Le blog d'alter way

Améliorer la Developer Experience avec Backstage : le pari réussi de Safran et AWS

2025-07-17T10:00:00+02:00

Améliorer la Developer Experience avec Backstage : le pari réussi de Safran et AWS

Créer une plateforme de développement interne capable de booster la productivité, simplifier l'onboarding et unifier l'accès aux outils techniques est devenu un enjeu stratégique. Lors de l’AWS Summit, Safran et AWS ont partagé une mise en œuvre concrète autour de Backstage, la solution open source développée par Spotify.

Pourquoi miser sur le Platform Engineering ?

Dans les organisations tech modernes, les développeurs sont confrontés à :

Des stacks techniques de plus en plus complexes
Une multitude d’outils CI/CD, cloud, sécurité, monitoring, etc.
Une courbe d’apprentissage souvent décourageante pour les nouveaux arrivants

Le Platform Engineering vise à répondre à ces problématiques en créant une plateforme interne (IDP – Internal Developer Platform) centralisée, cohérente, et automatisée.

Objectif : offrir aux développeurs plus d'autonomie, tout en gardant un cadre sécurisé, standardisé et gouverné.

Une bonne IDP réduit les frictions, accélère les mises en production, et favorise la satisfaction des équipes tech.

Backstage, la fondation open source signée Spotify

Backstage est un portail de développement interne, extensible et modulaire. Il permet aux entreprises de créer une interface unifiée pour gérer leurs composants logiciels.

Ce que Backstage apporte :

Software Catalog : visibilité sur tous les services, APIs, composants, microservices
Scaffolder : génération de projets via des templates prédéfinis
TechDocs : documentation générée à partir du code (Markdown + CI)
Plugins : intégrations avec Jenkins, GitLab, ArgoCD, Prometheus, etc.

Backstage agit comme un tableau de bord complet pour les développeurs, où tout est à portée de clic.

Harmonix : l'accélérateur AWS

Pour déployer Backstage rapidement et de manière sécurisée sur AWS, les équipes ont créé Harmonix, une surcouche d’intégration cloud-native.

Harmonix inclut :

Infrastructure as Code avec AWS CDK
Authentification intégrée, RBAC, et logs d’audit
Plugins AWS (CodePipeline, ECS, IAM, CloudWatch)
Déploiement préconfiguré, prêt à l'emploi

En résumé : Harmonix fournit une base solide pour implémenter Backstage à grande échelle, sans repartir de zéro.

Le retour d’expérience de Safran

Safran, acteur majeur de l’aéronautique, devait répondre à une problématique courante dans les grandes organisations : comment standardiser le delivery logiciel sur plusieurs entités tout en laissant de l'autonomie aux équipes locales.

Ils ont déployé Backstage, enrichi d’Harmonix, avec des résultats concrets.

L’objectif était de centraliser la création de services, réduire la dépendance aux équipes plateforme, uniformiser les pratiques DevOps, et accélérer l’onboarding des nouveaux développeurs.

Cela s’est concrétisé par la création de templates standardisés pour les microservices, l’intégration fluide avec les outils existants (GitLab, Jenkins, SonarQube), un accès direct aux pipelines, logs et documentation, ainsi qu’un catalogue de composants pour mieux visualiser l’état de l’écosystème interne.

Résultats observés :

Un onboarding réduit de plusieurs jours à quelques heures
Une chute significative des tickets vers l’équipe plateforme
Une visibilité complète sur les services en place
Une adoption rapide dans plusieurs unités du groupe

Une plateforme pensée pour l’autonomie

Lors de la démonstration live, les intervenants ont illustré un cas d’usage typique :

Création d’un service via un template dans Backstage
Génération automatique de la CI/CD
Documentation créée et accessible immédiatement
Monitoring intégré via Prometheus et Grafana

Ce workflow fluide permet à un développeur de livrer un service complet en toute autonomie, dans un environnement sécurisé et standardisé.

Les défis rencontrés

Même si la mise en œuvre a été un succès, elle n’a pas été exempte de défis :

Une certaine résistance au changement de la part des équipes
Une dette technique rendant certains projets difficilement standardisables
La nécessité de développer des connecteurs spécifiques pour certains outils internes

Ces obstacles ont été levés grâce à une approche progressive, une gouvernance claire, et un soutien fort du management.

Ce qui attend Safran et AWS

Safran prévoit désormais de généraliser l’utilisation de Backstage à tout le groupe, en y ajoutant des modules de test automatisé, de sécurité, et en construisant des plugins internes pour répondre à des besoins métiers spécifiques.

AWS, de son côté, continue d’améliorer Harmonix pour :

Supporter des déploiements hybrides (on-prem + cloud)
Renforcer la sécurité et l’observabilité
Améliorer l'expérience développeur grâce à de nouveaux plugins

Conclusion : de l’expérience développeur à l’impact business

Ce retour d’expérience montre à quel point l’expérience développeur est devenue un facteur de performance pour les organisations tech. Backstage, avec Harmonix, permet de structurer un environnement de développement moderne, accessible, cohérent et sécurisé.

En investissant dans une IDP bien conçue, les entreprises peuvent :

Accélérer leur cycle de livraison
Standardiser les bonnes pratiques
Mieux gérer leur patrimoine logiciel
Attirer et fidéliser les talents tech

L’avenir du DevOps passe par des plateformes pensées pour les développeurs. Backstage est l’outil qui leur donne enfin les moyens d’agir.

Industrialiser le RAG pour booster l’IA générative : l’approche pragmatique en 2025

2025-07-01T18:00:00+02:00

Industrialiser le RAG pour booster l’IA générative : l’approche pragmatique en 2025

Explorée en profondeur lors du AWS Summit Paris 2025, cette approche basée sur le RAG (Retrieval-Augmented Generation) s’impose comme une réponse concrète aux limites actuelles de l’IA générative en entreprise.

Un constat alarmant, une promesse ambitieuse

Le constat est clair : selon Gartner, 60 % des projets d’intelligence artificielle échouent, essentiellement par manque de données appropriées. Pour inverser cette tendance, de plus en plus d’organisations misent sur une architecture de RAG — Retrieval-Augmented Generation — industrialisée et sécurisée.

À l’ère de l’IA générative, plusieurs enjeux freinent les entreprises : comment s’assurer de la fiabilité des réponses ? Quel modèle choisir ? Comment rester conforme aux exigences de sécurité et de confidentialité ? Quel budget prévoir ? Le RAG, dans ce contexte, s’impose comme un compromis stratégique.

RAG : le bon compromis pour une IA efficace

Il existe plusieurs manières de personnaliser un modèle de langage. Le prompt engineering est rapide, mais souvent limité. À l’autre extrême, le fine-tuning est puissant mais complexe, long et coûteux.

Le RAG repose sur un principe simple : plutôt que de modifier le modèle, on lui fournit le bon contexte au moment de la requête, en allant chercher l’information dans une base documentaire interne. Pas besoin de réentraînement. Pas besoin de déplacer les données sensibles. Et surtout, des résultats pertinents dès la première itération.

Comment fonctionne un système RAG

Tout commence par la collecte des contenus internes : documents, bases de connaissances, FAQs, pages intranet, etc. Ces fichiers sont nettoyés, découpés et transformés en vecteurs numériques grâce à un modèle d’embedding. Ces vecteurs sont ensuite stockés dans une base dédiée, comme OpenSearch ou Pinecone.

Quand un utilisateur pose une question, le système recherche les passages les plus proches sémantiquement dans cette base. Ces extraits sont alors transmis comme contexte au LLM, qui génère une réponse plus précise, ancrée dans la documentation de l’entreprise.

Ce mécanisme garantit fraîcheur, pertinence et traçabilité des réponses. Il devient aussi possible d’adapter finement les résultats selon les métiers, les droits d’accès ou la langue.

Réduire les hallucinations, sécuriser les échanges, limiter les coûts

Les hallucinations sont souvent dues à un manque de contexte. En apportant les bons documents au moment de la requête, le RAG réduit fortement ce risque. Chaque réponse peut être justifiée, sourcée, et auditée si besoin.

Sur le plan de la sécurité, les données ne quittent jamais leur périmètre. Grâce à des services comme Bedrock ou SageMaker, tout reste cloisonné dans l’environnement AWS, sans exposition externe ni transfert inutile. Le respect du RGPD est ainsi facilité.

Côté budget, l’absence de fine-tuning fait une grande différence. Le coût de calcul est optimisé, et le système peut évoluer progressivement sans repasser par des phases d’entraînement lourdes à chaque changement.

Une architecture modulaire et réutilisable

L’implémentation repose sur des composants bien connus et robustes. S3 permet de stocker les documents bruts. Lambda gère les traitements automatisés. OpenSearch ou Kendra assurent l’indexation et la recherche. Bedrock ou SageMaker génèrent les réponses. Enfin, Cognito et API Gateway sécurisent les accès selon les rôles.

Cette architecture est modulaire. Elle peut être adaptée à différents secteurs, tailles d’entreprise ou contraintes réglementaires, sans compromis sur la performance ni la sécurité.

Exemple concret : un assistant IA métier chez Bureau Veritas

Chez Bureau Veritas, un assistant interne basé sur le RAG a été développé pour répondre aux questions techniques des collaborateurs. Avec plus de 90 000 documents à disposition, les experts étaient sursollicités. Il fallait automatiser sans perdre la qualité des réponses.

Le chatbot Jules a permis de répondre à cette problématique. En s’appuyant sur les briques AWS, il traite des requêtes complexes, en toute autonomie. Plus de 3 000 collaborateurs l’utilisent régulièrement, avec un taux de satisfaction supérieur à 80 %. Le temps de réponse moyen a été divisé par 10.

Ce type d’outil montre qu’une IA bien connectée à la donnée peut vraiment transformer l’expérience utilisateur interne.

Mettre à l’échelle en gardant le contrôle

Dès que l’IA commence à être utilisée au quotidien, il devient essentiel de suivre sa performance. Quelques indicateurs clés sont à surveiller : la pertinence des documents retrouvés, la qualité perçue des réponses, les temps de latence, ou encore les retours utilisateurs.

Mais il ne suffit pas de mesurer. Il faut aussi encadrer. La gestion des droits d’accès, la traçabilité des interactions, les mécanismes d’alerte en cas de comportement anormal font partie intégrante d’un RAG sérieux et responsable.

Évaluer et améliorer en continu

Un bon système RAG n’est jamais figé. Il évolue avec les usages et les données. Plusieurs leviers permettent de l’optimiser :

des mesures automatiques (BLEU, ROUGE, F1),
des retours utilisateurs intégrés dans la boucle,
des tests A/B pour comparer différents modèles ou prompts,
et surtout, un enrichissement continu de la base documentaire.

Ce dernier point est crucial : plus les documents sont clairs, bien découpés et structurés, meilleure sera la qualité des réponses générées.

Passer du test à la production

Il est tentant de rester sur une preuve de concept. Mais les outils sont là, les retours d’expérience sont solides, et les gains sont réels. Le passage en production n’a jamais été aussi accessible.

Le RAG offre un compromis unique entre rapidité de mise en œuvre, sécurité, précision et maîtrise des coûts. Il permet d’activer les gisements de connaissances internes avec une IA réellement utile.

Les données internes sont souvent le levier le plus sous-estimé des entreprises. Avec le bon outillage, elles deviennent un avantage concurrentiel tangible.

