Table Des Matieres

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 59

Table des matières 1

Les éléments à télécharger sont disponibles à l'adresse suivante :


http://www.editions-eni.fr
Saisissez la référence de l'ouvrage EI2DOC dans la zone de recherche
et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.

Avant-propos

Chapitre 1
Principes fondamentaux
1. Positionnement de Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.1 La problématique racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.2 Approche par augmentation des ressources physiques . . . . . . . . . . . . 20
1.3 Approche par parallélisation des traitements . . . . . . . . . . . . . . . . . . . . 21
1.4 L'approche par virtualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.5 Tentatives de réduction de la consommation de ressources . . . . . . . . 24
1.6 Comment Docker règle radicalement le problème . . . . . . . . . . . . . . . . 25
1.7 Positionnement de Docker par rapport à la virtualisation. . . . . . . . . . 28
1.8 Positionnement de Docker par rapport aux clusters . . . . . . . . . . . . . . 30
1.9 Positionnement de Docker par rapport
aux approches de bacs-à-sable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2. Principe des conteneurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.1 Les apports de Docker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
2.2 Principe des conteneurs industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.3 Docker et l'approche normalisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3. Les fondements de Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.1 Les technologies Linux clés pour Docker. . . . . . . . . . . . . . . . . . . . . . . . 40
3.1.1 Namespaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.1.2 Mise en œuvre d'un namespace . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.1.3 cgroups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.1.4 chroot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2 Autres dépendances du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.2.1 netfilter et iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.2.2 capabilities. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.2.3 AppArmor et SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2 Docker
Concepts et déploiement d'applications conçues en services

3.3 Architecture du moteur Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46


3.3.1 LXC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.3.2 libcontainer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.3.3 containerd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.4 Architectures complémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.4.1 rkt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.4.2 Container Runtime Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.4.3 Un foisonnement d'alternatives. . . . . . . . . . . . . . . . . . . . . . . . . 51
3.5 Système de fichiers en couches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.5.1 Principe d'isolation des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.5.2 Approche par virtualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.5.3 Utilité des systèmes de fichiers en couches. . . . . . . . . . . . . . . . 53
3.5.4 Gestion des modifications de fichiers . . . . . . . . . . . . . . . . . . . . 54
3.5.5 Dernière couche en écriture . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.5.6 Technologies utilisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4. Les plus de Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.1 Au-delà du cloisonnement Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.2 L'approche un conteneur = un processus . . . . . . . . . . . . . . . . . . . . . . . 58
4.3 L’écosystème Docker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
5. Architectures de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
5.1 Historique des architectures de services . . . . . . . . . . . . . . . . . . . . . . . . 61
5.1.1 Principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.1.2 Approche EAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.1.3 Approche SOA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5.1.4 Microservices. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
5.1.5 Lien à l'urbanisation des SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
5.2 Architecture de microservices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
5.2.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
5.2.2 Avantages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
5.2.3 Inconvénients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.3 Apport de Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5.4 Fil conducteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Table des matières 3

Chapitre 2
Installation
1. Éditions et canaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
1.1 Un standard sous Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
1.2 Les canaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
1.3 Les éditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
2. Utiliser des machines dans le cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
2.1 Amazon AWS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
2.1.1 Offre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
2.1.2 Création de la machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . . 76
2.1.3 Accès à la machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
2.1.4 Gestion de la consommation . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
2.1.5 Suppression de la machine virtuelle . . . . . . . . . . . . . . . . . . . . . 88
2.2 Microsoft Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
2.2.1 Offre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
2.2.2 Création de la machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . . 91
2.2.3 Accès à la machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
2.2.4 Suppression de la machine virtuelle . . . . . . . . . . . . . . . . . . . . 106
2.3 Google Cloud Platform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
2.3.1 Offre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
2.3.2 Création de la machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . 109
2.3.3 Accès à la machine virtuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
2.3.4 Suppression de la machine virtuelle . . . . . . . . . . . . . . . . . . . . 116
3. Installation de Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.1 Installation de Docker sur Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.1.1 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.1.2 Gestionnaires de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
3.1.3 Installation par script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
3.1.4 Cas particulier de l'installation sur Clear Linux . . . . . . . . . . . 120
3.2 Le paradoxe Docker sous Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . 123
3.2.1 Des technologies différentes . . . . . . . . . . . . . . . . . . . . . . . . . . 123
3.2.2 Docker et Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
3.2.3 L'âge de la maturité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
3.3 L'outil Docker pour Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
3.3.1 Outil d'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
3.3.2 Choix du canal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
4 Docker
Concepts et déploiement d'applications conçues en services

3.3.3Assistant d'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130


3.3.4Mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
3.3.5Support natif de conteneurs Linux
sous Windows avec WSL 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
3.3.6 Les nouveautés de Docker Desktop . . . . . . . . . . . . . . . . . . . . . 142
3.3.7 Désinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
3.4 Docker pour Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
3.4.1 Prérequis pour Windows Server 2022 . . . . . . . . . . . . . . . . . . . 147
3.4.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
3.4.3 Utilisation de machines préinstallées . . . . . . . . . . . . . . . . . . . 153
3.4.4 Exécution de conteneurs Linux . . . . . . . . . . . . . . . . . . . . . . . . 154
3.4.5 Paramétrage système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
3.5 Utilisation de Docker avec Vagrant . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
3.5.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
3.5.2 Création d'une machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
3.5.3 Provisionnement de Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
3.5.4 Aménagement de l'accès à la machine . . . . . . . . . . . . . . . . . . . 165
3.5.5 Connexion à la machine provisionnée. . . . . . . . . . . . . . . . . . . 168
3.5.6 Poursuite des opérations Vagrant . . . . . . . . . . . . . . . . . . . . . . 173

Chapitre 3
Premiers pas avec Docker
1. Hello World, Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
1.1 Démarrage d'un conteneur simple . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
1.2 Détails des opérations effectuées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
1.2.1 Récupération d'une image . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
1.2.2 Identité de l'image. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
1.2.3 Taille des images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
1.2.4 Anatomie de l'image Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
1.2.5 Anatomie de l'image Windows . . . . . . . . . . . . . . . . . . . . . . . . 187
1.2.6 Lancement du processus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
1.2.7 Exécution du processus dans un conteneur . . . . . . . . . . . . . . 189
1.2.8 Opérations suivant l'exécution . . . . . . . . . . . . . . . . . . . . . . . . 190
Table des matières 5

2. Utiliser des images Docker préexistantes. . . . . . . . . . . . . . . . . . . . . . . . . . . 193


2.1 Le registre Docker Hub. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
2.1.1 Le principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
2.1.2 Recherche et qualification d'images . . . . . . . . . . . . . . . . . . . . 194
2.1.3 Exemple de recherche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
2.1.4 Cas des images communautaires. . . . . . . . . . . . . . . . . . . . . . . 201
2.1.5 Compléments sur les images officielles. . . . . . . . . . . . . . . . . . 204
2.1.6 Recherche par la ligne de commande . . . . . . . . . . . . . . . . . . . 206
2.1.7 Précautions sur une image non officielle. . . . . . . . . . . . . . . . . 209
2.2 Gestion du compte Docker Hub et dépôts privés. . . . . . . . . . . . . . . . 214
2.2.1 Création d'un compte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
2.2.2 Caractéristiques du compte . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
2.2.3 Automated build. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
2.2.4 Connexion au compte en ligne de commande . . . . . . . . . . . . 219
2.2.5 Webhook sur événement de push dans Docker Hub . . . . . . . 220
3. Un second conteneur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
3.1 Récupération de l'image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
3.2 Explication des tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
3.3 Premier lancement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
3.4 Lancement en mode interactif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
3.5 Persistance des modifications sous forme d'une image . . . . . . . . . . . 229
3.6 Prise en main du client Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
3.6.1 Ménage dans les conteneurs . . . . . . . . . . . . . . . . . . . . . . . . . . 232
3.6.2 Ménage dans les images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
3.6.3 Le grand ménage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
3.6.4 Suppression automatique à la sortie . . . . . . . . . . . . . . . . . . . . 235
3.6.5 Affectation d'un nom de conteneur . . . . . . . . . . . . . . . . . . . . 235
3.6.6 Modification du point d'entrée par défaut . . . . . . . . . . . . . . . 236
3.6.7 Envoi de variables d'environnement . . . . . . . . . . . . . . . . . . . . 237
3.6.8 Modification du hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
3.7 Manipulation des conteneurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
3.7.1 Lancement en mode bloquant . . . . . . . . . . . . . . . . . . . . . . . . . 240
3.7.2 Lancement en arrière-plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
3.7.3 Gestion correcte du cycle de vie des conteneurs. . . . . . . . . . . 246
3.7.4 Exposition de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
3.7.5 Supervision des conteneurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
4. Retours sur les premiers pas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
6 Docker
Concepts et déploiement d'applications conçues en services

Chapitre 4
Création et gestion d’images Docker
1. Création manuelle d'une nouvelle image . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
1.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
1.2 Approche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
1.3 Difficultés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
1.4 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
2. Utilisation d’un fichier Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
2.1 Intérêt des fichiers Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
2.2 Utilisation d'un fichier Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
2.3 Anatomie d'un fichier Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
2.3.1 FROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
2.3.2 RUN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
2.3.3 ENV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
2.3.4 VOLUME. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
2.3.5 COPY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
2.3.6 ENTRYPOINT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
2.3.7 EXPOSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
2.3.8 CMD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
2.4 Notre premier fichier Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
2.4.1 Fonctionnalité souhaitée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
2.4.2 Création et test du script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
2.4.3 Création du Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
2.4.4 Génération de l'image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
2.4.5 Lancement du conteneur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
2.4.6 Arrêt et relance du conteneur. . . . . . . . . . . . . . . . . . . . . . . . . . 283
2.4.7 Une méthode moins brutale. . . . . . . . . . . . . . . . . . . . . . . . . . . 284
2.4.8 Gestion des paramètres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
2.4.9 Reconstruction de l'image et cache . . . . . . . . . . . . . . . . . . . . . 287
2.5 Commandes additionnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
2.5.1 Gestion des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
2.5.2 Notion de contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
2.5.3 Retours sur l'affectation du processus à démarrer . . . . . . . . . 290
2.5.4 Remarque sur le format ligne de commande ou exécution . . 293
2.5.5 Commandes diverses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Table des matières 7

3. Partage et réutilisation simple des images . . . . . . . . . . . . . . . . . . . . . . . . . . 298


3.1 Envoi sur votre compte Docker Hub. . . . . . . . . . . . . . . . . . . . . . . . . . 298
3.2 Export et import sous forme de fichiers . . . . . . . . . . . . . . . . . . . . . . . 303
4. Bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
4.1 Principe du cache local d'images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
4.2 Principe du cache à la compilation . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
4.2.1 Retour sur les images intermédiaires. . . . . . . . . . . . . . . . . . . . 309
4.2.2 Anatomie d'une compilation d'image . . . . . . . . . . . . . . . . . . . 313
4.2.3 Analyse d'une modification du fichier Dockerfile . . . . . . . . . 315
4.2.4 Gestion correcte des étiquettes . . . . . . . . . . . . . . . . . . . . . . . . 317
4.2.5 Invalidation du cache par modification de l'image de base . . 321
4.2.6 Invalidation du cache par modification du contexte . . . . . . . 325
4.3 Conséquences sur l'écriture des fichiers Dockerfile . . . . . . . . . . . . . . 327
4.3.1 Le problème sur les opérations non idempotentes . . . . . . . . . 327
4.3.2 Contournement du problème de cache . . . . . . . . . . . . . . . . . . 330
4.3.3 Effets bénéfiques sur le nombre et la taille des images . . . . . 333
4.3.4 Ordonnancement des commandes
dans le fichier Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
4.4 Ajout d'une image de cache intermédiaire . . . . . . . . . . . . . . . . . . . . . 335
4.5 Mise en œuvre d'un cache de paquetages . . . . . . . . . . . . . . . . . . . . . . 337
4.6 Conséquences sur le choix des images de base . . . . . . . . . . . . . . . . . . 340
4.6.1 La bonne image de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
4.6.2 Votre propre image de base . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
4.6.3 Adapter l'image de base avec les compilations multi-stage . . 344
4.7 Arborescence recommandée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
4.7.1 Avantage d'une arborescence type. . . . . . . . . . . . . . . . . . . . . . 347
4.7.2 Intégration des fichiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
4.7.3 Limitation du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
4.8 La question du processus unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
4.8.1 Principe général. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
4.8.2 Exception au principe général avec Supervisor . . . . . . . . . . . . 352
4.8.3 Critique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
4.8.4 Approche intermédiaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
8 Docker
Concepts et déploiement d'applications conçues en services

5. Mise en œuvre d'un registre privé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356


5.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
5.2 Votre registre en complète autonomie . . . . . . . . . . . . . . . . . . . . . . . . 357
5.2.1 Image à utiliser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
5.2.2 Lancement du registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
5.2.3 Utilisation du registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
5.3 Les limites du mode autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
5.3.1 Limites en termes d'utilisation. . . . . . . . . . . . . . . . . . . . . . . . . 362
5.3.2 Limites en termes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . 363
5.3.3 Limites en termes de performance . . . . . . . . . . . . . . . . . . . . . . 365
5.3.4 Limites en termes de stockage . . . . . . . . . . . . . . . . . . . . . . . . . 366
5.3.5 Et toutes les autres limitations d'un registre autogéré . . . . . . 368
5.4 Utilisation d'un service cloud déjà préparé . . . . . . . . . . . . . . . . . . . . . 369
5.4.1 Azure Container Registry. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
5.4.2 Notes finales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
5.5 Approches complémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
5.5.1 L'API du registre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
5.5.2 Mise en place d'un miroir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
6. Incorporation dans le cycle de développement . . . . . . . . . . . . . . . . . . . . . . 382
6.1 Positionnement de Docker dans une usine logicielle . . . . . . . . . . . . . 382
6.1.1 Déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
6.1.2 Compilation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
6.1.3 Infrastructure de l'usine logicielle . . . . . . . . . . . . . . . . . . . . . . 386
6.1.4 Gestion des tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
6.1.5 Utilisation pour les machines supports de tests . . . . . . . . . . . 389
6.1.6 Registre pour l'ALM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
6.2 Exemple de mise en œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
6.2.1 Choix des outils. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
6.2.2 Création du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
6.2.3 Analyse du fichier Dockerfile généré . . . . . . . . . . . . . . . . . . . . 397
6.2.4 Prérequis pour l’intégration continue . . . . . . . . . . . . . . . . . . . 400
6.3 Docker comme une commodité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Table des matières 9

