fondations et lobbies, participation aux conférences les plus en vogues, saturation de l’actualité geek avec des annonces permanentes, billets de blog et tweets assassins, refus de pull requests, distribution de tee-shirts à baleine bleue et autres concours du plus grand nombre de stickers sur les MacBooks des développeurs.
Jusque là nous étions restés dans une guerre propre. C’était sans compter sur la “Rocket” que Google et CoreOS ont lancé pour essayer de torpiller le porte-conteneurs Docker. Cette initiative avait pour vocation de proposer un standard de conteneurisation alternatif en dehors du périmètre d'influence de Docker Inc.
« Le flinguer comme ça de sang froid, sans être tout à fait de l’assassinat, y'aurait quand même comme un cousinage ! »
Michel Audiard (Ne nous fâchons pas – 1966)
Docker Inc arrive sur le marché de l’orchestration avec une légitimité toute naturelle : ce sont eux qui ont proposé le concept disruptif et crédible du conteneur. Cette vision est en ligne avec les paradigmes les plus swags du moment (DevOps, intégration et déploiement en continu, cattle vs. pet, rebuild vs upgrade) et a connu, à juste titre, une explosion de popularité auprès des développeurs in. Il serait donc naturel de croire que Docker Inc va avoir une approche tout aussi efficace pour gérer tout un écosystème de conteneurs jusqu’à la prod. La stack UCP (Universal Control Plane) se fait clairement l’écho de cette ambition.
Google d’un autre côté a habilement saisi au vol la manne céleste du conteneur et peut se targuer d’avoir l’expérience de la gestion de centaines de milliers de ces petites boites en production (sur une technologie interne, antérieure à Docker : Borg), et ce depuis plus de 10 ans. On peut être enclin à les croire quand ils annoncent que Kubernetes est en fait un concentré de ce savoir-faire, expressément réécrit pour Docker.
Difficile de prédire l’avenir dans notre métier, puisque les roadmaps annoncées sont à prendre avec des pincettes. Pourtant, notre expérience accumulée depuis plusieurs mois nous permet de faire aujourd’hui une préconisation assez tranchée : si vous devez vous lancer aujourd'hui, partez sur Kubernetes.
C’est à notre sens la stack technologique la plus mature et prometteuse pour un projet de CaaS en production.
Kubernetes offre les fonctions natives que l’on peut être en droit d’attendre d’un gestionnaire de clusters en production. Citons en particulier le self-healing, un orchestrateur capable de réagir à des changements de topologie des nœuds, notamment le crash, ce qui n’est pas (encore) le cas dans Swarm (la version 1.1 de Swarm sortie en même temps que Docker 1.10 le propose uniquement en expérimental).
Citons également la gestion native des secrets, des comptes de services, des namespaces, des autorisations, le load-balancing, l’autoscaling de conteneurs (en version ß), bref nous voilà en face d’une solution presque complète.
Pour mesurer tout le potentiel de Kubernetes, c’est du côté de RedHat qu’il faut porter le regard, en particulier sur OpenShift Origin.
L’éditeur a pris clairement position dans la bataille au côté de Google et CoreOS en prenant une certaine distance vis-à-vis de Docker Inc qui rend coup pour coup.
En faisant le pari de bâtir sa nouvelle mouture d’OpenShift v3 sur Kubernetes, RedHat propose un trait d’union entre le CaaS et le PaaS. On se trouve donc en face d’une solution hybride, capable de proposer simultanément les 2 étages de la fusée :
C’est principalement dans l’approche et les paradigmes de Kubernetes que l’on mesure l’avance par rapport à Swarm.
Google a directement pensé Kubernetes (ou k8s pour les intimes) pour répondre à des problématiques de production, là où Swarm et Docker ajouteront progressivement des fonctions pourtant majeures :
Docker Swarm et Kubernetes s’opposent également dans leur philosophie :
Installer une stack Kubernetes complète sur son poste de développement est peut-être trop fastidieux pour un développeur, qui, finalement, pourrait se satisfaire des fonctionnalités de Swarm.
Kubernetes propose un modèle de description des applications autour de 4 concepts majeurs : la mécanique de Labels/Selectors, les Services, les Pods et les ReplicationControllers. À partir d’idées unitairement simples, il devient possible de gérer facilement :
Ces notions sont moins simples à appréhender que celles de Docker Compose mais montrent également bien plus de potentiel et de puissance. Nous pensons que plus nous nous rapprochons des vraies contraintes de la production plus les capacités offertes par ces concepts deviennent nécessaires (scalabilité, résilience et sécurité).