VMWare --> Open Source

2025-05-22T10:00:00+02:00

Migration de VMware vers les Solutions Open Source de Virtualisation et de Conteneurisation

1. Introduction et Contexte

Le paysage de l'infrastructure informatique d'entreprise connaît une période de transformation accélérée, largement catalysée par des changements significatifs dans l'écosystème des solutions de virtualisation dominantes. Pendant des années, VMware s'est imposé comme le leader incontesté, définissant les standards de la virtualisation de serveurs. Cependant, une confluence de facteurs récents pousse un nombre croissant d'organisations à réévaluer leur dépendance à VMware et à explorer activement des alternatives, notamment celles issues du monde open source. Ce rapport vise à analyser en profondeur les enjeux, les stratégies et les implications d'une telle migration, qu'elle s'oriente vers des solutions de virtualisation open source traditionnelles ou vers des plateformes de conteneurisation modernes basées sur Kubernetes.

1.1. Le Point de Bascule : Pourquoi Quitter VMware?

Plusieurs facteurs convergents expliquent l'intérêt grandissant pour des alternatives à VMware, mais l'acquisition de l'entreprise par Broadcom fin 2023 a agi comme un catalyseur majeur, voire un véritable point de bascule pour de nombreuses organisations.

Impact de l'Acquisition par Broadcom : Les changements stratégiques et tarifaires imposés par Broadcom constituent la raison la plus fréquemment citée pour envisager une migration.
- Hausse Drastique des Coûts : Des augmentations de prix spectaculaires ont été rapportées par de grands comptes et des partenaires. Par exemple, AT&T aurait fait face à une proposition d'augmentation de 1050% ¹, tandis que Veeam signalait une hausse de 300% sur les produits VMware utilisés.² D'autres clients ont constaté des augmentations allant de 140% à 600%.² Pour un serveur typique, l'impact peut représenter plus qu'un triplement des coûts sur trois ans.³ Ces hausses rendent la poursuite de l'utilisation de VMware économiquement difficile, voire insoutenable, pour de nombreuses entreprises, en particulier les PME et certaines entités commerciales.²
- Refonte du Modèle de Licences : Broadcom a mis fin aux licences perpétuelles et à leurs renouvellements de support, imposant une transition vers un modèle d'abonnement basé sur le nombre de cœurs physiques.¹ Cette transition est obligatoire pour conserver le support et les mises à jour une fois les contrats existants expirés.² De plus, le minimum de cœurs requis par licence a été augmenté significativement (passant de 16 à 72 cœurs dans certains cas ¹), et l'édition gratuite populaire vSphere Hypervisor (ESXi) a été supprimée.⁵ Ce changement structurel affecte la prévisibilité budgétaire et augmente le coût global, même pour des infrastructures stables, forçant les entreprises à payer pour des capacités qu'elles n'utilisent pas forcément.
- Incertitude Stratégique : Au-delà des coûts, l'acquisition a semé le doute quant à l'avenir de l'innovation au sein de la gamme VMware.¹ Certains craignent un appauvrissement technologique ⁶ et une potentielle dilution du focus sur VMware au sein du vaste portefeuille de Broadcom, qui pourrait voir la plateforme davantage comme une "vache à lait" que comme un axe d'investissement stratégique.⁴ Cette incertitude pèse sur la confiance des clients et leur volonté d'investir à long terme dans la plateforme.⁴

L'ampleur de ces changements post-acquisition agit comme un choc externe puissant. Il ne s'agit plus simplement d'optimiser les coûts existants, mais d'une remise en question fondamentale d'un choix d'infrastructure souvent profondément ancré. Cette situation contraint les DSI et les architectes à envisager des alternatives potentiellement transformatrices, allant au-delà d'un simple remplacement fonctionnel.¹

Verrouillage Fournisseur (Vendor Lock-in) : La dépendance historique à l'écosystème VMware est une préoccupation de longue date pour de nombreuses entreprises.⁷ Bien que riche, cet écosystème peut limiter la flexibilité, compliquer l'intégration avec des solutions tierces ou des environnements multi-cloud, et rendre les migrations coûteuses et complexes.¹ L'acquisition par Broadcom a ravivé ces craintes et renforcé le désir d'indépendance technologique.¹
Coût Total de Possession (TCO) Antérieur : Même avant les bouleversements liés à Broadcom, le TCO des solutions VMware, incluant licences, support et matériel certifié, était un facteur de coût important pour les entreprises.⁹ Les récents changements n'ont fait qu'exacerber cette réalité.
Recherche de Flexibilité et d'Agilité : Parallèlement aux pressions exercées par VMware, les entreprises cherchent de plus en plus à adopter des architectures informatiques plus modernes, flexibles et agiles, souvent associées aux paradigmes du cloud (public ou privé) et aux technologies open source.¹ La rigidité perçue de l'écosystème VMware peut freiner cette évolution.

1.2. L'Appel de l'Open Source : Une Opportunité Stratégique

Face à ce contexte, les solutions open source émergent non seulement comme des alternatives viables, mais aussi comme des opportunités stratégiques pour repenser et moderniser l'infrastructure IT.

Au-delà de l'Alternative Économique : Si la réduction des coûts est un attrait majeur ¹, l'open source représente bien plus qu'une simple réponse budgétaire. C'est une voie vers la modernisation de l'infrastructure, l'amélioration de l'agilité opérationnelle, l'accélération de l'innovation et une optimisation plus fine des ressources.¹
Indépendance Technologique et Souveraineté : L'adoption de l'open source permet aux entreprises de regagner le contrôle sur leur pile technologique, d'éviter le verrouillage fournisseur et de choisir librement les composants les mieux adaptés à leurs besoins spécifiques.¹ Cette indépendance est cruciale dans un environnement technologique en constante évolution.
Adaptation au Cloud-Native : L'écosystème open source est le berceau de nombreuses technologies fondamentales du cloud-native, telles que les conteneurs (Docker), l'orchestration (Kubernetes), et les outils d'automatisation (Ansible, Terraform).¹ Migrer vers des solutions open source facilite l'adoption de ces paradigmes et la transition vers des architectures distribuées et scalables.
Qualité et Innovation Communautaire : Contrairement aux idées reçues, les logiciels open source majeurs bénéficient souvent de processus de développement rigoureux impliquant des milliers de contributeurs, ce qui peut conduire à une haute qualité et sécurité.⁹ Le rythme d'innovation, alimenté par une communauté mondiale, peut dépasser celui des éditeurs propriétaires, permettant aux entreprises de rester à la pointe de la technologie.⁵ La collaboration via les forums, conférences et bases de connaissances est également un atout majeur.⁹
Modèle Économique Alternatif : L'open source propose souvent un modèle économique basé sur des souscriptions pour le support et la maintenance, plutôt que sur des licences logicielles coûteuses.¹ Ce modèle peut offrir un ROI rapide et des coûts récurrents plus prévisibles et souvent inférieurs.¹

Il est important de noter que la motivation pour migrer n'est pas uniquement une réaction négative aux changements chez VMware (facteurs "push"), mais aussi une attraction positive vers les bénéfices stratégiques perçus de l'open source (facteurs "pull").¹ Même si la situation tarifaire de VMware venait à se stabiliser, la tendance de fond vers l'open source, portée par les objectifs de modernisation, d'agilité et d'alignement cloud-native, pourrait persister.⁶ La migration devient ainsi une opportunité de repositionnement stratégique pour l'infrastructure IT.

2. Panorama des Alternatives Open Source à VMware

Le marché offre une diversité de solutions open source pouvant remplacer tout ou partie de la pile VMware. Ces alternatives se répartissent principalement en deux catégories : les solutions de virtualisation "classiques" (centrées sur la VM) et les plateformes de conteneurisation basées sur Kubernetes (centrées sur le conteneur, mais pouvant aussi gérer des VMs). Le choix d'une alternative ne se résume donc pas à un simple remplacement fonctionnel de VMware par un équivalent open source. Il implique une réflexion sur l'architecture cible souhaitée, le niveau d'intégration désiré et les compétences disponibles au sein de l'organisation. Le spectre des options va des hyperviseurs purs, nécessitant une intégration manuelle des outils de gestion, aux plateformes entièrement intégrées, voire aux plateformes orientées conteneurs capables d'héberger également des machines virtuelles.

2.1. Solutions de Virtualisation Open Source ("VM-centric")

Ces solutions se concentrent sur la fourniture et la gestion d'hyperviseurs pour exécuter des machines virtuelles, de manière similaire à VMware vSphere/ESXi.

