Les 16 et 17 novembre derniers avait lieu l’édition européenne de la DockerCon, la grand-messe des conteneurs ! Et pour ne rien gâcher, celle-ci avait lieu dans un lieu magnifique, le centre de conventions international de Barcelone, sous une météo des plus clémentes ! Ce fut l’occasion de rencontrer en chair et en os des membres de la communauté Docker afin de mettre un visage sur des nicknames, d’échanger nos retours d’expérience, mais aussi d’être aux premières loges pour faire le point sur Docker, et découvrir les dernières nouveautés !
Ready for Production !
Run !
Si je devais résumer en une phrase la DockerCon, ça serait : “Docker est prêt pour la production”. Vous allez me dire que c’était déjà le cas pour pas mal de monde et vous aurez raison. Mais durant les deux keynotes du matin, de nombreuses réponses ont été apportées pour rassurer les utilisateurs encore frileux. Tout d’abord grâce aux dernières possibilités apportées par la version 1.0 du Docker Engine. Par exemple, avec l’arrivée de plugins réseaux qui simplifient grandement le déploiement de conteneurs sur plusieurs machines. Avant l’arrivée de ces derniers, il fallait gérer manuellement les liens entre tout ce petit monde (grâce par exemple au pattern ambassadeur). Même évolution positive avec les volumes : plus besoin de “tricher” en créant des conteneurs de type “data” pour assurer la persistance.
De plus, grâce à Swarm, qui est sorti en version 1.0 en même temps, gérer un cluster de Docker est presque un jeu d’enfant ! Lors de cette keynote, une démonstration d’un cluster de 50 000 conteneurs sur 1 000 noeuds fut réalisée. Le tout démarrant en moins d’une seconde. Bluffant !
Le deuxième jour, Docker a également apporté de nouvelles briques à la partie production via deux annonces. La première concernant le déploiement de Docker sur le cloud ! Avec le récent rachat de Tutum, Docker propose maintenant une offre de CaaS (Container as a Service) d’une grande qualité.
Et si vous ne pouvez pas faire de Cloud ? Docker ne vous laisse pas en reste, et a également répondu à vos besoins grâce à une seconde grande annonce : Docker Universal Control Plane, l’ex-projet Orca. Cet outil permet de gérer on-premise des conteneurs, indépendamment d’où ils seront déployés (Cloud public ou infrastructure privée), le tout avec une UI très sympa et des fonctionnalités attendues par les entreprises. Associé à la Docker Trusted Registry, on se met ainsi à rêver d’avoir un “Tutum” on-premise !
Securité
L’autre grand thème de la DockerCon fut la sécurité. Construire des images prêtes à être déployées, c’est bien, mais si celles-ci contiennent des failles, ou bien peuvent être altérées par une tierce personne avant d’aller en production, les conséquences pourraient être désastreuses.
Il est donc nécessaire d’avoir des moyens pour sécuriser l’environnement Docker. Mais le maître mot de la sécurité chez Docker, c’est qu’elle doit être utilisable. Dans le cas contraire, personne n’en tiendra compte, et le but ne sera pas atteint.
Docker apporte des solutions élégantes dans cette optique afin de répondre aux besoins de sécurité. Tout d’abord, avec Notary / Trusted Registry : il est maintenant possible de signer et vérifier les images que l’on publie. Impossible dès lors qu’un pirate vienne ajouter du code malveillant dans une image sans être détecté. Lors de la keynote du premier jour, Docker a démontré la simplicité de cette solution via un véritable show, en se basant sur une intégration avec des clés Yubikey.
À la fin de la démo, nous furent tous invité à regarder sur le coté de notre siège : une Yubikey pour tout le monde !
Look under your seat, there’s a #Yubikey for everyone at #DockerCon! – @solomonstre #DockerCon thanks @Yubico! pic.twitter.com/GrWynsXnzI
— DockerCon (@DockerCon) 16 Novembre 2015
Concernant les vulnérabilités des images, Docker a présenté le projet Nautilus. Ce dernier est un scanner d’images, qui est actuellement sur le DockerHub sur certaines images de test, et qui sera mis à disposition par la suite.
Quelques retours sur les talks
En dehors des keynotes, il y avait une série de présentations proposées dans 3 salles en parallèle, toutes très intéressantes. Le choix fut donc difficile, mais fort heureusement, des vidéos et slides seront très bientôt disponibles en ligne pour en profiter.
