraiment de sens, note Yacine Kheddache. Mais cette transformation, si elle est inscrite dans l’ADN des start-up, fait un peu peur aux DSI plus traditionnelles. » Tout simplement parce qu’il faut repenser le design des applications, pour les adapter à un environnement distribué. « Ce qui implique notamment qu’elles s’appuient sur des couches de service hautement ‘scalables’, quand cela s’avère nécessaire. »

Hébergeurs : une clef dans le modèle économique

La marche est donc haute. Surtout avec une technologie encore jeune. Alter Way explique par exemple avoir abordé cette transformation en bâtissant des micro-services autour de ses services centraux, par exemple autour des CMS (outils de publication de contenus), aujourd’hui très monolithiques. « Affecter des services génériques à un conteneur permet d’alléger le CMS, de généraliser ce conteneur, de le faire évoluer à un rythme différent et, éventuellement, d’avoir recours à un Cloud public. On se dirige vers des modèles hybrides, construits en partie sur Docker. Les enjeux résident dans l’orchestration de ces conteneurs et dans la gestion de ces services », précise Hervé Leclerc.

Voir un infogéreur et hébergeur comme Alter Way parmi les pionniers sur le sujet des conteneurs est tout sauf une surprise. Car, comme l’avait montré l’étude d’IBM Research, Docker permet, dans les environnements Linux, de gagner en performances et de gaspiller moins de ressources matérielles. Pour les hébergeurs, adopter les conteneurs est donc synonyme d’amélioration du modèle économique.

Aux Etats-Unis, Shopify, hébergeur spécialisé dans la création de boutiques en ligne, est ainsi allé au bout du modèle. Dans deux billets de blogs (le premier retraçant la réflexion de l’équipe technique, le second détaillant la construction des conteneurs maison, conçus selon la logique des micro-services), la société explique la raison qui l’ont poussé à basculer son environnement de production (une application Ruby on Rails) sur la technologie de conteneurs. Et Shopify ne fait pas mystère de ses motivations l’amenant à préférer les conteneurs aux VM : démarrage et fonctionnement rapides, densité (plus d’applications par rack de serveur), consistance des instances, approche familière aux développeurs (contrôle de versions, distribution selon les mécanismes d’un repository Git), contrôle du système d’exploitation donné aux développeurs (ce qui décharge les équipes de production). Mais l’hébergeur y ajoute ce qu’il qualifie de ‘killer feature’ : « des conteneurs réalisant des tâches très différentes peuvent cohabiter sur la même machine. Ce qui transforme le datacenter en une ressource informatique générique ». Shopify peut ainsi plus facilement encaisser les pics de trafic ou utiliser des capacités inutilisées pour réaliser des tâches exigeantes en ressources, comme des analyses de données.

Sécurité : la principale hypothèque

Reste que, par nature (l’hébergement d’un grand nombre de micro-boutiques), l’activité de Shopify se prête bien au concept de conteneurs. De leur côté, nul doute que les grandes entreprises seront beaucoup moins souples – changer les processus de développement et d’intégration n’est pas une mince affaire – et beaucoup plus prudentes, malgré l’attrait pour Docker. « Aujourd’hui, la technologie est surtout testée derrière le firewall, pour des besoins en matière de test et de développement », tempère Dominique Lacassagne. Tout simplement parce que la sécurité des conteneurs suscite encore l’inquiétude.

En janvier, Gartner a publié un rapport constatant quelques faiblesses des conteneurs, notamment sur la sécurité. Joerg Fritsch, auteur du rapport, explique dans un billet de blog que « les conteneurs Linux sont assez matures pour être utilisés dans le cadre de PaaS privés et publics, mais ils s’avèrent décevants en ce qui concerne l’administration et la gestion de la sécurité, ainsi que le support des standards en matière de confidentialité, d’intégrité et de disponibilité ». Yacine Kheddache estime toutefois que ce frein est en passe d’être levé : « Cette remarque était très justifiée il y a encore quelques versions, une défaillance sur un conteneur pouvant alors entraîner une faille de sécurité importante. Mais, aujourd’hui, le mécanisme de cloisonnement est robuste. Ce n’est pas parfait, mais suffisant pour une mise en production selon nos tests. »

Rocket + CoreOS + Docker = confusion

Gartner considère aussi que le développement d’outils tiers est encore limité en raison de la jeunesse de Docker. Il estime que 2015 devrait voir naître des initiatives autour de la gestion et l’administration de Docker sur les aspects sécurité et disponibilité. On attend notamment des outils pour la sauvegarde des conteneurs, mais aussi des solutions de chiffrement et des produits dédiés à la migration.

De facto, pour une entreprise, se repérer dans le foisonnement des technologies et outils tiers, et décider d’investissements pérennes en la matière, s’avère périlleux. Tant le terrain reste mouvant. « L’écosystème est en pleine ébullition. On l’a vu avec le lancement par CoreOS de Rocket, un fork de Docker. Même remarque côté orchestration, où l’offre manque encore de maturité », résume Dominique Lacassagne. Dévoilée en pleine conférence Docker européenne, l’offre Rocket de CoreOS est clairement venue brouiller les cartes. Le lancement d’un concurrent de Docker par CoreOS perturbe, car CoreOS propose précisément un environnement embarquant la technologie de conteneurs de la start-up et une couche d’orchestration. Intégration étroite que le lancement de sa propre solution de conteneurs risque de remettre en question. « Cette architecture risque d’être moins prête à l’emploi à l’avenir », reconnaît Hervé Leclerc, le directeur technique d’Alter Way.

Nos autres articles sur Docker

Grâce aux conteneurs, Google Cloud va rattraper Amazon Web Services (tribune)

Docker : une roadmap orchestrée pour l’entreprise et les développeurs

Docker : la start-up vedette qui aurait dû être française

Docker : pourquoi nous sommes populaires, ce qu’il nous manque encore

Autour de Docker : comment Google fédère une alliance ‘tout-sauf-AWS’

Crédit photo : Serz_72 / Shutterstock