Publication : le 9 mai 2024
Contributeurs : Stephanie Susnjara, Ian Smalley
Les conteneurs sont des unités exécutables de logiciels qui regroupent le code de l’application ainsi que ses bibliothèques et dépendances. Ils permettent au code de s’exécuter dans n’importe quel environnement informatique, qu’il s’agisse d’un ordinateur de bureau, d’une infrastructure informatique traditionnelle ou d’une infrastructure cloud.
Les conteneurs tirent parti d'une forme de virtualisation du système d'exploitation (OS) dans laquelle les fonctionnalités du noyau de l'OS (par exemple, les espaces de noms et les cgroups de Linux, les silos et les objets de travail de Windows) peuvent être utilisées pour isoler les processus et contrôler la quantité d'unité centrale, de mémoire et de disque à laquelle ces processus peuvent accéder.
Plus portables et économes en ressources que les machines virtuelles (MV), les conteneurs sont devenus les unités de calcul de facto des applications cloud natives modernes. De plus, les conteneurs sont essentiels à l’infrastructure informatique sous-jacente qui alimente les environnements multicloud hybrides, c’est-à-dire la combinaison d’un cloud sur site, d’un cloud privé, d’un cloud public et de plusieurs services cloud provenant de plusieurs fournisseurs de cloud.
Selon un rapport de Business Research Insights1, le marché mondial de la technologie de conteneurs était évalué à 496,4 millions de dollars en 2021 et devrait atteindre 3 123,42 millions de dollars d’ici 2031, avec un taux de croissance annuel composé (TCAC) de 19,8 %.
La modernisation stratégique des applications est une des clés d’une transformation réussie, qui peut permettre d’augmenter le chiffre d’affaires annuel et de réduire les coûts de maintenance et d’exploitation.
Abonnez-vous à la newsletter IBM
Pour mieux comprendre ce qu'est un conteneur il faut examiner en quoi il diffère d'une machine virtuelle (VM) traditionnelle, qui est une représentation virtuelle ou une émulation d'un ordinateur physique. Une VM est souvent appelée invitée, tandis que la machine physique sur laquelle elle s’exécute est appelée hôte.
La technologie de virtualisation rend les VM possibles. Un hyperviseur , une petite couche logicielle, alloue des ressources informatiques physiques (par exemple, des processeurs, de la mémoire, du stockage) à chaque VM. Il sépare chaque VM des autres afin qu’elles n’interfèrent pas les unes avec les autres. Chaque VM contient alors un système d'exploitation invité et une copie virtuelle du matériel dont le système d'exploitation a besoin pour fonctionner, ainsi qu'une application et ses bibliothèques et dépendances associées. VMware a été l'un des premiers à développer et à commercialiser une technologie de virtualisation basée sur des hyperviseurs.
Au lieu de virtualiser le matériel sous-jacent, la technologie des conteneurs virtualise le système d'exploitation (généralement Linux), de sorte que chaque conteneur ne contient que l'application, ses bibliothèques, ses fichiers de configuration et ses dépendances. L'absence du système d'exploitation invité explique pourquoi les conteneurs sont si légers et donc rapides et plus portables que les VM.
Les conteneurs et les machines virtuelles ne s’excluent pas mutuellement. Par exemple, une organisation peut tirer parti des deux technologies en exécutant des conteneurs dans des machines virtuelles pour accroître l'isolation et la sécurité et tirer parti des outils déjà installés pour l'automatisation, la sauvegarde et la surveillance.
Pour en savoir plus sur cette comparaison, consultez l’article « Conteneurs ou machines virtuelles : quelle est la différence ? » et regardez la vidéo :
Le principal avantage des conteneurs, notamment par rapport à une VM, est qu’ils offrent un niveau d’abstraction qui les rend légers et portables. Leurs principaux avantages sont les suivants :
Les conteneurs partagent le noyau du système d'exploitation de la machine, ce qui élimine le besoin d'une instance complète du système d'exploitation par application et rend les fichiers des conteneurs petits et peu gourmands en ressources. La petite taille d'un conteneur, en particulier par rapport à une machine virtuelle, signifie qu'il peut démarrer rapidement et mieux prendre en charge les applications cloud natives qui évoluent horizontalement.
