Publicado: 20 de mayo de 2024
Colaboradores: Stephanie Susnjara, Ian Smalley
La contenerización es el empaquetado de código de software con solo las bibliotecas del sistema operativo (SO) y las dependencias necesarias para ejecutar el código y crear un único ejecutable ligero, llamado contenedor, que se ejecuta de manera constante en cualquier infraestructura.
Con mejor portabilidad y eficiencia de recursos que las máquinas virtuales (VM), los contenedores se convirtieron en las unidades informáticas de facto de las aplicaciones modernas nativas de la nube.
La contenerización permite a los desarrolladores crear y desplegar aplicaciones de forma más rápida y segura. Con los métodos tradicionales, los desarrolladores escriben código en un entorno informático específico que, cuando se traslada a una nueva ubicación, suele dar lugar a fallas y errores. Por ejemplo, esto puede suceder cuando un desarrollador transfiere código de una computadora de escritorio a una VM o de un sistema operativo Linux a uno Windows. La contenerización elimina este problema al agrupar el código de la aplicación con los archivos de configuración, las bibliotecas y las dependencias necesarias para su ejecución. Este paquete de software único o "contenedor" se abstrae del sistema operativo host. Por lo tanto, es independiente y se vuelve portátil, capaz de ejecutarse en cualquier plataforma o nube, sin problemas.
El concepto de contenerización y aislamiento de procesos se ha utilizado por décadas. Sin embargo, la aparición en 2013 del Docker de código abierto, un estándar de la industria para contenedores con herramientas de desarrollo simples y un enfoque de empaquetado universal, aceleró la adopción de esta tecnología. Hoy en día, las organizaciones usan cada vez más la contenerización para crear nuevas aplicaciones y modernizar las aplicaciones existentes para la nube.
Según un informe de Forrester1, el 74 por ciento de los responsables de la toma de decisiones de infraestructura en EE. UU. indica que sus empresas están adoptando contenedores dentro de una plataforma como servicio (PaaS) en un entorno on premises o de nube pública.
Los contenedores son "ligeros", lo que significa que comparten el kernel del sistema operativo de la máquina y no requieren la sobrecarga de asociar un sistema operativo a cada aplicación. Los contenedores tienen intrínsecamente menor capacidad que las VM y requieren menos tiempo de arranque. Esta capacidad permite ejecutar muchos más contenedores en la misma capacidad informática que una única VM. Esta capacidad aumenta la eficiencia del servidor y, a su vez, reduce los costos de servidor y licencias.
Lo más importante es que la contenerización permite que las aplicaciones “se escriban una vez y se ejecuten en cualquier lugar” en centros de datos on premises, la nube híbrida y entornos multinube.
Esta portabilidad acelera el desarrollo, evita la vendor lock-in (dependencia de proveedores) de la nube y ofrece otros beneficios notables, como el aislamiento de fallos, la facilidad de gestión, la seguridad simplificada, etc.
El siguiente video proporciona una explicación más detallada de la contenerización:
Conecte e integre sus sistemas para preparar su infraestructura para la IA.
Regístrese para obtener la guía sobre modernización de aplicaciones
La arquitectura de contenerización consta de cuatro capas de componentes esenciales.
La infraestructura subyacente de TI es una capa base que incluye los recursos informáticos físicos (por ejemplo, computadora de escritorio, servidor bare metal).
Esta capa se ejecuta en la máquina física o virtual. El SO gestiona los recursos del sistema y proporciona un entorno de tiempo de ejecución para los motores de contenedores.
También conocido como motor de tiempo de ejecución, el motor de contenedores proporciona el entorno de ejecución para las imágenes de contenedores (plantillas de solo lectura que contienen instrucciones para crear un contenedor). El motor de contenedores se ejecuta sobre el SO host y virtualiza los recursos para las aplicaciones contenerizadas.
Esta capa final consiste en las aplicaciones de software que se ejecutan en contenedores.
Los contenedores encapsulan una aplicación como un único paquete ejecutable de software que agrupa el código de la aplicación junto con todos los archivos de configuración relacionados, bibliotecas y dependencias necesarias para su ejecución.
