Découvrez Containerization

Bonjour, je m’appelle Michael et je vais vous présenter un nouveau framework open source. Containerization, écrit en Swift, permet de créer des applications conteneurisées d’aspect natif. Containerization privilégie la sécurité, la confidentialité et les performances, ce qui a contribué à façonner sa conception et sa mise en œuvre des conteneurs Linux. Avant de découvrir Containerization, nous nous familiariserons avec les conteneurs, puis nous examinerons les API fournies par Containerization ainsi qu’un outil de ligne de commande pour créer, exécuter et gérer les conteneurs. Donc, qu’est-ce qu’un conteneur et quels cas d’utilisation courants résout-il ? Les conteneurs Linux servent à la création, au test et au déploiement d’applications côté serveur. Lorsque des charges de travail côté serveur sont déployées à grande échelle, elles doivent s’exécuter dans divers environnements. Les conteneurs nous permettent d’isoler ces charges de travail de la machine hôte et les unes des autres. Ils nous permettent aussi de répliquer nos environnements de déploiement sur notre machine locale. Nous pouvons ainsi développer et tester nos applications localement, comme si elles étaient exécutées en production. Avec les conteneurs, les développeurs peuvent packager leur application et ses dépendances, telles que des fichiers binaires, bibliothèques dynamiques et ressources. Quand l’application et les dépendances sont packagées ensemble, les conteneurs acceptent différentes versions de ces dernières, de la machine hôte et d’autres conteneurs. Le résultat est regroupé dans une seule unité déployable : un conteneur. Les conteneurs isolent également l’exécution. Ils ont généralement une pile réseau isolée de la machine hôte. Pour assurer la confidentialité, les processus exécutés dans un conteneur ne peuvent pas voir ni inspecter ceux exécutés sur l’hôte ou d’autres conteneurs. Les conteneurs peuvent être dimensionnés et mis à l’échelle individuellement. Les ressources (processeur, mémoire, disque, etc.) peuvent être allouées selon les besoins de la charge de travail.

Pour exécuter un conteneur Linux sur macOS, il faut virtualiser l’environnement Linux. La solution historique consiste à créer une grande machine virtuelle (MV) pour héberger tous les conteneurs exécutés. Des ressources sont allouées à cette machine virtuelle et réparties selon les besoins, à mesure que des conteneurs sont ajoutés. Lorsque vous devez partager des répertoires et fichiers supplémentaires à partir de votre Mac, ceux-ci sont d’abord partagés avec la machine virtuelle, puis fournis au conteneur qui a demandé les données. En cherchant à utiliser des conteneurs Linux avec macOS, nous nous sommes fixé plusieurs objectifs. Pour la sécurité, nous voulions fournir à chaque conteneur le même niveau d’isolement que celui des grandes MV aujourd’hui. Nous voulions aussi réduire le besoin d’utilitaires de base et de bibliothèques dynamiques dans ces MV afin de diminuer la surface d’attaque et les coûts de maintenance liés à leur mise à jour. Pour la confidentialité, la limitation de l’accès aux répertoires doit se faire par conteneur. Seul le conteneur demandant le répertoire doit avoir accès à son contenu. Et nous voulions offrir une expérience performante, tout en respectant les ressources de l’utilisateur.

Nous avons tenu compte de ces objectifs en créant Containerization. Containerization est un framework Swift open source. Il fournit des API pour gérer les images et exécuter les conteneurs, ainsi qu’un puissant système init intégré à Swift. Explorons quelques-unes des API permettant de créer un conteneur. Tout d’abord, voyons comment Containerization gère les images.

La plupart des conteneurs sont créés à partir d’une image. Une image est un artefact de distribution regroupant le contenu du système de fichiers et une configuration par défaut. Les images servent de modèle lors de la création d’un conteneur.

Containerization fournit des API permettant de récupérer le contenu du système de fichiers et la configuration de l’image. Pour cette opération, un registre reçoit des demandes, un service gère le stockage et la distribution des images, puis la réponse du registre est écrite vers le système de fichiers local pour utilisation.

Une fois qu’une image existe en local, sa configuration peut être utilisée comme point de départ pour un nouveau conteneur. Cette configuration peut contenir le processus par défaut à exécuter, le répertoire de travail où il est exécuté et l’utilisateur de l’exécution. Le contenu du système de fichiers d’une image comprend les fichiers et répertoires de l’app. Pour un accès performant au contenu de l’image, nous exposons le système de fichiers en tant que périphérique bloc. Un périphérique bloc consiste à créer un fichier volumineux et à le formater avec un système de fichiers. Pour que nos conteneurs Linux consomment ce périphérique bloc, il doit être formaté avec un système de fichiers que Linux peut comprendre, tel qu’EXT4 qui est largement utilisé. Containerization fournit un package Swift qui permet de formater, créer une structure de répertoires et remplir un système de fichiers EXT4 directement à partir de Swift. Une fois qu’un conteneur a été créé à partir d’une image, une MV Linux doit être démarrée pour exécuter le conteneur. Pour la sécurité, nous voulions fournir le même niveau d’isolement que celui utilisé par les grandes MV et l’appliquer à chaque conteneur démarré. Pour ce faire, Containerization exécute chaque conteneur à l’intérieur de sa propre MV légère, tout en offrant des temps de démarrage inférieurs à la seconde. Autre avantage : chaque conteneur a sa propre adresse IP dédiée. L’adresse IP dédiée fournit un accès réseau performant à chaque conteneur et évite d’avoir à mapper les ports individuels pour accéder aux services fournis par les conteneurs. Lors du partage de répertoires et de fichiers, seul le conteneur demandant le répertoire a accès au contenu. Quant aux ressources comme le processeur et la mémoire, si aucun conteneur ne s’exécute, aucune n’est allouée. Après le démarrage, les étapes suivantes se déroulent dans la machine virtuelle. Voyons comment Containerization configure l’environnement d’exécution avant de démarrer le conteneur. Une fois la machine virtuelle démarrée, un processus initial est lancé. Le binaire de ce processus est fourni par un système de fichiers minimal qui fait partie de Containerization. Ce système de fichiers contient un binaire appelé vminitd. vminitd est un système init intégré à Swift qui s’exécute en tant que premier processus dans la MV.

