Contactez-nous
-
kubernetes

Comment réduire les surfaces d'attaques dans Kubernetes ?

Comment réduire les surfaces d'attaques dans Kubernetes ?

Sommaire

Introduction

Sécuriser son système d’information demeure une préoccupation majeure. Et avec l’adoption des conteneurs et Kubernetes, de nouvelles méthodes et outils sont apparus pour apporter une sécurité adaptée sur l’ensemble des surfaces d’attaques.

Sécuriser vos surfaces d’attaques

Cet article est destiné à l’ensemble de vos équipes intervenant sur la globalité des sujets techniques en lien avec Kubernetes (architecture, code, infrastructure, réseau… ) et désirant connaître les méthodes et outils de sécurité sur l’ensemble des surfaces d’attaques.  

Sécuriser son infrastructure Kubernetes 

C’est historique, les menaces d'intrusions commencent par l’infrastructure. Il est donc très important de bien se poser, prendre son temps afin de travailler sur l’architecture de son infrastructure en prenant en compte les aspects sécurité en priorité. Le changement ultérieur dans l’architecture d’infrastructure pourrait être très impactant. Ce travail doit se faire en équipe avec les personnes clés, décideurs qui connaissent les exigences de sécurité, les patterns d'architectures déjà présentes et à réutiliser ainsi que les contraintes organisationnelles et techniques. Les points à aborder afin de proposer une architecture d’infrastructure sécurisée sont les mêmes, et j’en citerai quelques-uns ici : 

  • Localisation des nœuds (Masters et workers) de son cluster dans une zone réseau privée non accessible depuis internet. 
  • Exposition privée de l’API Kubernetes (via un rebond ou VPN) 
  • Protéger et réduire les accès aux nœuds de vos clusters Kubernetes 
  • Décider sur le chiffrement ou non des échanges entre les nœuds et les pods.
  • Méthode de chiffrement des échanges entre les nœuds de vos clusters Kubernetes
  • Méthode de chiffrement de l’Etcd
  • Politique de cloisonnement entre les projets (Network Policy, Security Context…)
  • Gestion d’authentification et d’autorisation Kubernetes (Choix de l’IDP, Roles, policies… ) 
  • Gestion d’authentification et d’autorisation des ensembles des outils utilisés autour de Kubernetes (CI/CD, gestionnaire de secrets, registries, repos source, IDP… ),  
  • Sécurisation des APIs applicatives publiques et privées ( Token, API throttling…)
  • Sécurisation de l’accès aux applications via HTTPS même dans votre cluster.      

Idéalement, l’ensemble des points doit être formalisé et détaillé dans un dossier d’architecture technique à valider dans un comité d’architecture. Ainsi, nous construisons une feuille de route avec en cible les exigences de sécurité de l’entreprise.

Les clusters Kubernetes seront exposés à l’outil de déploiement choisi qui est accessible aux équipes afin de déployer le code applicatif. Il est donc important de contrôler et de s'assurer que ce qui est à déployer n’est pas vulnérable et ne contient pas de failles de sécurité. Ces contrôles devraient démarrer dès la phase de développement.

La sécurité dès le développement

 

Le développeur est généralement concentré sur les fonctionnalités métier à implémenter et les aspects sécurité sont souvent laissés de côté. Et ceci même s’il y a la volonté de livrer un code de qualité respectant les standards et exigences de sécurité connus ou fournis par l’équipe sécurité de l’entreprise. 

Aujourd’hui, les premières analyses de sécurité commencent assez généralement à la phase de construction des artefacts applicatifs dans la CI. Lors de cette phase, des vulnérabilités critiques pourraient être détectées et donc une reprise de développement afin de corriger est nécessaire. 

Afin d’éviter ces détections tardives de ces vulnérabilités, il est possible d’embarquer les analyses de sécurité dès la phase de développement. Les développeurs peuvent en effet intégrer des solutions SAST ( Static application security testing) dans leurs IDE qui permettent le repérage des vulnérabilités présentes dans le code source en temps réel, ou dans les dépendances utilisées en proposant les solutions apportant les correctifs. 

Ces outils sont capables aussi de détecter les failles et vulnérabilités les plus courantes en lien avec le OWASP TOP 10 et les standards de conformité, PCI DSS par exemple. 