Las aplicaciones en contenedores están “aisladas”, lo que significa que no se agrupan en una copia del sistema operativo. En su lugar, un motor de tiempo de ejecución o contenedor de código abierto (como el motor de tiempo de ejecución Docker) se instala en el sistema operativo del host y se convierte en el canal para que los contenedores compartan un sistema operativo con otros contenedores en el mismo sistema informático.
Otras capas de contenedores, como binarios comunes (bins) y bibliotecas, se pueden compartir entre varios contenedores. Esta característica elimina la sobrecarga de ejecutar un sistema operativo dentro de cada aplicación y hace que los contenedores sean más pequeños en capacidad y más rápidos de iniciar que las VM, lo que aumenta la eficiencia de los servidores. El aislamiento de las aplicaciones como contenedores también reduce la posibilidad de que el código malicioso en un contenedor afecte a otros contenedores o invada el sistema host.
La abstracción del sistema operativo host hace que las aplicaciones en contenedores sean portátiles y capaces de ejecutarse de manera uniforme y constante en cualquier plataforma o nube. Los contenedores pueden transportarse fácilmente de una computadora de escritorio a una máquina virtual (VM) o de un sistema operativo Linux a uno Windows. Los contenedores también se ejecutarán de forma constante en infraestructuras virtualizadas o servidores tradicionales bare metal, ya sea en on premises o en un centro de datos en la nube.
La contenerización permite a los desarrolladores de software crear y desplegar aplicaciones de forma más rápida y segura, ya sea una aplicación monolítica tradicional (una aplicación de software de un solo nivel) o una aplicación modular construida en la arquitectura de microservicios. Los desarrolladores pueden crear nuevas aplicaciones basadas en la nube desde cero como microservicios en contenedores, que divide una aplicación compleja en una serie de servicios más pequeños, especializados y manejables. También pueden reempaquetar las aplicaciones existentes en contenedores (o microservicios contenerizados) que emplean los recursos informáticos de manera más eficiente.
Los contenedores a menudo se comparan con máquinas virtuales (VM) porque ambas tecnologías permiten eficiencias informáticas significativas: múltiples tipos de software (basados en Linux o Windows) se ejecutan en un solo entorno.
La virtualización utiliza un hipervisor, una capa de software colocada en un equipo físico o servidor que permite al equipo físico separar su sistema operativo y aplicaciones de su hardware. La tecnología de virtualización permite que múltiples sistemas operativos y aplicaciones de software se ejecuten simultáneamente y compartan los recursos de una sola computadora física o máquina host (por ejemplo, CPU, almacenamiento y memoria). Por ejemplo, una organización de TI puede ejecutar tanto Windows como Linux o varias versiones de un sistema operativo, junto con diversas aplicaciones en el mismo servidor.
Cada aplicación y su sistema de archivos relacionado, bibliotecas y otras dependencias, incluida una copia del sistema operativo (SO), se empaquetan juntos como una VM. Como varias VM se ejecutan en una sola máquina física, pueden lograrse ahorros significativos en costos de capital, operativos y energéticos.
Por otro lado, la contenerización emplea los recursos informáticos de manera aún más eficiente. Un contenedor crea un único paquete de software ejecutable que agrupa el código de la aplicación junto con todas las dependencias necesarias para su ejecución. Sin embargo, a diferencia de las VM, los contenedores no incluyen una copia del SO. En cambio, el motor de tiempo de ejecución del contenedor se instala en el sistema operativo del sistema host, o "SO host", y se convierte en el canal a través del cual todos los contenedores del sistema informático comparten el mismo SO.
Los contenedores suelen denominarse "ligeros": comparten el kernel del SO de la máquina y no requieren la sobrecarga de asociar un SO dentro de cada aplicación (como es el caso de una VM). Otras capas de contenedores (áreas de almacenamiento y bibliotecas comunes) también pueden compartirse entre varios contenedores, lo que hace que sean inherentemente más pequeños en capacidad que una VM y más rápidos de iniciar. Varios contenedores pueden ejecutarse en la misma capacidad informática que una sola VM, lo que impulsa aún más la eficiencia de los servidores y reduce los costos de servidores y licencias.
El siguiente video profundiza en los contenedores frente a las VM:
La contenerización ofrece beneficios significativos a los desarrolladores y equipos de desarrollo, especialmente en las siguientes áreas.