KVM (Kernel-based Virtual Machine) :
- Description : KVM n'est pas un hyperviseur autonome au sens traditionnel, mais une fonctionnalité du noyau Linux qui transforme ce dernier en un hyperviseur de type 1 (bare-metal).¹² Il tire parti des capacités intrinsèques de Linux pour la gestion de la mémoire, l'ordonnancement des processus et la sécurité (SELinux, sVirt).¹²
- Fonctionnalités Clés : Performances souvent citées comme proches du natif ¹⁵, support de la migration à chaud (live migration) ¹³, compatibilité avec une large gamme de matériel certifié Linux ¹⁷, et support étendu du stockage (tout ce qui est supporté par Linux : disques locaux, NAS, SAN via iSCSI/FC, multipath I/O).¹⁴
- Positionnement : KVM est la fondation technologique de nombreuses autres solutions de virtualisation et de cloud open source, incluant Proxmox VE, OpenStack, oVirt, et Red Hat OpenShift Virtualization.⁵
- Avantages : Open source, gratuit, performances élevées, stabilité héritée du noyau Linux, intégration native dans l'écosystème Linux.
- Inconvénients : En tant que composant de base, KVM seul nécessite l'ajout et la configuration d'outils de gestion, d'orchestration, de réseau et de stockage pour fournir une solution complète, ce qui peut être complexe.¹³
Proxmox VE (Virtual Environment) :
- Description : Plateforme de virtualisation open source complète, basée sur Debian Linux, qui intègre l'hyperviseur KVM pour les machines virtuelles et LXC pour les conteneurs Linux légers.⁷
- Fonctionnalités Clés : Gestion centralisée via une interface web conviviale ¹², clustering haute disponibilité (HA) sans nœud maître dédié ¹, migration à chaud des VMs et conteneurs ⁵, snapshots, sauvegarde intégrée (vzdump) et solution de sauvegarde dédiée (Proxmox Backup Server) avec restauration à chaud.¹⁹ Supporte une large gamme de stockages, y compris des solutions software-defined comme Ceph et ZFS pour l'hyperconvergence (HCI), ainsi que les stockages réseau traditionnels (NFS, iSCSI, CIFS) et locaux (LVM, ZFS).¹¹ Fonctionnalités réseau incluant pontage, VLANs et Open vSwitch ²⁷, ainsi qu'un pare-feu intégré au niveau du cluster.²⁷
- Positionnement : Très populaire auprès des PME, des environnements de test/développement, des "homelabs", mais aussi utilisé en production dans des organisations de taille significative.⁵
- Avantages : Solution tout-en-un facile à installer et à gérer via l'interface web, entièrement open source (licence AGPLv3) sans coût de licence ¹, performances solides (particulièrement en stockage par rapport à ESXi selon certaines études ¹⁹), communauté active.¹⁴
- Inconvénients : Bien que l'interface soit conviviale, une bonne compréhension de Linux/KVM est utile pour le dépannage avancé.⁵ Le support entreprise (optionnel et payant) est disponible mais peut être perçu comme moins étendu que celui de VMware.⁵ Certaines fonctionnalités très avancées de VMware (ex: DRS très sophistiqué, snapshots sur tous types de stockage sans limitation ³⁰) peuvent avoir des équivalents moins matures ou nécessiter une configuration spécifique.¹⁹
Xen Project :
- Description : Hyperviseur open source de type 1, mature et éprouvé, utilisé dans de nombreux environnements de production à grande échelle, notamment dans le cloud public (AWS historique) et comme base pour des produits commerciaux comme Citrix Hypervisor.⁵
- Fonctionnalités Clés : Performances efficaces sur diverses architectures (x86, ARM) ⁵, support de la migration à chaud ¹³, fonctionnalités de sécurité robustes (isolation forte entre VMs, support du live patching).⁵
- Positionnement : Solution fiable pour des déploiements à grande échelle nécessitant un contrôle fin sur la couche de virtualisation.
- Avantages : Maturité, fiabilité prouvée, flexibilité architecturale, gratuit et open source.⁵
- Inconvénients : Peut avoir une courbe d'apprentissage plus abrupte que d'autres solutions.⁵ L'hyperviseur Xen de base manque d'outils de gestion intégrés conviviaux par rapport à Proxmox ou vCenter, nécessitant souvent l'utilisation de solutions tierces (comme Xen Orchestra pour XCP-ng) ou une gestion en ligne de commande.⁵ Support limité pour certaines fonctionnalités dans la version gratuite (ex: USB ¹³).
oVirt :
- Description : Plateforme de gestion de virtualisation open source de niveau entreprise, basée sur l'hyperviseur KVM. C'est le projet communautaire sur lequel est basé Red Hat Virtualization (RHV).¹
- Fonctionnalités Clés : Interface de gestion centralisée pour les clusters, le stockage et les VMs. Supporte la haute disponibilité, la migration à chaud, des fonctionnalités réseau avancées et s'intègre avec des outils d'automatisation comme Ansible.⁵
- Positionnement : Alternative robuste à VMware vSphere pour les organisations familières avec KVM et recherchant des fonctionnalités d'entreprise.
- Avantages : Riche en fonctionnalités de niveau entreprise, soutenu par une forte communauté et le support potentiel de Red Hat (via RHV).⁵
- Inconvénients : La configuration et le déploiement peuvent être complexes, surtout pour les nouveaux utilisateurs.⁵ L'expérience utilisateur peut être perçue comme moins fluide que celle de vSphere.⁵
OpenStack :
- Description : Projet open source massif fournissant une plateforme complète d'Infrastructure as a Service (IaaS) pour construire et gérer des clouds privés (et publics).⁵ Il est composé de nombreux services modulaires (Nova pour le calcul, Neutron pour le réseau, Cinder pour le stockage bloc, Swift pour l'objet, Keystone pour l'identité, Horizon pour le tableau de bord, etc.).
- Fonctionnalités Clés : Extrêmement flexible et scalable, permet une gestion fine des ressources à très grande échelle, supporte divers hyperviseurs (KVM étant le plus courant), technologies de stockage (Ceph ⁵) et de réseau (SDN). API robustes pour l'automatisation et l'orchestration.⁵
- Positionnement : Solution de choix pour les grandes entreprises ou les fournisseurs de services souhaitant construire un cloud privé avec un contrôle total, mais souvent surdimensionnée pour de simples besoins de virtualisation de serveurs.
- Avantages : Scalabilité massive, flexibilité architecturale extrême, évite le verrouillage fournisseur, forte communauté et écosystème.⁵
- Inconvénients : Très complexe à déployer, gérer et maintenir.⁵ Nécessite une expertise pointue en cloud, réseau, stockage et automatisation.
Autres Solutions Notables :
- OpenNebula : Alternative à OpenStack, souvent considérée comme plus légère et plus simple à déployer, particulièrement pour les PME ou les déploiements hybrides.⁵
- XCP-ng : Fork communautaire de Citrix XenServer, offrant une alternative open source avec des fonctionnalités d'entreprise et une gestion via Xen Orchestra.¹²
- Harvester : Solution d'hyperconvergence (HCI) open source de SUSE, basée sur KVM/KubeVirt, Longhorn pour le stockage et intégrée à Rancher pour une gestion unifiée des VMs et des conteneurs.³⁰

Tableau 2.1 : Comparaison des Fonctionnalités Clés : Hyperviseurs Open Source vs. VMware vSphere

Fonctionnalité	VMware vSphere (avec vCenter)	KVM (base)	Proxmox VE	Xen Project	oVirt	OpenStack
Type Hyperviseur	Type 1 (ESXi)	Type 1 (via noyau Linux)	Type 1 (KVM via Linux Debian)	Type 1	Type 1 (KVM via Linux)	Gère divers hyperviseurs (KVM, etc.)
Licence	Propriétaire (Abonnement)	Open Source (GPL/LGPL)	Open Source (AGPLv3)	Open Source (GPLv2)	Open Source (Apache 2.0)	Open Source (Apache 2.0)
Haute Disponibilité	Oui (vSphere HA)	Non (nécessite outils externes)	Oui (intégré, >= 3 nœuds)	Oui (via outils/distros tiers)	Oui (intégré)	Oui (au niveau des services & instances)
Migration à Chaud	Oui (vMotion)	Oui (natif)	Oui (intégrée)	Oui (natif)	Oui (intégrée)	Oui (instances Nova)
Gestion Centralisée	Oui (vCenter)	Non (nécessite libvirt + outils)	Oui (Interface Web intégrée)	Non (nécessite outils/distros tiers)	Oui (Interface Web intégrée)	Oui (Horizon Dashboard, APIs)
Stockage Supporté	VMFS, NFS, iSCSI, FC, vSAN, vVols	Tout stockage Linux (local, NAS, SAN)	Large (LVM, ZFS, Ceph, NFS, iSCSI, GlusterFS...)	Tout stockage supporté par l'hôte	NFS, iSCSI, FC, GlusterFS, Ceph	Cinder (Bloc: iSCSI, Ceph...), Swift (Objet)
Réseau Avancé (SDN)	Oui (vDS, NSX)	Non (OVS/bridges Linux, config manuelle)	Limité (OVS/bridges, pare-feu, VLANs)	Limité (OVS/bridges, config manuelle)	Oui (OVS intégré)	Oui (Neutron, très avancé)
Sauvegarde Intégrée	Limitée (vSphere Replication)	Non	Oui (vzdump, Proxmox Backup Server)	Non (dépend outils/distros tiers)	Limitée	Non (snapshots Cinder)
Support Conteneurs	Oui (via Tanzu)	Non (directement)	Oui (LXC intégré)	Non (directement)	Non (directement)	Oui (via Magnum pour K8s, etc.)
Support Entreprise	Oui (Broadcom)	Via distributions (Red Hat, SUSE, Ubuntu)	Oui (Proxmox Server Solutions GmbH)	Via distributions (Citrix, Oracle...)	Oui (via Red Hat RHV)	Oui (Red Hat, Mirantis, Canonical...)

2.2. Plateformes de Conteneurisation Basées sur Kubernetes ("Container-centric" avec gestion VM)

Ces plateformes utilisent Kubernetes comme orchestrateur principal mais intègrent des capacités (souvent via KubeVirt) pour gérer également des machines virtuelles, offrant une approche unifiée.

Kubernetes Vanilla :
- Description : Le projet open source Kubernetes de base, maintenu par la Cloud Native Computing Foundation (CNCF).⁴¹ Il fournit les fonctionnalités fondamentales pour l'orchestration de conteneurs (déploiement, scaling, gestion du cycle de vie).⁴²
- Gestion VM : Nécessite l'installation et la configuration manuelles de KubeVirt.³⁷
- Avantages : Flexibilité maximale, pas de surcoût lié à une distribution spécifique, contrôle total sur les composants.
- Inconvénients : Complexité opérationnelle très élevée. Nécessite d'intégrer et de gérer soi-même tous les composants additionnels essentiels en production : monitoring, logging, réseau (CNI), stockage (CSI), sécurité, ingress, gestion des identités, etc..⁴⁵
Red Hat OpenShift :
- Description : Distribution Kubernetes orientée entreprise, construite sur Kubernetes (OKD est la version communautaire en amont ⁴⁴), enrichie avec des fonctionnalités pour la sécurité, les développeurs (outils CI/CD intégrés, build S2I), la gestion opérationnelle (mises à jour automatisées, monitoring intégré) et une interface web complète.¹
- Gestion VM : Intègre OpenShift Virtualization, basé sur KubeVirt, permettant de créer, importer et gérer des VMs KVM comme des objets natifs Kubernetes aux côtés des conteneurs.¹⁵ Inclut le Migration Toolkit for Virtualization (MTV) pour faciliter la migration depuis VMware.¹⁶ Une édition OpenShift Virtualization Engine est dédiée uniquement à la gestion de VMs sur OpenShift.¹⁶
- Positionnement : Plateforme applicative hybride pour les entreprises, visant à unifier le développement et l'exploitation des applications traditionnelles (VMs) et modernes (conteneurs, serverless). Particulièrement pertinent pour les organisations déjà investies dans l'écosystème Red Hat.⁴⁷
- Avantages : Solution PaaS/CaaS intégrée et supportée par Red Hat, sécurité renforcée par défaut (SELinux, SCCs) ⁴¹, outils développeurs et opérateurs intégrés, gestion simplifiée du cycle de vie du cluster et des applications.⁴²
- Inconvénients : Peut être perçu comme plus complexe et "opinionated" (imposant certaines façons de faire) que Kubernetes vanilla ⁴⁴, modèle de souscription payant ⁴², potentiellement plus gourmand en ressources que des solutions plus légères.
SUSE Rancher :
- Description : Plateforme open source de gestion centralisée pour de multiples clusters Kubernetes, quelle que soit leur localisation (on-premise, cloud public, edge) ou leur distribution (RKE, K3s, EKS, AKS, GKE...).³⁸ Rancher lui-même n'est pas une distribution Kubernetes, mais un outil de management qui s'installe au-dessus.⁴¹
- Gestion VM : Rancher s'intègre nativement avec Harvester, la solution HCI de SUSE.³⁰ Harvester utilise KubeVirt et Longhorn (stockage bloc distribué) pour permettre la gestion des VMs depuis la console Rancher, aux côtés des clusters Kubernetes.
- Distributions Associées : RKE (Rancher Kubernetes Engine) est une distribution Kubernetes certifiée CNCF fonctionnant dans des conteneurs Docker.⁴⁷ K3s est une distribution Kubernetes légère, optimisée pour les environnements à ressources limitées (edge, IoT, CI).⁴⁷
- Positionnement : Idéal pour les organisations gérant un parc hétérogène de clusters Kubernetes et recherchant une interface de gestion unifiée et conviviale.
- Avantages : Extrême flexibilité (agnostique vis-à-vis de l'infrastructure et de la distribution K8s), interface utilisateur intuitive ⁴¹, gestion multi-cluster native, open source avec support entreprise optionnel (SUSE).⁴¹
- Inconvénients : Moins une plateforme PaaS "tout-en-un" qu'OpenShift.⁴¹ Bien que l'interface soit simple, la configuration et la gestion avancées des clusters sous-jacents nécessitent toujours une expertise Kubernetes.⁴⁴
K3s :
- Description : Distribution Kubernetes légère et certifiée CNCF, développée initialement par Rancher Labs (maintenant SUSE).⁴⁷ Conçue pour être simple, rapide à déployer (binaire unique) et avec une faible empreinte mémoire/CPU.⁴⁷ Remplace et simplifie certains composants K8s (etcd remplacé par SQLite par défaut, par exemple).
- Gestion VM : Peut exécuter KubeVirt, bien que moins courant que sur des distributions K8s complètes.
- Positionnement : Excellent choix pour l'edge computing, l'IoT, les environnements de développement/test, et les petits clusters.
- Avantages : Léger, rapide, facile à installer et à mettre à jour.⁴⁴
- Inconvénients : Peut manquer de certaines fonctionnalités ou options de configuration avancées présentes dans K8s complet, potentiellement moins adapté pour de très grands clusters centralisés.⁴⁴
KubeVirt (en tant que projet) :
- Description : Projet open source clé qui étend Kubernetes pour permettre la gestion de machines virtuelles.⁸ Il introduit des Custom Resource Definitions (CRDs) comme VirtualMachine (VM) et VirtualMachineInstance (VMI) qui sont gérées via l'API Kubernetes standard.
- Fonctionnement : Utilise KVM/QEMU via libvirt, encapsulé dans un pod spécifique (virt-launcher) sur les nœuds workers.⁴⁶ Les composants virt-controller (dans le control plane) et virt-handler (daemonset sur les nœuds) orchestrent le cycle de vie des VMs.⁴⁶ Les VMs utilisent le réseau (CNI) et le stockage (CSI via PVCs) de Kubernetes.³⁷
- Positionnement : Technologie habilitante fondamentale pour faire converger la gestion des VMs et des conteneurs sur Kubernetes. Utilisée par OpenShift Virtualization, Harvester, et potentiellement dans des déploiements K8s vanilla.
- Avantages : Permet une gestion unifiée avec les outils Kubernetes existants, facilite une migration progressive vers le cloud-native en hébergeant des VMs legacy sur une plateforme moderne, potentiel d'amélioration de la densité des workloads par rapport aux VMs traditionnelles.³⁷
- Inconvénients : Technologie plus récente que les hyperviseurs dédiés, la performance peut être un sujet d'attention pour certains workloads très intensifs ⁵⁹, la maturité de certaines fonctionnalités (ex: live migration avec stockage non-RWX ⁴⁶) peut être en retrait par rapport à vMotion. L'utilisation en mode "DIY" (Do It Yourself) sur K8s vanilla dépend fortement du support communautaire.³⁷