Par exemple, pour son programme qui tourne sur un JRE 1.7, quand un développeur utilise le SocketAppender de la librairie Log4j 1.x, l’outil SAST peut détecter en temps réel l'existence du CVE-2023-26464 et lève une alerte au développeur avec les détails du CVE et le correctif qui peut être apporté

Les librairies open source que l'on utilise dans nos programmes présentent potentiellement des failles de sécurité, présentes sur quelques fonctionnalités, et non sur l’ensemble. La puissance de ces outils consiste à détecter uniquement les failles à l’utilisation des fonctionnalités vulnérables dans vos programmes. Ainsi, si vous utilisez des fonctionnalités non vulnérables, il n‘y aura pas de problème. 

Les outils SAST les plus développés sont potentiellement accompagnés d’une offre payante et s'intègrent bien dans les IDE comme au niveau de la CI tels que Sonar et Snyk.


La sécurité lors de la CI

Quand la chaîne d’intégration continue démarre, une batterie de tests pourraient être automatisés avant le déploiement. Parmi les tests importants à intégrer, ce sont ceux de la sécurité. Ces tests de sécurité peuvent exister à plusieurs niveaux. 

Avant la construction de vos artefacts 

Avant la construction de vos artefacts applicatifs, les mêmes outils SAST peuvent être intégrés pour relancer les analyses statiques du code source (SAST). Ceci permet de s’assurer qu’il n’y a pas de vulnérabilités critiques passées entre les mailles du filet.

Analyse des images de conteneurs

Une fois que les images sont construites à partir de vos Dockerfile, il est important d’effectuer un scan de sécurité. Ce scan pourrait se faire à deux niveaux, soit directement au niveau de la CI avant la publication de l’image ou directement dans le gestionnaire d’images, ce qui est plus intéressant pour des raisons de mutualisation et contrôle de règles. 

Plusieurs gestionnaires d’images intègrent des outils d’analyse de vulnérabilités. Par exemple, Harbor intègre par défaut l’outil de détection de vulnérabilités Trivy, et Quay intègre Clair

Et, selon les criticités des CVE détectés, les images peuvent ne pas être autorisées à être téléchargées, donc déployées et par conséquent exécutées. Sur la majorité des outils de gestionnaires d’images, il est aussi possible de configurer une liste de CVEs que vous voulez autoriser, car vous considérez qu’il s’agit de vulnérabilités non critiques. 

Une gestion des accès aux dépôts d’images est primordiale pour empêcher les modifications des images par un attaquant. 

La sécurité lors du déploiement 

Afin de garantir le respect des exigences de sécurité, il est recommandé d’analyser et de valider les objets Kubernetes à déployer. En voici quelques exemples : 

  • Empêcher l’accès à vos secrets et donc vos données sensibles en interdisant l’utilisation des verbes “get”,”list” et “watch” dans “Rôle” ou “Cluster Rôle” quand c’est associé aux ressources “Secret”

  • Forcer l’utilisation de l’uid de vos images en empêchant l’utilisation du SecurityContextConstraint (SCC) anyuid.

  • Empêcher l’acquisition de l’ensemble des droits sur vos ressources en interdisant l’association du “Rôle” Cluster Admin du “Cluster Rôle” aux différentes ressources Kubernetes.

  • Empêcher l’escalation du privilège en interdisant l’utilisation des verbes “escalate”, “bind” et “impersonate” 

Afin de déployer une validation de vos ressources à déployer, un “Admission Controller”vous aidera à contrôler la ressource Kubernetes dans le but de décider ou non de son admission. 

Les implémentations les plus connus d’“Admission Controller” sont OPA GateKeeper et Kyverno. Les deux outils ont la même logique, et sont constitués de règles, et un moteur qui valide les ressources Kubernetes en se basant sur les règles. À part la catégorie sécurité, vous trouverez plusieurs règles de bonnes pratiques de Kubernetes ou des outils les plus connus (Istio, Argo, Velero …). 

La sécurité à l'exécution

Bien que les méthodes et les outils abordés dans les précédents paragraphes renforcent la sécurité de vos clusters Kubernetes, ils ne permettent pas de sécuriser l’environnement d'exécution lui-même. Effectivement, plusieurs menaces peuvent apparaître une fois que vos conteneurs sont en cours d'exécution, notamment : 

  • Nouvelles vulnérabilités de vos conteneurs lancées avec d’anciennes images. 
  • Dérive de configuration, tels que la modification des privilèges sans autorisation. 
  • Attaque d’escalade de privilège et accès à la machine hôte
  • Exécution d’un code malicieux présent dans le conteneur
  • Exécution d’un malware téléchargé par le code du conteneur 

D’autres techniques d’attaques au runtime sont présentes dans MITRE ATTACK , et que vous pouvez exécuter pour simuler des vulnérabilités et observer le comportement de votre système avec la librairie Atomic Red Team.