Les conteneurs transportent toutes leurs dépendances avec eux, ce qui signifie que les logiciels peuvent être écrits une seule fois, puis exécutés sans avoir besoin d’être reconfigurés dans des environnements informatiques (par exemple, ordinateurs portables, cloud et sur site).
En raison de leur portabilité de déploiement et de leur cohérence entre les plateformes et de leur petite taille, les conteneurs sont parfaitement adaptés au développement moderne et aux modèles d'application, tels que DevOps, serverless et microservice, qui sont créés à l’aide d’un déploiement de code régulier par petits incréments.
Comme les VM, les conteneurs permettent aux développeurs et aux opérateurs d'améliorer l'utilisation du processeur et de la mémoire des machines physiques. Les conteneurs vont encore plus loin, car ils permettent une architecture de microservices afin que les composants d'application puissent être déployés et mis à l'échelle de manière plus granulaire. Il s’agit d’une alternative intéressante à la mise à l’échelle d’une application monolithique entière, car un seul composant a du mal à gérer sa charge.
Les conteneurs dépendent moins des ressources système, ce qui les rend plus rapides à gérer et à déployer que les machines virtuelles. Cette fonctionnalité permet d’économiser du temps et de l’argent sur le déploiement des applications et d’optimiser les délais de mise sur le marché.
Dans une enquête IBM, les développeurs et les responsables informatiques ont fait état de nombreux autres avantages liés aux conteneurs. Consultez le rapport complet : Les conteneurs dans l'entreprise.
Les conteneurs dépendent de la conteneurisation, c'est-à-dire de la mise en boîte du code logiciel avec seulement le système d'exploitation (OS) et ses variables d'environnement, ses fichiers de configuration, ses bibliothèques et ses dépendances logicielles.
Le résultat est une image de conteneur qui s’exécute sur une plateforme de conteneurs. Une image de conteneur représente des données binaires qui encapsulent une application et toutes ses dépendances logicielles.
La conteneurisation permet aux applications d’être « écrites une fois et exécutées n’importe où », assurant la portabilité, accélérant le processus de développement, empêchant l’enfermement propriétaire du cloud et plus encore.
La conteneurisation et l'isolation des processus existent depuis des décennies2. En 1979, le développement de chroot, qui fait partie du système d'exploitation Unix version 7, a marqué un tournant historique dans le développement des conteneurs. Chroot a introduit le concept d'isolation des processus en limitant l'accès aux fichiers d'une application à un répertoire spécifique (la racine) et à ses enfants (ou sous-processus).
Une autre étape importante a été franchie en 2008, lorsque les conteneurs Linux (LXC) ont été mis en œuvre dans le noyau Linux, permettant ainsi la virtualisation d'une seule instance de Linux. Au fil des ans, des technologies telles que les jails FreeBSD et les partitions de workload AIX ont offert une virtualisation similaire au niveau du système d'exploitation.
Alors que LXC reste un moteur d'exécution bien connu et qu'il fait partie de la distribution Linux et du projet neutre3, de nouvelles technologies du noyau Linux sont disponibles. Ubuntu, un système d’exploitation Linux moderne et open source, offre également cette capacité.
Regardez la vidéo pour en savoir plus sur la conteneurisation :
La plupart des développeurs considèrent l’année 2013 comme le début de l’ère des conteneurs modernes avec l’arrivée de Docker. Plateforme logicielle de conteneurisation open source fonctionnant comme une plateforme en tant que service (PaaS), Docker permet aux développeurs de créer, de déployer, d’exécuter, de mettre à jour et de gérer des conteneurs.
Docker utilise le noyau Linux (le composant de base du système d'exploitation) et les fonctionnalités de noyau (comme les Cgroups et les espaces de noms) pour séparer les processus afin qu'ils puissent s'exécuter indépendamment. Docker prend essentiellement une application et ses dépendances pour les transformer en un conteneur virtuel pouvant être exécuté sur n’importe quel système informatique Windows, macOS ou Linux.
Docker est basé sur une architecture client-serveur, Docker Engine servant de technologie sous-jacente. Docker fournit un modèle de déploiement basé sur des images, ce qui simplifie le partage des applications entre les environnements informatiques.
Pour éviter toute confusion, la plateforme de conteneurs Docker, qui a donné son nom, fait également référence à Docker, Inc.4, qui développe des outils de productivité construits autour de sa plateforme de conteneurisation open source et de l'écosystème et de la communauté open source Docker5.