L'émergence de KubeVirt et son intégration dans des plateformes majeures comme OpenShift et Harvester/Rancher est significative. Elle brouille la frontière historiquement nette entre le monde de la virtualisation et celui de la conteneurisation. Plutôt que de forcer un choix binaire "tout VM" ou "tout conteneur", KubeVirt ouvre une voie de "Re-platforming".⁵⁵ Les entreprises peuvent déplacer leurs VMs existantes sur une infrastructure Kubernetes, les gérant avec les mêmes outils que leurs conteneurs. Cela permet de bénéficier immédiatement de certains avantages de Kubernetes (orchestration déclarative, API unifiée) tout en planifiant une modernisation plus profonde (refactoring vers des conteneurs natifs) à leur propre rythme.⁵⁵ Cette approche hybride et progressive est un atout majeur pour les organisations avec un parc applicatif mixte.

Tableau 2.2 : Comparaison des Plateformes Kubernetes (OpenShift vs. Rancher vs. K8s Vanilla + KubeVirt)

Caractéristique	Kubernetes Vanilla (+ KubeVirt DIY)	Red Hat OpenShift (+ Virtualization)	SUSE Rancher (+ Harvester/K3s)
Facilité Déploiement	Complexe	Complexe (mais assisté)	Variable (Rancher simple, cluster K8s dépend)
Gestion Cluster	Manuelle / Outils tiers	Intégrée (Single/Multi via ACM)	Nativement Multi-Cluster
Fonctionnalités PaaS	Minimales (à intégrer)	Riches et Intégrées (CI/CD, Registry...)	Limitées (focus sur gestion K8s)
Gestion VM (KubeVirt)	Manuelle (installation/config)	Intégrée (OpenShift Virtualization)	Intégrée via Harvester
Outils Migration VM	Outils OS (virt-v2v, etc.)	Intégrés (MTV)	Dépend Harvester / Outils OS
Sécurité Intégrée	Basique (RBAC, NetworkPolicy...)	Renforcée (SELinux, SCCs, Compliance)	Variable (dépend cluster K8s sous-jacent)
Modèle Licence/Coût	Open Source (Gratuit)	Souscription (Payant)	Open Source (Support payant optionnel)
Support	Communautaire	Entreprise (Red Hat)	Entreprise (SUSE) / Communautaire
Cible Principale	Experts K8s, Flexibilité Max	Entreprises, Standardisation RH	Gestion Hétérogène, Multi-Cloud
Complexité Opérationnelle	Très Élevée	Élevée (mais managée)	Moyenne à Élevée (selon cluster)

3. Analyse Approfondie des Enjeux Techniques de la Migration

La migration d'un environnement VMware établi vers une alternative open source, qu'elle soit basée sur la virtualisation traditionnelle ou sur Kubernetes, soulève d'importants défis techniques qu'il convient d'anticiper et de maîtriser. Ces enjeux couvrent la compatibilité des applications et des systèmes d'exploitation, la parité des fonctionnalités essentielles, la complexité intrinsèque du processus de migration des machines virtuelles elles-mêmes, ainsi que les performances et la capacité de montée en charge comparées des différentes solutions.

3.1. Compatibilité Applicative et Systèmes d'Exploitation

Assurer que les systèmes d'exploitation invités et les applications qu'ils hébergent fonctionneront correctement sur la nouvelle plateforme est une préoccupation majeure.

Support des OS Invités : La plupart des hyperviseurs open source basés sur KVM ou Xen offrent un large support pour les systèmes d'exploitation invités courants, notamment diverses distributions Linux et versions de Windows.¹³ Proxmox VE liste explicitement Linux, Windows, et d'autres OS.²¹ De même, OpenShift Virtualization, basé sur KVM/KubeVirt, supporte officiellement Windows et Linux, avec même une certification pour certaines versions de Windows Server.³⁷ En théorie, la compatibilité de base des OS est donc généralement assurée.
Problèmes Potentiels lors d'une Migration VM-à-VM : Les difficultés surviennent souvent au niveau de l'interaction entre l'OS invité et le nouvel hyperviseur :
- Pilotes (Drivers) : C'est l'un des points les plus critiques. Les performances optimales (disque, réseau) sur KVM/Proxmox/oVirt dépendent des pilotes paravirtualisés VirtIO.⁶⁴ Il est fortement recommandé d'installer ces pilotes dans la VM avant la migration, bien que cela puisse parfois être fait après.⁶⁴ La désinstallation préalable des VMware Tools est également une étape essentielle pour éviter les conflits.⁶⁴ L'oubli ou l'échec de cette étape peut entraîner des VMs qui ne démarrent pas ou des performances dégradées.
- Configuration Matérielle Virtuelle : Le matériel virtuel émulé par l'hyperviseur cible peut différer de celui de VMware. Il faut s'assurer que le type de contrôleur de disque (IDE pour les très vieux OS ⁶⁴, SATA, ou idéalement VirtIO-SCSI pour la performance ⁶⁴), le type de carte réseau (par exemple, passer de E1000/VMXNET3 à VirtIO-net/netkvm ⁶⁴), et le firmware (BIOS hérité vs UEFI ⁶³) sont correctement configurés et supportés par l'OS invité.
- Configuration Réseau : Bien que des outils tentent de préserver les configurations réseau ⁶⁶, le changement d'adaptateur réseau virtuel peut entraîner la perte de l'adresse IP statique ou des problèmes de "stuck IP" liés à l'ancienne carte réseau fantôme dans l'OS.³⁰ Il est crucial de vérifier et, si nécessaire, de reconfigurer les paramètres IP après la migration. La correspondance des VLANs entre l'environnement source et cible est également indispensable pour maintenir la connectivité.⁶⁶ La préservation de l'adresse MAC peut être importante pour certains OS ou applications.⁶⁶
- Licences OS/Applicatives : Bien que moins fréquent aujourd'hui, certaines licences logicielles pourraient être liées à des identifiants matériels virtuels spécifiques à VMware. Il convient de vérifier ce point pour les applications critiques ou sous licence spécifique.
Problèmes Potentiels lors d'une Migration VM-vers-Conteneur ou VM-vers-KubeVirt : La transition vers un environnement basé sur Kubernetes introduit des défis de compatibilité différents :
- Nature de l'Application : Les applications monolithiques, non conçues pour être distribuées ou sans état, sont intrinsèquement difficiles à conteneuriser directement. KubeVirt offre ici une solution de repli intéressante, permettant d'exécuter la VM monolithique au sein de Kubernetes en attendant un refactoring éventuel.³⁷
- Dépendances Système Fortes : Les applications qui interagissent profondément avec le noyau de l'OS invité, nécessitent des pilotes spécifiques ou des privilèges élevés peuvent être complexes à faire fonctionner dans un conteneur standard, qui partage le noyau de l'hôte et a des capacités limitées par défaut. KubeVirt, exécutant un OS complet dans une VM, contourne ce problème.
- Stockage Persistant : La gestion du stockage persistant dans Kubernetes (via Persistent Volumes - PV, Persistent Volume Claims - PVC et Storage Classes - SC) est fondamentalement différente de la gestion des datastores et des disques virtuels (VMDK) dans VMware.⁴⁹ La migration nécessite de mapper les volumes VMDK vers des PVCs et de s'assurer que le stockage sous-jacent (via un driver CSI) fournit les performances et les fonctionnalités requises (ex: mode d'accès ReadWriteMany pour la migration à chaud KubeVirt ⁴⁶).

Si les défis de compatibilité technique pure (pilotes, matériel virtuel) lors d'une migration VM-à-VM sont souvent surmontables avec une planification minutieuse et les bons outils (comme l'installation préalable des drivers VirtIO), le véritable enjeu se déplace souvent vers la parité fonctionnelle et la complexité opérationnelle. L'écosystème VMware, centré autour de vCenter, offre un ensemble très intégré de fonctionnalités avancées (vMotion, DRS, HA, NSX, vSAN) qui peuvent être plus difficiles à répliquer avec le même niveau de simplicité et d'intégration en assemblant différentes briques open source.⁵ Une migration réussie ne se mesure pas seulement à la capacité de démarrer la VM sur la nouvelle plateforme, mais aussi à la capacité de l'opérer efficacement avec un niveau de service équivalent.

3.2. Parité des Fonctionnalités (Haute Disponibilité, Migration à Chaud, Réseau/Stockage)

L'un des aspects les plus scrutés lors d'une migration est la capacité des solutions alternatives à offrir un niveau de fonctionnalités équivalent à celui de VMware, notamment pour les opérations critiques.

