Revue de presse de février

Du nouveau chez Amazon Web Services

Scheduled Reserved Instances

Amazon a officiellement lancé une nouvelle offre d’instances réservées venant enrichir l’existant. Pour rappel, les instances réservées permettent d’obtenir une baisse de tarif horaire des instances (jusqu’à 75% ) en contrepartie d’un engagement à long terme entre 1 et 3 ans sur l’utilisation de ces ressources. Avec cette solution, l’hébergeur propose de sortir du modèle de tarification On-Demand et donc de payer à prix fixe les instances réservées. Outre la baisse de coût en comparaison de la tarification par défaut, Amazon garantit aussi la disponibilité des instances réservées là où, en fonctionnement On-Demand, l’utilisateur peut se voir refuser l’allocation de ressources pour cause de limite de capacité notamment.

Avec la nouvelle offre Scheduled, nous bénéficions de plus de flexibilité en appliquant une tarification plus avantageuse pour des tâches périodiques.  

Il faut tout d’abord définir la planification ou “Schedule” en fournissant la tranche horaire (heure de début, durée 4h minimum) et la récurrence (quotidienne, hebdomadaire ou mensuelle). Il faudra aussi bien sûr définir l’OS cible (Windows/Linux), le type d’instance souhaité et la zone si nécessaire. La console peut alors vous indiquer les réservations disponibles qui correspondent à votre demande.

Pour plus d’information sur le sujet :

Certificate Manager

Dans le sillage de letsencrypt, Amazon a lancé son offre de gestion et émission de certificats SSL/TLS. Avec ce nouvel outil, il est simple de faire une demande de certificat directement auprès d’Amazon pour un domaine ou sous-domaine avec la possibilité d’utiliser un joker pour protéger un ensemble de sous-domaines (wildcard certificate) ou de noms du domaine. Parmi les points forts que nous retiendrons :

  • Gratuité du service
  • Gestion automatique du renouvellement des certificats arrivant à expiration
  • Association facile aux services Elastic Load Balancer et Cloud Front

Notez toutefois qu’il ne sera pas possible de récupérer ledit certificat une fois émis. Vous ne pourrez donc pas utiliser le certificate manager pour gérer des sites gérés en dehors d’AWS. D’autre part, le service ne supporte aujourd’hui que les Load Balancer et Cloud Front. Amazon prévoit d’étendre cette offre à d’autres services dans le futur, sans annoncer de date ni de services en vue.

Pour plus d’information sur le sujet :

EC2 Resource IDs

Pour accompagner la croissance du nombre de ressources gérées par AWS EC2, les formats des identifiants passeront à 17 caractères en décembre 2016. Pour faciliter la transition, vous pouvez, depuis le mois de janvier dernier, activer le nouveau format d’identifiant pour les instances et réservations. La période de transition des volumes et instantanés commencera quant à elle en avril. À partir du mois de décembre 2016, tous les nouveaux identifiants reposeront sur le nouveau format.

Pensez donc à préparer la transition sur vos infrastructures rapidement pour éviter les mauvaises surprises tardives.

Pour plus d’information sur le sujet :

Google Cloud Platform

Nouveaux quotas de disques

Dans sa quête de performance, Google a annoncé l’augmentation de ses limites de disques pour l’ensemble des instances Compute Engine. La taille maximale des volumes persistants est maintenant de 64TB contre 10TB précédemment. L’autre bonne nouvelle étant qu’un seul disque peut atteindre la limite des 64TB évitant ainsi une gestion complexe des montages de disque en RAID 0 par exemple. Pour les disques locaux SSD vous pouvez désormais atteindre la limite des 3TB répartis sur 8 disques de 375GB chacun.

Pour plus d’informations sur le sujet :

Rapprochement RedHat OpenShift Dedicated

Google et RedHat ont annoncé l’intégration de l’offre Openshift Dedicated sur la Cloud Platform. Cette offre déjà proposée par RedHat depuis décembre 2015 sur AWS sera donc portée sur Google. À terme, les clients pourront sans doute choisir entre Amazon et Google. De son côté, Google compte bien y ajouter l’intégration de ses offres BigData, Analytics et Storage.

L’objectif annoncé est de faciliter l’accès des entreprises aux technologies de type conteneur. Dans les faits, cette annonce démontre la percée de Google dans la sphère des hébergeurs Cloud et lui permet de s’afficher au même niveau qu’Amazon.

Pour plus d’information sur le sujet:

Serverless

Un peu plus de deux ans après son rachat par Facebook, parse.com annonce la fin de son service pour janvier 2017. Pour rappel, cette plate-forme se présentait comme une solution serverless, c’est-à-dire présentant une forte abstraction des couches sous-jacentes (instances, réseaux) pour la réalisation de plate-forme et en l’occurrence mobile. Il était très souvent comparé au système Lambda d’AWS qui lui aussi propose une perspective serverless. Un article intéressant exposait les bénéfices de la migration d’Instagram depuis une infrastructure traditionnelle IaaS AWS vers AWS Lambda et son pendant intégralement hébergé sur Parse. Doté d’une saveur différente suite à cette annonce, le sujet de la stratégie derrière les architectures serverless reste toujours autant d’actualité.

