Vous avez peut-être vu sur LinkedIn, ce mardi 7 mars 2023, j’étais à la Kubernetes Community Days France 2023. Pour les personnes ne sachant pas de quoi je parle, c’est “L’événement Cloud Native et DevOps de référence en France”.
Autant vous dire que j’étais super heureux d’avoir pu y assister ! 😁
Pas de panique si vous n’avez pas eu la chance de vivre l’événement en présentiel, tous les talks seront disponibles en rediffusions (patieeeeence). En attendant, je vais vous faire mon recap’ ! 🙂
Ouverture & Petit-déjeuner
Avant cette grosse journée, il faut prendre des forces. Ça tombe bien, on a eu la chance d’être accueilli par un bon petit-déjeuner. Au menu :
crêpes BIO caramel ou chocolat noisette, cakes citron et chocolat, smoothies kiwi poire menthe, boissons
🥰
La keynote d’ouverture
Aller, on ne perd pas de temps, il y a keynote d’ouverture qui commence à 9h !
La Keynote a commencé par une introduction de la part de Jérome Petazzoni à propos de l’adoption de kubernetes (eh oui, on est pile dans le thème de la journée). J’ai bien aimé la vision apportée par Jérome, avant qu’il ne soit rejoint par Solomon Hykes qui n’est autre que le créateur de Docker et plus récemment, Dagger.
On a eu une brève introduction à ce nouvel outil qui m’a l’air très prometteur pour construire nos pipelines CI/CD. Brièvement, Dagger utilise des conteneurs pour exécuter nos pipelines qui de ce fait tourneront de la même façon partout. On nous promet d’en finir avec les commits en masse pour débugger nos pipelines. Avec Dagger, nous avons le choix d’écrire nos pipelines dans le langage de notre choix (Go, Python, TypeScript, JavaScript, GraphQL). Tout ça m’a donné envie de le tester. J’en ferais sûrement un article. 🙂
RedHat à ensuite pris le micro pour nous parler d’openshift et openshift platform plus qui est une plateforme intégrée pour concevoir, moderniser et mettre en œuvre des applications à grande échelle, intégrant également la sécurité.
C’est au tour de l’éducation nationale de prendre la parole, pour nous parler du “Systeme d’Aide Numérique à la noTatiOn et corRectIoN ” nommé SANTORIN qui à pour but de gérer la correction dématérialisée d’examens et de concours. Nous a été présenté ensuite, le projet CLOE qui est une usine numérique. On y retrouve GitLab, Harbor, du Cloud Privé… Ces projets s’inscrivent dans une démarche DevOps. Chose que je trouve super cool et intéressant parce-que l’on a trop souvent l’impression que les SI des administrations publiques n’évoluent pas ou peu.
Puis la Keynote s’est conclue avec OVH. On a même eu le droit à un teasing de leur future offre k8s-multi cloud et multi-cluster.
👇 Rediff’ :
Construire des images docker avec Kubernetes : un long voyage
C’est parti pour la première conf’ de la journée avec ce talk qui a piqué ma curiosité. On l’a vu pendant la keynote, kubernetes est massivement adopté pour plein d’usages différents. Même pour la construction d’images docker.
Laurent Bernaille et Mayeul Blanzat de Datadog nous partagent leur retour d’expérience sur ce sujet.
On apprend qu’ils ont réussi à construire plus de 90 % de leurs images sur kubernetes avec buildkit et de gérer de manière fiable plus de 1k de builds par jour.
Ce que j’ai apprécié, c’est qu’ils reviennent en détails sur les 10 % d’échecs. Ils ont rencontré des problèmes avec OverlayFS (avec la version inférieure à 5.11) ou encore avec le sandboxing des processus.
Ce qu’il faut retenir de ce talk, c’est que buildkit est un super outil pour la construction d’images multi architectures. Il permet de faire du Rootless sur Kubernetes de manière efficace.
👇 Rediff’ :
Lunch
Pour le repas de midi, c’était très bien organisé. Il y avait plusieurs points pour aller chercher son panier repas. On avait le choix entre 3 types.
