Cosa sono i contenitori?

Il risultato è un'immagine container che viene eseguita su una piattaforma container. Un'immagine container rappresenta dati binari che incapsulano un'applicazione e tutte le sue dipendenze software.

La containerizzazione consente alle applicazioni di essere "scritte una volta ed eseguite ovunque", garantendo portabilità, accelerando il processo di sviluppo, impedendo il blocco da fornitore cloud e altro ancora. 

La containerizzazione e l'isolamento dei processi sono esistiti per decenni². Nel 1979 si è verificato un momento storico nello sviluppo di container con lo sviluppo di chroot, parte del sistema operativo Unix versione 7. Chroot ha introdotto il concetto di isolamento dei processi limitando l'accesso ai file di un'applicazione a una directory specifica (root) e alle sue directory secondarie (o sottoprocessi).

Un'altra pietra miliare significativa si è verificata nel 2008, quando i container Linux (LXC) sono stati implementati nel kernel Linux, abilitando completamente la virtualizzazione per una singola istanza di Linux. Negli anni, tecnologie come FreeBSD jails e AIX Workload Partitions hanno offerto una virtualizzazione analoga a livello di sistema operativo.

Anche se LXC rimane un runtime noto e fa parte della distribuzione Linux e di un progetto indipendente dal fornitore³, sono disponibili tecnologie del kernel Linux più recenti. Ubuntu, un moderno sistema operativo Linux open source, offre anche questa funzionalità.

Guarda il video per saperne di più sulla containerizzazione:

La maggior parte degli sviluppatori ritiene che il 2013 segni l'inizio dell'era moderna dei container con l'introduzione di Docker. Una piattaforma software di containerizzazione open source che funge da platform as a service (PaaS), Docker consente agli sviluppatori di creare, distribuire, eseguire, aggiornare e gestire i container.

Docker utilizza il kernel Linux (il componente base del sistema operativo) e le funzioni del kernel (come i gruppi e i namespace) per separare i processi in modo che possano essere eseguiti in modo indipendente. Docker fondamentalmente prende un'applicazione e le sue dipendenze e le trasforma in un container virtuale che può essere eseguito su qualsiasi sistema informatico Windows, macOS o Linux.

Docker si basa su un'architettura client-server, con Docker Engine che ha funzione di tecnologia sottostante. Docker offre un modello di distribuzione basato su immagini, semplificando la condivisione delle app tra ambienti di elaborazione.

Per evitare qualsiasi tipo di confusione, l'omonima piattaforma container Docker si riferisce anche a Docker, Inc.⁴, che sviluppa strumenti per la produttività basati sulla sua piattaforma di containerizzazione open source e sull'ecosistema open source Docker e la community⁵.

Nel 2015, Docker e altri leader nel settore dei container hanno istituito The Open Container Initiative⁶ , parte della Linux Foundation, una struttura di governance aperta con il preciso scopo di creare standard di settore aperti sui  formati di container e sugli ambienti di runtime.

Docker è lo strumento di containerizzazione più utilizzato, con una quota di mercato pariall'82,84%7.

La gestione di centinaia di migliaia di container in un sistema può diventare ingestibile e richiede una soluzione di gestione dell'orchestrazione.

È qui che entra in gioco l'orchestrazione dei container, che consente alle aziende di gestire grandi volumi nel loro stile di vita, grazie ai seguenti strumenti: 

• Provisioning
• Ridondanza
• Monitoraggio dello stato di salute
• assegnazione delle risorse
• Scalabilità e bilanciamento del carico
• Spostamento tra host fisici

Anche se esistono altre piattaforme di orchestrazione dei container (ad esempio Apache Mesos, Nomad, Docker Swarm), Kubernetes è diventato lo standard del settore.

L'architettura Kubernetes è costituita da cluster in esecuzione che consentono l'esecuzione di container su più computer e ambienti. Ogni cluster è in genere costituito da nodi di lavoro, che eseguono le applicazioni containerizzate e da nodi del piano di controllo, che controllano il cluster. Il piano di controllo ha funzione di orchestratore del cluster Kubernetes. Include diversi componenti: il server API (gestisce tutte le interazioni con Kubernetes), il Control Manager (gestisce tutti i processi di controllo), il Cloud Controller Manager (l'interfaccia con l'API del provider di cloud) e così via. I nodi di lavoro eseguono i container utilizzando runtime dei container come Docker. I pod, le unità implementabili più piccole in un cluster, contengono uno o più container di app e condividono risorse, ad esempio informazioni di storage e rete.