Haute Disponibilité (HA) :
- VMware : vSphere HA est une solution éprouvée et largement utilisée pour redémarrer automatiquement les VMs sur d'autres hôtes en cas de défaillance matérielle.¹⁷
- Alternatives Open Source :
  - Proxmox VE intègre une fonctionnalité de HA ¹, nécessitant au moins trois nœuds et un stockage partagé ou répliqué (comme Ceph).¹⁹ Certains utilisateurs la jugent fonctionnelle mais potentiellement moins sophistiquée que celle de VMware.¹⁹
  - oVirt propose également une HA de niveau entreprise.⁵
  - Pour KVM pur ou Xen, la HA nécessite généralement des solutions de clustering externes comme Pacemaker/Corosync, ajoutant une couche de complexité.
  - Kubernetes gère nativement la haute disponibilité des applications (pods) en les redémarrant sur des nœuds sains. KubeVirt étend ce principe aux VMs qu'il gère, en redémarrant le pod virt-launcher de la VM.³⁷ Des fonctionnalités spécifiques à la HA des VMs sont également développées dans KubeVirt.³⁷
Migration à Chaud (Live Migration) :
- VMware : vMotion est la technologie de référence pour déplacer une VM en cours d'exécution d'un hôte à un autre sans interruption de service.¹⁷
- Alternatives Open Source :
  - KVM, Xen, Proxmox VE et oVirt supportent tous la migration à chaud nativement.⁵
  - KubeVirt supporte également la migration à chaud des VMs entre les nœuds Kubernetes.³⁷ Cependant, elle impose des contraintes, notamment la nécessité d'utiliser un stockage partagé accessible en mode ReadWriteMany (RWX) pour les volumes persistants de la VM.⁴⁶ Le processus peut aussi avoir un impact temporaire sur les performances.⁴⁶ KubeVirt implémente des stratégies de migration pré-copie (standard) et post-copie (pour les VMs difficiles à faire converger).⁶⁰
Gestion du Réseau :
- VMware : Offre des commutateurs virtuels standards (vSS) et distribués (vDS). Pour le Software-Defined Networking (SDN) avancé, NSX fournit des fonctionnalités riches de micro-segmentation, de routage dynamique, de pare-feu distribué, etc..³
- Alternatives Open Source :
  - Les solutions basées sur Linux (KVM, Proxmox, Xen) utilisent typiquement les mécanismes de pontage (bridging) Linux ou Open vSwitch (OVS) pour la connectivité des VMs.¹ La configuration des VLANs est couramment supportée.³¹
  - Proxmox intègre un pare-feu basique et des fonctionnalités SDN limitées.⁵ oVirt a une intégration OVS plus poussée.⁵
  - OpenStack Neutron offre des capacités SDN très complètes mais notoirement complexes à maîtriser.⁸
  - Kubernetes utilise le Container Network Interface (CNI) comme standard pour les plugins réseau. Des solutions CNI populaires (Calico, Cilium, OVN-Kubernetes...) fournissent des fonctionnalités SDN avancées (Network Policies pour la micro-segmentation, etc.). OpenShift intègre sa propre solution SDN (OpenShift SDN ou OVN-Kubernetes). KubeVirt s'intègre naturellement dans ce modèle réseau Kubernetes.³⁷
Gestion du Stockage :
- VMware : Utilise principalement le système de fichiers cluster VMFS pour les LUNs partagés, vSAN pour l'hyperconvergence (HCI), et supporte NFS et iSCSI. vVols permet une gestion plus granulaire du stockage au niveau des VMs.¹
- Alternatives Open Source :
  - Proxmox VE brille par sa flexibilité de stockage, supportant une multitude d'options : stockage local (LVM, LVM-Thin, ZFS), stockage réseau (NFS, iSCSI, CIFS), et stockage distribué/software-defined (Ceph/RBD, GlusterFS, ZFS over iSCSI).¹¹ L'intégration native de Ceph et ZFS facilite la mise en place de solutions HCI.¹¹ Des limitations peuvent exister pour certaines fonctionnalités (ex: snapshots de l'hyperviseur sur LUNs iSCSI classiques ³⁰). Le Thin Provisioning est supporté.³⁰
  - KVM/Linux peuvent utiliser tout type de stockage accessible par le système hôte Linux (local, NFS, iSCSI, FC).¹⁴ Des solutions SDS comme Ceph ⁵ ou GlusterFS sont couramment utilisées.
  - OpenStack propose Cinder pour la gestion des volumes bloc (avec divers backends possibles) et Swift pour le stockage objet.⁸
  - Kubernetes standardise l'accès au stockage via l'interface CSI (Container Storage Interface). Les administrateurs définissent des Storage Classes qui pointent vers des provisionneurs de stockage (ex: Ceph via Rook, Longhorn, pilotes CSI pour SAN/NAS...). Les applications demandent du stockage via des PVCs. KubeVirt utilise ce mécanisme standard : les disques virtuels des VMs sont adossés à des PVCs.⁴⁶ Harvester intègre Longhorn pour le stockage distribué.³⁷

Tableau 3.1 : Synthèse de la Parité des Fonctionnalités : VMware vSphere vs. Alternatives Open Source Majeures

Fonctionnalité	VMware vSphere (Full Stack)	Proxmox VE (+ PBS/Ceph)	KVM + oVirt/OpenStack	Xen + XCP-ng/Orchestra	OpenShift Virtualization
HA (VM Restart)	Natif Intégré (Mature)	Natif Intégré	Intégré (oVirt) / Complexe (OS)	Via Outils Tiers (Mature)	Natif Intégré (K8s + KubeVirt)
Live Migration	Natif Intégré (vMotion)	Natif Intégré	Natif Intégré	Natif Intégré	Natif Intégré (Limitations)
Load Balancing (DRS)	Natif Intégré (Avancé)	Limité / Manuel	Limité (oVirt) / Possible (OS)	Limité / Manuel	Via K8s Scheduler (Pods)
SDN (Micro-segment.)	Natif Intégré (NSX)	Limité / Outils Tiers	Avancé (Neutron) / Limité (oVirt)	Limité / Outils Tiers	Natif Intégré (NetworkPolicy)
Stockage SDS/HCI	Natif Intégré (vSAN)	Natif Intégré (Ceph/ZFS)	Via Outils Tiers (Ceph...)	Via Outils Tiers	Via CSI (Ceph, Longhorn...)
Gestion Centralisée	Natif Intégré (vCenter)	Natif Intégré (Web UI)	Natif Intégré (oVirt/Horizon)	Via Outils Tiers (Xen Orch.)	Natif Intégré (OpenShift UI)
Sauvegarde/DR Intégrée	Limitée (VDP/vSphere Rep.)	Intégrée (PBS)	Limitée	Limitée	Via Outils Tiers (Velero...)
Sécurité Avancée	Intégrée (NSX, Encryption...)	Basique / Outils Tiers	Variable (Dépend config/OS)	Variable (Dépend config/distro)	Intégrée (Policies, Secrets...)

Légende : Natif Intégré = Fonctionnalité clé de la plateforme; Via Outils Tiers = Nécessite un composant externe/communautaire; Limité = Fonctionnalité basique ou moins mature; Complexe = Possible mais difficile à mettre en œuvre.

3.3. Complexité de la Migration des VMs

Le processus technique de déplacement des machines virtuelles de VMware vers une plateforme open source varie en complexité selon la cible et la méthode choisies.

Migration VM-à-VM (vers Hyperviseur Open Source) : C'est le scénario le plus direct, visant à remplacer ESXi par KVM, Proxmox, Xen, etc.
- Outils Disponibles : Plusieurs outils peuvent faciliter cette transition :
  - virt-v2v : Un outil en ligne de commande puissant pour convertir des VMs depuis VMware (ESXi/vCenter) ou Xen vers des environnements basés sur KVM (gérés par libvirt, oVirt, OpenStack, RHV).⁶³ Il gère la conversion des disques et des métadonnées.
  - Importateur Proxmox VE : Depuis la version 8.2, Proxmox intègre un assistant graphique pour importer directement des VMs depuis des hôtes ESXi (versions 6.5 à 8.0, hors vSAN).⁶⁵
  - Export/Import OVF : L'exportation de la VM VMware au format OVF (Open Virtualization Format) et son importation sur la plateforme cible (ex: qm importovf sur Proxmox) est une méthode standardisée mais souvent manuelle.⁶⁵
  - Conversion Manuelle de Disques : Implique de copier les fichiers VMDK de VMware et de les convertir au format qcow2 ou raw en utilisant qemu-img, puis de créer manuellement une VM sur la cible en attachant ces disques.⁶⁷ C'est la méthode la plus flexible mais aussi la plus laborieuse et sujette aux erreurs.
  - Outils de Sauvegarde/Restauration : Des solutions tierces comme Veeam (qui a annoncé le support de Proxmox pour le T3 2024 ¹⁹), Vinchin Backup & Recovery ⁶⁸, ou d'autres supportant à la fois VMware et la cible open source ¹⁹, peuvent potentiellement être utilisées pour sauvegarder sur VMware et restaurer sur la nouvelle plateforme (V2V).
- Processus Typique : Souvent, cela implique une phase d'exportation/copie depuis VMware, une phase de conversion du format de disque et des métadonnées, et une phase d'importation/création sur la cible.⁷⁰ Les outils comme virt-v2v ou l'importateur Proxmox automatisent une partie de ce flux.⁶⁵ Des ajustements post-migration sont presque toujours nécessaires (installation/vérification des pilotes VirtIO, configuration réseau, vérification du boot).⁶⁴
- Gestion du Downtime : La plupart des méthodes (export/import OVF, conversion manuelle, virt-v2v ⁶⁹) nécessitent que la VM source soit arrêtée (migration à froid ou "cold migration"). L'importateur Proxmox permet une migration "live" (à chaud), mais elle est plus longue et recommandée uniquement si l'arrêt n'est pas possible.⁶⁵ Les outils de sauvegarde/restauration peuvent offrir des options de restauration rapide minimisant le downtime.
Migration VM-vers-Conteneur (Refactoring) : Il ne s'agit pas d'une migration d'infrastructure au sens strict, mais d'une réingénierie applicative. La complexité est très élevée et dépend entièrement de l'application. Cela sort du cadre de ce rapport centré sur les plateformes.
Migration VM-vers-KubeVirt (Re-platforming) : Déplacer une VM pour qu'elle s'exécute au sein d'un cluster Kubernetes géré par KubeVirt.
- Outils Disponibles :
  - Red Hat Migration Toolkit for Virtualization (MTV) : Intégré à OpenShift, il est spécifiquement conçu pour migrer des VMs (notamment VMware) vers OpenShift Virtualization.¹⁶ Il automatise le mapping réseau/stockage et la création des objets KubeVirt.⁵⁷
  - Konveyor : Bien que la communauté Konveyor semble s'être recentrée sur le refactoring applicatif ⁷², ses outils comme Crane (migration inter-cluster K8s) ou Move2Kube (aide au re-platforming) peuvent être utiles dans un contexte plus large de modernisation.⁷³
  - Approche Manuelle/Scriptée : Implique de convertir le disque VM (ex: VMDK vers qcow2/raw ou image de conteneur), de téléverser cette image vers un emplacement accessible par KubeVirt (ex: registry de conteneurs, PVC), et de créer les manifestes YAML pour les objets KubeVirt (VirtualMachine, VirtualMachineInstance, DataVolume, Service...).⁴⁸
- Processus Typique : La migration implique non seulement de déplacer les données du disque, mais aussi de traduire la configuration de la VM (CPU, RAM, réseau, stockage) en objets Kubernetes/KubeVirt. MTV simplifie grandement ce processus dans l'écosystème OpenShift.⁵⁷
- Complexité : Nettement plus complexe qu'une migration VM-à-VM car elle nécessite une compréhension des concepts Kubernetes (Pods, Services, PVCs, CRDs) en plus de la virtualisation. Cependant, elle est moins disruptive qu'un refactoring complet de l'application.