Un contenedor crea un paquete ejecutable de software que se abstrae del sistema operativo host (no está vinculado ni depende de él). Por lo tanto, es portátil y capaz de ejecutarse de manera uniforme y constante en cualquier plataforma o nube.
El desarrollo y el despliegue de contenedores aumentan la agilidad y permiten que las aplicaciones funcionen en los entornos de nube que mejor satisfacen las necesidades comerciales.
Los contenedores son "ligeros", lo que significa que comparten el kernel del sistema operativo (SO) de la máquina. Esta característica no solo impulsa una mayor eficiencia del servidor, sino que también reduce los costos del servidor y de las licencias, a la vez que acelera los tiempos de inicio, ya que no hay un SO para arrancar.
Cada aplicación en contenedor está aislada y funciona independientemente de las demás. El fallo de un contenedor no afecta el funcionamiento continuado de los demás contenedores. Los equipos de desarrollo pueden identificar y corregir cualquier problema técnico dentro de un contenedor sin que haya tiempo de inactividad en otros contenedores. Además, el motor de contenedores puede aprovechar cualquier técnica de aislamiento de seguridad del sistema operativo (como el control de acceso SELinux) para aislar los fallos dentro de los contenedores.
El software que se ejecuta en entornos contenerizados comparte el kernel del SO de la máquina, y las capas de aplicación dentro de un contenedor pueden compartirse entre contenedores. Por lo tanto, los contenedores son inherentemente más pequeños en capacidad que una VM y requieren menos tiempo de inicio, lo que permite que se ejecuten muchos más contenedores con la misma capacidad informática que una sola VM. Esta capacidad aumenta la optimización de recursos e impulsa la eficiencia del servidor, lo que reduce los costos de servidores y licencias.
La contenerización, especialmente cuando se combina con una plataforma de orquestación de contenedores, como Kubernetes, automatiza y simplifica el aprovisionamiento, el despliegue y la gestión de aplicaciones contenerizadas.
El aislamiento de las aplicaciones como contenedores evita de forma inherente que la invasión de código malicioso afecte a otros contenedores o al sistema host. Además, pueden definirse licencias de seguridad para bloquear automáticamente la entrada de componentes no deseados en los contenedores o limitar las comunicaciones con recursos innecesarios.
A medida que aumentó el crecimiento de las soluciones basadas en contenedores, surgió la necesidad de estándares en torno a la tecnología de contenedores y el enfoque para empaquetar el código de software. Open Container Initiative (OCI)2, un proyecto de Linux establecido en junio de 2015 por Docker y otros líderes de la industria, surgió como una forma de promover estándares y especificaciones comunes, mínimos y abiertos en torno a la tecnología de contenedores. Desde entonces, OCI ayudó a ampliar las opciones de motores de código abierto para que los usuarios puedan evitar la dependencia del proveedor. Los desarrolladores también pueden usar las tecnologías certificadas por OCI, que les permiten crear aplicaciones contenerizadas mediante el uso de un conjunto diverso de herramientas DevOps y ejecutarlas de manera constante en la infraestructura que elijan.
Para aclarar cualquier confusión, Docker también se refiere a Docker, Inc.3, la empresa que desarrolla herramientas de productividad basadas en la tecnología de contenedores Docker. También se relaciona con el proyecto de código abierto Docker4, al que Docker, Inc. y muchas otras organizaciones y particulares contribuyen.
Si bien Docker es la tecnología de motor de contenedores más conocida y utilizada, el ecosistema más amplio se estandarizó en contenedores y otras alternativas, como CoreOS rkt, Mesos Containerizer, LXC Linux Containers, OpenVZ y crio-d.
Hoy en día, una organización puede tener cientos o miles de contenedores, una cantidad que sería casi imposible de gestionar manualmente para los equipos. Aquí es donde entra en juego la orquestación de contenedores.
Una plataforma de orquestación de contenedores programa y automatiza la gestión, como el despliegue de contenedores, las redes, el equilibrio de carga, la escalabilidad y la disponibilidad.