Chapitre 5
Mise en œuvre pratique
1. Présentation de l'application exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
1.1 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
1.2 Création d'un fichier des mots de passe . . . . . . . . . . . . . . . . . . . . . . . 410
1.2.1 Principe de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
1.2.2 Installation de KeePass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
1.2.3 Création du fichier de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . 411
1.2.4 Remplissage du fichier de mots de passe. . . . . . . . . . . . . . . . . 416
1.3 Mise en place des certificats de sécurité . . . . . . . . . . . . . . . . . . . . . . . 418
1.3.1 Certificat racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
1.3.2 Certificat client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
1.4 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
1.5 Paramétrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
1.5.1 Paramétrage de l'IAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
1.5.2 Paramétrage de RecepteurMessages . . . . . . . . . . . . . . . . . . . . 435
1.5.3 Paramétrage du projet API . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
1.5.4 Autres projets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
1.5.5 Paramétrage de la solution . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
1.6 Première utilisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
1.6.1 Scénario nominal de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
1.6.2 Persistance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
1.6.3 Observation des documents. . . . . . . . . . . . . . . . . . . . . . . . . . . 446
1.7 Utilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
1.8 Principes à l'œuvre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
1.8.1 Un mot sur les architectures de services . . . . . . . . . . . . . . . . . 448
1.8.2 Lien avec la programmation SOLID . . . . . . . . . . . . . . . . . . . . 448
2. Adaptation à Docker de l'application exemple . . . . . . . . . . . . . . . . . . . . . . 449
2.1 Préparation de l'environnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
2.2 Principes de construction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
2.3 Détails du service RecepteurMessages . . . . . . . . . . . . . . . . . . . . . . . . 451
2.3.1 Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
2.3.2 Construction du fichier Dockerfile de base. . . . . . . . . . . . . . . 453
2.3.3 Classification du support des paramètres . . . . . . . . . . . . . . . . 457
2.3.4 Cas particulier des paramètres de sécurité . . . . . . . . . . . . . . . 460
2.3.5 Modification du projet pour gestion des paramètres . . . . . . . 460
10 Docker
Concepts et déploiement d'applications conçues en services

2.3.6 Évolution du fichier Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . 465


2.4 Lancement de RecepteurMessages en mode Docker . . . . . . . . . . . . . 468
2.4.1 Compilation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
2.4.2 Test de lancement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
2.4.3 Conteneurs en réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
2.4.4 Utilisation d'un volume pour pointer sur le certificat . . . . . . 474
2.5 Adaptation de Visual Studio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
2.5.1 Paramétrage du projet en mode Docker . . . . . . . . . . . . . . . . . 475
2.5.2 Tests d'intégration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
2.5.3 Publication intégrée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
2.6 Retour sur le problème de secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
2.6.1 Approche simpliste par variable d'environnement . . . . . . . . . 484
2.6.2 Gestion des secrets dans Docker . . . . . . . . . . . . . . . . . . . . . . . 485
2.6.3 Mise en place du fichier pour Docker Compose . . . . . . . . . . . 487
2.6.4 Mise en place de la trace de diagnostic . . . . . . . . . . . . . . . . . . 489
2.6.5 Description du problème d'ordonnancement . . . . . . . . . . . . . 491
2.6.6 Validation du fonctionnement en mode Docker . . . . . . . . . . 493
2.7 Problème des paramètres liés à XKCD. . . . . . . . . . . . . . . . . . . . . . . . . 494
2.8 Traitement du projet API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
2.8.1 Passage en mode Docker du projet . . . . . . . . . . . . . . . . . . . . . 496
2.8.2 Classification des paramétrages disponibles . . . . . . . . . . . . . . 497
2.8.3 Ajustement du fichier Dockerfile. . . . . . . . . . . . . . . . . . . . . . . 499
2.8.4 Ajout des valeurs pour les paramètres . . . . . . . . . . . . . . . . . . . 499
2.8.5 Mise à jour du fichier Docker Compose . . . . . . . . . . . . . . . . . 500
2.8.6 Correction paramétrage d'appel du service API . . . . . . . . . . . 501
2.8.7 Test du projet en mode Docker . . . . . . . . . . . . . . . . . . . . . . . . 503
2.9 Traitement du projet Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
2.9.1 Passage en mode Docker du projet . . . . . . . . . . . . . . . . . . . . . 504
2.9.2 Classification des paramètres disponibles . . . . . . . . . . . . . . . . 505
2.9.3 Ajustement du fichier Dockerfile. . . . . . . . . . . . . . . . . . . . . . . 505
2.9.4 Ajout des valeurs pour les paramètres . . . . . . . . . . . . . . . . . . . 506
2.9.5 Mise à jour du fichier Docker Compose . . . . . . . . . . . . . . . . . 507
2.10 Cas particulier des paramètres du projet Client . . . . . . . . . . . . . . . . . 508
Table des matières 11

2.11 Test de l'application passée en Docker . . . . . . . . . . . . . . . . . . . . . . . . 508


2.11.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
2.11.2 Débogage du problème de volume. . . . . . . . . . . . . . . . . . . . . . 509
2.11.3 Débogage du problème de nom de serveur RabbitMQ . . . . . 515
2.11.4 Débogage du problème d'accès à l'IAM . . . . . . . . . . . . . . . . . . 518
2.11.5 Débogage du chargement des personnes. . . . . . . . . . . . . . . . . 523
2.11.6 Débogage de l'authentification serveur . . . . . . . . . . . . . . . . . . 526
2.12 État atteint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530

Chapitre 6
Orchestration par Docker Compose
1. Redéployer automatiquement avec Docker Compose . . . . . . . . . . . . . . . . 533
1.1 Principe de Docker Compose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
1.2 Écriture du fichier docker-compose.yml . . . . . . . . . . . . . . . . . . . . . . . 535
1.2.1 Remarques préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
1.2.2 Préparation du squelette du fichier . . . . . . . . . . . . . . . . . . . . . 536
1.2.3 Mise en place des dépendances externes . . . . . . . . . . . . . . . . . 536
1.2.4 Ajout de la détection de statut des services . . . . . . . . . . . . . . 539
1.2.5 Inclusion du projet RecepteurMessages . . . . . . . . . . . . . . . . . 542
1.2.6 Ajout du projet API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
1.2.7 Finalisation avec le projet Server . . . . . . . . . . . . . . . . . . . . . . . 547
1.3 Mise en œuvre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
1.3.1 Exclusion du mode HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
1.3.2 Premier lancement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
1.3.3 Retour sur le problème d'authentification . . . . . . . . . . . . . . . 551
1.3.4 Tentative de résolution par le réseau hôte . . . . . . . . . . . . . . . 553
1.3.5 Stratégie d'externalisation de l'IAM . . . . . . . . . . . . . . . . . . . . 555
1.4 Mise en œuvre avec IAM externalisée. . . . . . . . . . . . . . . . . . . . . . . . . 556
1.4.1 Préparation d'une machine dans le cloud . . . . . . . . . . . . . . . . 556
1.4.2 Ajout de Docker dans Clear Linux . . . . . . . . . . . . . . . . . . . . . 559
1.4.3 Préparation de l'application Keycloak complète . . . . . . . . . . . 561
1.4.4 Passage de Keycloak en HTTPS . . . . . . . . . . . . . . . . . . . . . . . . 563
1.4.5 Ajout de la persistance pour la configuration Keycloak. . . . . 567
1.4.6 Gestion de la robustesse par un service Linux . . . . . . . . . . . . 572
1.4.7 Ajustement de l'application exemple . . . . . . . . . . . . . . . . . . . 577
1.4.8 Test final . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
12 Docker
Concepts et déploiement d'applications conçues en services

1.5 Débogages complémentaires du mode Docker Compose. . . . . . . . . . 579


1.5.1 Astuce préliminaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
1.5.2 Gestion de la génération de PDF en mode Linux . . . . . . . . . . 580
1.5.3 Intégration des polices pour la génération de PDF . . . . . . . . . 580
1.5.4 Exposition différenciée des ports de la GED . . . . . . . . . . . . . . 582
1.5.5 Exposition en HTTPS du projet API . . . . . . . . . . . . . . . . . . . . 583
1.5.6 Passage de l'appel d'API en HTTPS . . . . . . . . . . . . . . . . . . . . . 584
1.5.7 Ménage dans les paramètres. . . . . . . . . . . . . . . . . . . . . . . . . . . 585
2. Fonctionnalités supplémentaires de Docker Compose . . . . . . . . . . . . . . . . 589
2.1 Retour sur la gestion des conteneurs . . . . . . . . . . . . . . . . . . . . . . . . . . 589
2.2 Parallélisation des traitements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
2.3 Autre avantage de l'approche par conteneurs . . . . . . . . . . . . . . . . . . . 592
2.4 Limites de l'application exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
2.5 Intégration dans Visual Studio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
2.5.1 Argumentaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
2.5.2 Mise en œuvre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
2.5.3 Gestion des profils de lancement . . . . . . . . . . . . . . . . . . . . . . . 600
3. Exploitation d'une infrastructure Docker . . . . . . . . . . . . . . . . . . . . . . . . . . 601
3.1 Le réseau dans Docker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
3.1.1 Mode de fonctionnement standard (bridge) . . . . . . . . . . . . . . 601
3.1.2 Modes de fonctionnement alternatifs . . . . . . . . . . . . . . . . . . . 604
3.1.3 Support des liens entre conteneurs . . . . . . . . . . . . . . . . . . . . . 606
3.1.4 Gestion des réseaux overlay . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
3.1.5 Alias préinstallés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
3.2 Les volumes Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
3.2.1 Le problème de la persistance . . . . . . . . . . . . . . . . . . . . . . . . . . 613
3.2.2 Les volumes comme solution simple . . . . . . . . . . . . . . . . . . . . 613
3.2.3 Lien direct sur un répertoire local . . . . . . . . . . . . . . . . . . . . . . 615
3.2.4 Partage de volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
3.2.5 Gestion des volumes orphelins. . . . . . . . . . . . . . . . . . . . . . . . . 617
3.2.6 Sophistication de l'approche. . . . . . . . . . . . . . . . . . . . . . . . . . . 618
3.2.7 Application à la gestion des logs . . . . . . . . . . . . . . . . . . . . . . . 618
3.2.8 Volumes déclarés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
3.2.9 Plugins pour la gestion avancée des volumes . . . . . . . . . . . . . 620
Table des matières 13

4. Exemples de fichier Dockerfile pour d'autres plateformes . . . . . . . . . . . . . 621


4.1 Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
4.1.1 Image Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
4.1.2 Image openjdk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
4.1.3 Image Maven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
4.2 PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
4.2.1 Mode ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
4.2.2 Mode serveur web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
4.3 Node.js. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628
4.4 Go . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628
4.5 Python . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
4.6 Un mot sur les DevContainers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630

Chapitre 7
Déploiement en cluster par une usine logicielle
1. Le besoin d'orchestration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
1.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
1.2 Approche théorique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
1.2.1 La problématique de montée en charge. . . . . . . . . . . . . . . . . . 636
1.2.2 La solution découplée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
1.2.3 Conséquences sur l'approche initiale. . . . . . . . . . . . . . . . . . . . 639
1.3 Lien aux microservices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
1.3.1 Orchestration des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
1.3.2 Elasticité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
1.3.3 Robustesse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
1.4 Fonctionnement pratique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
1.4.1 Notion de réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
1.4.2 Les différents types de nœuds . . . . . . . . . . . . . . . . . . . . . . . . . 643
1.4.3 Fonctionnalités du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
2. L'approche Docker Swarm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
2.1 Gestion du cluster Swarm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
2.1.1 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
2.1.2 Alternative aux prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
2.1.3 Initialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
2.1.4 Liaison des agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
14 Docker
Concepts et déploiement d'applications conçues en services

2.1.5 Ajout d'un manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655


2.1.6 Les limites à l'ajout de managers . . . . . . . . . . . . . . . . . . . . . . . 657
2.1.7 Promotion d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
2.1.8 Suppression d'un nœud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
2.2 Test du cluster avec un cas simple. . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
2.3 Déploiement manuel sur le cluster Swarm . . . . . . . . . . . . . . . . . . . . . 667
2.3.1 Application exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
2.3.2 Préparation des images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668
2.3.3 Lancement des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669
2.3.4 Premier test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
2.3.5 Mise en place d'un réseau overlay dédié . . . . . . . . . . . . . . . . . 675
2.3.6 Validation du fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . 677
2.3.7 Passage à l'échelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
2.3.8 Suppression des ressources déployées . . . . . . . . . . . . . . . . . . . 681
2.4 Déploiement de l'application microservices . . . . . . . . . . . . . . . . . . . . 681
2.4.1 Récupérer l'application exemple . . . . . . . . . . . . . . . . . . . . . . . 681
2.4.2 Le retour partiel de Docker Compose . . . . . . . . . . . . . . . . . . . 682
2.4.3 Détail du vocabulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
2.4.4 Compilation éventuelle des images . . . . . . . . . . . . . . . . . . . . . 684
2.4.5 Lancement par Docker Compose. . . . . . . . . . . . . . . . . . . . . . . 686
2.4.6 Déploiement d'une stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
2.4.7 Autres avertissements possibles. . . . . . . . . . . . . . . . . . . . . . . . 690
2.4.8 Diagnostic et validation du fonctionnement . . . . . . . . . . . . . 691
2.4.9 Mise au point du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . 698
2.4.10 Utilisation de l'ingress. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
2.4.11 Déploiement de l'IAM sur Docker Swarm . . . . . . . . . . . . . . . 705
2.4.12 Ajustement de la stack applicative . . . . . . . . . . . . . . . . . . . . . 708
2.4.13 Débogage du service de traitement des messages . . . . . . . . . . 711
2.5 Considérations additionnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
2.5.1 Provenance des images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
2.5.2 Passage à l'échelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716
2.5.3 Mise à jour des images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
2.5.4 Gestion des contraintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
2.5.5 Arrêt de la stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
Table des matières 15

3. Outils avancés d'exposition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723


3.1 Traefik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
3.1.1 Utilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
3.1.2 Lancement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
3.1.3 Mise en œuvre sur l'application exemple . . . . . . . . . . . . . . . . 725
3.1.4 Vérification du fonctionnement . . . . . . . . . . . . . . . . . . . . . . . 727
3.2 Caddy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
3.2.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
3.2.2 Réunification des stacks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
3.2.3 Remplacement de Traefik par Caddy . . . . . . . . . . . . . . . . . . . 731
3.2.4 Exposition simpliste pour test . . . . . . . . . . . . . . . . . . . . . . . . . 732
3.2.5 Ajout d'un fichier de configuration . . . . . . . . . . . . . . . . . . . . . 735
3.2.6 Modifications complémentaires . . . . . . . . . . . . . . . . . . . . . . . 736
3.2.7 Conclusion sur Caddy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
4. Introduction à Kubernetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
4.1 Positionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
4.2 Comparaison avec Docker Swarm. . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
4.3 Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
4.3.1 Pods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
4.3.2 Namespaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741
4.3.3 Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741
4.3.4 IngressController . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741
4.3.5 Volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742
4.3.6 ConfigMap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
4.3.7 Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
4.4 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
4.4.1 Choix de la méthode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
4.4.2 Création d'un cluster AKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746
4.4.3 Paramétrage de l'accès au cluster . . . . . . . . . . . . . . . . . . . . . . . 749
4.4.4 Accès au cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
4.5 Premier déploiement par ligne de commande . . . . . . . . . . . . . . . . . . . 752
4.5.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752
4.5.2 Création du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752
4.5.3 Vérification du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . 753
4.5.4 Présence d'un pod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753
4.5.5 Exposition par un service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
4.5.6 Test de l’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
16 Docker
Concepts et déploiement d'applications conçues en services