3.4. Performance et Scalabilité Comparées

La performance et la capacité à monter en charge sont des critères essentiels dans le choix d'une plateforme de virtualisation ou de conteneurisation.

Comparaison des Hyperviseurs (VMware vs KVM/Proxmox) :
- Performance Brute : KVM est souvent réputé pour ses performances proches du matériel natif, grâce à son intégration profonde dans le noyau Linux.¹⁵ Des benchmarks historiques (Phoronix 2011 ¹⁸) et plus récents (SPECvirt ¹⁹) le positionnent favorablement face à ESXi. Proxmox VE, basé sur KVM, hérite de ces bonnes performances. Une étude de Blockbridge en 2024 a même montré que Proxmox surpassait significativement ESXi 7.0u3 en termes d'IOPS (+50%), de latence (-30%) et de bande passante (+38%) dans des tests de stockage intensifs avec 32 VMs.¹⁹ L'écart semble se réduire sous charge normale.¹⁹ VMware ESXi reste cependant une plateforme très performante, optimisée pour les charges de travail d'entreprise.²⁸
- Gestion de la Performance : VMware dispose d'outils avancés comme Distributed Resource Scheduler (DRS) pour l'équilibrage de charge automatique et l'optimisation des ressources au niveau du cluster ²⁴, un domaine où les alternatives open source peuvent être moins intégrées ou nécessiter une configuration manuelle plus poussée.
- Conclusion Partielle : Pour la performance brute, notamment en stockage, KVM et Proxmox semblent très compétitifs, voire supérieurs dans certains scénarios. VMware conserve un avantage potentiel dans la gestion automatisée et sophistiquée de la performance à grande échelle grâce à son écosystème intégré.
Comparaison VMware vs KubeVirt (VMs sur Kubernetes) :
- Performance : Il existe peu de benchmarks publics standardisés comparant directement la performance d'une VM sur ESXi versus la même VM sur KubeVirt. La performance sur KubeVirt dépendra fortement de KVM sous-jacent, mais aussi de la performance et de la configuration du cluster Kubernetes lui-même (performance du CNI pour le réseau, du CSI pour le stockage). L'objectif d'OpenShift Virtualization est d'offrir des performances de niveau entreprise.¹⁶
- Densité : Un argument clé en faveur de KubeVirt est le potentiel d'une meilleure densité de workloads. En partageant le plan de contrôle Kubernetes et potentiellement des ressources système avec les conteneurs, KubeVirt pourrait permettre d'héberger plus de VMs sur le même matériel par rapport à une pile de virtualisation traditionnelle plus lourde.⁶¹ Des analyses TCO suggèrent des gains d'efficacité et une réduction de l'empreinte matérielle.⁶¹
Scalabilité :
- VMware : Très éprouvé pour la scalabilité verticale et horizontale dans de très grands data centers.²⁸
- Proxmox VE : Permet de créer des clusters de plusieurs nœuds ²⁷ et est utilisé dans des déploiements multi-sites.³³ La scalabilité est bonne, bien que peut-être moins testée aux extrêmes que VMware.
- KVM/OpenStack : Conçus pour une scalabilité massive, formant la base de nombreux clouds publics et privés de grande taille.⁵
- Kubernetes : L'un de ses points forts est la scalabilité horizontale des applications conteneurisées. KubeVirt, en s'intégrant à Kubernetes, hérite de cette capacité à gérer un grand nombre de VMs (pods virt-launcher) orchestrées par Kubernetes. La scalabilité réelle dépendra de la robustesse du control plane K8s et des capacités des nœuds workers.

La migration vers KubeVirt représente un changement de paradigme technique et opérationnel plus profond qu'une simple migration VM-à-VM. Elle ne consiste pas seulement à changer d'hyperviseur, mais à adopter une nouvelle plateforme d'orchestration (Kubernetes) pour gérer les VMs. Cela impose une convergence des compétences et des outils traditionnellement séparés entre les équipes d'infrastructure (gestion des VMs) et les équipes applicatives/DevOps (gestion des conteneurs et de Kubernetes). La gestion du cycle de vie des VMs, de leur réseau (via CNI et Services K8s) et de leur stockage (via CSI et PVCs) se fait désormais avec les mécanismes et les API de Kubernetes.³⁷ Cette approche intégrée promet une plateforme unifiée ⁴⁹, mais exige que les administrateurs de virtualisation acquièrent une compréhension de Kubernetes ⁵⁹ et que les processus opérationnels s'alignent sur les pratiques DevOps (Infrastructure as Code, GitOps, CI/CD).⁵⁴

4. Évaluation des Défis Opérationnels et Organisationnels

Au-delà des aspects purement techniques, la migration de VMware vers des solutions open source engendre des défis opérationnels et organisationnels significatifs. Le succès de la transition dépend largement de la capacité de l'entreprise à anticiper et à gérer ces changements, qui touchent aux compétences des équipes, aux outils utilisés au quotidien, aux modèles de support et à la structure globale des coûts.

4.1. Besoins en Nouvelles Compétences

Le passage à un écosystème open source, qu'il s'agisse de virtualisation classique ou de Kubernetes, exige une adaptation et souvent une montée en compétence significative des équipes IT.

Compétences pour la Virtualisation Open Source (Proxmox, KVM, Xen, oVirt) :
- Une maîtrise solide de l'environnement Linux est quasi indispensable, car la plupart de ces solutions reposent sur ce système d'exploitation.⁵
- Une connaissance de l'hyperviseur sous-jacent (KVM ou Xen) est nécessaire pour le dépannage avancé et l'optimisation.⁵
- La familiarité avec les outils spécifiques à la plateforme choisie (interface web et ligne de commande Proxmox ²⁰, libvirt pour KVM, Xen Orchestra pour XCP-ng) et les technologies de stockage et réseau associées (Ceph, ZFS, GlusterFS, LVM, Open vSwitch) est cruciale.⁵
- Les équipes devront potentiellement être plus à l'aise avec la ligne de commande et le scripting pour l'automatisation et certaines tâches de gestion, car les interfaces graphiques, bien qu'existantes (surtout pour Proxmox et oVirt), peuvent être moins exhaustives que vCenter pour couvrir l'ensemble des fonctionnalités avancées.⁵
Compétences pour Kubernetes et KubeVirt : La transition vers une plateforme basée sur Kubernetes représente un saut de complexité plus important.
- Une compréhension approfondie de Kubernetes est fondamentale : architecture (control plane, nœuds workers), objets clés (Pods, Deployments, Services, Ingress, ConfigMaps, Secrets), API, ligne de commande (kubectl), concepts réseau (CNI, Services, Ingress) et stockage (CSI, PV, PVC, StorageClasses).⁷⁴
- La gestion des conteneurs (Docker, containerd, CRI-O) et la capacité à construire et gérer des images de conteneurs sont nécessaires.
- Des compétences spécifiques à KubeVirt pour la définition et la gestion des VMs via les CRDs sont requises.
- La maîtrise des outils de l'écosystème Kubernetes est essentielle pour une exploitation en production : monitoring (Prometheus, Grafana ³⁷), logging (EFK/Loki), automatisation et déploiement (Helm, Kustomize, GitOps avec ArgoCD/Flux), gestion de la sécurité (Network Policies, OPA/Gatekeeper, scanners de vulnérabilités), et potentiellement service mesh (Istio, Linkerd).
- Des compétences en automatisation d'infrastructure (Ansible ⁵, Terraform ¹) sont également très utiles.
- La courbe d'apprentissage pour maîtriser cet ensemble est reconnue comme étant raide.⁶
Comparaison avec les Compétences VMware : Les administrateurs VMware, certifiés VCP par exemple ⁷⁴, possèdent une expertise spécifique sur l'écosystème vSphere/vCenter.⁷⁵ Bien que certaines compétences soient transférables (concepts de virtualisation, réseau, stockage), une part importante de nouvelles connaissances doit être acquise pour gérer efficacement les plateformes open source, et plus encore pour Kubernetes.¹ VMware positionne sa solution Tanzu comme un moyen de tirer parti des compétences vSphere existantes pour aborder Kubernetes ⁷⁵, mais une migration vers des solutions open source pures demandera un investissement conséquent en formation.¹
Impact Organisationnel : Pour combler ce fossé de compétences, les entreprises devront investir dans la formation de leurs équipes existantes ¹, potentiellement recruter de nouveaux profils avec une expertise Linux/KVM/Kubernetes, ou s'appuyer sur des partenaires externes (consultants, sociétés de services spécialisées en open source) pour la migration et/ou l'exploitation.¹ La migration vers Kubernetes, en particulier, peut favoriser une convergence des équipes infrastructure et développement/DevOps, nécessitant une adaptation des structures organisationnelles.⁵⁴

4.2. Maturité des Outils de Gestion, Supervision et Sécurité

L'écosystème VMware, avec vCenter et la suite vRealize (maintenant Aria), offre une plateforme de gestion, de supervision et de sécurité très intégrée et mature.²⁰ Les alternatives open source présentent un paysage plus hétérogène.

