Hyper-V Containers : Microsoft sécurise encore plus ses conteneurs
Microsoft continue de s'inspirer de Docker et de VMware avec l’annonce d’Hyper-V Container. Objectif : renforcer la sécurité des applications en conteneurs en améliorant leurs isolements.
La prochaine génération de Windows Server embarquera une technologie de conteneurs au-dessus de l’hyperviseur du groupe, Hyper-V, afin de renforcer les capacités de sécurité des applications, a annoncé Microsoft la semaine dernière. Nom de la technologie : Hyper-V Containers.
Microsoft a déjà fait part de ses intentions de proposer une partie de la technologie Docker dans la prochaine itération de Windows Server. Mais avec Hyper-V Containers, l’éditeur souhaite davantage cibler la sécurité des applications en proposant des capacités d’isolement avancées, inhérentes à l’hyperviseur. Une façon d’alimenter la stratégie de l’éditeur visant à proposer des technologies destinées avant tout aux applications natives pour le Cloud.
Dans un billet de blog, Microsoft associe d’ailleurs ce projet au lancement de Nano Server, une version allégée de Windows Server pour le Cloud et les conteneurs – qui voit donc sa sortie officiellement dévoilée. (Voir aussi l’encadré).
Même si certains considèrent Docker comme une alternative à la virtualisation, Microsoft, de son côté, présente son conteneur Hyper-V comme un moyen d’isoler le code qui s’exécute dans chaque conteneur pour éliminer les adhérences avec l’OS hôte, et ce grâce à l’hyperviseur.
Les versions de ces services seront disponibles plus tard dans l’année et intégrés au prochain Windows Server, dont la date de sortie reste encore incertaine.
Cibler plusieurs segments
Il est intelligent de la part de Microsoft de cibler différents segments de marché : Azure pour les start-ups et les DSI centrées sur l’Open Source, Windows Server Containers pour les applications natives Cloud reposant sur Azure, et Hyper-V Containers pour les DSI qui ont déjà investi dans l’hyperviseur mais souhaitent y intégrer des technologies de conteneurs, soutient Jeffrey Hammond, vice-président et analyste principal chez Forrester Research.
« C’est la parfaite illustration du fait que Microsoft mise sur plusieurs segments et attend de voir leurs résultats », poursuit-il. « Le spectre est désormais plus large, comparé à l’approche traditionnelle de Microsoft qui consiste à dire ‘c’est ainsi que nous faisons les choses et vous devriez nous suivre. »
Nano Server confirmé
Microsoft a confirmé dans un billet de blog qu’il travaillait bien à une version allégée de Windows Server 2016 baptisée Nano Server. Cette nouvelle adaptation de Windows Server, dont la sortie n’a pas été officialisée, vise le segment des applications Cloud natives, explique l’éditeur. « Il a été conçu pour recevoir peu de patches, peu de mises à jour, redémarrer rapidement, mieux utiliser les ressources et proposer une sécurité renforcée. »
Pour alléger l’OS, les équipes de Microsoft ont retiré plusieurs composants de Windows Server, comme l’interface graphique et le support du 32bits. Toutes les fonctions d’administration s’effectuent à distance. Selon Microsoft, « Nano Server va permettre aux clients d’installer uniquement les composants dont ils ont besoin et rien de plus ».
De son côté, Nano Server s’inscrit dans une tendance d’OS à faible empreinte, poussée par Red Hat Atomix Host et CoreOS. Des concepts plus adaptés aux conteneurs et aux PaaS, avec davantage de sécurité et d’outils de gestion, affirme Al Gillen, vice-président chez IDC.
« Ce Windows allégé est une première, il est donc juste de dire que cela constitue une vraie rupture. En incluant l’hyperviseur, plus besoin d’un noyau partagé ; ce qui réduit certes les capacités de dimensionnement mais améliore grandement la sécurité. Pour de nombreux clients, cela constitue un compromis plus adapté », déchiffre-t-il.
Dans un certain sens, cela donne également plus de crédibilité à l’approche de VMware, qui consiste à associer les conteneurs aux machines virtuelles dans le but de répondre aux problèmes de sécurité de Docker, explique encore Al Gillen.
Même si l’approche de Microsoft, qui consiste à isoler les applications est identique à celle de VMware, l’éditeur de Redmond propose un chemin de migration plus facile pour sa base installé, explique Jeffrey Hammond.
Des alternatives à Docker émergent
Les annonces portant sur le support de Docker se sont multipliées l’année dernière. Mais plus récemment, certains fournisseurs ont proposé leur propre approche des conteneurs, comme Joyent, Red Hat et CoreOS qui, quant à lui, a opté pour le projet Kubernetes de Google.
Jeffrey Hammond reste prudent car selon lui, le but visé avec les conteneurs est de garder de la cohérence sur leur contenant. Avoir à choisir entre un conteneur Docker et une alternative peut être problématique. Cela a plus de sens de placer la concurrence sur la couche d’administration, comme le font Microsoft et Amazon par exemple, explique-t-il.