4.5.7 Nettoyage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756


5. Intégration et déploiement continus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
5.1 Approche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
5.2 Intégration continue de l'application exemple . . . . . . . . . . . . . . . . . . 758
5.2.1 Création du projet Azure DevOps . . . . . . . . . . . . . . . . . . . . . . 758
5.2.2 Création d'un pipeline de compilation pour le projet Server . 759
5.2.3 Correction du problème de compilation . . . . . . . . . . . . . . . . . 769
5.2.4 Remarques sur l'intégration des plateformes . . . . . . . . . . . . . 773
5.3 Déploiement de l'application microservices . . . . . . . . . . . . . . . . . . . . 774
5.3.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
5.3.2 Création du namespace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
5.3.3 Notion de fichier descriptif . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
5.3.4 Mise en place de l'ingress . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
5.3.5 Application au service Server . . . . . . . . . . . . . . . . . . . . . . . . . . 781
5.3.6 Gestion des paramètres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
5.3.7 Déploiement du service GED . . . . . . . . . . . . . . . . . . . . . . . . . . 786
5.3.8 Gestion des secrets sous forme de fichiers. . . . . . . . . . . . . . . . 788
5.3.9 Digression sur la gestion des images . . . . . . . . . . . . . . . . . . . . 791
5.3.10 Retour sur la gestion des secrets . . . . . . . . . . . . . . . . . . . . . . . 793
5.3.11 Gestion des secrets sous forme de chaînes . . . . . . . . . . . . . . . 794
5.3.12 Gestion du healthcheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
5.3.13 Débogage des démarrages suspendus. . . . . . . . . . . . . . . . . . . . 797
5.3.14 Retour sur le ConfigMap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
5.3.15 Gestion d'une application en mode console . . . . . . . . . . . . . . 799
5.3.16 Démarrage à l'échelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800
5.3.17 Ajustement du DNS du service . . . . . . . . . . . . . . . . . . . . . . . . 801
5.3.18 Cas particulier de l'IAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
5.3.19 Gestion des consommations de ressources . . . . . . . . . . . . . . . 802
5.3.20 Remarques sur les labels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
5.3.21 Gestion des volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
5.3.22 Lancement d'un seul coup . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
5.3.23 Arrêt de l'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
5.4 Déploiement continu avec Azure DevOps . . . . . . . . . . . . . . . . . . . . . 805
5.4.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
5.4.2 Mécanisme utilisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
5.4.3 Paramétrage dans Azure DevOps . . . . . . . . . . . . . . . . . . . . . . 807
5.4.4 Ménage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
Table des matières 17

5.5 Fonctionnalités supplémentaires d'usine logicielle . . . . . . . . . . . . . . . 814


5.5.1 Scan des images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815
5.5.2 Software Bill Of Material. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817
5.5.3 Pour aller plus loin avec Kubernetes . . . . . . . . . . . . . . . . . . . . 819
6. Azure Container Instances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
6.1 Principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
6.2 Préparation d'une image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
6.3 Lancement du conteneur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820
6.4 Correction de l'erreur et relance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823
6.5 Coût et effort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826

Index. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
Table des matières 1

Les éléments à télécharger sont disponibles à l'adresse suivante :


http://www.editions-eni.fr
Saisissez la référence de l'ouvrage EI2KUB dans la zone de recherche
et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.

Avant-propos
1. Présentation de Kubernetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.1 Un peu d’histoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
1.2 Qu’est-ce qu’un container ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.3 Les containers avant Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
1.4 Pourquoi utiliser des containers ? . . . . . . . . . . . . . . . . . . . . . . . . 45
1.5 Problèmes introduits avec les containers . . . . . . . . . . . . . . . . . . 46
1.6 À quoi va servir Kubernetes ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
1.7 Ressources externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
2. Un mot sur l’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
2.1 Rien ne sert de courir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
2.2 Les douze facteurs applicatifs . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.3 Microservices vs Monolithes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Chapitre 1
Introduction
1. Cibles et objectifs de l’ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2. Prérequis techniques et ressources documentaires . . . . . . . . . . . . . . . 50
2.1 Prérequis techniques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2.2 Ressources documentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2.3 Récupération des fichiers d’exemples . . . . . . . . . . . . . . . . . . . . . 51
2 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3. Présentation générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.1 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.2 Utilisation de Kubernetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.3 Installation et configuration de Kubernetes . . . . . . . . . . . . . . . . 52
3.4 Extension du cluster Kubernetes et notions avancées . . . . . . . . 53
3.5 Déploiement et intégration continue . . . . . . . . . . . . . . . . . . . . . 53
3.6 Conventions utilisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Chapitre 2
Installation de l’environnement Kubernetes
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
2. Alternative à l’installation en local . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.1 Pourquoi ces alternatives ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.2 Utilisation d’un service managé . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.3 Service Katacoda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3. Mise en place de la commande kubectl. . . . . . . . . . . . . . . . . . . . . . . . 57
3.1 À quoi sert kubectl ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.2 Installation de kubectl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
3.2.1 Installation sous Debian/Ubuntu . . . . . . . . . . . . . . . . . . . 58
3.2.2 Installation sous CentOS/RHEL ou Fedora . . . . . . . . . . . 58
3.2.3 Installation à l’aide d’Arkade . . . . . . . . . . . . . . . . . . . . . . . 59
3.3 Vérification de l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.4 Configuration de l’autocomplétion. . . . . . . . . . . . . . . . . . . . . . . 62
3.4.1 Présentation du mécanisme d’autocomplétion . . . . . . . . 62
3.4.2 Fichier profile à modifier . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.4.3 Autocomplétion sur kubectl . . . . . . . . . . . . . . . . . . . . . . . 63
3.4.4 Utilisation de la variable SHELL . . . . . . . . . . . . . . . . . . . . 63
3.4.5 Mise en place d’un alias . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Table des matières 3

4. Mise en place de Minikube . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64


4.1 Pourquoi faire appel à Minikube ?. . . . . . . . . . . . . . . . . . . . . . . . 64
4.2 Téléchargement et installation de Minikube . . . . . . . . . . . . . . . 65
4.3 Vérification de l'installation de Minikube. . . . . . . . . . . . . . . . . . 65
4.4 Mise en place de l’autocomplétion . . . . . . . . . . . . . . . . . . . . . . . 66
5. Installation du cluster Kubernetes avec Minikube. . . . . . . . . . . . . . . 66
5.1 Options de lancement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
5.2 Installation de Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
5.2.1 Installation de Docker Community Edition
sur Ubuntu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
5.2.2 Installation alternative. . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.2.3 Configuration des accès à Docker . . . . . . . . . . . . . . . . . . . 68
5.2.4 Vérification de l’installation de Docker . . . . . . . . . . . . . . 68
5.3 Installation de l’hyperviseur VirtualBox . . . . . . . . . . . . . . . . . . . 69
5.4 Installation de l’hyperviseur KVM/libvirt . . . . . . . . . . . . . . . . . 70
5.5 Configuration de l’utilisateur courant . . . . . . . . . . . . . . . . . . . . 70
5.6 Déploiement du cluster avec Minikube . . . . . . . . . . . . . . . . . . . 71
5.6.1 Création de la machine Minikube . . . . . . . . . . . . . . . . . . . 71
5.6.2 Arrêt/démarrage de la machine Minikube . . . . . . . . . . . . 75
5.6.3 Choix du container runtime . . . . . . . . . . . . . . . . . . . . . . . 76
5.6.4 Extensions de Minikube. . . . . . . . . . . . . . . . . . . . . . . . . . . 76
5.6.5 Suppression de la machine Minikube . . . . . . . . . . . . . . . . 78
6. Quelques notions sur le format YAML . . . . . . . . . . . . . . . . . . . . . . . . 79
6.1 Déclaration de couples clés/valeurs. . . . . . . . . . . . . . . . . . . . . . . 79
6.2 Les tableaux en YAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
6.3 Les structures clé/valeur ou table de hachage. . . . . . . . . . . . . . . 81
6.4 Tableau de table de hachage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

Chapitre 3
Tableau de bord et ligne de commande
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
2. Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
2.1 Origine du nom et du logo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
2.2 Pourquoi utiliser Kubernetes ?. . . . . . . . . . . . . . . . . . . . . . . . . . . 86
2.3 Origine de Kubernetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
2.4 Fondation CNCF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
2.5 Les orchestrateurs du marché . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
3. Le tableau de bord de Kubernetes (dashboard) . . . . . . . . . . . . . . . . . . 89
3.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
3.2 Tableau de bord Kubernetes sur service managé . . . . . . . . . . . . 89
3.3 Déploiement du dashboard sur Minikube . . . . . . . . . . . . . . . . . 89
3.4 Accès au dashboard sur Minikube . . . . . . . . . . . . . . . . . . . . . . . . 90
3.5 Structure du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
3.6 Création d’un déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
3.6.1 Un petit mot sur MailHog . . . . . . . . . . . . . . . . . . . . . . . . . 92
3.6.2 Lancement du déploiement . . . . . . . . . . . . . . . . . . . . . . . . 93
3.7 État d’un déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
3.7.1 Consultation de l’état du déploiement . . . . . . . . . . . . . . . 95
3.7.2 Consultation du gestionnaire de réplicats . . . . . . . . . . . . 96
3.7.3 Consultation de l’état d’un pod. . . . . . . . . . . . . . . . . . . . . 98
3.7.4 Journal d’activité du container . . . . . . . . . . . . . . . . . . . . . 99
3.7.5 Scalabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
3.7.6 Mise à jour de l’application . . . . . . . . . . . . . . . . . . . . . . . 101
3.7.7 Pour résumer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
4. Présentation de l’outil kubectl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
4.1 Préambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
4.2 Consultation des éléments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
4.3 Liste des pods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Table des matières 5

4.4 Liste des machines d’un cluster . . . . . . . . . . . . . . . . . . . . . . . . . 105


4.4.1 Connexion à la machine Minikube . . . . . . . . . . . . . . . . . 106
4.4.2 Liste des nœuds d’un cluster . . . . . . . . . . . . . . . . . . . . . . 106
4.4.3 Affichage des caractéristiques étendues . . . . . . . . . . . . . 107
5. Le moteur Containerd de Minikube . . . . . . . . . . . . . . . . . . . . . . . . . 108
5.1 Initialisation de l'environnement . . . . . . . . . . . . . . . . . . . . . . . 108
5.2 Les containers associés aux pods . . . . . . . . . . . . . . . . . . . . . . . . 108

Chapitre 4
Automatisation et publication d’une application
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
2. Gestion par kubectl d’une application . . . . . . . . . . . . . . . . . . . . . . . 111
2.1 Suppression d’un déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . 111
2.2 Création d’un déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
2.3 État du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
2.4 Mécanisme des réplicats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
2.4.1 Consultation des réplicats . . . . . . . . . . . . . . . . . . . . . . . . 115
2.4.2 Description des réplicats . . . . . . . . . . . . . . . . . . . . . . . . . 116
2.5 État du pod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
2.5.1 Liste des pods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
2.5.2 Détails de l’état d’un pod . . . . . . . . . . . . . . . . . . . . . . . . . 118
2.6 Accès aux logs des containers . . . . . . . . . . . . . . . . . . . . . . . . . . 120
2.7 Accéder à l’application MailHog . . . . . . . . . . . . . . . . . . . . . . . . 120
3. Exposition de services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
3.1 Pourquoi utiliser un service ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
3.2 Exposition d’un déploiement via un service . . . . . . . . . . . . . . . 123
3.3 Vérification du service mailhog . . . . . . . . . . . . . . . . . . . . . . . . . 123
3.4 Que faire en cas d’absence de shell ? . . . . . . . . . . . . . . . . . . . . . 125
3.4.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
3.4.2 Utilisation d’un pod éphémère . . . . . . . . . . . . . . . . . . . . 126
3.4.3 Lancement d’un pod de test. . . . . . . . . . . . . . . . . . . . . . . 127
6 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3.5 Résilience et scalabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128


3.5.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
3.5.2 Scalabilité manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
3.5.3 Nombre de pods associés à un déploiement . . . . . . . . . . 129
3.5.4 Arrêter temporairement une application . . . . . . . . . . . . 129
4. Automatisation de déploiement par fichier YAML . . . . . . . . . . . . . 130
4.1 Mécanisme de création et mise à jour . . . . . . . . . . . . . . . . . . . . 130
4.2 Structure YAML d’un déploiement. . . . . . . . . . . . . . . . . . . . . . 131
4.2.1 Quelques rappels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
4.2.2 Récupération d’une structure au format YAML . . . . . . 131
4.2.3 Édition d’un déploiement. . . . . . . . . . . . . . . . . . . . . . . . . 133
4.2.4 Squelette pour un déploiement . . . . . . . . . . . . . . . . . . . . 133
4.2.5 Création d’un déploiement à l’aide d’un fichier . . . . . . . 135
4.2.6 Suppression des éléments d’un fichier . . . . . . . . . . . . . . 136
4.2.7 Gestion de l’idempotence et de la réentrance . . . . . . . . . 136
4.3 Création du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
4.3.1 Définition du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
4.3.2 Application de la définition du service . . . . . . . . . . . . . . 139
4.3.3 Gestion de la réentrance. . . . . . . . . . . . . . . . . . . . . . . . . . 139
4.4 Mécanisme de sélecteur et labels . . . . . . . . . . . . . . . . . . . . . . . . 140
4.5 Regroupement de la création des éléments. . . . . . . . . . . . . . . . 141
4.5.1 Création d’un groupe d’objets . . . . . . . . . . . . . . . . . . . . . 141
4.5.2 Consultation de l’état d’un groupe d’objets . . . . . . . . . . 142
4.6 Structure des objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
4.6.1 Interrogation de Kubernetes avec kubectl . . . . . . . . . . . 143
4.6.2 Référence de l’API en ligne. . . . . . . . . . . . . . . . . . . . . . . . 144
5. Ingress et reverse proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
5.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
5.2 Rôle d’un proxy inverse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
5.3 Activation du contrôleur Ingress dans Minikube. . . . . . . . . . . 145
5.4 Déclaration d’une règle Ingress . . . . . . . . . . . . . . . . . . . . . . . . . 147
5.5 Consultation des règles Ingress . . . . . . . . . . . . . . . . . . . . . . . . . 148
Table des matières 7