Gestion Centralisée :
- Proxmox VE offre une interface web intégrée et assez complète pour gérer le cluster, les VMs, les conteneurs, le stockage et le réseau.¹² Elle est souvent louée pour sa convivialité.²⁰ Cependant, pour l'automatisation avancée (provisioning type vRA/vRO), des outils externes (Ansible, Terraform) sont nécessaires.¹
- oVirt fournit également une interface de gestion centralisée de niveau entreprise.⁵
- KVM/Xen purs nécessitent des outils de gestion tiers (comme virt-manager pour une gestion locale/simple, ou des solutions plus complexes comme OpenStack Horizon ou Xen Orchestra).
- Kubernetes : Le Dashboard Kubernetes officiel est limité. Des outils comme Lens ou Octant offrent de meilleures interfaces graphiques. Les distributions comme OpenShift ⁴¹ et Rancher ⁴¹ fournissent des consoles web beaucoup plus riches et intégrées. Pour la gestion multi-cluster et la gouvernance, des outils comme Red Hat Advanced Cluster Management (ACM) ¹⁶ ou Rancher lui-même sont des solutions dédiées.
Supervision (Monitoring & Logging) :
- Proxmox VE inclut des capacités de monitoring de base des ressources (CPU, RAM, disque, réseau) visibles dans l'interface web ²⁷, avec une intégration possible vers InfluxDB/Graphite.²⁷ Les logs sont gérés via les mécanismes standards de Linux (syslog, journald).³¹ Pour une supervision et une centralisation des logs avancées, des outils externes (Zabbix, Checkmk, ELK/EFK/Loki stack) sont généralement nécessaires.³¹
- KVM/Xen/Linux : Reposent entièrement sur l'écosystème d'outils de monitoring et de logging Linux/open source (Nagios, Zabbix, Prometheus Node Exporter, Fluentd, etc.).
- Kubernetes : Possède un écosystème de supervision très riche et devenu un standard de facto, basé principalement sur Prometheus pour les métriques, Grafana pour la visualisation ³⁷, et Alertmanager pour les alertes. Pour les logs, des agents comme Fluentd ou FluentBit sont utilisés pour collecter les logs des conteneurs et les envoyer vers des systèmes de centralisation comme Elasticsearch, OpenSearch ou Loki. Ces outils sont souvent pré-intégrés et configurés dans les distributions comme OpenShift (OpenShift Monitoring) et Rancher (Rancher Monitoring).
Sécurité :
- VMware offre un ensemble robuste de fonctionnalités de sécurité : pare-feu distribué et micro-segmentation avec NSX ²⁴, chiffrement des VMs au repos et en mouvement (vMotion chiffré) ³¹, chiffrement vSAN ³¹, intégration avec des modules TPM matériels ou virtuels, Secure Boot, et des outils pour la conformité (ex: vSphere Trust Authority).²⁰ Cet ensemble facilite l'atteinte des exigences de conformité réglementaire (HIPAA, PCI-DSS...).⁷
- Proxmox VE fournit des fonctionnalités de sécurité de base : pare-feu intégré au niveau de l'hôte et du cluster (basé sur iptables) ²⁷, gestion fine des permissions via RBAC ³¹, support de l'authentification à deux facteurs (2FA).²⁰ Le chiffrement des volumes est possible (ex: via LUKS ou ZFS) mais nécessite une configuration manuelle.³¹ Les fonctionnalités de sécurité réseau avancées (type micro-segmentation) ne sont pas natives.³¹ La sécurité repose beaucoup sur la sécurisation de l'OS Debian sous-jacent. Les fonctionnalités intégrées pour la conformité sont limitées.³¹
- KVM/Linux bénéficient des mécanismes de sécurité éprouvés de Linux, notamment SELinux ou AppArmor pour le Mandatory Access Control (MAC).¹⁵ KVM utilise également sVirt pour renforcer l'isolation des VMs.¹⁷
- Kubernetes intègre plusieurs mécanismes de sécurité : Network Policies pour la segmentation réseau au niveau des pods, gestion des secrets, contrôle d'accès basé sur les rôles (RBAC), Security Contexts pour définir les privilèges des conteneurs, Pod Security Admission/Policies pour renforcer la sécurité des pods. Les distributions comme OpenShift vont plus loin en activant SELinux par défaut et en utilisant des Security Context Constraints (SCCs) plus stricts.⁴¹ L'écosystème K8s propose de nombreux outils tiers pour le scan de vulnérabilités (images, configurations), la sécurité runtime (Falco, Sysdig Secure ⁴⁴), et la gestion centralisée des politiques de sécurité (OPA/Gatekeeper, Kyverno ³⁷).
Maturité Globale de l'Outillage : L'écosystème d'outils VMware est reconnu pour sa maturité, son intégration et sa couverture fonctionnelle étendue, fruit de nombreuses années de développement.⁷⁶ Du côté open source, la situation est variable. Proxmox offre une solution bien intégrée mais avec un périmètre fonctionnel potentiellement moins large que la suite VMware complète. Utiliser KVM ou Xen purs nécessite d'assembler et d'intégrer soi-même les différentes briques d'outillage (gestion, monitoring, sauvegarde, sécurité), ce qui demande du temps et de l'expertise. L'écosystème Kubernetes est extrêmement dynamique et innovant, avec des outils très puissants, mais il peut aussi apparaître fragmenté et complexe à maîtriser et à intégrer de manière cohérente.⁴⁵ Les distributions Kubernetes comme OpenShift et Rancher visent précisément à simplifier cette intégration en proposant des ensembles d'outils pré-validés et supportés.

4.3. Modèles de Support : Communautaire vs. Entreprise

Le modèle de support est une considération critique, en particulier pour les environnements de production.

Support Communautaire (Typique pour KVM/Xen purs, K8s vanilla, Proxmox sans souscription) :
- Avantages : Il est gratuit et donne accès à une vaste base de connaissances collective via les forums, les listes de diffusion, la documentation en ligne, les blogs, etc..⁵ Pour des problèmes courants ou des questions générales, la communauté peut être très réactive et fournir des solutions efficaces.³¹
- Inconvénients : Il n'offre aucune garantie de temps de réponse (SLA).⁷⁷ La résolution de problèmes complexes ou spécifiques peut dépendre de la disponibilité et de la bonne volonté des membres de la communauté.⁶ Il n'y a pas d'interlocuteur unique responsable en cas d'incident majeur. Ce modèle est souvent jugé insuffisant pour les applications et infrastructures critiques en entreprise.⁷⁶
Support Entreprise (Proposé par des éditeurs comme Red Hat, SUSE, Canonical, ou Proxmox Server Solutions GmbH pour leurs produits/distributions basés sur l'open source) :
- Avantages : Fournit des niveaux de service garantis (SLAs), un accès à des équipes d'experts dédiées, un support technique potentiellement 24/7 pour les incidents critiques, la fourniture de correctifs de sécurité validés et une feuille de route produit claire.⁵ Il offre une responsabilité claire en cas de problème et est généralement considéré comme indispensable pour les environnements de production critiques.³⁰
- Inconvénients : Représente un coût récurrent (modèle de souscription annuel).¹¹ Bien que souvent inférieur aux coûts de licence VMware ¹¹, il doit être budgété. Il peut également lier l'entreprise à l'écosystème et aux cycles de vie du fournisseur de support choisi.⁴⁷
Le Choix du Modèle : La décision dépendra fortement de la criticité des charges de travail hébergées, du niveau d'expertise technique interne, du budget alloué au support et de l'appétence au risque de l'organisation.²⁰ De nombreuses entreprises choisissent de souscrire à un support entreprise pour sécuriser leurs déploiements open source en production, considérant que le coût est justifié par la réduction du risque opérationnel.⁸ Pour les environnements non critiques (développement, test, pré-production), le support communautaire peut être suffisant.

4.4. Analyse Comparative du Coût Total de Possession (TCO)

L'analyse du TCO est essentielle pour comparer équitablement VMware et ses alternatives open source, en allant au-delà du simple coût des licences logicielles.

Composantes du TCO à Considérer :
- Coûts Logiciels (Licences et Souscriptions) : C'est le point de divergence le plus évident. VMware impose désormais des abonnements par cœur coûteux.¹ Les solutions open source de base (KVM, Xen, K8s vanilla, Proxmox sans support) n'ont pas de coût de licence.¹ Les distributions et plateformes open source avec support entreprise (OpenShift, Rancher, Proxmox avec support) ont des coûts de souscription, mais souvent inférieurs aux licences VMware équivalentes.¹¹
- Coûts de Support : Pour VMware, le support est généralement inclus dans l'abonnement. Pour l'open source, il faut choisir entre le support communautaire (gratuit mais risqué) et le support entreprise (coût additionnel).³²
- Coûts Matériels : Les besoins matériels peuvent varier. Proxmox VE est réputé moins gourmand en ressources pour l'hyperviseur lui-même que ESXi.¹⁹ L'adoption de KubeVirt et des conteneurs peut potentiellement améliorer la densité des workloads et réduire l'empreinte matérielle globale par rapport à une infrastructure 100% VM.⁶¹ Cependant, certaines plateformes comme OpenShift peuvent avoir des prérequis matériels minimaux plus élevés.
- Coûts Opérationnels (Personnel et Compétences) : C'est un facteur clé souvent sous-estimé. Si les compétences requises pour les solutions open source (Linux, KVM, K8s, Ceph...) manquent en interne, les coûts liés à la formation, au recrutement de nouveaux profils ou à l'externalisation (consultants, infogérance) peuvent être significatifs et potentiellement compenser les économies de licences.⁶ L'investissement dans l'automatisation (Ansible, Terraform) peut cependant aider à maîtriser ces coûts à terme.⁵
- Coûts de Migration : Le projet de migration lui-même a un coût (temps des équipes internes, potentiels outils ou services externes, downtime éventuel).
- Coûts de Formation : Nécessaires pour assurer la montée en compétence des équipes.¹
- Coûts des Outils Tiers : Si la plateforme open source choisie nécessite des outils complémentaires pour le monitoring, la sécurité ou la sauvegarde avancée, leurs coûts doivent être inclus dans le TCO.
Comparaisons Spécifiques du TCO :
- VMware vs. Proxmox VE : Grâce à l'absence de coût de licence, Proxmox présente souvent un TCO plus avantageux, même en incluant une souscription de support.¹⁹ Une discussion sur Reddit ³² montre des avis partagés, certains estimant que VMware Standard est compétitif face à Proxmox Premium, tandis que d'autres rapportent des économies substantielles avec Proxmox. Le choix du niveau de support Proxmox et les compétences internes sont déterminants.¹¹
- VMware vs. OpenShift Virtualization : OpenShift, via son modèle de souscription, peut offrir un TCO inférieur, en particulier pour les entreprises déjà engagées avec Red Hat ou celles qui bénéficient des gains de densité et d'agilité apportés par la plateforme unifiée VM/conteneurs.⁵⁴ Une analyse TCO de Platform9 (fournissant KubeVirt managé) comparée à VMware a montré une réduction de 49% sur 5 ans, en incluant les coûts opérationnels et de licence.⁶¹
- VMware vs. KVM (DIY) : Le coût de licence KVM est nul, mais le TCO global dépendra entièrement des coûts d'implémentation (assemblage des outils), de gestion (compétences internes requises) et de support (interne ou externe).¹⁵
Facteurs Clés pour l'Analyse TCO : Il est crucial de ne pas se focaliser uniquement sur le coût des licences logicielles.¹¹ Une analyse TCO rigoureuse doit modéliser l'ensemble des coûts sur plusieurs années (typiquement 3 à 5 ans), en incluant les coûts opérationnels (personnel, formation), les coûts de support (interne vs externe, SLA requis), les coûts matériels (potentiels gains de densité), et les coûts de migration initiaux. Des outils de calcul TCO peuvent être utiles s'ils sont disponibles et adaptés (ex: Scale Computing ²⁶, Platform9 ⁶¹).

L'analyse du TCO des solutions open source révèle une complexité souvent sous-estimée. Si l'économie sur les licences logicielles est un avantage indéniable et immédiat ¹, elle peut être contrebalancée par d'autres facteurs. Les coûts potentiellement plus élevés liés au besoin accru de compétences spécifiques (internes ou externes) ⁶, à l'intégration d'outils qui peuvent être perçus comme moins matures ou plus fragmentés que la suite VMware ⁵, et au risque opérationnel associé au support communautaire pour les environnements critiques ⁶ doivent impérativement être pris en compte. Une analyse TCO sérieuse ne peut se contenter de comparer les prix affichés des licences ou des souscriptions ; elle doit intégrer une évaluation réaliste de ces coûts opérationnels, de support et de risque sur le long terme.¹¹

Tableau 4.1 : Analyse Comparative des Facteurs TCO (VMware vs. Proxmox vs. OpenShift)

Catégorie de Coût	VMware vSphere (Abonnement)	Proxmox VE (+ Support Premium)	OpenShift Platform Plus (+ Virt.)	Facteurs Clés d'Influence
Licences/Souscriptions	Très Élevé	Faible (Support uniquement)	Élevé	Modèle par cœur VMware, Coût support Proxmox, Édition OpenShift
Support Annuel	Inclus (Très Élevé)	Faible à Moyen	Inclus (Élevé)	Niveau de SLA requis, Compétences internes
Matériel Initial/Rafraîch.	Moyen à Élevé	Moyen	Moyen à Élevé	Densité workloads, Prérequis plateforme (OShift > Proxmox)
Personnel Opérationnel	Moyen	Moyen à Élevé	Élevé	Compétences Linux/KVM/K8s internes, Niveau d'automatisation
Formation Initiale/Continue	Faible (si déjà expert)	Moyenne (Linux/Proxmox)	Élevée (K8s/OpenShift)	Écart de compétences initial, Complexité plateforme
Migration Initiale	N/A	Faible à Moyen	Moyen à Élevé	Complexité source, Outils utilisés, Recours à services tiers
Outils Tiers (Monitor/Secu...)	Faible (suite intégrée)	Moyen	Faible à Moyen (suite intégrée)	Niveau de fonctionnalités requis vs. intégré
TCO Global Estimé (3-5 ans)	Très Élevé	Faible à Moyen	Moyen à Élevé	Fortement dépendant des coûts opérationnels et de support

Évaluation qualitative : Faible < Moyen < Élevé < Très Élevé. Le TCO global est une estimation comparative.