Viande : Pain suédois poulet curry, fromage frais et pousse d’épinard
Poisson : Bagel Saumon fumé, fromage frais, concombre
Végétarien : Pain viennois Feta, Concombre, Tomate, Piquillos, Oignons
Entrée (tous paniers) : pommes de terre grenailles, girolles, chou romanesco
Dessert (tous paniers) : Tartelette ganache chocolat
Personnellement, j’ai opté pour le panier Viande. Je me suis régalé. 🙂
Shift Happen : Sécurité de vos environnements cloud native
Étant cloud builder chez WeScale et ayant un attrait pour la sécurité, je ne pouvais qu’assister à ce Lightning talk de Stéphane Montri.
J’ai aimé la façon dont le sujet a été abordé. Stéphane a commencé par présenter les différents risques de sécurité du Cloud Native dans les différentes phases d’un projet. Lorsque l’on va coder et construire notre application, nous sommes sujet à des risques comme du code vulnérable, une IaC non sécurisée, exposer des secrets… Concernant le déploiement, on peut utiliser des images docker malicieuses ou avoir des pipelines CI/CD non sécurisés. Durant la phase de run, on retrouve des risques liés à des Command and Control, des accès trop permissifs ou de l’exfiltration de données.
Stéphane nous a ensuite parlé de Cloud Native Application Protection Platform (CNAPP) pour répondre à ses risques. On y retrouve le scan de secrets et de vulnérabilités, de l’IaC sécurisée, de la sécurité pour les applications web et les API, CIEM…
Ce que je retiens de ce talk, c’est qu’il est important de faire de la prévention tout au long du cycle de vie de nos applications. Que ce soit lors du code/build, du déploiement et du run.
👇 Rediff’ :
Comment bien foirer sa certification CK{A,D}
J’ai enchaîné par le talk de Rémi Verchère car je suis friand des certifications (don’t judge me pls). Et j’envisage de passer la CKA.
Le format est super cool ! On se retrouve avec une liste de 13 points avec tout ce qu’il faut faire pour LOUPER sa certification :
- Trop de confiance
- Ne pas pratiquer
- N’apprenez pas kubectl
- Ne vous entraînez pas sur killer.sh
- … (je ne vais pas tout vous spoiler quand même 😜)
J’ai adoré l’approche, je trouve que ces conseils inversés sont plus percutants. Je ressors de ce talk avec des précieux conseils à appliquer avant et pendant le passage de la certification !
👇 Rediff’ :
Petit tour des stands (et des goodies 😅)
Petite pause sur les conférences, pour aller voir les partenaires présents sur le salon et découvrir de nouveaux produits. Je me suis intéressé à des solutions que je ne connaissais pas ou peu.
J’ai notamment discuté avec Circle CI. Étant habitué à GitLab et Jenkins, j’étais curieux. Je n’ai pas été déçu. L’outil mérite d’être testé (un prochain article peut-être ? 🤔)
Je suis ensuite allé faire un coucou sur le stand Traefik, étant utilisateur de leur produit (notamment avec ce blog). Je voulais leur faire part de ma satisfaction et les remercier. Je suis même reparti avec un tshirt Traefik. 😎
En me promenant dans les couloirs entre les différents stands, je me suis arrêté sur Lacework qui propose une plateforme pour monitorer et protéger les environnements kubernetes. Leur solution est plutôt orientée pour les cloud publics et va convenir bien pour EKS, AKS et GKE.
Je me suis arrêté au stand Elastic, j’ai pu discuter avec Essodjolo à propos d’Elastic cloud et logstash. J’ai même participé à leur concours qui consistait à répondre le plus rapidement possible à 7 questions sur les produits Elastic via un Kahoot. En fin d’après-midi, j’ai reçu un mail m’informant que j’étais l’heureux gagnant d’une enceinte bluetooth. Je remercie une nouvelle fois Elastic pour ce cadeau ! 😁
J’en ai également profité pour passer sur le stand des copains WeScale qui étaient bien évidemment présents. Il y avait des bonbons, mais surtout, le Livre blanc cloud native était disponible au format papier.
5 ans avec Kubernetes : retour sur le déploiement des conteneurs chez pôle emploi
Aller, promenade terminée, retour aux conférences ! Les REXs sont généralement très intéressants et instructifs, c’est pourquoi j’ai assisté au talk de Daniel Benisty et Laurent Nocus qui n’ont pas dérogé à la règle.