Kubernetes, la herramienta de orquestación de contenedores más popular disponible, es una tecnología de código abierto (originalmente, de código abierto con Google, basada en su proyecto interno Borg) que automatiza las funciones de contenedores Linux. Kubernetes funciona con muchos motores de contenedores, como Docker Engine. También funciona con cualquier sistema de contenedores que cumpla con los estándares de Open Container Initiative (OCI) para formatos de imagen y tiempos de ejecución de contenedores.
Si bien Kubernetes es el estándar de la industria, otras plataformas populares de orquestación de contenedores incluyen Apache Mesos, Nomad y Docker Swarm.
Para aprender más sobre la orquestación de contenedores, consulte este video que explica cómo funciona Kubernetes:
La contenerización es una parte integral de la modernización de aplicaciones. Este proceso se refiere a la transformación de aplicaciones monolíticas (heredadas) en aplicaciones nativas de la nube basadas en una arquitectura de microservicios, diseñada para integrarse en cualquier entorno de nube.
Los microservicios son un enfoque superior para el desarrollo y la gestión de aplicaciones en comparación con el modelo monolítico anterior, que combina una aplicación de software con la interfaz de usuario asociada y la base de datos subyacente en una sola unidad en una plataforma de servidor único. Con los microservicios, una aplicación compleja se divide en una serie de servicios más pequeños y especializados, cada uno con su propia base de datos y su propia lógica de negocio. Los microservicios se comunican a través de interfaces comunes (como API) e interfaces REST (como HTTP). Mediante el uso de microservicios, los equipos de desarrollo pueden enfocarse en actualizar áreas específicas de una aplicación sin afectarla en su conjunto, lo que resulta en un desarrollo, prueba y despliegue más rápidos.
Los conceptos detrás de los microservicios y la contenerización son similares. Ambas son prácticas de desarrollo de software que esencialmente transforman las aplicaciones en colecciones de servicios o componentes más pequeños que son portátiles, escalables, eficientes y más fáciles de gestionar.
Además, los microservicios y la contenerización funcionan bien cuando se usan juntos. Los contenedores proporcionan una encapsulación ligera de cualquier aplicación, ya sea un monolito tradicional o un microservicio modular. Un microservicio, desarrollado dentro de un contenedor, obtiene entonces todos los beneficios inherentes de la contenerización, como la portabilidad.
En general, los contenedores, los microservicios y la computación en la nube se han fusionado, lo que lleva el desarrollo y la entrega de aplicaciones a un nuevo nivel. Estas tecnologías simplifican los flujos de trabajo de DevOps y dan soporte a los procesos de integración continua y entrega continua (CI/CD) para acelerar el desarrollo de software. Estos enfoques de próxima generación aportaron agilidad, eficiencia y confiabilidad al ciclo de vida del desarrollo de software, lo que llevó a una entrega más rápida de aplicaciones en contenedores y mejoras a los usuarios y al mercado.
Las organizaciones continúan moviéndose hacia la nube, donde los usuarios pueden desarrollar aplicaciones de manera rápida y eficiente. La contenerización se ha convertido en un caso de uso crítico del negocio para la migración a la nube, el proceso de mover datos, aplicaciones y cargas de trabajo de un centro de datos on premises a una infraestructura basada en la nube o de un entorno de nube a otro.
La migración a la nube es una parte esencial del entorno de nube híbrida de una organización, que combina servicios de nube on-prem, públicas y privadas para crear una infraestructura de TI única, flexible y rentable que respalda y automatiza la gestión de cargas de trabajo en todos los entornos de nube.
Hoy en día, se puede acceder a las aplicaciones y los datos basados en la nube desde cualquier dispositivo conectado a Internet, lo que permite a los miembros del equipo trabajar de forma remota y sobre la marcha. Los proveedores de servicios en la nube (CSP), por ejemplo, Amazon Web Services (AWS), Google Cloud Services, IBM® Cloud o Microsoft Azure), gestionan la infraestructura subyacente, lo que ahorra a las organizaciones el costo de los servidores y otros equipos, y también proporciona copias de seguridad de red automatizadas para mayor confiabilidad. Las infraestructuras en la nube escalan bajo demanda y ajustan dinámicamente los recursos, la capacidad y la infraestructura informáticos a medida que cambian los requisitos de carga. Además, los CSP actualizan regularmente las ofertas, lo cual da a los usuarios acceso continuo a las tecnologías innovadoras más recientes, como la IA generativa.