5.6 Hôte virtuel et nip.io . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149


5.6.1 Hôte virtuel par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.6.2 Présentation du mécanisme de nip.io . . . . . . . . . . . . . . . 150
5.6.3 Configuration du serveur DNS . . . . . . . . . . . . . . . . . . . . 150
5.6.4 Création d’un hôte virtuel pour MailHog. . . . . . . . . . . . 153

Chapitre 5
Cycle de vie d’un container dans Kubernetes
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
2. Gestion des crashs d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
2.1 Consultation de l'état des pods . . . . . . . . . . . . . . . . . . . . . . . . . 156
2.2 Connexion au pod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
2.3 Container associé à MailHog . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
2.4 Comportement en cas de crash . . . . . . . . . . . . . . . . . . . . . . . . . 159
2.5 État du container après redémarrage du pod . . . . . . . . . . . . . . 160
2.6 Container vu depuis Containerd (Minikube) . . . . . . . . . . . . . . 160
2.7 Attention au nettoyage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
3. État d’un container. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
3.1 Pourquoi scruter l’état d’un container ? . . . . . . . . . . . . . . . . . . 162
3.2 Readiness vs Liveness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
3.3 Utilisation et bonne pratique. . . . . . . . . . . . . . . . . . . . . . . . . . . 164
3.4 Structure des champs de surveillance . . . . . . . . . . . . . . . . . . . . 164
3.5 Vérification de la présence d’un port. . . . . . . . . . . . . . . . . . . . . 166
3.5.1 Définition de la surveillance . . . . . . . . . . . . . . . . . . . . . . 166
3.5.2 Test d’indisponibilité sur un pod non prêt . . . . . . . . . . . 167
3.5.3 État des pods en cas d’indisponibilité . . . . . . . . . . . . . . . 168
3.5.4 Test d’indisponibilité sur un pod en mauvaise santé . . . 168
3.5.5 État des pods en cas de problème sur un pod . . . . . . . . . 169
3.5.6 Attention à la consistance des tests . . . . . . . . . . . . . . . . 169
3.5.7 Uniformisation des tests . . . . . . . . . . . . . . . . . . . . . . . . . 171
8 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3.6 Surveillance HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172


3.6.1 Pourquoi privilégier ce type de surveillance ? . . . . . . . . . 172
3.6.2 Surveillance de l’application MailHog . . . . . . . . . . . . . . 172
3.7 Point d’entrée de surveillance HTTP d’une application. . . . . . 173
3.7.1 Un mot sur les frameworks modernes . . . . . . . . . . . . . . 173
3.7.2 Présentation de l’application Flask . . . . . . . . . . . . . . . . . 173
3.7.3 Exemple de déclaration . . . . . . . . . . . . . . . . . . . . . . . . . . 174
3.7.4 Déploiement de l’application Flask . . . . . . . . . . . . . . . . . 175
3.7.5 Consultation de l’état de l’application . . . . . . . . . . . . . . 175
3.8 Lancement d’un shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
3.8.1 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . 177
3.8.2 Exemple de surveillance d’une base Postgres . . . . . . . . . 177
3.8.3 Déclaration de la commande . . . . . . . . . . . . . . . . . . . . . . 178
4. Définition de la capacité d’un pod. . . . . . . . . . . . . . . . . . . . . . . . . . . 178
4.1 Pourquoi définir une capacité ? . . . . . . . . . . . . . . . . . . . . . . . . . 178
4.2 Réservation et surallocation . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
4.3 Allocation de ressources à un container . . . . . . . . . . . . . . . . . . 179
4.4 Allocation de ressources à l’application MailHog. . . . . . . . . . . 180
4.5 Comportement en cas de saturation des ressources. . . . . . . . . 181
4.5.1 Demande trop importante de CPU . . . . . . . . . . . . . . . . . 181
4.5.2 Dépassement de la mémoire allouée . . . . . . . . . . . . . . . . 182
4.6 Priorité d’un pod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
4.6.1 Présentation du mécanisme . . . . . . . . . . . . . . . . . . . . . . . 183
4.6.2 Consultation des types par défaut . . . . . . . . . . . . . . . . . 184
4.6.3 Consultation des priorités des pods . . . . . . . . . . . . . . . . 184
4.6.4 Création d’une classe de priorité . . . . . . . . . . . . . . . . . . . 186
4.6.5 Affectation d’une classe de priorité personnalisée . . . . . 187
4.6.6 Remarque sur les classes de priorité par défaut . . . . . . . 188
Table des matières 9

Chapitre 6
Persistance des données
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
2. Persistance des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
2.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
2.2 Utilisation d’un volume persistant externe . . . . . . . . . . . . . . . 190
2.3 Volumes persistants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
2.3.1 Structure du volume persistant . . . . . . . . . . . . . . . . . . . . 191
2.3.2 Création du volume persistant . . . . . . . . . . . . . . . . . . . . 192
2.4 Persistance de données avec MailHog . . . . . . . . . . . . . . . . . . . . 192
2.4.1 Opérations à réaliser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
2.4.2 Déclaration de l’objet PersistentVolumeClaim . . . . . . . 193
2.4.3 État des objets de volume persistant. . . . . . . . . . . . . . . . 194
2.4.4 État de la demande de volume persistant . . . . . . . . . . . . 195
2.4.5 Déclaration du point de montage . . . . . . . . . . . . . . . . . . 195
2.4.6 Ajout d’un point de montage sur le container . . . . . . . . 196
2.4.7 Options de lancement de MailHog . . . . . . . . . . . . . . . . . 196
2.4.8 Déclaration entière suite aux modifications . . . . . . . . . . 197
2.5 Test de la persistance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
2.5.1 Installation de mhsendmail . . . . . . . . . . . . . . . . . . . . . . . 199
2.5.2 Ouverture de la communication avec le port SMTP . . . 200
2.5.3 Envoi d’un mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
2.5.4 Droits du répertoire de persistance des données. . . . . . . 201
2.5.5 Consultation de l’interface MailHog. . . . . . . . . . . . . . . . 202
2.5.6 Suppression des pods . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
2.5.7 Vérification du fonctionnement de la persistance . . . . . 203
3. Classes de stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
3.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
3.2 Liste des classes de stockage. . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
3.3 Détail d’une classe de stockage . . . . . . . . . . . . . . . . . . . . . . . . . 206
3.4 Classe de stockage par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . 206
10 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3.5 Les différentes classes de stockage. . . . . . . . . . . . . . . . . . . . . . . 207


3.5.1 Les différentes familles . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
3.5.2 Origine de ces familles . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
3.6 Caractéristiques des classes de stockage . . . . . . . . . . . . . . . . . . 208
3.6.1 Modes d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
3.6.2 Caractéristiques de certains pilotes . . . . . . . . . . . . . . . . . 209
3.6.3 Liste des pilotes chargés . . . . . . . . . . . . . . . . . . . . . . . . . . 210
3.7 Déclaration d’une classe de stockage. . . . . . . . . . . . . . . . . . . . . 211
3.7.1 Structure de la déclaration . . . . . . . . . . . . . . . . . . . . . . . . 211
3.7.2 Exemple de déclaration . . . . . . . . . . . . . . . . . . . . . . . . . . 212
3.8 Test de création automatique d’un volume persistant . . . . . . 213

Chapitre 7
Hébergement d’application en cluster
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
2. Déploiement d’une base de données MariaDB . . . . . . . . . . . . . . . . . 217
2.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
2.2 Déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
2.2.1 Choix de l’image Docker . . . . . . . . . . . . . . . . . . . . . . . . . 218
2.2.2 Version initiale du fichier de déploiement . . . . . . . . . . . 218
2.2.3 Gestion de la réentrance. . . . . . . . . . . . . . . . . . . . . . . . . . 219
2.3 Volume persistant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
2.3.1 Demande de volume persistant . . . . . . . . . . . . . . . . . . . . 220
2.3.2 État de la demande de volume persistant . . . . . . . . . . . . 220
2.3.3 Ajout d’une persistance sur le container de MariaDB . . 221
2.3.4 Consultation de l'état du déploiement . . . . . . . . . . . . . . 222
2.4 Configuration de la base de données. . . . . . . . . . . . . . . . . . . . . 223
2.5 Consultation de l’état du pod . . . . . . . . . . . . . . . . . . . . . . . . . . 224
2.5.1 Liste des pods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
2.5.2 Connexion au container. . . . . . . . . . . . . . . . . . . . . . . . . . 225
2.5.3 Création de l’entrée de service . . . . . . . . . . . . . . . . . . . . . 225
Table des matières 11

2.6 Surveillance de la base de données. . . . . . . . . . . . . . . . . . . . . . . 226


2.6.1 Définition des commandes de surveillance. . . . . . . . . . . 226
2.6.2 Application de la modification . . . . . . . . . . . . . . . . . . . . 228
2.6.3 Vérification du déploiement . . . . . . . . . . . . . . . . . . . . . . 228
2.7 Mécanisme de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
3. Mise en place d’un StatefulSet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
3.1 Augmentation du nombre de pods associés au déploiement. . 231
3.2 Présentation du type StatefulSet. . . . . . . . . . . . . . . . . . . . . . . . 233
3.2.1 Caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
3.2.2 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
3.3 Déclaration du premier objet StatefulSet . . . . . . . . . . . . . . . . . 234
3.3.1 Purge de l’ancien déploiement . . . . . . . . . . . . . . . . . . . . . 234
3.3.2 Modifications à réaliser . . . . . . . . . . . . . . . . . . . . . . . . . . 234
3.3.3 Création du StatefulSet . . . . . . . . . . . . . . . . . . . . . . . . . . 236
3.3.4 État des volumes persistants . . . . . . . . . . . . . . . . . . . . . . 236
3.3.5 Suppression des anciens objets PV/PVC . . . . . . . . . . . . . 237
3.4 Scalabilité de l’objet StatefulSet . . . . . . . . . . . . . . . . . . . . . . . . 237
3.5 Pods et volumes persistants d’un objet StatefulSet . . . . . . . . . 238
3.6 Réduction de la taille du StatefulSet . . . . . . . . . . . . . . . . . . . . . 239
4. Base et compte de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
4.1 Variables d’environnement du container . . . . . . . . . . . . . . . . . 240
4.2 ConfigMap et secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
4.2.1 Pourquoi y faire appel ? . . . . . . . . . . . . . . . . . . . . . . . . . . 240
4.2.2 Structure d’un objet ConfigMap . . . . . . . . . . . . . . . . . . . 241
4.2.3 Déclaration d’un objet Secret . . . . . . . . . . . . . . . . . . . . . 241
4.2.4 Rattachement au container . . . . . . . . . . . . . . . . . . . . . . . 243
12 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

Chapitre 8
Mise en place d’une réplication entre pods
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
2. Synchronisation des pods MariaDB . . . . . . . . . . . . . . . . . . . . . . . . . 246
2.1 Exposition de la problématique . . . . . . . . . . . . . . . . . . . . . . . . . 246
2.2 Principe de fonctionnement de la synchronisation . . . . . . . . . 246
2.2.1 Opérations à réaliser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
2.2.2 Nombre de réplicats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
2.3 Identifiants des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
2.3.1 Connexion aux pods. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
2.3.2 Connexion à la base de données . . . . . . . . . . . . . . . . . . . 247
2.3.3 Identifiants des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . 248
2.3.4 ID du maître . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
2.3.5 Création du compte de réplication sur le maître . . . . . . 249
2.3.6 Configuration de l’esclave . . . . . . . . . . . . . . . . . . . . . . . . 250
2.4 Activation de la synchronisation. . . . . . . . . . . . . . . . . . . . . . . . 250
2.4.1 Activer les journaux pour la réplication . . . . . . . . . . . . . 250
2.4.2 Commande docker-entrypoint.sh . . . . . . . . . . . . . . . . . . 251
2.4.3 Consultation de l’état du maître . . . . . . . . . . . . . . . . . . . 252
2.4.4 Configuration de l’esclave . . . . . . . . . . . . . . . . . . . . . . . . 253
2.5 Test de la réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
2.5.1 Connexion au maître . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
2.5.2 Création d’une table. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
2.5.3 Connexion à l’esclave . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
3. Automatisation de la synchronisation . . . . . . . . . . . . . . . . . . . . . . . 256
3.1 Scripts de démarrage et synchronisation . . . . . . . . . . . . . . . . . 256
3.1.1 Script de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
3.1.2 Configuration de la synchronisation. . . . . . . . . . . . . . . . 257
3.1.3 Scripts SQL additionnels . . . . . . . . . . . . . . . . . . . . . . . . . 258
3.1.4 Script d’arrêt de la base . . . . . . . . . . . . . . . . . . . . . . . . . . 258
3.2 Scripts et objet ConfigMap . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
3.3 Création du ConfigMap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Table des matières 13

3.4 Montage du ConfigMap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262


3.4.1 Référencement du ConfigMap dans la liste
des volumes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
3.4.2 Point de montage du ConfigMap . . . . . . . . . . . . . . . . . . 263
3.5 Démarrage et arrêt du container . . . . . . . . . . . . . . . . . . . . . . . . 263
3.5.1 Commande de démarrage . . . . . . . . . . . . . . . . . . . . . . . . 263
3.5.2 Commande d’arrêt de la base. . . . . . . . . . . . . . . . . . . . . . 264
3.6 Résumé des modifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
3.7 État du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
3.7.1 État des pods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
3.7.2 Journaux d’activité du pod esclave . . . . . . . . . . . . . . . . . 266
3.7.3 Test de la synchronisation . . . . . . . . . . . . . . . . . . . . . . . . 266
3.7.4 Vérification du fonctionnement de la synchronisation . 267

Chapitre 9
Gestion des briques internes de Kubernetes
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
2. Espace de noms kube-system. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
2.1 Pods présents dans l’espace de noms kube-system. . . . . . . . . . 269
2.2 CoreDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
2.3 etcd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
2.4 Le gestionnaire de réseau Kindnet . . . . . . . . . . . . . . . . . . . . . . . 271
2.5 Le gestionnaire d’extensions de Minikube . . . . . . . . . . . . . . . . 271
2.6 Le serveur d'API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
2.7 Le proxy Kubernetes (kube-proxy) . . . . . . . . . . . . . . . . . . . . . . 272
2.8 Le gestionnaire de tâches (scheduler) . . . . . . . . . . . . . . . . . . . . 272
2.9 Le gestionnaire de contrôle (controller manager) . . . . . . . . . . . 272
2.10 Kubelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
3. Configuration des serveurs maîtres. . . . . . . . . . . . . . . . . . . . . . . . . . 273
3.1 Principe de lancement des pods système. . . . . . . . . . . . . . . . . . 273
3.2 Contenu du répertoire /etc/kubernetes/manifests. . . . . . . . . . 273
3.3 Contenu des fichiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
14 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3.4 Désactivation d’un pod système . . . . . . . . . . . . . . . . . . . . . . . . 275