«- Faut reconnaître... C'est du brutal.
- Vous avez raison, c'est curieux hein
- J'ai connu une polonaise qui en prenait au petit-déjeuner.»
Michel Audiard (Les Tontons flingueurs – 1963)
Docker a fait un choix discutable en misant sur Fig (qui deviendra plus tard Docker Compose). Ce choix tactique est à ce jour un caillou dans la chaussure de Docker Inc. Il manque certains concepts dans le format v1 de Docker Compose et l’arrivée du format 2.0 a été un passage obligé pour apporter plus de subtilité au prix d’une migration laborieuse. Le mot-clé services: en est la matérialisation. Mais la route est encore longue et s’annonce périlleuse. À ce jour la notion de service de Compose n’apporte pas les fonctions de load-balancing des services natives à Kubernetes. On regrette également qu’il ne soit pas possible de préciser le nombre absolu de copies des conteneurs à faire tourner dans Swarm...
Il serait naïf de penser que tout est parfait dans le monde merveilleux de Kubernetes et que Swarm n’est qu’une pale tentative vouée à l’échec. Dans la réalité, les choses sont bien entendu plus nuancées.
Côté poste de développement, nous l’avons évoqué, faire du Docker Machine + Docker Engine + Docker Compose est plus naturel à utiliser que Kubernetes. kmachine vient en partie réduire la complexité de déploiement de k8s en montant une instance locale mono-nœud à moindre frais. Cela ne dispense cependant pas de connaître et de manipuler les concepts de Kubernetes.
D’un autre côté, penser qu’un fichier Docker Compose utilisé en développement va directement pouvoir passer en production est illusoire. L’utilisation de networks de type overlay, de volumes externes sont autant de subtilités qui ne sont pas a priori un sujet de préoccupation en phase de développement et qu’il faudra pourtant bien adresser même dans le monde de Docker Inc.
L’approche multi-réseaux applicatifs est un point fort de Swarm/Docker, et Kubernetes ne peut pas rivaliser aujourd’hui avec ce niveau de segmentation. Nous sommes à la KubeCon 2016 avec beaucoup d’attentes sur ce sujet précis.
Côté stockage, l’approche à base de PersistentVolume / PersistentVolumeClaim de Kubernetes ne nous a pas totalement séduits. Là aussi, le modèle n’est pas encore abouti. Certaines promesses de la future version 1.2 de Kubernetes pourraient améliorer les choses, mais gardons-nous de nous réjouir prématurément.
Il reste des domaines sur lesquels nos belligérants se rejoignent tristement et doivent faire preuve d’une nette amélioration : la gestion des logs, la supervision et l’administration du cluster. Les solutions proposées sont aujourd’hui encore bien lourdes à mettre en œuvre et à intégrer au reste du SI.
Comme dans la plupart des projets OpenSource, la sélection naturelle va faire son œuvre, mais elle laisse pour l’instant un goût très amer.
« Patricia, mon petit, je ne voudrais pas te paraître vieux jeux et encore moins grossier... L'homme de la pampa parfois rude, reste toujours courtois... Mais la vérité m'oblige à te le dire : Ton Antoine commence à me les briser menu ! »
Michel Audiard (Les Tontons flingueurs – 1963)
Bien que la guerre soit loin d’être terminée, notre recommandation pour Kubernetes ne fait pas de doute.
Swarm manque actuellement de fonctions majeures pour pouvoir prétendre à rattraper son retard : un orchestrateur complet, une gestion des pools de conteneurs, le load-balancing natif, le multi-tenant...
De son côté Kubernetes a encore du chemin à parcourir pour tenir pleinement sa promesse : le cloisonnement réseau et la gestion des stockages persistants sont à améliorer profondément.
En définitive, nous nous demandons si ce conflit des orchestrateurs ne va pas avoir un impact collatéral sur le standard des conteneurs lui-même, et de fait pénaliser les utilisateurs. Que va-t-il advenir du rêve d’un standard partagé dans cette belle fondation qu’est l’Open Container Initiative ?
Pendant ce temps, d’autres projets sont également dans nos radars et font l’objet d’une surveillance constante : Rancher (pour sa simplicité et sa vision cross-cloud) et Nomad d’HashiCorp (pour son paradigme Datacenter Aware).
Pour aller plus loin, notre formation Docker aborde une grande partie des ces sujets.