Kubernetes consente agli sviluppatori e agli operatori di dichiarare lo stato desiderato del proprio ambiente container complessivo attraverso file YAML. Kubernetes svolge quindi tutto il lavoro di elaborazione per stabilire e mantenere quello stato, con attività che includono l'implementazione di un determinato numero di istanze di una determinata applicazione o workload, il riavvio dell'applicazione in caso di mancato funzionamento, il bilanciamento del carico, l'autoscaling, le implementazioni dei tempi di inattività azzerati e altro ancora. Anche l'orchestrazione dei container con Kubernetes è fondamentale per l'integrazione costante e la fornitura costante (CI/CD) o la pipeline DevOps, che sarebbe impossibile senza l'automazione.

Nel 2015, Google ha donato Kubernetes alla Cloud Native Computing Foundation (CNCF⁾⁸, l'hub open-source e vendor-neutral del cloud-native computing gestito col supporto della Linux Foundation. Da allora Kubernetes è diventato lo strumento di orchestrazione dei container più utilizzato in tutto il mondo per eseguire workload basati su container. In un report CNCF⁹, Kubernetes è il secondo progetto open-source più grande del mondo (dopo Linux) e lo strumento primario di orchestrazione dei container per il 71% delle aziende Fortune 100. 

Container as a Service (CaaS) è un servizio di cloud computing che consente agli sviluppatori di gestire e distribuire applicazioni containerizzate. Offre alle aziende di tutte le dimensioni l'accesso a soluzioni cloud portatili e facilmente scalabili.

Il CaaS fornisce una piattaforma basata su cloud in cui gli utenti possono semplificare i processi di virtualizzazione basata sui container e la gestione dei container stessi. I provider CaaS offrono una miriade di funzionalità, tra cui, a titolo esemplificativo ma non esaustivo, i runtime dei container, i livelli di orchestrazione e la gestione dello storage persistente.

Analogamente all'Infrastructure as a Service (IaaS), alla Platform as a Service (PaaS) e al Software as a Service (SaaS), il CaaS è disponibile presso i provider di cloud service (ad esempio AWS, Google Cloud Services, IBM Cloud, Microsoft Azure) attraverso un modello di determinazione dei prezzi pay-as-you-go, che consente agli utenti di pagare solo per i servizi che effettivamente utilizzano.

Dal momento che gli sviluppatori utilizzano i container per creare ed eseguire microservizi, i problemi di gestione vanno oltre le considerazioni relative al ciclo di vita dei singoli container e nei modi in cui un gran numero di piccoli servizi, spesso definiti "service mesh", si connettono e si relazionano tra loro. Istio consente agli sviluppatori di gestire più facilmente le problematiche associate a rilevamento, traffico, monitoraggio, sicurezza e altro ancora.

Knative (si pronuncia ‘kay-native') è una piattaforma open source che fornisce una facile soluzione di serverless computing, il modello di sviluppo ed esecuzione di applicazioni di cloud computing che consente agli sviluppatori di creare ed eseguire codice applicativo senza provisioning o gestione di server o infrastrutture di backend.

 Anziché distribuire un'istanza continua di codice che rimane inattiva in attesa di richieste, il serverless apre il codice secondo le necessità, lo ridimensiona o diminuisce in base alle fluttuazioni della domanda, e poi lo elimina quando non viene utilizzato. Serverless evita lo spreco di capacità e potenza di elaborazione e riduce i costi perché si paga solo per eseguire il codice quando è effettivamente in esecuzione.

I container possono essere distribuiti ovunque, creando nuove superfici di attacco che circondano l'ambiente basato su container. Le aree di sicurezza vulnerabili includono immagini dei container, registri di immagini, runtime di container, piattaforme di orchestrazione dei contenitori e sistemi operativi host.

Per iniziare, le aziende devono integrare la sicurezza dei container nelle loro policy di sicurezza e nella strategia generale. Tali strategie devono includere le best practice di sicurezza insieme a strumenti software di sicurezza basati su cloud. Questo approccio olistico deve essere progettato in modo che protegga le applicazioni containerizzate e la loro infrastruttura sottostante lungo l'intero ciclo di vita del container.

Le best practice di sicurezza includono una strategia zero-trust basata sul presupporto che la sicurezza di una rete complessa sia sempre a rischio di minacce esterne e interne. Inoltre, i container richiedono un approccio DevSecOps. DevSecOps è una pratica di sviluppo delle applicazioni che automatizza l'integrazione delle pratiche di sicurezza in ogni fase del ciclo di vita dello sviluppo software, dalla progettazione iniziale all'integrazione, al test, alla consegna e alla distribuzione.

Le organizzazioni devono anche utilizzare i giusti strumenti di sicurezza dei container per mitigare i rischi. Le soluzioni automatizzate per la sicurezza includono la gestione della configurazione, il controllo degli accessi, la scansione di malware o attacchi informatici, la segmentazione della rete, il monitoraggio e altro ancora. 

Inoltre, sono disponibili strumenti software per garantire che i workload containerizzati rispettino gli standard normativi e di conformità come GDPR, HIPAA, ecc.