Afin d’apporter la sécurité à l'exécution, nous devrons installer un système de surveillance qui détecte les comportements malicieux, vous avertit et agit pour bloquer ce comportement.

L’outil essentiel et incontournable à installer pour vous protéger à l'exécution est Falco. Aujourd’hui, il s’agit d’un des meilleurs outils concernant ces aspects.

Falco utilise eBPF pour détecter l’ensemble des appels système effectués. Un appel système est considéré malicieux quand une règle Falco correspond.

Plusieurs Rules sont présentes et développées par la communauté, et vous pourrez en développer facilement les vôtres. Toutefois, il n’est pas possible de déployer à chaud de nouvelles règles, ce qui reste toutefois une limitation de la version communautaire de Falco.

Falco ne propose pas un mécanisme de réponse manuel ou automatique à la détection d’un comportement malicieux. Néanmoins, avec le deamon Falcosidekick, vous pourrez transférer les événements falco à de multiples solutions FaaS: OpenFaas, AWS Lambda, KNative, kubeless, Tekton …. et développer ainsi vos propres actions.

Vous pourrez aussi utiliser le moteur de réponse Open Source Falco Talon. Il s’agit d’un projet tout nouveau encore en phase d’expérimentation et pouvant s’intégrer avec Falcosidekick ou directement avec Falco pour capturer l’ensemble des vulnérabilités ou des intrusions détectées , ainsi que les événements.  

Les attaques à l'exécution évoluent très rapidement, et dans un contexte de production, il n’est pas acceptable qu’une attaque ne soit pas détectée et que son investigation soit compliquée à réaliser. 

Il est donc plus judicieux d’avoir un outil puissant de sécurité qui évolue en temps réel grâce à l’IA et l’auto-apprentissage, proposant un moyen d’investigation approfondie et un système de réponse rapide.

Des outils EDR (Endpoint Detection and Response) installés dans vos clusters Kubernetes sont aujourd’hui indispensables afin de mieux sécuriser vos “runtimes”. Ces outils sont considérés aussi comme des antivirus 2.0, car ils proposent des agents plus légers qui détectent les “malwares” à l'exécution avec l’analyse comportementale et au repos, avec de longs scans, consommateurs de ressources. 

Plusieurs outils EDRs payants proposent une intégration avec Kubernetes. Toutefois, optez pour un EDR eBPF, qui surveille l’ensemble de vos pods et aussi vos nœuds. 

Une meilleure surveillance de votre sécurité

Pour une meilleure efficacité de vos équipes sécurité, il est intéressant d’avoir un seul outil permettant de : 

  • Fournir une vue centralisée et détaillée des violations de conformité détectées, et les solutions à apporter.
  • Pouvoir développer et intégrer en temps réel des nouvelles règles de conformités.
  • Pouvoir investiguer et apporter une réponse rapide aux vulnérabilités détectées. 

Les outils KSPM (Kubernetes Security Posture Management) permettent de centraliser l’ensemble de ces actions, en vous offrant une Observabilité complète de votre sécurité implémentée, vos conformités, les menaces et vulnérabilités détectées. L’outil KSPM que je trouve le plus complet dans le marché est Sysdig. Pour la détection des vulnérabilités et les intrusions, Sysdig utilise l’outil qu’ils ont créé : Falco 

Conclusion

Nous avons parcouru dans cet article les différentes méthodes et les outils de sécurité pour sécuriser l’ensemble des surfaces d’attaques dans un SI utilisant Kubernetes. Ces méthodes sont très diverses et nécessitent des compétences transverses très vastes. Le modèle organisationnel avec une seule équipe de sécurité, qui est garante de la sécurité globale du SI, n’est donc plus adaptée. 

Une nouvelle organisation devrait potentiellement être revue pour que le périmètre sécurité soit porté par l’ensemble des équipes, et l’équipe sécurité devient l’équipe centrale qui apporte les solutions d’observabilité et d’alerting autour de la sécurité, ainsi que l'accompagnement des équipes et la communication des conformités et des exigences à respecter.
Akram BLOUZA Avatar

Akram BLOUZA

Ses domaines de prédilection : agilité, qualité & performance, automatisation et DevOps. Son credo: “build once, test, ship & run in production”

Paris

Dossier

DÉCOUVREZ LES ARTICLES LIÉS

(String: kubernetes)
  • Comment passer et réussir la certification Kubernetes CKA ? - featured image
    kubernetes

    Comment passer et réussir la certification Kubernetes CKA ?