Tor + Docker = Anonymous
À l’heure actuelle, nous sommes de plus en surveillé, et les derniers évènements ne vont pas arranger les choses. Il est donc utile de connaître des solutions pour protéger notre vie privée. Jessie Frazelle ( @frazelledazzell ) nous apporte une réponse à base de conteneurs et de Tor. Pour ceux qui ne connaissent pas encore Tor, c’est un réseau qui permet d’être anonyme sur Internet. Lorsque vous l’utilisez, vos packets réseaux ne sont pas envoyés directement vers le serveur de destination, mais transitent par une multitude de relais, en utilisant une communication chiffrée. Le serveur cible ne voit pas votre adresse IP, mais celle du dernier relais. Durant sa présentation, Jessie nous a démontré que tout peut être “conteneurisé” sous Linux : Socks Proxy, Relai Tor, etc. Mais plus étonnant encore, c’est aussi faisable pour des applications graphiques telles que Chrome !
Things that @frazelledazzell runs in containers on her laptop right meow: tor-proxy, chrome, privoxy, notify-osd (among others) ![💁]()
![📦]()
![🐳]()
![👸]()
— Jérôme Petazzoni (@jpetazzo) 16 Novembre 2015
— Jérôme Petazzoni (@jpetazzo) Jusqu’ici, il fallait configurer chaque application pour qu’elle utilise le proxy Tor pour bénéficier de l’anonymisation. Grâce à un projet de Jessie (qui sera bientôt mis à disposition sur GitHub), cette configuration ne sera plus qu’un souvenir. En effet, elle a développé un driver réseau Docker pour que le trafic soit transféré via Tor, à la manière d’un proxy transparent.
- Running a Tor relay with Docker – Blog de Jessie Frazelle
- How to Route Traffic through a Tor Docker container – Blog de Jessie Frazelle
- Tor Socks Proxy and Privoxy Containers – Blog de Jessie Frazelle
The latest in Docker Engine
La seconde présentation que j’ai suivie fut également donnée par Jessie Frazelle mais secondée cette fois par Arnaud Porterie ( @icecrime).
Ils nous ont présenté les nouvelles fonctionnalités du Docker Engine 1.9 (réseau multihôtes, volume) ainsi que celles en cours de développement dans la version expérimental. Un exemple ? Les “User namespace”, qui permettront de faire un mapping entre les UID/GID dans un conteneur avec d’autres dans l’hôte. L’intérêt ? Cela permettrait d’avoir un utilisateur “root” (UID 0) dans le conteneur, qui est différent de l’utilisateur root sur la machine hôte.
How to be successful running Docker in Production
Ce fut l’une des présentations les plus intéressantes. John Fiedler nous a présenté son retour d’expérience sur la mise en place de Docker au sein de SalesforceIQ. Nous avons donc découvert leurs choix, les bons comme les moins bons, le tout très bien expliqué pour apprendre de leurs erreurs, et éviter de les reproduire.
Il n’a pas été avare en conseils judicieux, donc si vous ne faites pas encore de Docker, mais que vous envisagez d’adopter cette technologie, je ne peux que vous conseiller de prendre le temps de visionner la conférence une fois qu’elle sera disponible en ligne !
Un bilan très positif
Au vu de ce que j’ai pu entendre et voir lors de cette conférence, Docker arrive doucement mais sûrement à maturité. Les points qui pouvaient être bloquants pour se lancer dans l’aventure n’existent plus ou sont sur le point d’être réglés. C’était déjà un outil séduisant pour les équipes développement, mais il possède maintenant les armes et les arguments pour conquérir les équipes de productions.
Et s’ils résistent encore, dites-leur qu’ils pourront gérer les conteneurs Docker en jouant ! ;-)
#dockercraft – manager your @docker #containers while playing #mine craft @aduermael @gaetan_dv demo at #DockerCon pic.twitter.com/XM0KFs5nZG
— DockerCon (@DockerCon) 17 Novembre 2015
Et pour conclure, je vous propose d’aller voir mes quelques photos de la conférence, et peut-être vous donner envie d’y aller l’année prochaine ?
PS : je tiens à remercier SFEIR (en particulier Paul Chabot, Didier Girard et Julien Maujol) de m’avoir permis d’assister à cette conférence ! Mais également Patrick Chanezon (@chanezon), sans qui tout cela n’aurait pas été possible !
Merci à vous tous !
The post Retour sur la DockerCon Europe 2015 appeared first on SFEIR Mag.