Muchos de los principales proveedores de servicios en la nube ofrecen contenedores como servicio (CaaS). Básicamente un subconjunto de infraestructura como servicio (IaaS), CaaS se encuentra entre IaaS y plataforma como servicio (PaaS) en la pila de computación en la nube, que proporciona un equilibrio entre el control ofrecido por IaaS y la simplicidad de PaaS.
CaaS proporciona una plataforma basada en la nube donde los usuarios pueden optimizar los procesos de virtualización y gestión de contenedores basados en contenedores. CaaS también proporciona tiempos de ejecución de contenedores, capas de orquestación y gestión persistente del almacenamiento. En 2022, el mercado global de CaaS se valoró en casi 2 mil millones de dólares.5
La computación sin servidor es un modelo de computación en la nube de desarrollo y ejecución de aplicaciones, que permite a los desarrolladores crear y ejecutar código de aplicaciones sin aprovisionar ni gestionar servidores o infraestructura de backend.
En la computación sin servidor, el proveedor de servicio en la nube asigna recursos de máquina bajo demanda, que mantiene los servidores en nombre de sus clientes. Específicamente, el desarrollador y el CSP manejan el aprovisionamiento de la infraestructura en la nube necesaria para ejecutar el código y escalar la infraestructura de forma ascendente y descendente bajo demanda según sea necesario. El proveedor se adhiere a un modelo de precios de pago por uso.
La computación sin servidor puede mejorar la productividad de los desarrolladores al permitir que los equipos se centren en escribir código, no en gestionar la infraestructura. Por el contrario, los contenedores ofrecen más control y flexibilidad, lo que puede ayudar a gestionar las aplicaciones existentes y migrarlas a la nube.
Las prácticas de seguridad para entornos contenerizados requieren una estrategia que abarque todo el ciclo de vida del contenedor, incluido el desarrollo, las pruebas y el despliegue.
Estas prácticas deben abordar todas las capas de la pila, incluida la plataforma de contenerización, las imágenes de contenedores, la plataforma de orquestación y los contenedores y aplicaciones individuales.
En primer lugar, las políticas de seguridad de los contenedores deben ser en torno a un marco de confianza cero. Este modelo verifica y autoriza cada conexión de usuario y garantiza que la interacción cumpla con los requisitos condicionales de las políticas de seguridad de la organización. Una estrategia de seguridad de confianza cero también autentica y autoriza cada dispositivo, flujo de red y conexión en función de políticas dinámicas mediante el contexto de tantas fuentes de datos como sea posible.
La seguridad de los contenedores se convirtió en una preocupación más importante a medida que más organizaciones llegaron a confiar en la tecnología de contenedores, incluidas las plataformas de orquestación, para desplegar y escalar sus aplicaciones. Según un reporte de Red Hat6, las vulnerabilidades y las configuraciones incorrectas son las principales preocupaciones de seguridad en los entornos de contenedores y Kubernetes.
Como se mencionó anteriormente, las aplicaciones contenerizadas tienen inherentemente un nivel de seguridad, ya que pueden ejecutarse como procesos aislados y operar de manera independiente de otros contenedores. Verdaderamente aislado, esto podría evitar que cualquier código malicioso afecte a otros contenedores o invada el sistema host. Sin embargo, las capas de aplicación dentro de un contenedor a menudo se comparten entre contenedores. En cuanto a la eficiencia de los recursos, esto es un beneficio, pero también da paso a interferencias y violaciones de seguridad en todos los contenedores. Lo mismo podría decirse del sistema operativo compartido, ya que pueden asociarse varios contenedores con el mismo sistema operativo host. Las amenazas de seguridad al sistema operativo común pueden afectar a todos los contenedores asociados; por el contrario, una violación de un contenedor puede invadir potencialmente el sistema operativo del host.