    (String: <h2 id="la-cka-en-bref">La CKA en bref</h2> <p>La CKA (<a href="https://www.cncf.io/certification/cka/">Certified Kubernetes Administrator</a>) est une certification créée par la Cloud Native Computing Foundation (<a href="https://www.cncf.io/">CNCF</a>) en collaboration avec The Linux Foundation pour aider à développer l'écosystème Kubernetes.</p> <!--kg-card-begin: html-->)

    Vous avez pour objectif de monter en compétences sur Kubernetes ou de simplement concrétiser votre savoir-faire ? Cet article est là pour vous aider à préparer sereinement votre passage de la certification Certified Kubernetes Administrator (CKA). Revoyons ensemble son contenu, les choses à savoir, les commandes intéressantes et comment se former pour réussir cette certification !

    Lire la suite

  • Découverte de KubeVirt : Des machines virtuelles sur Kubernetes - featured image
    kubernetes

    Découverte de KubeVirt : Des machines virtuelles sur Kubernetes

    Le développement d’applications conteneurisées est depuis plusieurs années sous la lumière des projecteurs. Kubernetes est aujourd’hui le choix par défaut pour l’orchestration de conteneurs. Aujourd’hui, nous allons nous intéresser à étendre ce modèle, à savoir utiliser des machines virtuelles dans nos clusters Kubernetes.