En 2015, Docker et d'autres leaders du secteur des conteneurs ont créé The Open Container Initiative6 , qui fait partie de la Linux Foundation, une structure de gouvernance ouverte dans le but exprès de créer des normes industrielles ouvertes en matière de formats de conteneurs et d'environnements d'exécution.
Docker est l'outil de conteneurisation le plus utilisé, avec une part de marché de 82,84 %7.
L’exploitation de centaines de milliers de conteneurs sur un système peut devenir ingérable et nécessite une solution de gestion d’orchestration.
C’est là que l’ orchestration de conteneurs entre en jeu qui permet aux entreprises de gérer de gros volumes tout au long de leur cycle de vie, en fournissant :
- Provisionner
- Redondance
- Surveillance de la santé
- allocation des ressources
- Mise à l'échelle et équilibrage de charge
- Déplacement entre hôtes physiques
Alors qu’il existe d’autres plateformes d’orchestration de conteneurs (par exemple, Apache Mesos, Nomad, Docker Swarm), Kubernetes est devenu la norme du secteur.
L'architecture Kubernetes consiste à exécuter des clusters qui permettent aux conteneurs de fonctionner sur plusieurs machines et environnements. Chaque cluster se compose généralement de nœuds de travail, qui exécutent les applications conteneurisées, et de nœuds de plan de contrôle, qui contrôlent le cluster. Le plan de contrôle fait office d'orchestrateur du cluster Kubernetes. Il comprend plusieurs composants : le serveur API (gère toutes les interactions avec Kubernetes), le gestionnaire de contrôle (gère tous les processus de contrôle), le gestionnaire de contrôleurs cloud (l'interface avec l'API du fournisseur de cloud), etc. Les nœuds worker gèrent les conteneurs à l'aide de systèmes d'exécution de conteneurs tels que Docker. Les pods, les plus petites unités déployables d'un cluster, contiennent un ou plusieurs conteneurs d'applications et partagent des ressources, telles que des informations de stockage et de réseau.
Kubernetes permet aux développeurs et aux opérateurs de déclarer l’état souhaité de leur environnement global de conteneurs par le biais de fichiers YAML. Kubernetes effectue ensuite tout le travail de traitement nécessaire pour établir et maintenir cet état, avec des activités qui incluent le déploiement d'un nombre spécifié d'instances d'une application ou workload donnée, le redémarrage de cette application en cas d'échec, l'équilibrage de charge, la mise à l'échelle automatique, les déploiements sans temps d'arrêt, etc. L’orchestration de conteneurs avec Kubernetes est également cruciale pour l’intégration et la distribution continues (CI/CD) ou le pipeline DevOps , ce qui serait impossible sans automatisation.
En 2015, Google a fait don de Kubernetes à la Cloud Native Computing Foundation (CNCF)8, le hub open source indépendant des fournisseurs de l’informatique cloud native exploité sous les auspices de la Linux Foundation. Depuis, Kubernetes est devenu l’outil d’orchestration de conteneurs le plus utilisé pour l’exécution des workloads basés sur les conteneurs dans le monde entier. Dans un rapport9 de la CNCF, Kubernetes est le deuxième plus grand projet open source au monde (après Linux) et le principal outil d'orchestration de conteneurs pour 71 % des entreprises du Fortune 100.
Conteneurs en tant que service(CaaS) est un service de cloud computing permettant aux développeurs de gérer et de déployer des applications conteneurisées, offrant à des entreprises de toutes tailles la possibilité d’accéder à des solutions de cloud portables et facilement évolutives.
Le CaaS fournit une plateforme basée sur le cloud sur laquelle les utilisateurs peuvent rationaliser les processus de virtualisation et de gestion des conteneurs. Les fournisseurs de CaaS proposent une myriade de fonctionnalités, notamment (mais pas uniquement) des systèmes d'exécution de conteneurs, des couches d'orchestration et la gestion du stockage persistant.
Similaire à l'infrastructure en tant que service (IaaS), à la plateforme en tant que service (PaaS) et au logiciel en tant que service (SaaS), le conteneur en tant que service (CaaS) est disponible auprès des fournisseurs de services cloud (par exemple, AWS, Google Cloud Services, IBM Cloud, Microsoft Azure) via un modèle de paiement à l'utilisation, qui permet aux utilisateurs de ne payer que pour les services qu'ils utilisent.