Ce processus initial a de nombreuses responsabilités avant et pendant l’exécution du conteneur. vminitd doit attribuer des adresses IP aux interfaces réseau et monter des systèmes de fichiers, tels que le contenu de l’image que nous exposons avec le périphérique bloc. Il doit lancer et superviser tous les processus exécutés dans la machine virtuelle. vminitd dispose d’une API qui permet de générer et de gérer les processus à partir de l’hôte. À l’origine, lors de l’utilisation d’une grande MV, ils étaient démarrés en tant que système complet. Le système de fichiers de ces grandes MV comprenait des éléments tels qu’une implémentation libc, des bibliothèques dynamiques et des utilitaires de base (cd, cp et ls). Pour plus de sécurité, nous voulons réduire la surface d’attaque de nos conteneurs. Le système de fichiers fourni par Containerization ne comporte ni utilitaires de base, ni bibliothèques dynamiques, ni implémentation libc. Pour que vminitd s’exécute dans cet environnement limité, sans bibliothèque à laquelle se relier, nous devons compiler vminitd en tant qu’exécutable statique. Nous utilisons donc le Static Linux SDK de Swift, qui permet d’intercompiler des binaires Linux statiques, directement depuis notre Mac. Nous pouvons aussi utiliser musl, une implémentation libc qui prend en charge les liens statiques. Ainsi, nous produisons vminitd en tant qu’exécutable Linux statique, intercompilé à partir de notre Mac et capable de s’exécuter dans cet environnement isolé. Containerization combine tous ces composants de base, offrant une API puissante pour créer des solutions avec des conteneurs Linux. Examinons maintenant un outil de ligne de commande simple et robuste pour exécuter des conteneurs. Il comprend une interface de ligne de commande et des services XPC créés avec les API de Containerization. Ces services prennent en charge le stockage, la gestion des images et les services réseau qui allouent des adresses IP aux conteneurs et gèrent les requêtes DNS, puis la gestion et l’exécution des conteneurs. Commençons par utiliser le terminal et un conteneur pour télécharger une image vers notre machine locale. Dans le terminal, nous pouvons commencer par saisir "container image pull",

puis un nom d’image. Pour cette démo, nous utiliserons "alpine:latest". Cette commande exécutée, le conteneur extrait le contenu de l’image et la configuration localement, puis crée le fichier bloc que nous pourrons utiliser. Parfait.

Maintenant qu’une image existe localement, exécutons un conteneur basé dessus.

L’outil créera un conteneur à partir du contenu du système de fichiers et de la configuration de l’image. Ensuite, il utilisera les API de Containerization pour démarrer une MV légère pour exécuter le conteneur. Revenons dans notre terminal pour voir cela en action. Pour la commande d’exécution, nous tapons "container run" et, comme nous voulons exécuter un shell interactif, nous ajoutons un appareil terminal avec "-t" et une entrée interactive avec l’indicateur "-i". Enfin, nous indiquons le nom de l’image et la commande à exécuter, qui sera un shell, donc "sh". En quelques centaines de millisecondes, nous arrivons dans un shell interactif. Nous pouvons inspecter l’environnement d’exécution de notre conteneur. L’exécution de "uname -a" nous montre que nous sommes dans un environnement Linux. Et du fait de l’isolement fourni par les conteneurs, quand nous exécutons des commandes comme "ps aux", nous ne voyons que notre shell et le processus ps. Aucun autre processus s’exécutant sur l’hôte ni aucun autre conteneur n’est visible. Cet outil de ligne de commande de conteneur est donc disponible sur GitHub. Grâce aux API de Containerization, il offre une expérience sécurisée, privée et performante pour les conteneurs. Nous vous invitons à nous rejoindre alors que nous étendons les primitives de Containerization à macOS. Si la création d’un projet intégrant des conteneurs Linux vous intéresse, vous trouverez le framework Containerization sur GitHub. Consultez le code source pour savoir comment les MV légères sont démarrées. Découvrez tous les packages Swift multiplateformes créés pour vminitd ainsi que les exemples de projets. Si vous souhaitez commencer à exécuter des conteneurs, testez l’outil de conteneur et rejoignez la conversation sur GitHub. Vous pourrez afficher le code source, soumettre des problèmes et créer des demandes de tirage. Nous avons hâte de découvrir vos prochaines créations !