    Lire la suite

  • kubernetes pour les nuls
    kubernetes

    Kubernetes pour les nuls

    (String: <div data-mobiledoc="{&quot;version&quot;:&quot;0.3.2&quot;,&quot;atoms&quot;:[],&quot;cards&quot;:[],&quot;markups&quot;:[[&quot;strong&quot;],[&quot;a&quot;,[&quot;href&quot;,&quot;https://kubernetes.io/fr/docs/tasks/tools/install-minikube/&quot;]],[&quot;a&quot;,[&quot;href&quot;,&quot;https://kubernetes.io/docs/tutorials/kubernetes-basics/_print/&quot;]]],&quot;sections&quot;:[[1,&quot;p&quot;,[[0,[],0,&quot;Les applications conteneurisées sont devenues très populaires ces dernières années. La plateforme d’orchestration de conteneurs Kubernetes a elle aussi été massivement adoptée par les entreprises. C’est en ce sens que j’ai décidé de m’y intéresser.&quot;]]],[1,&quot;h2&quot;,[[0,[],0,&quot;Pourquoi j’ai eu envie de découvrir Kubernetes ?&quot;]]],[1,&quot;p&quot;,[[0,[],0,&quot;J’ai eu l’occasion de mener plusieurs projets avec Docker pour conteneuriser des applications afin de faciliter leur déploiement. Cela m’a permis de construire des applications et de rassembler toutes les dépendances, l’OS et le code au sein d’un conteneur. Le processus de déploiement s’est vu simplifié et accéléré.&quot;]]],[1,&quot;p&quot;,[[0,[],0,&quot;Vous l’aurez compris, les conteneurs m’ont permis de faciliter le développement et le déploiement des applications. Mais je me suis vite retrouvé avec plusieurs dizaines de conteneurs à gérer. Plusieurs problématiques sont alors apparues :&quot;]]],[3,&quot;ul&quot;,[[[0,[],0,&quot;Comment mettre à jour les conteneurs sans interruption de service ?&quot;]],[[0,[],0,&quot;Comment les monitorer ?&quot;]],[[0,[],0,&quot;Comment absorber les pics de charges ?&quot;]]]],[1,&quot;p&quot;,[[0,[],0,&quot;C’est en me posant ces questions que je me suis interrogé et intéressé à Kubernetes. Il s’agit d’un outil d’orchestration de conteneurs permettant de les créer et de les déployer. Il permet d’automatiser d’un grand nombre de processus manuels associés aux déploiements, à la gestion et à la mise à l’échelle des applications.&quot;]]],[1,&quot;p&quot;,[[0,[],0,&quot;Pour rappel, Docker a pour rôle de packager et de déployer sur un serveur les applications dans des conteneurs. Kubernetes permet d’améliorer les processus, permettant de déployer facilement de nouvelles versions sur des centaines (voire des milliers) de serveurs. Le tout sans l" interruption="" de="" service="" 1="" h2="" 0="" comment="" je="" me="" suis="" form="" kubernetes="" p="" pour="" d="" couvrir="" et="" former="" cet="" orchestrateur="" il="" n="" y="" a="" pas="" secret="" faut="" mettre="" les="" mains="" dans="" le="" cambouis="" j="" entends="" par="" l="" ployer="" utiliser="" un="" cluster="" cependant="" en="" place="" avec="" peu="" ou="" exp="" rience="" sur="" cette="" technologie="" est="" vident="" heureusement="" apr="" s="" quelques="" recherches="" internet="" ai="" trouv="" projet="" intitulant="" minikube="" outil="" permettant="" avoir="" ud="" unique="" tr="" user-friendly="" facile="" installer="" disponible="" linux="" macos="" windows="" vous="" retrouverez="" la="" documentation="" installation="" juste="" ici="" https:="" io="" fr="" docs="" tasks="" tools="" install-minikube="" m="" permis="" local="" directement="" mon="" poste="" travail="" pr="" t="" emploi="" disclaimer="" :="" du="" tout="" prod="" ready="" uniquement="" des="" fins="" tests="" apprentissage="" car="" son="" architecture="" r="" siliente="" une="" fois="" que="" avais="" up="" and="" running="" pu="" commencer="" familiariser="" ce="" dernier="" ployant="" application="" utilis="" ligne="" commande="" kubectl="" applications="" inspecter="" g="" rer="" ressources="" revenir="" plus="" tails="" processus="" formation="" suivi="" officielle="" pouvez="" retrouver="" 2="" tutorials="" kubernetes-basics="" _print="" learn="" basics="" nous="" propose="" 6="" modules="" 3="" ol="" cr="" ation="" ploiement="" exploration="" exposer="" publiquement="" mise="" chelle="" jour="" tutoriel="" bien="" fait="" adapt="" aux="" butants="" didactique="" on="" couvre="" douceur="" appr="" ci="" sont="" informations="" apport="" es="" chacun="" parties="" pratiques="" qui="" permettent="" comprendre="" chaque="" tape="" suite="" notions="" fra="" chement="" acquises="" b="" ficie="" katacoda="" met="" disposition="" terminal="" virtuel="" votre="" navigateur="" faisant="" tourner="" besoin="" quelconque="" logiciel="" faire="" configurations="" qu="" c="" connexion="" donc="" aucune="" excuse="" difficult="" rencontr="" environnement="" difficile="" cessite="" temps="" pratique="" saisir="" potentiel="" ont="" au="" niveau="" compr="" hension="" diff="" rents="" composants="" control="" plane="" workers="" scheduler="" api="" server="" kube-proxy="" kubelet="" surtout