La surprenante vérité sur la transformation numérique : Confusion des conteneurs

Il s’agit du dernier blog d’une série sur les défis posés par la transformation numérique.

• La surprenante vérité sur la transformation numérique
• La surprenante vérité sur la transformation numérique : Chaos des nuages
• La surprenante vérité sur la transformation numérique : Sauter la sécurité
• La surprenante vérité sur la transformation numérique : Déséconomie d'échelle

Confusion des conteneurs.

L’un des principaux objectifs des conteneurs et de l’orchestration qui les gère (sans effort, nous dit-on) est l’évolutivité efficace. Il existe d’autres avantages, principalement axés sur le développement, qui motivent le choix d’adopter des conteneurs, mais du point de vue de NetOps, c’est une question d’évolutivité et (de manque de) sécurité.

Les architectures de livraison traditionnelles ne fonctionnent pas dans les environnements de conteneurs. La communication est erratique, dynamique et imprévisible. Les communications sont multipliées et l’environnement est très volatil. Ce à quoi cela ressemble maintenant n’est pas ce à quoi cela ressemblera dans deux minutes, et encore moins dans dix.

Mais vous devez toujours fournir des services de réseau et de sécurité de base aux « applications » à l’intérieur de l’environnement du conteneur. Vous ne pourrez pas insérer d'identité et de contrôle d'accès à l'intérieur, ni gérer les certificats sur plusieurs instances variables. La résiliation du SSL au niveau de l'application devient un cauchemar pour vous et pour les applications elles-mêmes. Même la sécurité des applications, comme la défense contre les robots et les protections OWASP Top Ten, devient problématique car où les intégrer dans un environnement aussi volatil ? De plus, ce n’est pas comme si vous alliez mapper chaque service d’un environnement de conteneur à une adresse IP publique. Vous avez besoin d’un chemin d’entrée sécurisé pour fournir des services d’application sans interférer avec le fonctionnement à l’intérieur de l’environnement.

Heureusement, les applications déployées en tant que plusieurs microservices dans un environnement de conteneur sont toujours des applications (même des API) et disposent d’un point de terminaison « spécifique à l’application » qui offre la possibilité d’établir un chemin entrant sécurisé sans perturber l’environnement du conteneur. Cela permet une architecture réseau bifurquée basée sur les principes traditionnels de stabilité et d'évolutivité tout en adoptant des approches modernes de mise à l'échelle basée sur des logiciels pour les conteneurs. Cette architecture à deux niveaux permet un point de terminaison fiable et sécurisé via lequel passer de la dorsale N-S aux chemins E-W dans un environnement de conteneur.

Architecture à deux niveaux

Une architecture à deux niveaux offre la fiabilité et la sécurité nécessaires tout en prenant en charge la vitesse et l'évolutivité exigées par les applications conteneurisées. En limitant le chaos des conteneurs, vous préservez la santé mentale et isolez l’infrastructure partagée de l’entropie inhérente aux applications conteneurisées. Cela présente l’avantage inattendu de prendre en charge un pipeline de production avec des changements variables. Bien que les applications puissent changer plus fréquemment dans l’environnement conteneurisé, les modifications apportées à l’identité, au contrôle d’accès et à d’autres services liés à la sécurité sont probablement moins fréquentes. Les mises à jour peuvent être effectuées indépendamment les unes des autres, ce qui permet à DevOps d'évoluer à un rythme plus rapide sans surcharger NetOps du côté N-S de la « maison ».

Le point d'entrée peut gérer les politiques spécifiques à l'application (performances et certaines sécurités) tandis que le reste du réseau entrant sécurisé gère le reste. Cela rend l’inclusion de conteneurs dans des environnements de production servant des applications héritées un processus plus fluide et moins pénible car il est le moins perturbateur. 

Il est important de se rappeler que pour qu’une architecture à deux niveaux fonctionne, l’entrée doit effectivement devenir l’application. Ou du moins son équivalent virtuel.

Même s’il y a une centaine de microservices de l’autre côté du « mur » du conteneur, l’entrée est le point de contrôle stratégique qui permet l’évolutivité, l’accessibilité et la sécurise les applications contre les menaces externes. Utilisez l'entrée pour appliquer les services qui sont mieux gérés avant que le trafic n'entre dans le domaine volatil et incertain du monde des conteneurs.

...Et ceci conclut notre exploration de la surprenante vérité sur la transformation numérique. Il existe de nombreux autres problèmes et obstacles qui doivent être résolus, mais les quatre abordés dans cette série : le chaos du cloud, le non-respect de la sécurité, la déséconomie d'échelle et la confusion des conteneurs sont probablement les plus critiques de ceux qui doivent être résolus.

Si vous êtes conscient des impacts du changement, vous serez en mesure d’exploiter la puissance de l’automatisation, de la sécurité et de l’évolutivité basées sur les logiciels, ainsi que de nouvelles architectures pour réussir votre transition vers le nouveau centre de données.