Les organisations utilisent les conteneurs pour prendre en charge les éléments suivants :
Les conteneurs sont petits et légers, ce qui les rend parfaitement adaptés aux architectures de microservices, où les applications sont construites à partir de nombreux services plus petits couplés de manière souple et déployables indépendamment.
La combinaison de l'architecture de microservices et des conteneurs comme plateforme est un socle commun pour de nombreuses équipes de développement et d'exploitation qui adoptent les méthodologies DevOps. Par exemple, les conteneurs prennent en charge les pipelines DevOps, y compris la mise en œuvre de l'intégration continue et du déploiement continu (CI/CD).
Comme les conteneurs peuvent fonctionner de manière cohérente n’importe où (sur des ordinateurs portables, sur site et dans des environnements cloud), ils constituent une architecture sous-jacente idéale pour les scénarios de cloud hybride et multicloud dans lesquels les organisations opèrent sur un mélange de plusieurs clouds publics en combinaison avec leur propre centre de données.
L’une des approches les plus courantes de la modernisation des applications consiste à conteneuriser les applications en vue de leur migration vers le cloud.
La conteneurisation (c'est-à-dire les images Docker orchestrées avec Kubernetes) permet aux pipelines DevOps de déployer rapidement des applications d'intelligence artificielle (IA) et de machine learning (ML) dans des environnements d'informatique cloud.
Les conteneurs offrent également un moyen efficace de déployer et de gérer les grands modèles de langage (LLM) associés à l’IA générative, offrant portabilité et évolutivité lorsqu’ils sont utilisés avec des outils d’orchestration. De plus, les modifications apportées au LLM peuvent être rapidement regroupées dans une nouvelle image de conteneur, accélérant ainsi le développement et les tests.
Au-delà de Kubernetes, deux des projets les plus populaires dans l'écosystème des conteneurs sont Istio et Knative.
Comme les développeurs utilisent des conteneurs pour créer et exécuter des microservices, les préoccupations en matière de gestion vont au-delà des considérations relatives au cycle de vie des conteneurs individuels et concernent la manière dont un grand nombre de petits services (souvent appelés « maillage de service ») se connectent et sont reliés les uns aux autres. Istio a été créé pour permettre aux développeurs de gérer plus facilement les défis associés à la découverte, au trafic, à la surveillance, à la sécurité, etc.
Knative (prononcé « kay-native ») est une plateforme open source qui facilite l’accès à l’informatique sans serveur, le modèle de développement et d’exécution d’applications cloud computing qui permet aux développeurs de créer et d’exécuter du code d’application sans provisionner ni gérer de serveurs ou d’infrastructure back-end.
Au lieu de déployer une instance permanente de code qui reste inactive en attendant les demandes, l'approche sans serveur met en place le code en fonction des besoins. Elle l'augmente ou le réduit en fonction des fluctuations de la demande, puis le désactive lorsqu'il n'est pas utilisé. L'informatique sans serveur permet de ne pas gaspiller la capacité et l'énergie du système informatique et de réduire les coûts, car vous ne payez pour l'exécution du code que lorsqu'il est réellement en cours d'exécution.
Étant donné que les conteneurs jouent un rôle majeur dans le développement et le déploiement de logiciels dans les environnements cloud hybrides, les organisations doivent s'assurer que leurs workloads conteneurisés restent à l'abri des menaces de sécurité externes et internes.
Les conteneurs peuvent être déployés n'importe où, ce qui crée de nouvelles surfaces d'attaque autour de l'environnement basé sur les conteneurs. Les domaines de sécurité vulnérables incluent les images de conteneurs, les registres d'images, les environnements d'exécution de conteneurs, les plateformes d'orchestration de conteneurs et les systèmes d'exploitation hôtes.
Pour commencer, les entreprises doivent intégrer la sécurité des conteneurs dans leurs politiques de sécurité et leur stratégie globale. Ces stratégies doivent inclure les bonnes pratiques de sécurité ainsi que des outils logiciels de sécurité basés sur le cloud. Cette approche holistique doit être conçue pour protéger les applications conteneurisées et leur infrastructure sous-jacente tout au long du cycle de vie du conteneur.