="" leur="" ils="" interagissent="" entre="" eux="" continuer="" eu="" mal="" certaines="" cl="" sp="" cifiquement="" pod="" rencie="" conteneur="" notion="" galement="" chauffer="" cerveau="" abord="" sens="" ensuite="" plusieurs="" types="" services="" partie="" hender="" questionn="" leurs="" rences="" quel="" cas="" faut-il="" autre="" mentionnerai="" fichiers="" format="" yaml="" personnellement="" per="" u="" cela="" comme="" tais="" habitu="" travailler="" mais="" si="" pourra="" tre="" licat="" bri="" vement="" objectif="" fichier="" fournir="" instructions="" fa="" dont="" souhaitez="" soit="" ex="" cut="" cadre="" retenu="" encore="" moins="" impl="" menter="" travers="" appris="" interagir="" puis="" toutes="" tapes="" se="" cachent="" derri="" re="" pratiquer="" exclusivement="" voir="" conseille="" curieux="" ne="" h="" siter="" suivre="" see="" also="" nent="" vers="" autres="" tutoriels="" explications="" approfondir="" sujet="" ma="" selon="" moi="" imp="" ratif="" conna="" monde="" conteneurs="" docker="" beaucoup="" aid="" couverte="" sans="" aucun="" doute="" va="" falloir="" davantage="" triser="" aise="" leader="" march="" orchestration="" vaut="" peine="" apprendre="" int="" ressez="" probl="" matiques="" nonc="" amont="" voqu="" demment="" exploiter="" pleinement="" maintenant="" bases="" compris="" vais="" aller="" loin="" pense="" notamment="" architectures="" complexes="" aussi="" informer="" ingress="" configmaps="" volumes="" secrets="" bref="" norme="" marge="" progression="" utilisation="" wescale="" dispense="" formations="" peut="" accompagner="" aventure=""> <h2>Pourquoi j’ai eu envie de découvrir Kubernetes ?</h2> <p>J’ai eu l’occasion de mener plusieurs projets avec Docker pour conteneuriser des applications afin de faciliter leur déploiement. Cela m’a permis de construire des applications et de rassembler toutes les dépendances, l’OS et le code au sein d’un conteneur. Le processus de déploiement s’est vu simplifié et accéléré.</p> <p>Vous l’aurez compris, les conteneurs m’ont permis de faciliter le développement et le déploiement des applications. Mais je me suis vite retrouvé avec plusieurs dizaines de conteneurs à gérer. Plusieurs problématiques sont alors apparues :</p> <ul> <li>Comment mettre à jour les conteneurs sans interruption de service ?</li> <li>Comment les monitorer ?</li> <li>Comment absorber les pics de charges ?</li> </ul> <p>C’est en me posant ces questions que je me suis interrogé et intéressé à Kubernetes. Il s’agit d’un outil d’orchestration de conteneurs permettant de les créer et de les déployer. Il permet d’automatiser d’un grand nombre de processus manuels associés aux déploiements, à la gestion et à la mise à l’échelle des applications.</p> <p>Pour rappel, Docker a pour rôle de packager et de déployer sur un serveur les applications dans des conteneurs. Kubernetes permet d’améliorer les processus, permettant de déployer facilement de nouvelles versions sur des centaines (voire des milliers) de serveurs. Le tout sans l'interruption de service.</p> <h2>Comment je me suis formé à Kubernetes ?</h2> <p>Pour découvrir et me former à cet orchestrateur, il n’y a pas de secret, il faut “mettre les mains dans le cambouis”.</p> <p>J’entends par là, déployer et utiliser un cluster Kubernetes. Cependant, mettre en place un cluster avec peu ou pas d’expérience sur cette technologie n’est pas évident. Heureusement, après quelques recherches sur Internet, j’ai trouvé un projet s’intitulant <strong>Minikube</strong>, outil permettant d’avoir un cluster à nœud unique et très “user-friendly”<strong>. </strong>Il est très facile à installer (disponible sur Linux, macOS et Windows). Vous retrouverez la documentation d’installation juste ici <a href="https://kubernetes.io/fr/docs/tasks/tools/install-minikube/">https://kubernetes.io/fr/docs/tasks/tools/install-minikube/</a> Cet outil m’a permis de déployer un cluster Kubernetes local directement pour mon poste de travail et prêt à l’emploi.</p> <p>Disclaimer : Minikube n’est pas du tout prod ready. Il est à utiliser uniquement à des fins de tests et d'apprentissage, car son architecture n’est pas résiliente.</p> <p>Une fois que j'avais mon cluster “up and running”, j’ai pu commencer à me familiariser avec ce dernier en déployant une application. J’ai utilisé la ligne de commande avec <strong>kubectl</strong>, outil me permettant de déployer des applications, d’inspecter et de gérer les ressources de mon cluster.