Kubecon : Kubernetes est officiellement prêt pour la production (attention au changement de culture)
DSI, le projet a atteint un niveau de maturité suffisant, mais il est désormais nécessaire de se préparer au changement culturel et d’éviter les frictions liées à la résistance interne.
Plus de 4 000 personnes. C’est aujourd’hui ce que représente le cœur de la communauté de Kubernetes, et plus généralement de la Cloud Native Computing Foundation (CNCF), réunie lors de la KubeCon+CloudNativeCon Europe 2018 à Copenhague. Ce chiffre symbolise en effet la forte adoption du moteur d’orchestration tant par les développeurs, mais également – surtout – par les entreprises. Elles y voient là un levier technologique clé pour soutenir leur transition numérique ou leur modernisation.
Chiffre à l’appui : la fondation compte aujourd’hui 52 entreprises utilisatrices membres, qui sont donc impliquées à la fois dans la décision, le sponsoring, le code et la feuille de route de Kubernetes et des autres projets de la fondation.
Si certes Google et les autres acteurs technologiques forment le cœur des contributeurs, ces 52 entreprises ont permis de faire évoluer Kubernetes à une vitesse telle que le projet (dans sa version 1.10) est devenu depuis avril le premier projet officiellement validé de la fondation. Kubernetes a obtenu son sceau certificateur (« graduated »). L’orchestrateur, devenu finalement le standard de fait en la matière, est aujourd’hui « une grosse machine », comme le qualifie Liz Rice, qui co-préside la conférence, également évangéliste technologique de la société Aqua Security.
Dans le vocabulaire de la CNCF, être « graduated » signifie que le projet sort de l’incubateur de la fondation parce qu’il a été jugé par le comité technique de la CNCF (par voie de vote) conforme à un degré de maturité pour un usage en production dans les entreprises. Ce degré est également jugé en fonction de l’importance et du dynamisme de la communauté de contributeurs, de sa gouvernance et de son engagement à respecter les bonnes pratiques de la Core Infrastructure Initiative (CII)de la Linux Foundation (là où est hébergée la CNCF), en matière de qualité du code et de sécurité.
« Nous avons gagné les développeurs, la solution est mature techniquement. Les versions sont compatibles entre elles, grâce notamment aux certifications », résume Aparna Sinha, group product manager, Kubernetes et GKE, chez Google. « Les entreprises peuvent être rassurées sur leur usage de Kubernetes en production » lance également Liz Rice.
La communauté très vibrante de Kubernetes, à commencer par les Google, Cisco, IBM, Red Hat et CoreOS, ont fait évoluer la base fonctionnelle de la technologie pour obtenir ce degré de maturité. Des travaux ont d’abord été effectués dans le domaine de la sécurité. « Les politiques peuvent être partagées d’un pod à l’autre et les données chiffrées », souligne Aparna Sinha, évoquant PodSecurityPolicy (aujourd’hui dans sa beta 1.8) et Network Policy. La détection de menaces est une autre avancée, notamment avec l’émergence d’un écosystème d’acteurs, à l’image de Sysdig, Aqua, Twistlock ou encore StackRox. Google a par ailleurs annoncé la mise à l’Open Source de son projet de containers intégré à un sandbox, gVisor.
Aparna Sinha liste encore des évolutions au niveau du support des applications, comme l’intégration à Sparkou encore le support de GPU, « pour accélérer les workloads de Machine learning ». L’automatisation du déploiement d’applications a également été amélioré via un projet de Google nommé Application Operator. Celui-ci permet de déployer une application au-dessus de Kubernetes via une simple commande et un fichier YAML. Le monitoring a également été une préoccupation pour la communauté.
Ajustements techniques et changement de culture
Évidemment, il reste encore des avancées à réaliser, « des progrès à faire », ont confirmé certains membres de la communauté. « La sécurité, le stockage ainsi que la gestion du réseau soulèvent souvent des questions chez nos clients », affirme par exemple Ying Xiong, CTO et architecte en chef de Huawei Cloud Lab. En revanche, poursuit-il, l’orchestration et le scheduler semblent aujourd’hui avoir été acceptés – ces fonctions sont les fondements mêmes de Kubernetes. Brad Topol, ingénieur chez IBM et membre influent de la communauté, le rejoint d’ailleurs sur ce point et rappelle qu’il reste encore du travail en matière de sécurité et de gestion des politiques de sécurité des entreprises. Il considère en revanche que le logging et le monitoring comme des fonctions plutôt avancées. Le projet Prometheus de collecte de métriques issus des clusters Kubernetes a souvent été mentionné lors de cette édition 2018 de la KubeCon Europe.
Et justement : ces points seront les priorités pour l’année 2018-2019 de la CNCF, a confirmé Alexis Richardson, qui préside le comité technique de la fondation. Certains projets influents sont actuellement en préparation dans le sandbox (des projets dits early stage) ou dans l’incubateur de l’institution.
Citons par exemple le projet SPIFFE et son runtime SPIRE (sous l’aile de la CNCF depuis avril 2018), dont la vocation est de valider les identités des workload entre services. « Spiffe résout les problèmes de confiance entre systèmes et workloads dans un environnement distribué, là où la génération de clés devient très difficile », explique Andrew Jessup, de la société Scytale qui travaille sur le projet. Citons encore Open Policy Agent, un moteur censé distribuer les politiques de sécurité entre services, ou encore Notary pour la distribution sécurisée d’applications, sans oublier TUF qui s’intéresse à sécuriser les mises à jour. D’autres projets cibleront également le stockage et son orchestration, a encore indiqué Alexis Richardson.
Autant de projets qui, mis bout à bout, forment ce que la fondation nomme son « landscape ». D’autres, comme Anni Laï, en charge des Cloud Open Source Operations chez Huawei – elle siège également au board de la CNCF - commence à y voir une jungle.
Mais l’autre problème est celui rencontré par toutes les technologies émergentes et les DSI qui ont décidé de les déployer : le changement de culture. Toutes les entreprises qui ont fait le choix de déployer à grande échelle des clusters Kubernetes en production, ont été confrontées à une résistance en interne, induit par la nécessité de changer la culture des équipes de développement. C’est le cas du Financial Times par exemple, mais aussi de Zalando ou encore Adidas, dont le parcours a été semé d’embuches techniques - «sur ce terrain, on apprend en avançant » -, mais aussi organisationnelles et structurelles. Pour lui, l’arrivée d’un nouveau CIO a contribué à changer la donne.