J’ai trouvé cette conférence très bien avec une vision complète de leur plateforme actuelle composée à 50 % de VMware Tanzu et 50 % de RKE2 et comment ils y sont parvenus. Ils ont commencé en 2016 par utiliser docker, docker swarm en 2017 et Kubernetes en 2019.
J’ai également apprécié leur vision pour le futur qui est de simplifier la vie des développeurs en proposant un catalogue de services réparti en différentes catégories. On y retrouve le monitoring, les logs, les policies, la sécurité… Encore une fois, je ne vais pas spoiler la présentation, mais je vous recommande la rediffusion :
👇 Rediff’ :
Comment rendre les secrets Kubernetes… Vraiment secrets ?
La sécurité étant un sujet qui me tient à cœur, j’ai assisté à la présentation de Julie Hourcade sur les secrets kubernetes.
J’ai trouvé le talk intéressant et abordable. On avance pas à pas vers comment “rendre les secrets Kubernetes, vraiment secrets”. Julie a commencé par nous présenter quelques chiffres provenant du 2022 State of Kubernetes security report by Red Hat. J’ai appris qu’il y avait 93 % (du panel) qui ont subi un incident de sécurité sur leur Kubernetes en 2022 😱. Ensuite, Julie est revenue sur plusieurs types de ressources dans lesquelles nous pouvons mettre des secrets et pourquoi elles ne sont pas si secur’ que ça. Je peux citer les variables d’environnement qui restent très accessibles, l’utilisation de ConfigMap, mais qui sont accessibles via d’autres pods ou encore les secrets kubernetes qui ne sont que des chaînes de caractères encodé en base64 (ce n’est pas du chiffrement).
Pour pallier cela, Julie a abordé l’utilisation du Secret Store CSI Driver (n’étant pas très à l’aise sur cette partie, je ne vais pas rentrer plus dans le détail, je vous laisserai regarder la rediffusion 😅). Une des solutions envisagées pour rendre les secrets Kubernetes vraiment secrets serait le chiffrement des valeurs à l’aide d’outils comme KSOPS, Sealed Secret by bitnami ou SOPS.
Le talk s’est conclu par “il faut savoir choisir une solution adaptée avec une complexité raisonnable”. Je rejoins tout à fait ce point de vue. Si la sécurité est trop élevée, au point d’empêcher les utilisateurs de travailler efficacement, ils vont trouver des moyens détournés… Et c’est là qu’un risque de sécurité peut apparaître…
👇 Rediff’ :
Goldie d’or et les 3 CNI
Dernier talk de la journée, celui de Jérôme Masson. Par le biais d’un conte pour enfant (boucle d’or pour les moins anglophones 😜) nous raconte l’histoire de papa Ours Calico, de maman Ourse Antrea et de l’ourson Cilium.
J’ai trouvé très original d’aborder le sujet sous cette forme, c’est innovant, compréhensible et drôle à la fois. Sans toutefois oublier l’objectif du talk qui est “pourquoi est-ce important de choisir sa CNI” et quel est l’impact de l’infrastructure en fonction de ces choix :
- Kubernetes Vanilla ou managé ?
- Maximum Transmission Unit (MTU)
- Le chiffrement pour sécuriser les communications
- VPN ? Réseau étendu ? Service Mesh ?
Et comme l’a très bien dit Jérome toute histoire à une morale. Ici, il est question de bien connaître son écosystème :
- Kernel vs modules
- Configuration réseau
- Infrastructure
👇 Rediff’ :
Conclusion
Et voilà, la journée s’achève… J’ai vraiment passé une excellente journée. Je repars avec pas mal de billes et de choses à tester 😁
J’espère que mon recap” vous aura plus et que je vous ai donné envie d’aller regarder les talks en rediffusion.
J’en profite pour remercier tous les bénévoles, les speakers et toutes les personnes qui ont participé à l’organisation de cette journée que je ne suis pas prêt d’oublier ! 👏
Hâte d’être présent à la prochaine édition 😀
Comments are closed.