</p> <p>Pour revenir plus en détails sur mon processus de formation, j’ai suivi la documentation officielle de Kubernetes, que vous pouvez retrouver ici : <a href="https://kubernetes.io/docs/tutorials/kubernetes-basics/_print/">https://kubernetes.io/docs/tutorials/kubernetes-basics/_print/</a></p> <p>Ce “Learn Kubernetes Basics” nous propose 6 modules :</p> <ol> <li>Création d’un cluster</li> <li>Déploiement d’une application</li> <li>Exploration de l’application</li> <li>Exposer publiquement l’application</li> <li>Mise à l’échelle de l’application</li> <li>Mettre à jour son application</li> </ol> <p>J’ai trouvé ce tutoriel très bien fait, adapté aux débutants et didactique. On découvre l’orchestrateur tout en douceur.</p> <p>Ce que j’ai apprécié, ce sont les informations apportées sur chacun des modules. Il y a des parties pratiques qui permettent de comprendre chaque étape pas à pas. J’ai pu mettre tout de suite en application les notions fraîchement acquises.</p> <p>Ce tutoriel bénéficie de <strong>Katacoda</strong> qui vous met à disposition un terminal virtuel directement dans votre navigateur faisant tourner Minikube. Il n’y a pas besoin d’installer quelconque logiciel ou de faire des configurations. Tout ce qu’il faut, c’est une connexion internet et un navigateur. Donc, aucune excuse ! 😛</p> <h2>Les difficultés rencontrées</h2> <p>Kubernetes est un environnement difficile qui nécessite du temps et de la pratique pour saisir tout son potentiel.</p> <p>Les difficultés que j’ai rencontrées ont été au niveau de la compréhension des différents composants d’un cluster Kubernetes (les control plane, les workers, le scheduler, l’API server, kube-proxy, kubelet… 🤯) et surtout leur rôle et comment ils interagissent entre eux…</p> <p>Pour continuer sur les composants, j’ai eu du mal à comprendre certaines notions clés de kubernetes. Plus spécifiquement sur ce qu’est un Pod, qu’est ce qui le différencie d’un conteneur ? d’un déploiement ?</p> <p>La notion de service m’a également fait chauffer le cerveau. Tout d’abord, il faut comprendre ce qu’est un service au sens Kubernetes. Ensuite, il y a plusieurs types de services. Je n’ai pas trouvé cette partie facile à appréhender. Je me suis questionné sur leurs différences et dans quel cas faut-il utiliser l’un plus que l’autre ?</p> <p>Je mentionnerai également les fichiers au format YAML. Personnellement, je n’ai pas perçu cela comme une difficulté. J’étais déjà habitué à travailler avec ce format. Mais si ce n’est pas votre cas, cela pourra être délicat. Brièvement, l’objectif d’un fichier YAML est de fournir des instructions sur la façon dont vous souhaitez que votre déploiement soit exécuté (dans le cadre d’un déploiement kubernetes).</p> <h2>Ce que j’ai retenu</h2> <p>Kubernetes n’est pas une technologie facile à comprendre et encore moins à implémenter.</p> <p>Au travers les 6 modules Learn Kubernetes Basics, j’ai pu déployer un cluster Kubernetes local avec Minikube. J’ai appris à utiliser la ligne de commande avec <strong>kubectl</strong> pour interagir avec le cluster et les applications. Puis comprendre toutes les étapes qui se cachent derrière un déploiement Kubernetes.</p> <p>Ce tutoriel nous fait pratiquer exclusivement avec <strong>kubectl</strong>, ce qui m’a permis de voir et de comprendre chaque étape dans le processus de déploiement d’une application.</p> <p>Je conseille également d'être curieux, de ne pas hésiter à suivre les “See Also” qui mènent vers d’autres tutoriels et explications. Cela m’a permis d'approfondir le sujet et ma compréhension de l’orchestrateur.</p> <p>Selon moi, il est impératif de comprendre et de connaître le monde des conteneurs. Comment ils sont créés et comment ils sont exécutés. Mon expérience sur Docker m’a beaucoup aidé dans ma découverte et dans ma compréhension de Kubernetes.</p> <p>Sans aucun doute, il va falloir l’utiliser davantage pour le maîtriser et être à l’aise avec cet orchestrateur.</p> <p>Kubernetes est le leader du marché de l’orchestration de conteneurs et il vaut la peine de l’apprendre si vous vous intéressez aux problématiques énoncées en amont !</p> <h2>Et après ?</h2> <p>Comme je l’ai évoqué précédemment, il va falloir pratiquer encore et encore pour exploiter pleinement cette technologie. Maintenant que j’ai les bases, que j’ai compris l'intérêt de Kubernetes, je vais aller plus loin dans ma découverte.</p> <p>Je pense notamment à faire des tests avec des architectures plus complexes. Mais aussi m’informer sur d’autres composants clés comme les ingress, les configmaps, les volumes, les secrets… Bref, il y a encore beaucoup de travail, et une énorme marge de progression !</p> <p>Si vous souhaitez aller plus loin dans votre compréhension et utilisation de cette technologie, WeScale dispense des formations Kubernetes et peut vous accompagner dans l’aventure ! 😃</p> </div>)

    Les applications conteneurisées sont devenues très populaires ces dernières années. La plateforme d’orchestration de conteneurs Kubernetes a elle aussi été massivement adoptée par les entreprises. C’est en ce sens que j’ai décidé de m’y intéresser.

    Lire la suite

Voir plus d'articles sur le cloud native