DockerCon 2017 : retour sur les annonces

“Everything's bigger in Texas”

Cette année, c’est à Austin, la capitale du Texas et le pays du BBQ, que se tenait du 17 au 20 avril la grand-messe de la marque à la baleine : la DockerCon. Et comme tout est plus grand au Texas, Docker avait concocté un ambitieux programme réunissant quelques 5500 participants autour de 125 sessions.

Au menu de cette édition 2017, Docker a levé le voile sur les annonces suivantes :

Jour 1 : tourné vers les produits communautaires

●      “Multi-stage builds” : avec comme objectif d’avoir des images plus petites

●      LinuxKit : un système d’exploitation minimaliste pour héberger des containers

●      Hyper-V pour linux : l’hyperviseur de Microsoft supporte désormais de l’isolation pour des containers Linux

●      Moby Project : possibilité donnée aux développeurs de créer leur propre plateforme de containers (cette annonce est détaillée dans la suite de l’article)

Jour 2  : tourné vers les produits entreprise

●      Partenariat avec Oracle : Oracle est dorénavant disponible dans le Docker Store !

●      Modernize Traditional Applications (MTA) Program : pour permettre aux entreprises de porter leurs applications traditionnelles vers des containers

Décryptage des grandes tendances de cette édition

Le projet Moby

Avec l’annonce du projet Moby, Docker offre un framework pour construire et assembler sa propre plateforme de container : moteur de conteneurisation, système de logging, networking, orchestration. Il devient ainsi possible de remplacer chacun des composants de l’architecture de référence par celui de son choix :

Source : containerd.io

Docker CE sera désormais un assemblage de référence basé sur une version de Moby. Le Github historique du projet Docker (github.com/docker/docker) redirige dorénavant ses utilisateurs vers celui du projet Moby (github.com/moby/moby).

Depuis sa version 1.12, Docker intégrait Swarm directement dans le moteur. Cela avait été décrié par la communauté et perçu comme une volonté de Docker d’imposer son orchestrateur. Avec Moby, Docker vient donc donner la possibilité de construire sa propre distribution avec d’autre composants. Pour illustrer cela lors de sa Keynote, Docker a fait une démonstration de Moby utilisant Kubernetes comme moteur d’orchestration !

Docker à l’assaut des applications Legacy

C’est un mouvement de fond qu’opère Docker avec la volonté de se tourner vers les applications traditionnelles, et ceci avec plusieurs annonces. Cette tendance est expliquée par Ben GOLUB, CEO de Docker, pour qui le bi-modal IT est un non-sens : toutes les applications doivent avoir des cycles de vie courts.

Docker travaille donc avec les éditeurs historiques pour porter les applications traditionnelles dans des containers de façon sécurisées et rapides. Le Modernize Traditional Applications (MTA) Program s’inscrit dans cette optique. Ce programme ancre des partenariats avec Microsoft, Cisco, Avanade et HP.

Dans cette mouvance :

  • Oracle a annoncé la mise à disposition de ses produits dans le Docker Store.
  • Microsoft supporte maintenant l’isolation de container Linux sur Hyper-V.
  • IBM offre dorénavant la capacité de faire tourner des containers dans Docker Enterprise Edition sous IBM z Systems, LinuxONE and Power Systems.
  • Et enfin, il est possible de convertir une image de machine virtuelle VMWare du format VMDK vers une image Docker (Dockerfile).

En synthèse, Docker souhaite donner la capacité d’accueillir les applications traditionnelles sur sa plateforme, tout en conservant les promesses de cette dernière.

Docker rassure sur la sécurité

Autre grande tendance de fond de cette édition : l’importance accordée aux sujets de sécurité. Pas moins de 18 sessions ont abordé ce thème. On retiendra en particulier les 3 suivantes :

  • Securing Containers, One Patch at a Time. Michael Crosby, ingénieur chez Docker, a expliqué le processus appliqué par l’entreprise en réaction aux vulnérabilités. Il a illustré ce dernier par l’étude de cas d’une vulnérabilité critique permettant de prendre la main en root sur l’host depuis un container (CVE-2016-9962).
  • Securing the Software Supply Chain with TUF and Docker. Justin Cappos et Santiago Torres-Arias sont chercheurs à l’université de New York. Ils ont présenté leur travail sur le protocole The Update Framework (TUF) permettant de sécuriser encore d’avantage l’intégrité de la distribution de packages logiciels. Ce protocole est utilisé pour signer les images Docker avec Notary.
  • What Have Namespaces Done For You Lately? Liz Rice est ingénieur en sécurité pour Aqua Security. En à peine 40 minutes, cette dernière a développé en Go un moteur de conteneurisation basé sur les mécanismes d’isolation natifs au kernel : les Namespaces et les Cgroups.

Docker a donc cherché lors de cette conférence à rassurer sur la sécurité, comme pour répondre à une préoccupation du marché ?

Du côté de l’écosystème

La DockerCon est aussi l’occasion d’avoir un bon aperçu de l’écosystème gravitant autour des containers dans un hall d’exposition regroupant plusieurs dizaines de sociétés (startups, cloud providers et éditeurs).

Beaucoup de startups proposant des offres autour du monitoring étaient présentes. Cette tendance du marché répond à un besoin croissant d’avoir de la visibilité sur son cluster (là où la version communautaire de Docker ne répond pas au besoin). Cette prolifération des acteurs laisse présager d’une future consolidation du marché du monitoring de container.

Les éditeurs historiques étaient aussi largement représentés : IBM, VMware, Oracle, Citrix, Microsoft … Cette présence illustre la volonté de ces entreprises de se positionner sur le marché de la conteneurisation en accompagnant le client dans la migration de leurs applications traditionnelles.

En conclusion, cette conférence a été l’occasion pour Docker de faire des annonces structurantes sur son futur. Le projet Moby repositionne Docker comme un assembleur de composants permettant de construire une plateforme de containers.

Docker a aussi cherché à étendre son influence dans les grandes entreprises grâce à des partenariats avec les éditeurs traditionnels. Le message est limpide : Docker ne se limite plus aux applications micro-services !