3.5 Réactivation du pod système. . . . . . . . . . . . . . . . . . . . . . . . . . . 276
4. Monitoring des containers du cluster avec Glances . . . . . . . . . . . . . 277
4.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
4.2 Consultation des DaemonSets . . . . . . . . . . . . . . . . . . . . . . . . . 277
4.3 Présentation de Glances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
4.4 Définition du DaemonSet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
4.4.1 Structure de la déclaration . . . . . . . . . . . . . . . . . . . . . . . . 278
4.4.2 Champ volumes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
4.4.3 Champ containers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
4.5 Création du DaemonSet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
4.5.1 Déclaration complète . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
4.5.2 Création du DaemonSet . . . . . . . . . . . . . . . . . . . . . . . . . 281
4.5.3 Consultation des pods . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
4.6 Annotations de tolérance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
4.6.1 Présentation du mécanisme . . . . . . . . . . . . . . . . . . . . . . . 282
4.6.2 Récupération des annotations taints . . . . . . . . . . . . . . . 282
4.6.3 Tolérances de lancement . . . . . . . . . . . . . . . . . . . . . . . . . 284
4.6.4 Modification du DaemonSet . . . . . . . . . . . . . . . . . . . . . . 284
4.7 Connexion à Glances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

Chapitre 10
Helm - Gestionnaire de package
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
2. Présentation de Helm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
2.1 Pourquoi faire appel à Helm ? . . . . . . . . . . . . . . . . . . . . . . . . . . 287
2.2 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Table des matières 15

3. Déploiement de Helm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288


3.1 Installation du client Helm . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
3.1.1 Installation à l’aide d’Arkade . . . . . . . . . . . . . . . . . . . . . . 288
3.1.2 Installation manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
3.2 Consultation de la version de Helm . . . . . . . . . . . . . . . . . . . . . 290
3.3 Configuration du client Helm . . . . . . . . . . . . . . . . . . . . . . . . . . 290
4. Déploiement d’une application avec Helm. . . . . . . . . . . . . . . . . . . . 291
4.1 Déterminer le package à déployer . . . . . . . . . . . . . . . . . . . . . . . 291
4.1.1 Recherche d’un chart Helm . . . . . . . . . . . . . . . . . . . . . . . 291
4.1.2 Gestion des sources de charts Helm . . . . . . . . . . . . . . . . 291
4.1.3 Recherche et gestion du cache de Helm . . . . . . . . . . . . . 293
4.2 Installation du package WordPress . . . . . . . . . . . . . . . . . . . . . . 294
4.2.1 Un peu de vocabulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
4.2.2 Lancement de l’installation . . . . . . . . . . . . . . . . . . . . . . . 294
4.2.3 Installation sans accès direct . . . . . . . . . . . . . . . . . . . . . . 296
4.3 Corrections de l’installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
4.3.1 Quelques remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
4.3.2 Spécification du nom et espace de noms . . . . . . . . . . . . 296
4.3.3 Lancement de l’installation . . . . . . . . . . . . . . . . . . . . . . . 297
4.3.4 Mise à jour et réentrance . . . . . . . . . . . . . . . . . . . . . . . . . 297
4.3.5 Généralisation des options d’installation . . . . . . . . . . . . 303
4.4 Éléments déployés avec Helm . . . . . . . . . . . . . . . . . . . . . . . . . . 304
4.5 Suppression d’un déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . 305
4.6 Annulation de la suppression. . . . . . . . . . . . . . . . . . . . . . . . . . . 306
4.7 Purge d’un chart Helm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
5. Cycle de vie d’une application déployée avec Helm. . . . . . . . . . . . . 308
5.1 Ouverture du port vers WordPress . . . . . . . . . . . . . . . . . . . . . . 308
5.2 Connexion à WordPress . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
5.3 Configuration d’un chart Helm. . . . . . . . . . . . . . . . . . . . . . . . . 310
5.3.1 Consultation des options d’un chart. . . . . . . . . . . . . . . . 310
5.3.2 Configuration de la publication (Minikube). . . . . . . . . . 312
5.4 Historique de déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
16 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

5.5 Visualisation des différences avant installation . . . . . . . . . . . . 315


5.5.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
5.5.2 Installation de l’extension diff pour Helm . . . . . . . . . . . 316
5.5.3 Visualisation des modifications dans l’historique . . . . . 317
5.5.4 Visualisation des modifications avant installation . . . . 319
5.6 Retour arrière . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
5.7 Portail Artifact Hub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Chapitre 11
Contextes et outils tiers Kubernetes
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
2. Gestion des contextes avec kubectl . . . . . . . . . . . . . . . . . . . . . . . . . . 324
2.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
2.2 Lister les contextes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
2.3 Variable d’environnement KUBECONFIG . . . . . . . . . . . . . . . . 325
2.3.1 Spécifier l’emplacement du fichier . . . . . . . . . . . . . . . . . 325
2.3.2 Spécifier plusieurs fichiers . . . . . . . . . . . . . . . . . . . . . . . . 325
2.4 Changement de contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
2.5 Créer un contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
2.6 Supprimer un contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
2.7 Outils de gestion de contexte . . . . . . . . . . . . . . . . . . . . . . . . . . 328
2.7.1 Présentation de kubectx et kubens . . . . . . . . . . . . . . . . . 328
2.7.2 Installation de kubectx et kubens . . . . . . . . . . . . . . . . . . 329
2.7.3 Mise en place de l’autocomplétion . . . . . . . . . . . . . . . . . 330
2.7.4 Test des commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
2.8 Contexte dans le prompt utilisateur . . . . . . . . . . . . . . . . . . . . . 331
2.8.1 Pourquoi afficher le contexte ? . . . . . . . . . . . . . . . . . . . . 331
2.8.2 Activation à l’aide de oh-my-zsh . . . . . . . . . . . . . . . . . . . 331
2.8.3 Activation avec bash . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
2.8.4 Exemple d’affichage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Table des matières 17

2.9 Changement des couleurs du terminal avec Konsole. . . . . . . . 332


2.9.1 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . 332
2.9.2 Création de la fonction . . . . . . . . . . . . . . . . . . . . . . . . . . 333
2.9.3 Ajout de l’appel dans l’invite de commandes . . . . . . . . . 334
3. Utilitaires Kubernetes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
3.1 k9s : interface texte de suivi. . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
3.1.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
3.1.2 Installation de k9s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
3.1.3 Lancement de k9s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
3.2 Kubespy : espionnage de l’activité. . . . . . . . . . . . . . . . . . . . . . . 337
3.2.1 Présentation de Kubespy . . . . . . . . . . . . . . . . . . . . . . . . . 337
3.2.2 Installation de Kubespy . . . . . . . . . . . . . . . . . . . . . . . . . . 337
3.2.3 Observation d’un déploiement avec Kubespy . . . . . . . . 337
3.3 Krew : gestionnaire d’extensions. . . . . . . . . . . . . . . . . . . . . . . . 338
3.3.1 Présentation du mécanisme d’extensions . . . . . . . . . . . . 338
3.3.2 Installation de Krew . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
3.3.3 Test de l’extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
3.4 Sniff : capture du trafic réseau d’un pod. . . . . . . . . . . . . . . . . . 340
3.4.1 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . 340
3.4.2 Installation de Sniff et Wireshark . . . . . . . . . . . . . . . . . . 340
3.4.3 Lancement d’une séance de capture . . . . . . . . . . . . . . . . 341
3.5 Kube Hunter : outil d’analyse du cluster . . . . . . . . . . . . . . . . . 343
3.5.1 Présentation de Kube Hunter . . . . . . . . . . . . . . . . . . . . . 343
3.5.2 Lancement de l’analyse . . . . . . . . . . . . . . . . . . . . . . . . . . 343
3.5.3 Résultat de l’analyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
3.5.4 Publication de rapports HTML . . . . . . . . . . . . . . . . . . . . 345
3.5.5 Lancement à intervalles réguliers . . . . . . . . . . . . . . . . . . 346
18 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

Chapitre 12
Services managés Kubernetes
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
2. Service managé de Google : GKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
2.1 Présentation du service Google . . . . . . . . . . . . . . . . . . . . . . . . . 350
2.2 Administration depuis la console Google . . . . . . . . . . . . . . . . . 350
2.3 Installation de la commande gcloud en local . . . . . . . . . . . . . . 352
2.3.1 Installation sur Debian/Ubuntu . . . . . . . . . . . . . . . . . . . 352
2.3.2 Mise en place de l’autocomplétion . . . . . . . . . . . . . . . . . 353
2.4 Configuration de l'environnement . . . . . . . . . . . . . . . . . . . . . . 354
2.4.1 Authentification auprès de Google Cloud . . . . . . . . . . . 354
2.4.2 Projet associé avec le contexte courant . . . . . . . . . . . . . . 356
2.4.3 Activation de l’API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
2.5 Gestion du cluster GKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
2.5.1 Consultation de la liste des clusters . . . . . . . . . . . . . . . . 357
2.5.2 Versions et régions disponibles . . . . . . . . . . . . . . . . . . . . 358
2.6 Création d’un cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
2.6.1 Options de création . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
2.6.2 Lancement de la création du cluster . . . . . . . . . . . . . . . . 359
2.6.3 Récupération du fichier d’accès au cluster . . . . . . . . . . . 360
2.7 Consultation du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
2.7.1 Liste des nœuds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
2.7.2 Services démarrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
2.8 Délégation des droits d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
2.8.1 Configuration des accès . . . . . . . . . . . . . . . . . . . . . . . . . . 363
2.8.2 Principe du mécanisme sous-jacent. . . . . . . . . . . . . . . . . 364
2.9 Suppression d’un cluster GKE . . . . . . . . . . . . . . . . . . . . . . . . . . 365
3. Service managé Microsoft Azure : AKS . . . . . . . . . . . . . . . . . . . . . . 366
3.1 Présentation du service Azure . . . . . . . . . . . . . . . . . . . . . . . . . . 366
3.2 Administration depuis la console Azure . . . . . . . . . . . . . . . . . . 366
3.2.1 Présentation de la console . . . . . . . . . . . . . . . . . . . . . . . . 366
3.2.2 Consultation du tableau de bord Kubernetes . . . . . . . . . 368
Table des matières 19

3.3 Installation de la commande az en local . . . . . . . . . . . . . . . . . . 368


3.3.1 Installation sur Debian/Ubuntu . . . . . . . . . . . . . . . . . . . 369
3.3.2 Mise en place de l'autocomplétion . . . . . . . . . . . . . . . . . 369
3.4 Authentification auprès du service Azure. . . . . . . . . . . . . . . . . 370
3.5 Emplacement de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . 371
3.5.1 Liste des emplacements . . . . . . . . . . . . . . . . . . . . . . . . . . 371
3.5.2 Versions disponibles de Kubernetes . . . . . . . . . . . . . . . . 372
3.6 Création d’un cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
3.6.1 Création d’un groupe de ressources. . . . . . . . . . . . . . . . . 373
3.6.2 Lancement de la création du cluster . . . . . . . . . . . . . . . . 373
3.6.3 Récupération du fichier de connexion. . . . . . . . . . . . . . . 375
3.6.4 Zone DNS par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
3.7 Consultation de la liste des clusters . . . . . . . . . . . . . . . . . . . . . 377
3.8 Délégation des droits d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
3.9 Suppression d’un cluster AKS . . . . . . . . . . . . . . . . . . . . . . . . . . 377
4. Service managé d’Amazon : EKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
4.1 Présentation du service Amazon AWS . . . . . . . . . . . . . . . . . . . 378
4.2 Introduction de la commande eksctl. . . . . . . . . . . . . . . . . . . . . 379
4.3 Configuration des accès Amazon . . . . . . . . . . . . . . . . . . . . . . . 379
4.4 Installation des binaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
4.4.1 Installation d’eksctl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
4.4.2 Installation de l’outil aws cli . . . . . . . . . . . . . . . . . . . . . . 383
4.4.3 Vérification de la communication avec AWS . . . . . . . . . 384
4.5 Création du cluster EKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
4.5.1 Aide en ligne d’eksctl . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
4.5.2 Options intéressantes à la création d’un cluster. . . . . . . 386
4.5.3 Lancement de la création du cluster . . . . . . . . . . . . . . . . 387
4.6 Configuration des accès kubectl . . . . . . . . . . . . . . . . . . . . . . . . 391
4.7 Mécanisme de communication . . . . . . . . . . . . . . . . . . . . . . . . . 391
4.8 Délégation des droits d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
4.8.1 Configuration des accès . . . . . . . . . . . . . . . . . . . . . . . . . . 392
4.8.2 Principe du mécanisme sous-jacent. . . . . . . . . . . . . . . . . 393
4.9 Suppression du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
20 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

5. Service Kubernetes OVHcloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396


5.1 Présentation d’OVHcloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
5.2 Méthode de création du cluster et prérequis . . . . . . . . . . . . . . 396
5.3 Réseau des nœuds du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
5.4 Création du cluster Kubernetes . . . . . . . . . . . . . . . . . . . . . . . . . 398
5.5 Suppression du cluster Kubernetes . . . . . . . . . . . . . . . . . . . . . . 399
6. Accès en lecture-écriture multiple . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
6.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
6.2 Serveur NFS déployé dans Kubernetes . . . . . . . . . . . . . . . . . . . 400
6.2.1 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
6.2.2 Déploiement d’un serveur NFS . . . . . . . . . . . . . . . . . . . . 401
6.2.3 Vérification du déploiement . . . . . . . . . . . . . . . . . . . . . . 402
6.2.4 Test de création de volume persistant (PVC) . . . . . . . . . 402
6.3 Service managé Amazon : EFS. . . . . . . . . . . . . . . . . . . . . . . . . . 403
6.3.1 Consultation des instances EFS. . . . . . . . . . . . . . . . . . . . 403
6.3.2 Création d’une instance EFS . . . . . . . . . . . . . . . . . . . . . . 403
6.4 Service managé Google : Filestore . . . . . . . . . . . . . . . . . . . . . . . 404
6.4.1 Consultation des instances Filestore. . . . . . . . . . . . . . . . 404
6.4.2 Création d’une instance Filestore . . . . . . . . . . . . . . . . . . 405
6.5 Classe de stockage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
6.5.1 Installation du chart. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
6.5.2 Vérification de l'installation du chart . . . . . . . . . . . . . . . 406
6.5.3 Test de création d’une demande de volume
persistant (PVC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
6.6 Classe de stockage Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Table des matières 21

