Il y a 4 ans -
Temps de lecture 8 minutes
Une journée au Paris Container Day 2019
En asynchrone du Paris Container Day, votre fidèle reporter, Richard D., vous accompagne pour une journée complète au PCD. Entre conférences et visites des stands, cette journée est extrêmement riche en informations, partages et discussions diverses.
C’est dans une chaleur quasi estivale que commence, en cette matinée du mardi 4 juin, le PCD 2019. À mon arrivée au New Cap Event Center dans le 15e arrondissement parisien, je suis très rapidement pris en charge à l’accueil et on me remet un joli sac en toile contenant livret d’accueil, stickers et documentations. Après quelques poignées de main, je m’avance dans le hall où m’attend un copieux petit déjeuner avec café, jus de fruits et viennoiseries entouré de nombreux auditeurs et membres du staff qui s’affairent respectivement à rejoindre les salles de conférence ou à accueillir les visiteurs. Également dans le hall, un kakemono présente le « Golden Ticket », caché aléatoirement dans un des sacs distribués à l’accueil, afin de gagner un séjour pour 2 personnes dans un conteneur de rêve ! Dans l’escalier menant aux salles, bien en évidence, trône le planning de la journée, promesse alléchante de cette journée de conférences. Celles-ci sont réparties en 3 salles de niveau : apprentis, maître et REX. Sans plus attendre, je rejoins la salle où se déroule la keynote.
Keynote
9 h 00, la keynote commence par le sujet A case for Standardisation in Container CI/CD présenté par Dan Lorenc, Tech Lead Manager chez Google. Après avoir retracé un historique très complet et dans la thématique de cette conférence parisienne sur les conteneurs depuis sa préhistoire à nos jours, il présente les chaînes de CI/CD telles que connues et conçues chez Google en donnant son point de vue sur la chaine de production logicielle idéale via Kubernetes et le besoin de standardiser. Bon orateur, son discours pose les bases d’une vision plus globale des CI et CD en présentant notamment un jeune outil, Tekton, qu’il présente comme étant un framework pour la constitution agnostique d’une architecture de CI/CD.
9 h 35, le second sujet State of Kubernetes security est présenté par Liz Rice, Tech evangelist chez Aqua Security et co-auteure de l’ouvrage Kubernetes Security: Operating Kubernetes Clusters and Applications Safely publié chez O’Reilly. Lors de son discours, elle nous remet en contexte les enjeux de la sécurisation des conteneurs qui peuvent rapidement devenir des failles majeures de sécurité lorsqu’ils ne sont pas correctement protégés et mis à jours et, plus précisément, de Kubernetes. Puis, elle nous donne les bonnes pratiques à appliquer et des conseils, comme par exemple utiliser R-BAC en lieu et place de A-BAC, pour sécuriser au mieux nos clusters. Facile à comprendre même pour les néophytes, elle invite tout un chacun à prendre en main la sécurité de ses plateformes et convainc par la clarté de son discours. Elle conclut en invitant les auditeurs à passer au stand Aqua pour obtenir un exemplaire de son livre et, pour celles et ceux qui n’auraient pas eu la chance d’arriver à temps pour en obtenir un exemplaire, elle nous a même partagé un lien afin de télécharger le ebook via le site d’Aqua Security. Que demander de plus ?
10 h 05, le dernier sujet de la keynote, The standards and technologies behind a container engine, est présenté par Scott McCarty, Principal Product Manager – Containers chez RedHat. Il aborde le thème de la complexité sous-jacente à toute la technologie nécessaire aux conteneurs. Il nous indique ainsi en quelques minutes le fonctionnement des conteneurs, détaillant de l’orchestrateur au kernel, ainsi que les principaux standards de l’Open Containers Initiative. Son discours rapide et entraînant n’est certes pas des plus faciles à suivre mais est indéniablement enrichissant.
10 h 30, suite à la keynote, vient une pause café bienvenue qui permet de socialiser avec les exposants ou les autres auditeurs.
Les conférences du matin
11 h 00, la séance est présentée par Kevin Davin, CTO de Stack Labs qui nous présente Istio, le meilleur ami de votre cluster K8s. Il nous présente les avantages de l’outil Istio qui se veut technologiquement agnostique et qui permet de mettre en place un service mesh pour contrôler le réseau et sécuriser la donnée. Gestion des erreurs, retries, rate limit ou pool ejection, son discours est riche en cas concrets auxquels on peut faire face au quotidien. Il nous présente également d’autres outils tels Jaeger, Kiali ou Grafana que l’on peut raccorder à Istio afin d’améliorer l’observabilité en parallèle.
11 h 50, l’autre sujet de cette seconde moitié de la matinée est présenté par Laurent Grangeau et il s’agit des Entrailles de Kubernetes. Dans cette session, il nous présente les différents composants de Kubernetes qui prend une place de plus en plus importante au sein des communautés d’utilisateurs. Il illustre ses propos par de nombreux exemples et malgré un petit souci technique, le reste de son explication est relativement clair et permet une première visualisation des outils dans leur ensemble.
