Image de conteneur

Types d'images de conteneur

Un utilisateur crée entièrement une image de conteneur à l'aide de la commande de création (build) d'une plateforme de conteneurs comme Docker. Le créateur de l'image peut la mettre à jour progressivement pour y ajouter des fonctionnalités, corriger des bogues ou modifier le produit d'une façon ou d'une autre. Il peut aussi la modifier pour l'utiliser comme base d'un nouveau conteneur.

Pour une automatisation accrue, les couches sont décrites individuellement par l'utilisateur dans un fichier Dockerfile, puis assemblées en image. Chaque commande du fichier Dockerfile crée une nouvelle couche dans l'image. On peut aussi automatiser la création d'une image de conteneur avec un outil d'intégration continue comme Jenkins.

De nombreux éditeurs de logiciels mettent à disposition des images de leurs produits. Par exemple, Microsoft propose une image de conteneur de SQL Server 2017 qui s'exécute sur Docker. Les partisans des conteneurs doivent savoir que certaines images de conteneurs sont corrompues, frauduleuses et malveillantes, et parfois maquillées pour ressembler aux images officielles des éditeurs.

Les images de conteneurs sont stockées dans un registre privé ou public d'un référentiel comme Docker Hub. L'auteur de l'image l'envoie au registre et l'utilisateur va l'y chercher quand il veut l'exécuter comme conteneur. Les fonctionnalités comme Docker Content Trust utilisent les signatures numériques pour vérifier si des fichiers d'images téléchargés depuis des référentiels publics sont d'origine et sans altération. Toutefois, cette vérification supplémentaire de l'authenticité n'empêche pas la création ou la diffusion de programmes malveillants.

Certaines images sont à dessein minimales alors que d'autres sont volumineuses. Elles sont généralement de l'ordre de dizaines de mégaoctets.

Une seule image de conteneur peut être déployée sous forme de plusieurs conteneurs identiques en production.

Avantages et attributs d'une image de conteneur

Le format de l'image de conteneur est prévu pour un téléchargement rapide et un démarrage instantané. Un conteneur en exécution consomme généralement moins de puissance de calcul et de mémoire qu'une machine virtuelle comparable.

Les images sont identifiées par les 12 premiers caractères d'un véritable identifiant et leur taille virtuelle se mesure en nombre de couches sous-jacentes distinctes. On peut leur attribuer des mots-clés. Dans le cas contraire, elles ne sont indexées que par le véritable identifiant.

Pour une interopérabilité maximale, les images de conteneurs respectent des normes ouvertes et s'exécutent sur différentes infrastructures, notamment des machines physiques et virtuelles et des instances en cloud. Dans les déploiements de conteneurs, les applications sont isolées les unes des autres et indépendantes de l'infrastructure sous-jacente.

Inconvénients des images de conteneur

Les services informatiques des entreprises doivent détecter les images frauduleuses et former aux bonnes pratiques les utilisateurs qui vont chercher des images dans des référentiels publics. Pour contourner le problème, une équipe peut limiter la liste d'images disponibles.

En plus de l'authenticité, on fait face à un risque de prolifération d'images de conteneurs. Les entreprises finissent par se retrouver avec différentes images de conteneurs qui font la même chose ou des images inutilisées mais non supprimées.

De plus, les conteneurs arrêtés ne sont pas automatiquement supprimés : ils continuent d'occuper des ressources de stockage. Des commandes comme docker rmi et docker rm permettent de supprimer les images et les conteneurs inutilisés.