Chapitre 13
Installation de Kubernetes en interne
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
2. Installation à l’aide de Kubespray . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
2.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
2.2 Pourquoi Kubespray ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
2.3 Principe de Kubespray . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
2.4 Prérequis des machines à administrer avec Ansible . . . . . . . . . 411
2.4.1 Échange de clés SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
2.4.2 Escalade de droits sudo. . . . . . . . . . . . . . . . . . . . . . . . . . . 411
2.5 Structure du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
2.5.1 Architecture du cluster Kubespray . . . . . . . . . . . . . . . . . 413
2.5.2 Groupes de machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
2.6 Préparation des éléments d’installation . . . . . . . . . . . . . . . . . . 414
2.6.1 Clonage du dépôt Git . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
2.6.2 Installation des prérequis . . . . . . . . . . . . . . . . . . . . . . . . . 414
2.7 Préparation de l’inventaire Ansible . . . . . . . . . . . . . . . . . . . . . . 415
2.7.1 Qu’est-ce qu’un inventaire ? . . . . . . . . . . . . . . . . . . . . . . 415
2.7.2 Fichier d’inventaire d’exemple . . . . . . . . . . . . . . . . . . . . . 415
2.7.3 Test de la communication Ansible/SSH . . . . . . . . . . . . . 417
2.8 Installation du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
2.8.1 Configuration du cluster . . . . . . . . . . . . . . . . . . . . . . . . . 418
2.8.2 Lancement de l’installation . . . . . . . . . . . . . . . . . . . . . . . 419
2.8.3 Mise à jour du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
2.9 Accès au cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
2.9.1 Configuration de l’accès au cluster . . . . . . . . . . . . . . . . . 420
2.9.2 Utilisation d’un répartiteur de charge . . . . . . . . . . . . . . . 420
2.9.3 Vérification de la communication avec le cluster. . . . . . 421
22 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3. Environnement embarqué avec k3s. . . . . . . . . . . . . . . . . . . . . . . . . . 422


3.1 Présentation et but du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . 422
3.2 Installation de k3s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
3.3 Communication avec le cluster . . . . . . . . . . . . . . . . . . . . . . . . . 424
3.4 Ajout de nœuds au cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Chapitre 14
Exposition des applications sur Internet
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
2. Gestion des entrées DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
2.1 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
2.2 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
2.3 Retour sur le fonctionnement du domaine DNS nip.io. . . . . . 429
2.4 Activation du service DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
2.4.1 Console Cloud DNS Google . . . . . . . . . . . . . . . . . . . . . . 430
2.4.2 Service DNS Zones d’Azure. . . . . . . . . . . . . . . . . . . . . . . 433
2.4.3 Service Route 53 d’AWS. . . . . . . . . . . . . . . . . . . . . . . . . . 434
2.5 Configuration DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
2.5.1 Opération à réaliser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
2.5.2 Console DNS OVH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
2.5.3 Vérification de la délégation . . . . . . . . . . . . . . . . . . . . . . 437
2.6 Gestionnaire de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
2.6.1 Présentation de la brique external-dns . . . . . . . . . . . . . . 438
2.6.2 Création du compte d’administration DNS
de Google Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
2.6.3 Création du compte d’administration DNS
service Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
2.6.4 Création du compte d’administration DNS Amazon
(Route 53) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
2.6.5 Création d’un secret (Google et Azure). . . . . . . . . . . . . . 444
2.6.6 Déploiement d’external-dns . . . . . . . . . . . . . . . . . . . . . . 445
2.6.7 Vérification du fonctionnement d’external-dns. . . . . . . 447
Table des matières 23

3. Exposition de services et répartition de charge. . . . . . . . . . . . . . . . . 448


3.1 Présentation du mécanisme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
3.2 Retour sur la notion de service . . . . . . . . . . . . . . . . . . . . . . . . . 448
3.2.1 Rôle d’un service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
3.2.2 Structure d’un service. . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
3.2.3 Type ClusterIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
3.2.4 Type NodePort et LoadBalancer . . . . . . . . . . . . . . . . . . . 450
3.2.5 Type ExternalName . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
3.3 Service associé au proxy inverse . . . . . . . . . . . . . . . . . . . . . . . . 450
4. Le contrôleur Ingress . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
4.1 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
4.2 Le rôle du contrôleur Ingress . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
4.3 Structure d’une règle Ingress . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
4.4 Droits nécessaires pour un contrôleur. . . . . . . . . . . . . . . . . . . . 453
5. Le contrôleur Ingress Google . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
5.1 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
5.2 Présentation du contrôleur GLBC . . . . . . . . . . . . . . . . . . . . . . . 455
5.3 Déploiement de MailHog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
5.3.1 Préparation de la règle Ingress . . . . . . . . . . . . . . . . . . . . . 455
5.3.2 Déploiement de l’application MailHog . . . . . . . . . . . . . . 456
5.3.3 Consultation de l’état de l’objet Ingress . . . . . . . . . . . . . 456
5.3.4 Consultation du journal d'activité d’external-dns . . . . . 456
5.3.5 Consultation de MailHog . . . . . . . . . . . . . . . . . . . . . . . . 457
6. Le contrôleur Ingress Nginx. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
6.1 Pourquoi changer de contrôleur Ingress ? . . . . . . . . . . . . . . . . . 461
6.2 Présentation du logiciel Nginx. . . . . . . . . . . . . . . . . . . . . . . . . . 461
6.3 Installation d’Ingress Nginx sur GKE (Google) . . . . . . . . . . . . 462
6.3.1 Détermination du chart Helm à installer . . . . . . . . . . . . 462
6.3.2 Espace de noms et configuration du chart . . . . . . . . . . . 462
6.4 Utilisation du contrôleur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
6.4.1 Utilisation du champ spec.ingressClassName . . . . . . . . 463
6.4.2 Vérification du déploiement . . . . . . . . . . . . . . . . . . . . . . 464
24 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

6.5 Annotations Ingress Nginx . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465


6.6 Ajustement de la configuration du contrôleur Nginx . . . . . . . 466
6.6.1 Récupération de l’origine du trafic . . . . . . . . . . . . . . . . . 466
6.6.2 Haute disponibilité et règles d’affinité/anti-affinité . . . 468
6.6.3 Gestion des contrôleurs Ingress . . . . . . . . . . . . . . . . . . . . 471
6.6.4 Réservation et limitation des ressources disponibles . . . 473
7. Le contrôleur Ingress Traefik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
7.1 Présentation de Traefik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
7.2 Installation du chart Helm . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
7.3 Utilisation du nouveau contrôleur Ingress . . . . . . . . . . . . . . . . 478
7.3.1 Sélectionner le contrôleur Ingress Traefik . . . . . . . . . . . 478
7.3.2 Création de la règle Ingress faisant appel à Traefik . . . . 478
7.3.3 État des règles Ingress. . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
7.4 Tableau de bord de Traefik . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
7.5 Annotations Ingress Traefik . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
7.6 Distribution de la charge et haute disponibilité . . . . . . . . . . . . 483
7.7 Réservation et limitation des ressources disponibles . . . . . . . . 484
7.8 Pour aller plus loin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484

Chapitre 15
Sécurisation : accès aux applications
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
2. Mise en place de Let’s Encrypt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488
2.1 Présentation de Let’s Encrypt . . . . . . . . . . . . . . . . . . . . . . . . . . 488
2.2 Installation du chart Helm cert-manager . . . . . . . . . . . . . . . . . 488
2.2.1 Présentation du chart Helm. . . . . . . . . . . . . . . . . . . . . . . 488
2.2.2 Prérequis avant installation . . . . . . . . . . . . . . . . . . . . . . . 489
Table des matières 25

2.3 L’émetteur de certificats (issuer) . . . . . . . . . . . . . . . . . . . . . . . . 490


2.3.1 Principe du protocole ACME . . . . . . . . . . . . . . . . . . . . . . 490
2.3.2 Structure de la déclaration d’un émetteur . . . . . . . . . . . 491
2.3.3 Exemple de déclaration Issuer Google . . . . . . . . . . . . . . . 493
2.3.4 Exemple de déclaration Issuer Azure. . . . . . . . . . . . . . . . 494
2.3.5 Exemple de déclaration Issuer Amazon . . . . . . . . . . . . . 494
2.3.6 Limitations et certificats avec joker . . . . . . . . . . . . . . . . 495
2.4 Exemples de déclarations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
2.4.1 Serveur Let’s Encrypt de test . . . . . . . . . . . . . . . . . . . . . . 496
2.4.2 Serveur Let’s Encrypt de production . . . . . . . . . . . . . . . . 497
2.5 Déclaration des certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
2.5.1 État des émetteurs de certificats . . . . . . . . . . . . . . . . . . . 498
2.5.2 Structure d’un certificat . . . . . . . . . . . . . . . . . . . . . . . . . . 498
2.5.3 Certificat de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
2.5.4 État du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
2.5.5 Journal d’activité de cert-manager. . . . . . . . . . . . . . . . . . 500
2.5.6 Consultation du secret . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
2.5.7 Certificat de production. . . . . . . . . . . . . . . . . . . . . . . . . . 503
2.5.8 Marche à suivre en cas de problèmes . . . . . . . . . . . . . . . 504
2.6 Rattachement du certificat à la règle Ingress . . . . . . . . . . . . . . 505
2.7 Automatisation de la gestion des certificats . . . . . . . . . . . . . . . 507
2.7.1 Certificat par défaut du contrôleur Ingress Nginx . . . . . 507
2.7.2 Mécanisme d’annotations . . . . . . . . . . . . . . . . . . . . . . . . 508
2.7.3 Émetteur de certificats par défaut . . . . . . . . . . . . . . . . . . 509
3. Protection de l’accès aux applications . . . . . . . . . . . . . . . . . . . . . . . . 509
3.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
3.2 Mot de passe simple (HTTP basic) . . . . . . . . . . . . . . . . . . . . . . 510
3.2.1 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . 510
3.2.2 Création du secret à l’aide de htpasswd . . . . . . . . . . . . . 510
3.2.3 Import du secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
3.2.4 Configuration de l’authentification . . . . . . . . . . . . . . . . 512
26 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

4. Authentification basée sur OAuth2 . . . . . . . . . . . . . . . . . . . . . . . . . 515


4.1 À propos du protocole OAuth2 . . . . . . . . . . . . . . . . . . . . . . . . . 515
4.2 Principe de la solution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
4.3 Création d’un identifiant GitHub . . . . . . . . . . . . . . . . . . . . . . . 517
4.4 Déploiement du proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
4.4.1 À propos du proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
4.4.2 Configuration du chart Helm . . . . . . . . . . . . . . . . . . . . . 519
4.4.3 Déploiement du chart Helm . . . . . . . . . . . . . . . . . . . . . . 520
4.4.4 État du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
4.5 Déclaration des règles Ingress . . . . . . . . . . . . . . . . . . . . . . . . . . 521
4.5.1 Description des règles Ingress . . . . . . . . . . . . . . . . . . . . . 521
4.5.2 Annotations Ingress de MailHog. . . . . . . . . . . . . . . . . . . 521
4.5.3 Description Ingress du proxy OAuth . . . . . . . . . . . . . . . 521
4.5.4 Déclaration des règles Ingress . . . . . . . . . . . . . . . . . . . . . 521
4.6 Tests de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
4.7 Restriction des accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
4.7.1 Mécanisme d’autorisation . . . . . . . . . . . . . . . . . . . . . . . . 524
4.7.2 Restriction par domaine e-mail . . . . . . . . . . . . . . . . . . . . 525
4.7.3 Restriction par organisation GitHub . . . . . . . . . . . . . . . 525

Chapitre 16
Polices réseau
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
2. Les polices réseau (network policies). . . . . . . . . . . . . . . . . . . . . . . . . 527
2.1 Présentation du mécanisme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
2.2 Kubernetes Network Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
2.3 Polices réseau sur services managés et installation maison . . . 528
2.4 Installation de Calico sur Minikube . . . . . . . . . . . . . . . . . . . . . 529
2.4.1 Activation de CNI sur Minikube. . . . . . . . . . . . . . . . . . . 529
2.4.2 Installation de Calico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Table des matières 27

2.5 Connexions entrantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529


2.5.1 Test de la connexion en interne . . . . . . . . . . . . . . . . . . . 529
2.5.2 Bloquer les accès internes. . . . . . . . . . . . . . . . . . . . . . . . . 530
2.5.3 Test de la règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
2.6 Connexions sortantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
2.6.1 Test des connexions externes . . . . . . . . . . . . . . . . . . . . . 532
2.6.2 Restriction sur les règles sortantes . . . . . . . . . . . . . . . . . 533
2.6.3 Test de la règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
3. Protection de l’application WordPress. . . . . . . . . . . . . . . . . . . . . . . . 534
3.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
3.2 Déploiement de WordPress . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
3.3 Restriction des accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
3.3.1 Référencement de l’ensemble des flux . . . . . . . . . . . . . . 535
3.3.2 Restriction de tous les accès. . . . . . . . . . . . . . . . . . . . . . . 535
3.3.3 Autorisation de l'accès du contrôleur Ingress
sur WordPress . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
3.3.4 Autorisation de l'accès entre WordPress et MariaDB . . . 538
3.3.5 Test des règles réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
3.4 Ressources externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541

Chapitre 17
Montée en charge automatique
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
2. Le serveur de métriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
2.1 Présentation de la brique metrics-server . . . . . . . . . . . . . . . . . . 544
2.2 Activation du serveur de métriques. . . . . . . . . . . . . . . . . . . . . . 544
2.2.1 Vérification de la présence du serveur de métriques . . . 544
2.2.2 Activation sous Minikube . . . . . . . . . . . . . . . . . . . . . . . . 545
2.2.3 Activation sur Amazon EKS . . . . . . . . . . . . . . . . . . . . . . 545
2.3 Consultation de la consommation des pods et des nœuds . . . 546
2.3.1 État des nœuds d’un cluster. . . . . . . . . . . . . . . . . . . . . . . 546
2.3.2 État des pods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
28 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3. Activation de la montée en charge automatique . . . . . . . . . . . . . . . 547


3.1 Test avec l’application MailHog . . . . . . . . . . . . . . . . . . . . . . . . 547
3.2 Lancement d’un bench . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
3.2.1 Présentation d’Apache Bench . . . . . . . . . . . . . . . . . . . . . 548
3.2.2 Installation d'Apache Bench . . . . . . . . . . . . . . . . . . . . . . 549
3.2.3 Lancement du test initial . . . . . . . . . . . . . . . . . . . . . . . . . 549
3.3 Gestion de la montée en charge. . . . . . . . . . . . . . . . . . . . . . . . . 550
3.4 Lancement du test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
3.4.1 Test à froid : montée en charge des pods . . . . . . . . . . . . 551
3.4.2 Test à chaud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
3.4.3 Diminution du nombre de pods . . . . . . . . . . . . . . . . . . . 553
4. Scalabilité des nœuds d’un cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . 553
4.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
4.2 Présentation de l’autoscaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
4.3 Activation de l’autoscaler avec Google Cloud . . . . . . . . . . . . . 554
4.4 Activation de l'autoscaler avec Azure AKS . . . . . . . . . . . . . . . . 555
4.5 Activation de l'autoscaler avec Amazon EKS . . . . . . . . . . . . . . 555
4.5.1 Présentation du mécanisme de l’ASG . . . . . . . . . . . . . . . 555
4.5.2 Affichage des tags d’un groupe ASG . . . . . . . . . . . . . . . . 556
4.5.3 Activation de l’autoscaler. . . . . . . . . . . . . . . . . . . . . . . . . 557
4.5.4 Vérification de l'activation du mécanisme
de l’autoscaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
4.6 Test de montée en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
4.6.1 Déploiement de WordPress . . . . . . . . . . . . . . . . . . . . . . . 558
4.6.2 Pods en attente de ressources. . . . . . . . . . . . . . . . . . . . . . 559
4.6.3 État des nœuds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
4.6.4 Démarrage du pod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
4.6.5 Nettoyage des déploiements . . . . . . . . . . . . . . . . . . . . . . 560
Table des matières 29