Les bonnes pratiques de sécurité incluent une stratégie Zero Trust qui suppose que la sécurité d’un réseau complexe est toujours exposée au risque de menaces externes et internes. De plus, les conteneurs nécessitent une approche DevSecOps . Le DevSecOps est une pratique de développement d’applications qui automatise l’intégration des pratiques de sécurité à chaque phase du cycle de vie du développement logiciel, de la conception initiale à l’intégration, en passant par les tests, la livraison et le déploiement.
Les organisations doivent également tirer parti des bons outils de sécurité des conteneurs pour atténuer les risques. Les solutions de sécurité automatisées comprennent la gestion des configurations, le contrôle d'accès, l'analyse des logiciels malveillants ou des cyberattaques, la segmentation du réseau, la surveillance, etc.
De plus, des outils logiciels sont disponibles pour garantir que les workloads conteneurisées respectent les normes de conformité et réglementaires telles que le RGPD, la loi HIPAA, etc.
Red Hat OpenShift on IBM Cloud utilise OpenShift dans des environnements publics et hybrides pour garantir vitesse, réactivité, évolutivité, fiabilité vis-à-vis du marché.
Qu'il s'agisse de déploiement, de construction de nouvelles applications cloud natives, de refonte ou de replatforming d'applications existantes, Cloud Pak for Applications (CP4Apps) a tout ce qu’il vous faut.
Avec IBM Cloud Satellite, vous pouvez lancer des services cloud cohérents où vous le souhaitez : sur site, en périphérie (edge) et dans des environnements de cloud public.
Exécutez des images de conteneurs, des tâches par lots ou du code source en tant que charges de travail sans serveur, sans avoir à dimensionner, déployer, mettre en réseau ou mettre à l'échelle.
IBM Cloud Container Registry vous offre un registre privé qui vous permet de gérer vos images et de les surveiller en cas de problèmes de sécurité.
Ce logiciel identifie automatiquement les bonnes actions d’allocation des ressources et le moment où elles doivent être réalisées pour que vos environnements Kubernetes et les applications vitales de votre entreprise obtiennent exactement ce dont ils ont besoin pour respecter vos SLO.
Le logiciel Fusion fonctionne partout où Red Hat OpenShift est exécuté : sur le cloud public, sur site, sur les serveurs bare metal et sur les machines virtuelles. Fusion offre un moyen simple de déployer des applications Red Hat OpenShift et IBM Watsonx.
Une nouvelle étude d’IBM décortique l’essor fulgurant des conteneurs et de Kubernetes.
L’orchestration de conteneurs, qui permet de créer et de gérer des charges de travail à partir de n’importe quel endroit, joue un rôle essentiel dans les stratégies de cloud hybride ouvert.
Docker est une plateforme open source permettant de créer, de déployer et de gérer des applications conteneurisées.
La conteneurisation joue un rôle crucial dans le développement d'applications modernes. Dans cette vidéo, Chris Rosen présente quatre cas d'utilisation pour le développement de logiciels et les opérations informatiques afin de vous aider à maximiser les performances et la disponibilité, à minimiser les coûts, à rester agile et à respecter la conformité.
Kubernetes, aussi connu sous le nom de k8s ou kube, est une plateforme d’orchestration de conteneurs open source permettant de planifier et d’automatiser le déploiement, la gestion et mise à l’échelle d’applications conteneurisées.
L’équilibrage de charge correspond au processus consistant à répartir efficacement le trafic réseau entre plusieurs serveurs afin d’optimiser la disponibilité des applications et de garantir une expérience positive à l’utilisateur final.
Notes de bas de page
Tous les liens sont externes au site ibm.com
1 Container Technology Market Size, Share, Growth, And Industry Analysis, By Type (Docker, Rkt, CRI-O, & Others), By Application (Monitoring, Data Management, Security, & Others), Regional Insights, and Forecast From 2024 To 2031, Business Research Insights, février 2024.
2 A Brief History of Containers: From the 1970s Till Now, Aqua, 10 janvier 2020.
3 https://linuxcontainers.org/
4 À propos de Docker, Docker.
5 Open Source Projects, Docker.
7 Top 5 containerization technologies in 2024, 6sense.
8 Cloud Native Computing Foundation
9 Kubernetes Project Journey Report, CNCF, 8 juin 2023.