Pero, ¿qué ocurre con los riesgos y vulnerabilidades asociados a la propia imagen del contenedor? Una estrategia sólida de contenerización incluye un enfoque "seguro por defecto", lo que significa que la seguridad debe ser inherente a la plataforma y no una solución desplegada y configurada por separado. Con este fin, el motor de contenedores admite todas las propiedades de aislamiento predeterminadas inherentes al sistema operativo subyacente. Pueden definirse permisos de seguridad para bloquear automáticamente la entrada de componentes no deseados en los contenedores o para limitar las comunicaciones con recursos innecesarios.
Por ejemplo, los espacios de nombres de Linux ayudan a proporcionar una vista aislada del sistema a cada contenedor; esto incluye redes, puntos de montaje, ID de proceso y de usuario, comunicación entre procesos y configuración de nombres de host. Los espacios de nombres pueden limitar el acceso a cualquiera de esos recursos a través de procesos dentro de cada contenedor. Normalmente, los subsistemas que no admiten Namespace no son accesibles desde un contenedor. Los administradores pueden crear y gestionar fácilmente estas "restricciones de aislamiento" en cada aplicación contenedorizada a través de una sencilla interfaz de usuario.
Además, existe una amplia gama de soluciones de seguridad de contenedores para automatizar la detección de amenazas y la respuesta a ellas en toda la empresa. Estas herramientas ayudan a monitorear y aplicar políticas de seguridad y cumplir con los estándares de la industria para garantizar el flujo seguro de datos. Por ejemplo, las herramientas de software de gestión de seguridad pueden ayudar a automatizar los pipelines de CI/CD, bloquear vulnerabilidades antes de la producción e investigar actividades sospechosas con visibilidad en tiempo real. Este enfoque se encuentra bajo DevSecOps, el proceso de aplicación y desarrollo que automatiza la integración de las prácticas de seguridad en cada nivel del ciclo de vida del desarrollo de software.
Red Hat OpenShift OpenShift on IBM Cloud utiliza OpenShift en entornos públicos e híbridos para lograr velocidad, capacidad de respuesta del mercado, escalabilidad y confiabilidad.
Con IBM Cloud Satellite, puede lanzar servicios de nube consistentes en cualquier lugar, en el perímetro y en entornos de nube pública.
Ejecute imágenes de contenedores, trabajos por lotes o código fuente como cargas de trabajo sin servidor, sin necesidad de dimensionar, desplegar, establecer redes o escalar.
Determine automáticamente las acciones de asignación de recursos adecuadas, y cuándo realizarlas, para ayudar a garantizar que sus entornos Kubernetes y las aplicaciones de misión crítica obtengan exactamente lo que necesitan para cumplir sus SLO.
El software Fusion se ejecuta en cualquier lugar donde se ejecuta Red Hat OpenShift: en la nube pública, on premises, bare metal y máquinas virtuales. Fusion proporciona una manera fácil de desplegar aplicaciones Red Hat OpenShift e IBM® watsonx.
Una investigación de IBM documenta el creciente impulso de la adopción de contenedores y Kubernetes.
Docker es una plataforma de código abierto para crear, desplegar y gestionar aplicaciones en contenedores.
En una arquitectura de microservicios, cada aplicación está compuesta por muchos servicios desplegables más pequeños, menos acoplados e independientes.
Los contenedores son unidades ejecutables de software que empaquetan el código de la aplicación junto con sus bibliotecas y dependencias. Permiten que el código se ejecute en cualquier entorno informático, ya sea de escritorio, de TI tradicional o de infraestructura en la nube.
Una virtual machine (VM) es una representación virtual o emulación de un equipo físico que emplea software en lugar de hardware para ejecutar programas e implementar aplicaciones.
Kubernetes, también conocida como k8s o kube, es una plataforma de orquestación de contenedores de código abierto diseñada para programar y automatizar el despliegue, la gestión y el escalamiento de aplicaciones contenedorizadas.
Notas de pie de página
Todos los enlaces se encuentran fuera de ibm.com
1 The State of Cloud in the US, Forrester, 14 de junio de 2022.
3 Acerca de Docker, Docker.
4 Open Source Projects, Docker.
5 Containers as a Service Market worth USD 5.6 billion by 2027 - Exclusive Study by MarketsandMarkets, Cision, 30 de noviembre de 2022.
6 State of Kubernetes Security Report, Red Hat, 17 de abril de 2023.