5. Définition de groupes de machines . . . . . . . . . . . . . . . . . . . . . . . . . . 561


5.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
5.2 Les différents types de machines . . . . . . . . . . . . . . . . . . . . . . . . 562
5.2.1 Les machines préemptives (Spot) . . . . . . . . . . . . . . . . . . 562
5.2.2 Réservation d’instances . . . . . . . . . . . . . . . . . . . . . . . . . . 563
5.2.3 Familles de machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
5.2.4 Quelques exemples de familles de machines . . . . . . . . . 564
5.2.5 Utilisation d’accélérateurs graphiques (GPU). . . . . . . . . 566
5.2.6 Quelques exemples de coûts . . . . . . . . . . . . . . . . . . . . . . 567
5.3 Création de groupes de machines . . . . . . . . . . . . . . . . . . . . . . . 569
5.3.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
5.3.2 Création d’un groupe avec Google . . . . . . . . . . . . . . . . . 570
5.3.3 Création d’un groupe avec Azure . . . . . . . . . . . . . . . . . . 571
5.3.4 Création d’un groupe avec AWS EKS . . . . . . . . . . . . . . . 573
5.3.5 Création d’un groupe avec OVH . . . . . . . . . . . . . . . . . . . 575
5.4 Mécanisme de tolérance et sélection de nœuds . . . . . . . . . . . . 577

Chapitre 18
Surveillance à l’aide de Prometheus
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
2. Mise en place de Prometheus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
2.1 À propos de Prometheus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
2.2 Fonctionnement de Prometheus . . . . . . . . . . . . . . . . . . . . . . . . 583
2.2.1 Architecture de Prometheus . . . . . . . . . . . . . . . . . . . . . . 583
2.2.2 Le moteur Prometheus . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
2.2.3 Les exporteurs Prometheus . . . . . . . . . . . . . . . . . . . . . . . 584
2.3 Installation de Prometheus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
2.3.1 Choix du chart Prometheus . . . . . . . . . . . . . . . . . . . . . . . 585
2.3.2 Qu’est-ce qu’un opérateur ?. . . . . . . . . . . . . . . . . . . . . . . 585
2.3.3 Déploiement de l’opérateur Prometheus. . . . . . . . . . . . . 586
2.3.4 Pods démarrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
2.3.5 Objets déploiements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
30 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

2.3.6 Nouvelles ressources Prometheus . . . . . . . . . . . . . . . . . . 589


2.3.7 DaemonSet : node exporter . . . . . . . . . . . . . . . . . . . . . . . 590
2.4 Priorisation des briques de surveillance. . . . . . . . . . . . . . . . . . . 590
2.4.1 Problème de la surveillance . . . . . . . . . . . . . . . . . . . . . . . 590
2.4.2 Déclaration des classes de priorité . . . . . . . . . . . . . . . . . . 591
2.4.3 Modification du déploiement de Prometheus . . . . . . . . 591
3. Utilisation de Prometheus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
3.1 Fonctionnement des métriques . . . . . . . . . . . . . . . . . . . . . . . . . 592
3.1.1 Consultation des métriques de Prometheus . . . . . . . . . . 592
3.1.2 Présentation de l’interface de Prometheus . . . . . . . . . . . 593
3.1.3 Métriques de Kubernetes . . . . . . . . . . . . . . . . . . . . . . . . . 595
3.1.4 Déclaration des points de collecte dans Kubernetes . . . 596
3.1.5 Consultation des points de collecte dans Prometheus. . 597
3.2 Définition des alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
3.2.1 Consultation de la liste des alertes . . . . . . . . . . . . . . . . . 598
3.2.2 Structure d’une règle d’alerte. . . . . . . . . . . . . . . . . . . . . . 599
3.2.3 Définition d’alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600
3.3 Gestionnaire d’alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
3.3.1 Rôle du gestionnaire d’alertes . . . . . . . . . . . . . . . . . . . . . 601
3.3.2 Consultation du gestionnaire d’alertes . . . . . . . . . . . . . . 602
3.3.3 Configuration des alertes . . . . . . . . . . . . . . . . . . . . . . . . . 602
3.3.4 Désactivation des alertes scheduler et manager
(clusters managés) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
3.3.5 Configuration de l'envoi des notifications . . . . . . . . . . . 605
3.3.6 Adresse de l’API de Slack . . . . . . . . . . . . . . . . . . . . . . . . . 606
4. Tableaux de bord Grafana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
4.1 Présentation de Grafana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
4.2 Configuration de Grafana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
4.2.1 Branchement au moteur Prometheus . . . . . . . . . . . . . . . 609
4.2.2 Définition des tableaux de bord . . . . . . . . . . . . . . . . . . . 610
4.3 Interface Grafana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
4.4 Sécurisation de l'accès à Grafana . . . . . . . . . . . . . . . . . . . . . . . . 612
5. Suppression du chart de Prometheus . . . . . . . . . . . . . . . . . . . . . . . . 613
Table des matières 31

Chapitre 19
Centralisation des journaux d’activité
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
2. Principe de la centralisation des journaux. . . . . . . . . . . . . . . . . . . . . 616
2.1 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
2.2 Caractéristiques de l’agent déployé . . . . . . . . . . . . . . . . . . . . . . 617
2.3 Mécanisme de centralisation des journaux. . . . . . . . . . . . . . . . 617
3. Centralisation dans le cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
3.1 Centralisation à l’aide d’un service managé . . . . . . . . . . . . . . . 618
3.2 Google Stackdriver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
3.2.1 Présentation de Stackdriver . . . . . . . . . . . . . . . . . . . . . . . 618
3.2.2 Pod Fluentbit (cluster GKE) . . . . . . . . . . . . . . . . . . . . . . . 619
3.2.3 Consultation des journaux . . . . . . . . . . . . . . . . . . . . . . . 619
3.3 Azure Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
3.3.1 Présentation d'Azure Monitor . . . . . . . . . . . . . . . . . . . . . 620
3.3.2 Consultation des journaux . . . . . . . . . . . . . . . . . . . . . . . 620
3.4 Amazon Cloudwatch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
3.4.1 Présentation de Cloudwatch . . . . . . . . . . . . . . . . . . . . . . 621
3.4.2 Activation de Cloudwatch sur le centre de contrôle . . . 621
3.4.3 Configuration de Cloudwatch. . . . . . . . . . . . . . . . . . . . . 623
3.4.4 Création de la police de communication
avec Cloudwatch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
3.4.5 Création d’un compte et rattachement à la police. . . . . 625
3.4.6 Création d’une clé d’accès . . . . . . . . . . . . . . . . . . . . . . . . 625
3.4.7 Envoi des journaux dans Cloudwatch. . . . . . . . . . . . . . . 626
3.4.8 État des pods déployés . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
3.4.9 Consultation des journaux dans Cloudwatch . . . . . . . . 628
4. Centralisation des journaux avec Loki . . . . . . . . . . . . . . . . . . . . . . . 630
4.1 Présentation de Loki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
4.1.1 Origine de Loki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
4.1.2 Loki vs Elasticsearch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
4.1.3 Conseil d’utilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
32 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

4.2 Installation de Loki. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631


4.3 Configuration de la source de données Grafana. . . . . . . . . . . . 631
4.4 Consultation des journaux dans Grafana . . . . . . . . . . . . . . . . . 633
4.4.1 Vérification des sources de données . . . . . . . . . . . . . . . . 633
4.4.2 Consultation des journaux . . . . . . . . . . . . . . . . . . . . . . . 634
5. Centralisation des journaux avec Elasticsearch . . . . . . . . . . . . . . . . 635
5.1 Avertissements et limitations . . . . . . . . . . . . . . . . . . . . . . . . . . 635
5.2 À propos d’Elasticsearch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
5.3 Déploiement des briques Elasticsearch . . . . . . . . . . . . . . . . . . . 635
5.3.1 Installation d’Elasticsearch . . . . . . . . . . . . . . . . . . . . . . . 635
5.3.2 Installation de l’agent Filebeat. . . . . . . . . . . . . . . . . . . . . 637
5.3.3 Installation de Kibana . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
5.3.4 Installation de Cerebro. . . . . . . . . . . . . . . . . . . . . . . . . . . 638
5.4 État des différentes briques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638
5.4.1 État du moteur Elasticsearch . . . . . . . . . . . . . . . . . . . . . . 638
5.4.2 Agent Filebeat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
6. Gestion d’Elasticsearch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
6.1 Accès à l’interface Cerebro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
6.2 Utilisation de Kibana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
6.2.1 Accéder à l’interface de Kibana . . . . . . . . . . . . . . . . . . . . 641
6.2.2 Création de l’index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
6.3 Branchement sur Grafana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
6.3.1 Source de données Elasticsearch . . . . . . . . . . . . . . . . . . . 645
6.3.2 Création d’un objet ConfigMap . . . . . . . . . . . . . . . . . . . 645

Chapitre 20
Maillage de services avec Istio
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
2. Présentation d'Istio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
2.1 Micro-services et mise en réseau de services . . . . . . . . . . . . . . . 648
2.2 Présentation d’Istio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
Table des matières 33

2.3 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . 649


3. Installation d’Istio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
3.1 Configuration d'external-dns. . . . . . . . . . . . . . . . . . . . . . . . . . . 651
3.2 Dépôt des charts Istio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
3.3 Installation d’istio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
3.4 Configuration d’Istio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
3.4.1 Activation des tableaux de bord . . . . . . . . . . . . . . . . . . . 653
3.4.2 Configuration d'Istio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
3.5 Configuration du composant Gateway Istio . . . . . . . . . . . . . . 655
3.5.1 Présentation du mécanisme . . . . . . . . . . . . . . . . . . . . . . . 655
3.5.2 Installation du composant Gateway. . . . . . . . . . . . . . . . 655
3.5.3 Génération du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . 657
4. Utilisation d’Istio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
4.1 Injection de pods dans le maillage de services . . . . . . . . . . . . . 658
4.1.1 Installation d’istioctl . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
4.1.2 Injection du sidecar à l’aide d’istioctl . . . . . . . . . . . . . . . 659
4.1.3 Injection du sidecar par annotation . . . . . . . . . . . . . . . . 660
4.1.4 Désactivation du sidecar par annotation . . . . . . . . . . . . 660
4.2 Déploiement d’une application de test . . . . . . . . . . . . . . . . . . . 661
4.2.1 Principe de l’exposition d’application avec Istio. . . . . . . 661
4.2.2 Préparation du fichier de déploiement MailHog . . . . . . 661
4.2.3 Déclaration du service MailHog . . . . . . . . . . . . . . . . . . . 663
4.2.4 Création de l’objet Gateway . . . . . . . . . . . . . . . . . . . . . . 664
4.2.5 Création du service virtuel (VirtualService) . . . . . . . . . . 665
4.3 Sécurisation des flux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666
4.3.1 Activation de Mutual TLS (mTLS) . . . . . . . . . . . . . . . . . 666
4.3.2 Consultation des polices du service MailHog. . . . . . . . . 667
4.3.3 Forcer l’utilisation de mTLS. . . . . . . . . . . . . . . . . . . . . . . 669
5. Tableaux de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
5.1 Présentation des différentes briques . . . . . . . . . . . . . . . . . . . . . 672
5.2 Interface Kiali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
5.3 Interface Grafana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
34 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

5.4 Interface Jaeger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676

Chapitre 21
Compilation et stockage d’images Docker
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
2. Création d’une image Docker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680
2.1 Application d’exemple Flask HealthCheck . . . . . . . . . . . . . . . . 680
2.1.1 Présentation de l’application . . . . . . . . . . . . . . . . . . . . . . 680
2.1.2 Présentation des dépendances . . . . . . . . . . . . . . . . . . . . . 680
2.1.3 Description des dépendances . . . . . . . . . . . . . . . . . . . . . . 680
2.1.4 Installation des dépendances . . . . . . . . . . . . . . . . . . . . . . 681
2.1.5 Initialisation de l’application . . . . . . . . . . . . . . . . . . . . . . 681
2.1.6 Fonction racine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
2.1.7 Lancement du programme . . . . . . . . . . . . . . . . . . . . . . . . 682
2.2 Environnement de compilation . . . . . . . . . . . . . . . . . . . . . . . . . 685
2.3 Le fichier Dockerfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685
2.3.1 Présentation du format . . . . . . . . . . . . . . . . . . . . . . . . . . 685
2.3.2 Création de l’image. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
2.3.3 Compilation et tag de l’image . . . . . . . . . . . . . . . . . . . . . 687
2.3.4 Authentification sur le registre d’images Docker . . . . . . 688
2.3.5 Pousser l’image sur le registre . . . . . . . . . . . . . . . . . . . . . 688
3. Image Docker multi-étape (multi-stage). . . . . . . . . . . . . . . . . . . . . . 690
3.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690
3.2 Exemple de compilation avec Maven . . . . . . . . . . . . . . . . . . . . 690
4. Analyse d’images . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691
4.1 Historique des commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691
4.2 Analyse de l’image : Dive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692
4.2.1 Présentation de Dive . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692
4.2.2 Installation de Dive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692
4.2.3 Consultation du contenu d’une image . . . . . . . . . . . . . . 692
Table des matières 35

5. Utilisation de registres Docker privés . . . . . . . . . . . . . . . . . . . . . . . . 693


5.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
5.2 Déploiement d’image d’un registre privé . . . . . . . . . . . . . . . . . 694
5.2.1 Exposition de la problématique . . . . . . . . . . . . . . . . . . . . 694
5.2.2 Création du secret. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
5.2.3 Utilisation du secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
5.2.4 Utilisation d’un compte de service . . . . . . . . . . . . . . . . . 696
5.2.5 Recopie d’un secret entre espaces de noms. . . . . . . . . . . 698
5.3 Erreurs de récupération des images . . . . . . . . . . . . . . . . . . . . . . 699
5.3.1 Détection des erreurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
5.3.2 Erreur sur le nom de l’image . . . . . . . . . . . . . . . . . . . . . . 699
5.3.3 Secret absent ou non spécifié. . . . . . . . . . . . . . . . . . . . . . 699
5.3.4 Identifiants invalides . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
5.4 Services de registres managés. . . . . . . . . . . . . . . . . . . . . . . . . . . 700
5.4.1 Solutions managées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
5.4.2 Service Google Container Registry . . . . . . . . . . . . . . . . . 701
5.4.3 GitLab.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702