On notera avec une pointe d’ironie que Parse était initialement hébergé chez AWS.

Pour ce qui est des concurrents, ils sont nombreux à proposer des recommandations afin de mener une migration sur leur plate-forme, logique :

Docker

Docker Engine version 1.10

Sortie tout récemment, la dernière version de Docker arrive avec de nombreuses améliorations. Le grand thème de cette release est la sécurité. Il est maintenant possible de fournir des profils de sécurité pour limiter les syscall autorisés à sortir d’un conteneur. Un nouveau système de plugins d’autorisation permet également de limiter les accès aux API du démon Docker, utilisateur par utilisateur. Autres améliorations notables, la possibilité de créer des réseaux multi-hosts, ou d’injecter des DNS resolvers dans vos containers plutôt que de tout baser sur /etc/hosts.

Pour plus d’information sur le sujet :

Rachat de Unikernel Systems

La société Unikernel Systems fait maintenant partie intégrante de Docker. Pour mémoire, les projets unikernel visent à compiler vos applications en images de systèmes d’exploitation taillés sur mesure, de façon à diminuer au maximum les frictions entre vos applications et les ressources sous-jacentes (hardware ou hyperviseur). Unikernel Systems est notamment à l’origine de unikernel.org, qui regroupe sous une même bannière une dizaine de projets open-source basés sur cette approche. De là à envisager que ce mariage donne naissance à des outils pour lancer directement des conteneurs Docker sur du hardware ou des hyperviseurs, il n’y a qu’un pas. Wait and see…

Pour plus d’information sur le sujet :

Unikernel n’est pas fait pour la production

Bryan Cantrill, le CTO de Joyent, avait fait des remous sur Twitter en demandant à ses abonnés s’il fallait ou non qu’il écrive un billet sur les raisons qui le poussent à croire que les design unikernel ne sont pas taillés pour la production. Ses abonnés l’ont réclamé, il a donc tenu parole. Il nous livre sur le blog de Joyent un billet argumenté sur les points forts mais aussi et surtout les faiblesses du design unikernel. Après une rapide définition histoire de remettre le débat en contexte, il explique notamment pourquoi les applications unikernels sont impossible à débugger : ne gérant pas de muti-processing et n’ayant pas d’outillage système autour de votre application, impossible de faire tourner des basiques tels quel netstat, tcpdump, voire même ping…

Source :

CoreOS Rkt est prêt pour la production

Après 15 mois de développement intensif, la société CoreOS a annoncé la release 1.0 de Rkt (prononcez rocket [ˈrɒkɪt]), sa solution de conteneur léger. Rkt est donc désormais considéré comme prêt pour la production par son éditeur.  Rappelons l’annonce publiée en décembre 2014 sur le blog de CoreOS du lancement de ce nouveau projet. Pour Alex Polvi (CEO de CoreOS), un conteneur se doit d’être un composant simple et réutilisable embrassant la philosophie des outils UNIX.  Dans les faits, Docker fournit maintenant une plate-forme complète pour construire, exécuter, distribuer, mettre en réseau et clusteriser des conteneurs, le tout géré par un seul binaire monolithique exécuté en tant que root.

A contrario, l’approche de Rkt permet d’exécuter chaque conteneur via un runtime Rkt différent s’intégrant ainsi parfaitement aux systèmes d’init traditionnels comme Systemd. Le but assumé étant de revenir à des briques unitaires dont les processus sont isolés et sécurisés.

Ce qu’il faut retenir de cette version 1.0 :

  • Compatibilité : le runtime permet d’exécuter des images Docker, AppC et OCI. Il fournit aussi un système de registre facilitant la distribution des images compatibles avec Docker et AppC.
  • Stablilté : Les API et formats de fichiers sont stables et seront désormais rétro-compatibles.
  • Sécurité : Rkt intégre SELinux, et l’isolation KVM.  Les images peuvent bien sûr être signées. De plus Rkt garantit la séparation des privilèges de chaque application.

L’annonce se termine par une longue liste de témoignages, ventant les mérites de la solution. Rkt fait donc son entrée dans le paysage des conteneurs comme la solution pour une meilleure sécurité là où Docker reste la solution la plus portable. La réaction de Docker Inc se fait déjà sentir face à ce nouveau venu avec le développement intensivement axé sur la sécurité via le Trusted Registry.

Sources :

Sortie d’Apache Mesos 0.27.0

En plus de nombreuses corrections de bugs, cette nouvelle version du gestionnaire de cluster sous licence Apache offre des fonctionnalités intéressantes:

  • Support des quotas sur les ressources permettant de garantir une réservation de ressources (cpu, mémoire, bande passante…) pour un rôle donné
  • Gestion des disques multiples pour les applications intensives en terme d’entrées/sorties
  • Support des rôles implicites : Les masters des clusters n’ont plus besoin de définir une liste de rôles d’allocations au démarrage
  • Amélioration des performances du rapport d’état pour les grands clusters

Source :