12 h 40, les présentations du matin finies, je remonte dans le hall où le déjeuner a lieu sous forme de buffet. La grande quantité de mets délicats sont rapidement engloutis par de nombreux visiteurs affamés par cette matinée riche en enseignements. Puis, viennent les nombreux desserts en vérine et autres petites pâtisseries orientales qui ont fait mon bonheur. Le ventre ainsi rempli, les discussions s’engagent alors entre visiteurs, exposants, staffs et orateurs.
Je choisis lors de cette pause déjeuner de visiter deux stands pour en apprendre plus. En premier, mes pas se sont dirigés vers Aqua. La présentation de Liz Rice lors de la keynote m’avait vraiment fait forte impression et je souhaitais en apprendre plus sur les outils utilisés ainsi que les dernières nouveautés. Je ressors content de l’échange avec le lien github de kube-hunter, un outil open source de scan de vulnérabilité de cluster Kubernetes. Chez CyberArk, la discussion est plus informelle et j’en apprends davantage sur Conjur, le gestionnaire de secrets ainsi que les bonnes pratiques qu’appliquent les ingénieurs de CyberArk.
Les conférences de l’après-midi (première partie)
14 h 00, CRI-O: un bon remplaçant à Docker présenté par Akram Blouza, Cloud Architect chez WeScale est la conférence qui a attiré mon attention. Il détaille l’historique de CRI-O depuis ses balbutiements à nos jours, c’est-à-dire, comment l’outil est passé d’une surcouche de Docker à un conteneur runtime à part entière, puis les avantages à utiliser l’outil. Il nous présente en fin de séance plusieurs outils comme Buildah, Podman ou Skopeo qui complète parfaitement CRI-O pour la création d’images aux normes OCI.
14 h 50, Néstor Salceda, Software Engineer chez Sysdig, nous présente Deploying a Kubernetes continuous security pipeline using 100% open source. Il nous expose dans sa présentation différents outils parmi lesquels Falco, un outil open source très prometteur qui peut détecter les activités anormales et réagir immédiatement en isolant automatiquement sur des tentatives d’écriture non autorisées.
15 h 40, heure de la pause café de l’après-midi, et occasion de socialiser à nouveau. Je retrouve pour l’occasion des visiteurs avec qui j’échange concernant les différentes présentations.
Les conférences de l’après-midi (seconde partie)
16 h 10, Délivrer et sécuriser vos micro-services est présenté par Fouad Chmainy, System Engineer chez F5, société déjà leader dans le réseau et la sécurité et qui a récemment acquis Nginx en mai dernier. Il poursuit sur une vision généralement commune qui oppose la philosophie DevOps aux SecOps et qui induit une disharmonie au sein d’un même projet. Ainsi, il développe son discours sur des solutions d’intégration de la sécurité au sein des processus de livraison dans une pratique DevSecOps avec des outils comme F5 WAF et Aspenmesh.
16 h 35, Loic Divad, Data Engineer chez Xebia nous présente Scale-in and Scale-out with Kafka Streams on Kubernetes, sujet assez complexe mêlant problématiques de performance Kafka et de clusterisation sur Kubernetes. Il nous présente ainsi une solution de mise à l’échelle avec Kafka Streams, Prometheus et Stackdriver. Il nous présente également des problèmes liés au stockage persistant et au rebalance protocol qui peuvent survenir dans ce contexte mais qui sont déjà adressés et en cours d’amélioration.
17 h 00, dernier talk de ma journée au PCD, Cilium one firewall to secure them all présenté par Eric Briand & Pierre-Yves Aillet, respectivement Developper & Formateur chez Zenika, nous présente Cilium une solution simple pour la gestion de la communication et de la sécurité sur de multiples couches via notamment les network policies de Kubernetes.
18 h 00, les conférences sont finies et visiteurs comme orateurs se retrouvent dans le hall pour un verre lors du cocktail de clôture. Je me dirige vers le staff qui semble rassuré et content du bon déroulement de la journée et je ne peux qu’acquiescer à ce sentiment de réalisation. Quelques verres et discussions plus tard, je repars du New Cap Event Center avec plein de connaissances et références à lire, étudier ou tester.
J’espère que cet article vous aura donné ne serait-ce qu’un aperçu de cette superbe journée. Si, vous aussi, vous souhaitez en apprendre davantage, vous pouvez suivre les différents liens disséminés tout au long de cet article, regarder les enregistrements des conférences ou bien réserver votre place pour le prochain Paris Container Day lorsqu’elles seront disponibles. Par la même occasion, vous pouvez également participer au Data X Day pour des problématiques tournées vers le Data Engineering et la Data Science qui se déroulera le 27 juin 2019.
Commentaire