Chapitre 22
Usine logicielle
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
2. Compilation à l’aide de GitLab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
2.1 Application à compiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
2.2 Mécanisme de pipeline GitLab. . . . . . . . . . . . . . . . . . . . . . . . . . 706
2.3 Adresse et contenu du dépôt . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
2.4 Structure du fichier .gitlab-ci.yml . . . . . . . . . . . . . . . . . . . . . . . 707
2.5 Exemple de fichier .gitlab-ci.yml de compilation d’image . . . . 708
2.6 Construction d’image à l’aide de Kaniko . . . . . . . . . . . . . . . . . 710
2.7 Pour la suite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
36 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3. Déploiement continu avec Jenkins . . . . . . . . . . . . . . . . . . . . . . . . . . 712


3.1 À propos de Jenkins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
3.2 Installation de Jenkins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
3.2.1 Configuration du chart . . . . . . . . . . . . . . . . . . . . . . . . . . 713
3.2.2 Vérification de l’installation . . . . . . . . . . . . . . . . . . . . . . 715
3.2.3 Connexion à l’interface de Jenkins . . . . . . . . . . . . . . . . . 715
3.2.4 Installation d’extensions . . . . . . . . . . . . . . . . . . . . . . . . . 716
4. Pipeline de déploiement continu avec Jenkins . . . . . . . . . . . . . . . . . 717
4.1 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
4.2 Présentation du mécanisme de déploiement continu . . . . . . . 717
4.3 Stockage des identifiants Docker . . . . . . . . . . . . . . . . . . . . . . . 718
4.4 Création de l’environnement develop . . . . . . . . . . . . . . . . . . . . 718
4.5 Création du pipeline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
4.5.1 Création du pod de compilation . . . . . . . . . . . . . . . . . . . 719
4.5.2 Squelette du pipeline de déploiement . . . . . . . . . . . . . . . 721
4.5.3 Récupération du code source . . . . . . . . . . . . . . . . . . . . . . 722
4.5.4 Vérifications et tests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
4.5.5 Compilation de l’image Docker . . . . . . . . . . . . . . . . . . . . 723
4.5.6 Connexion au registre et publication . . . . . . . . . . . . . . . 723
4.5.7 Mise à jour du déploiement de test . . . . . . . . . . . . . . . . . 724
4.5.8 Programme complet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725
4.6 Lancement de la compilation. . . . . . . . . . . . . . . . . . . . . . . . . . . 727
4.6.1 Création du job . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727
4.6.2 Lancement du build . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
4.7 Compte de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
4.7.1 Opérations à réaliser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
4.7.2 Création d’un compte de service . . . . . . . . . . . . . . . . . . . 729
4.7.3 Création du rôle de mise à jour . . . . . . . . . . . . . . . . . . . . 730
4.7.4 Affectation du rôle au compte de service . . . . . . . . . . . . 730
4.7.5 Affectation du compte de service . . . . . . . . . . . . . . . . . . 731
4.7.6 Relance de la compilation . . . . . . . . . . . . . . . . . . . . . . . . 732
4.8 Utilisation de Kaniko avec Jenkins . . . . . . . . . . . . . . . . . . . . . . 732
Table des matières 37

4.9 Mécanisme de Webhook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 734


4.9.1 Présentation du mécanisme . . . . . . . . . . . . . . . . . . . . . . . 734
4.9.2 Déclenchement du Webhook. . . . . . . . . . . . . . . . . . . . . . 734
4.9.3 Création du Webhook . . . . . . . . . . . . . . . . . . . . . . . . . . . 735
5. Un mot sur Jenkins X. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736

Chapitre 23
Packager son application avec Helm
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
2. Helm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
2.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
2.2 Création d’un chart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738
2.3 Contenu d’un package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
2.3.1 Structure d’un package. . . . . . . . . . . . . . . . . . . . . . . . . . . 739
2.3.2 Variables .Values, .Chart et .Release . . . . . . . . . . . . . . . . 739
2.4 Adaptation à l’application MailHog . . . . . . . . . . . . . . . . . . . . . 740
2.4.1 Résumé des travaux à réaliser . . . . . . . . . . . . . . . . . . . . . 740
2.4.2 Utilisation de l’image de MailHog. . . . . . . . . . . . . . . . . . 740
2.4.3 Correction sur les ports de service . . . . . . . . . . . . . . . . . . 740
2.4.4 Ajout d’un ConfigMap. . . . . . . . . . . . . . . . . . . . . . . . . . . 741
2.4.5 Ajout du volume persistant . . . . . . . . . . . . . . . . . . . . . . . 742
2.4.6 Montage du volume dans le container . . . . . . . . . . . . . . 743
2.4.7 Test de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
2.5 Dépendances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
2.5.1 Déclaration des dépendances . . . . . . . . . . . . . . . . . . . . . . 745
2.5.2 Récupération des dépendances . . . . . . . . . . . . . . . . . . . . 746
2.5.3 Déploiement du chart avec les dépendances. . . . . . . . . . 747
3. Template Go . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
3.1 Principe de fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
3.2 Substitution du contenu d’une variable . . . . . . . . . . . . . . . . . . 748
3.3 Blocs conditionnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
38 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3.4 Gestion des conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749


3.4.1 Les valeurs de vrai ou faux . . . . . . . . . . . . . . . . . . . . . . . . 749
3.4.2 Opérateurs de comparaison . . . . . . . . . . . . . . . . . . . . . . . 750
3.4.3 Conditions multiples et négation . . . . . . . . . . . . . . . . . . 750
3.5 Itération . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751
3.5.1 Affichage du contenu d’un tableau . . . . . . . . . . . . . . . . . 751
3.5.2 Suppression des sauts de lignes surnuméraires. . . . . . . . 752
3.5.3 Itération sur un groupe fixe d’éléments . . . . . . . . . . . . . 752
3.5.4 Itération sur un tableau de hachage . . . . . . . . . . . . . . . . 753
3.5.5 Accéder à une variable globale depuis une boucle . . . . . 753
3.6 Filtres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
3.7 Valeurs par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754
3.8 Fonction template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755
3.8.1 Exemple de définition de fonction . . . . . . . . . . . . . . . . . 755
3.8.2 Passage de paramètres et contexte global . . . . . . . . . . . . 756
3.9 Redéploiement sur changement de configuration . . . . . . . . . . 756
3.9.1 Exposition de la problématique . . . . . . . . . . . . . . . . . . . . 756
3.9.2 Principe de la solution . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
3.9.3 Exemple d’implémentation . . . . . . . . . . . . . . . . . . . . . . . 757
3.10 Génération de secret aléatoire « stable » . . . . . . . . . . . . . . . . . . 759
3.10.1Exposition de la problématique . . . . . . . . . . . . . . . . . . . . 759
3.10.2Principe de la solution et mise en œuvre. . . . . . . . . . . . . 759

Chapitre 24
Restriction et délégation d’accès
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
2. Mise en place de quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
2.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762
2.2 Quotas par défaut sur un espace de noms . . . . . . . . . . . . . . . . 762
2.2.1 Création d’un espace de noms . . . . . . . . . . . . . . . . . . . . . 762
2.2.2 Structure d’un objet LimitRange. . . . . . . . . . . . . . . . . . . 763
2.2.3 Exemple de définition de limitations . . . . . . . . . . . . . . . 764
Table des matières 39

2.2.4 Vérification de l’application des limitations . . . . . . . . . . 765


2.2.5 Test du mécanisme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
2.2.6 Analyse du problème . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
2.3 Quotas globaux sur un espace de noms . . . . . . . . . . . . . . . . . . 767
2.3.1 Présentation des quotas de ressources (ResourceQuota)767
2.3.2 Structure d’un quota de ressources . . . . . . . . . . . . . . . . . 768
2.3.3 Exemples de restriction de consommation CPU
et mémoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
2.3.4 Champs pour positionner des limitations
(champ hard). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
2.3.5 Test du mécanisme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
2.3.6 Nettoyage en fin d’exercice . . . . . . . . . . . . . . . . . . . . . . . 771
3. Authentification et autorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772
3.1 Origine du besoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772
3.2 Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773
3.3 Activation des accès anonymes . . . . . . . . . . . . . . . . . . . . . . . . . 774
3.3.1 Activation des accès anonymes sur Minikube . . . . . . . . 774
3.3.2 Création du fichier d’accès . . . . . . . . . . . . . . . . . . . . . . . . 775
3.3.3 Affectation des droits en lecture . . . . . . . . . . . . . . . . . . . 776
3.3.4 Suppression des droits d’accès anonymes . . . . . . . . . . . . 777
3.4 Principe de l’authentification par certificat . . . . . . . . . . . . . . . 777
3.5 Problème de la révocation des certificats . . . . . . . . . . . . . . . . . 778
3.6 Génération du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
3.6.1 Création de la clé et du certificat client . . . . . . . . . . . . . 778
3.6.2 Emplacement de la PKI . . . . . . . . . . . . . . . . . . . . . . . . . . 779
3.6.3 Signature du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
3.7 Authentification par certificat. . . . . . . . . . . . . . . . . . . . . . . . . . 781
3.7.1 Récupération des informations de connexion
au cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
3.7.2 Utilisation du certificat pour l’authentification. . . . . . . 782
3.7.3 Test de la connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
40 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

3.8 Quelques exemples d’erreurs de manipulation. . . . . . . . . . . . . 784


3.8.1 Problème d’autorité de certification . . . . . . . . . . . . . . . . 785
3.8.2 Problème de couple clé/certificat. . . . . . . . . . . . . . . . . . . 785
3.8.3 Pas d’identifiant renseigné . . . . . . . . . . . . . . . . . . . . . . . . 785
3.8.4 Utilisation de la demande de certificat à la place
du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785
3.9 Attributions de droits administrateur sur le cluster. . . . . . . . . 786
3.9.1 Contexte et opérations à réaliser . . . . . . . . . . . . . . . . . . . 786
3.9.2 Affectation des droits administrateur à un utilisateur . 786
3.9.3 Test du nouvel administrateur . . . . . . . . . . . . . . . . . . . . 788
3.9.4 Création de nouveaux utilisateurs . . . . . . . . . . . . . . . . . 788
3.9.5 Affectation des droits administrateur à un groupe . . . . 789
3.9.6 Administrateur d’un espace de noms . . . . . . . . . . . . . . . 789
4. Mécanismes d’authentification externes . . . . . . . . . . . . . . . . . . . . . 791
4.1 Présentation du mécanisme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
4.2 Communication entre le fournisseur OAuth2 et le cluster . . . 792
4.3 Création des identifiants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793
4.4 Modification des options de démarrage (Minikube) . . . . . . . . 794
4.5 Configuration des accès clients . . . . . . . . . . . . . . . . . . . . . . . . . 796
4.5.1 Présentation de l’outil k8s-oidc-helper . . . . . . . . . . . . . . 796
4.5.2 Installation du compilateur Go . . . . . . . . . . . . . . . . . . . . 796
4.5.3 Installation de k8s-oidc-helper. . . . . . . . . . . . . . . . . . . . . 796
4.5.4 Génération des identifiants d’accès . . . . . . . . . . . . . . . . . 796
4.5.5 Renseignement du cluster et contexte . . . . . . . . . . . . . . 798
4.5.6 Test de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799
4.6 Attribution des droits d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . 800
5. Mise en place de comptes de service . . . . . . . . . . . . . . . . . . . . . . . . . 801
5.1 Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
5.2 Création du compte de service. . . . . . . . . . . . . . . . . . . . . . . . . . 801
5.3 Attribution des droits d’administrateur
au compte de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
Table des matières 41

5.4 Création du fichier Kubeconfig . . . . . . . . . . . . . . . . . . . . . . . . . 804


5.4.1 Recopie des informations de connexion . . . . . . . . . . . . . 804
5.4.2 Jeton de connexion du compte de service . . . . . . . . . . . . 804
5.4.3 Affectation de l’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . 805
5.4.4 Test de la connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806
5.4.5 Révocation des accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806

Chapitre 25
Les opérateurs Kubernetes
1. Objectifs du chapitre et prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . 809
2. Utilisation des opérateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
2.1 Présentation du principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
2.2 L’opérateur de Prometheus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810
2.2.1 Retour sur le chart prometheus-operator . . . . . . . . . . . . 810
2.2.2 Structure d’un objet Prometheus . . . . . . . . . . . . . . . . . . 811
2.3 Ressources externes sur les opérateurs existants . . . . . . . . . . . 812
2.4 Présentation de l’opérateur MySQL . . . . . . . . . . . . . . . . . . . . . 813
2.4.1 Justification du choix de MySQL . . . . . . . . . . . . . . . . . . 813
2.4.2 Choix de l’opérateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813
2.5 Déploiement de l’opérateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814
2.6 Création d’une instance MysqlCluster . . . . . . . . . . . . . . . . . . . 815
2.6.1 Création d’un secret pour l’instance MysqlCluster . . . . 815
2.6.2 Création du cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
2.6.3 Problèmes de droits sur le volume persistant . . . . . . . . . 818
2.7 Objets créés au déploiement du cluster. . . . . . . . . . . . . . . . . . . 818
2.7.1 Volumes persistants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
2.7.2 Services MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819
2.8 Tableau de bord de l’opérateur . . . . . . . . . . . . . . . . . . . . . . . . . 819
42 Kubernetes
Plateforme de déploiement de vos applications conteneurisées

2.9 Test de la réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822


2.9.1 Connexion aux instances maître et esclave . . . . . . . . . . 822
2.9.2 Création d’une table. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823
2.9.3 Alimentation de la table. . . . . . . . . . . . . . . . . . . . . . . . . . 823
2.9.4 Changement du nombre de réplicats . . . . . . . . . . . . . . . 824
2.10 Pour conclure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825

Annexes
1. bash vs zsh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827
1.1 Les shells Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827
1.2 zsh et oh-my-zsh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
1.3 Tester zsh et oh-my-zsh. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
1.4 Configurer zsh comme shell pour l’utilisateur courant . . . . . . 829
2. Déploiement du tableau de bord Kubernetes . . . . . . . . . . . . . . . . . . 830
2.1 Installation du tableau de bord (application dashboard) . . . . . 830
2.2 Création du compte d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831
2.3 Récupération du jeton de connexion . . . . . . . . . . . . . . . . . . . . 832
2.4 Décodage du contenu du jeton . . . . . . . . . . . . . . . . . . . . . . . . . 833
2.5 Connexion au tableau de bord. . . . . . . . . . . . . . . . . . . . . . . . . . 835

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837

Vous aimerez peut-être aussi