Le passage à l'open source, que ce soit vers la virtualisation ou Kubernetes, représente bien plus qu'un simple changement d'outil technologique. C'est une transformation opérationnelle profonde qui impacte les compétences requises ⁶, les outils de gestion et de supervision utilisés au quotidien ³¹, les processus de déploiement et de maintenance, et les modèles de support.³¹ Le succès d'une telle migration dépend donc autant de la robustesse de la technologie choisie que de la capacité de l'organisation à gérer ce changement organisationnel et culturel.

5. Stratégies de Migration Détaillées

Une fois la décision de migrer prise et la plateforme cible sélectionnée, il est essentiel de définir une stratégie de migration claire et une approche de déploiement adaptée au contexte de l'entreprise. Plusieurs méthodologies existent, chacune avec ses avantages, ses inconvénients et ses cas d'usage privilégiés.

5.1. Les "6 R" de la Migration Cloud (Adaptées au contexte VMware vers Open Source)

Bien qu'originellement définies pour les migrations vers le cloud public, les stratégies des "6 R" offrent un cadre utile pour penser la migration depuis VMware :

Rehost (Lift and Shift) : Cette stratégie consiste à déplacer les machines virtuelles (VMs) de l'environnement VMware vers la nouvelle plateforme (hyperviseur open source comme KVM/Proxmox, ou plateforme KubeVirt sur Kubernetes) avec un minimum de modifications.⁵⁵ L'objectif principal est la rapidité et la minimisation des changements applicatifs initiaux.
- Avantages : C'est généralement l'approche la plus rapide et la moins risquée à court terme, car elle ne touche pas au fonctionnement interne des applications.⁶² Elle permet de quitter rapidement l'infrastructure VMware source.
- Inconvénients : Elle ne tire pas pleinement parti des capacités de la nouvelle plateforme (élasticité native de K8s, fonctionnalités de stockage avancées de Proxmox/Ceph, etc.).⁵⁵ Les VMs migrées peuvent conserver des inefficacités ou des configurations sous-optimales pour le nouvel environnement. C'est souvent une étape tactique plutôt qu'une optimisation finale.
Replatform (Lift and Reshape) : Ici, on apporte des modifications ciblées aux VMs ou à leur environnement pour mieux exploiter les capacités de la plateforme cible, sans pour autant réécrire complètement les applications.⁶² Exemples :
- Migrer une VM vers KubeVirt pour la gérer via l'API Kubernetes.³⁷
- Modifier une application pour utiliser un service de base de données managé si la cible est un cloud public.⁵⁵
- Adapter la configuration de stockage pour utiliser des fonctionnalités spécifiques comme ZFS ou Ceph sur Proxmox, ou des vVols sur un stockage compatible.⁶²
- Installer ou optimiser les pilotes VirtIO après une migration vers KVM/Proxmox.
- Avantages : Permet de réaliser des gains d'efficacité ou de fonctionnalité par rapport au Lift and Shift, sans l'effort d'une refonte complète.⁶² Offre un bon équilibre entre l'effort et les bénéfices.
- Inconvénients : Nécessite plus de planification, de tests et potentiellement d'expertise que le Lift and Shift.
Refactor / Re-architect : Cette stratégie implique une modernisation profonde des applications, souvent en les redéveloppant ou en les ré-architecturant pour adopter une approche cloud-native.⁵⁵ Cela signifie typiquement décomposer des applications monolithiques en microservices, les conteneuriser (avec Docker par exemple), et les déployer nativement sur une plateforme d'orchestration comme Kubernetes.
- Avantages : Permet de tirer pleinement parti des avantages du cloud-native : scalabilité horizontale, résilience, agilité de déploiement (CI/CD), optimisation des coûts à long terme grâce à une meilleure utilisation des ressources.⁶² C'est la voie vers une transformation applicative complète.
- Inconvénients : C'est de loin l'approche la plus complexe, la plus longue, la plus coûteuse et la plus risquée.⁶² Elle nécessite des compétences avancées en développement logiciel, en architecture microservices et en Kubernetes.
Repurchase : Remplacer une application existante hébergée sur une VM par une solution logicielle en mode SaaS (Software as a Service).⁷⁸ Moins une stratégie de migration d'infrastructure qu'une décision applicative, mais elle peut réduire le nombre de VMs à migrer.
Retain : Décider de conserver certaines applications ou workloads sur l'infrastructure VMware existante (ou une version réduite/dédiée de celle-ci).⁷⁸ Cette approche hybride peut être pertinente pour des applications très critiques, très spécifiques, difficiles ou coûteuses à migrer, ou soumises à des contraintes réglementaires particulières.
Retire : Identifier et décommissionner les applications ou VMs qui ne sont plus utilisées ou dont la valeur métier est devenue nulle.⁷⁸ C'est une étape importante de nettoyage à réaliser avant ou pendant la migration pour ne pas déplacer des systèmes obsolètes.

Tableau 5.1 : Comparaison des Stratégies de Migration (Lift & Shift vs. Replatform vs. Refactor)

Stratégie	Effort / Complexité	Risque Initial	Durée Estimée	Coût Initial	Bénéfices Cloud-Native	Compétences Requises (Focus)
Lift & Shift (Rehost)	Faible	Faible	Courte	Faible	Très Limités	Infrastructure, Outils Migration
Replatform	Moyen	Moyen	Moyenne	Moyen	Modérés	Infra, Plateforme Cible, App (léger)
Refactor	Très Élevé	Très Élevé	Longue	Très Élevé	Maximaux	Développement, Architecture, K8s

5.2. Approches de Déploiement de la Migration

Une fois la stratégie choisie (comment migrer), il faut décider de l'approche de déploiement (quand et à quel rythme migrer).

Big Bang : Cette approche consiste à migrer l'ensemble de l'environnement concerné (ou un large périmètre fonctionnel) en une seule fois, généralement pendant une fenêtre de maintenance planifiée et étendue.⁷⁹ L'ancien système est arrêté, la migration est effectuée, le nouveau système est démarré et validé.
- Avantages : La durée totale du projet de migration est plus courte. Il n'y a pas de complexité liée à la gestion de deux systèmes en parallèle sur une longue période. La transition est nette et claire pour tous les utilisateurs. Les coûts peuvent être inférieurs à court terme car l'effort est concentré.⁷⁹ Cette approche peut convenir aux environnements de petite taille, peu complexes, ou lorsque l'organisation peut tolérer une interruption de service planifiée et souhaite une coupure franche.⁷⁹
- Inconvénients : Le risque est maximal : si un problème majeur survient pendant la migration ou lors du redémarrage, l'ensemble du périmètre migré est impacté, et un retour arrière (rollback) peut être très complexe et coûteux.⁷⁹ Elle nécessite une planification extrêmement rigoureuse et des tests préalables exhaustifs pour minimiser les imprévus. Le downtime requis peut être long, ce qui est inacceptable pour de nombreuses activités critiques fonctionnant 24/7.⁷⁹ La pression sur les équipes de migration est immense pendant la fenêtre de bascule. Il y a peu de flexibilité pour ajuster la stratégie en cours de route.⁸⁰
Phased / Trickle / Progressive (Par Lots) : L'environnement est divisé en unités logiques plus petites (par application, par service métier, par criticité, par localisation géographique...) qui sont migrées étape par étape, sur une période de temps plus étendue.⁷⁹
- Avantages : Le risque est considérablement réduit : un échec lors de la migration d'un lot n'affecte que ce périmètre limité et est plus facile à gérer ou à annuler.⁷⁹ Le downtime est limité à chaque lot (voire nul pour certaines migrations à chaud). L'approche permet aux équipes de gagner en expérience au fur et à mesure, d'identifier et de corriger les problèmes rencontrés sur les premiers lots, et d'ajuster la méthodologie pour les lots suivants.⁷⁹ L'adaptation des utilisateurs au nouveau système est également plus progressive.⁸¹ C'est généralement l'approche préférée pour les environnements complexes, critiques ou de grande taille.
- Inconvénients : La durée totale du projet de migration est plus longue.⁷⁹ Elle nécessite de gérer la coexistence de l'ancien et du nouvel environnement pendant la période de transition, ce qui peut être complexe (synchronisation de données, gestion des identités, dépendances inter-lots, routage réseau).⁷⁹ Les coûts opérationnels peuvent être plus élevés pendant cette période car deux systèmes doivent être maintenus et potentiellement synchronisés.⁷⁹ La gestion du projet est plus complexe en raison des multiples phases.⁸¹
Migration Parallèle : Une variante de l'approche progressive où l'ancien et le nouveau système fonctionnent simultanément pendant une période de validation, traitant potentiellement les mêmes transactions ou données.⁸¹
- Avantages : C'est l'approche la moins risquée car elle permet une validation complète du nouveau système avant de décommissionner l'ancien.
- Inconvénients : C'est souvent la plus coûteuse et la plus complexe à mettre en œuvre, car elle peut nécessiter une double saisie de données ou des mécanismes de synchronisation complexes, et implique de maintenir deux infrastructures complètes en production.⁸¹

Tableau 5.2 : Comparaison des Approches de Déploiement (Big Bang vs. Phased)

Approche	Risque Global	Durée Totale Projet	Coût Total Estimé	Impact Opérationnel (Downtime)	Complexité Gestion (Pendant Migration)	Flexibilité / Ajustement
Big Bang	Très Élevé	Courte	Potent. Inférieur	Élevé (Unique et Long)	Faible (Transition Nette)	Faible
Phased / Progressive	Réduit	Longue	Potent. Supérieur	Faible (Par Lot)	Élevée (Coexistence)	Élevée

Le choix de la stratégie de migration ("R") influence souvent l'approche de déploiement la plus réaliste. Par exemple, une stratégie de Refactoring ⁶², intrinsèquement longue et complexe, se prête mal à une approche Big Bang ⁷⁹ pour un environnement d'entreprise significatif. Elle sera presque toujours déployée de manière progressive.⁷⁹ À l'inverse, un Lift and Shift ⁶², étant plus simple, peut être envisagé soit en Big Bang (pour des petits périmètres) soit par lots. Le Replatforming ⁶², avec des modifications intermédiaires, offre plus de flexibilité quant à l'approche de déploiement. La nature de la transformation visée (simple déplacement vs optimisation vs refonte) dicte en partie le rythme et le séquencement possibles de la migration.

5.3. Planification et Exécution

Quelle que soit la stratégie ou l'approche choisie, une planification rigoureuse et une exécution méthodique sont indispensables à la réussite.

Évaluation Pré-migration : Réaliser un audit complet de l'environnement VMware existant (inventaire des VMs, configurations matérielles et logicielles, utilisation des ressources, dépendances applicatives et réseau).¹ Définir des objectifs clairs et mesurables pour la migration (réduction des coûts, amélioration des performances, gain d'agilité...).⁷⁰ Identifier les contraintes (budgétaires, temporelles, réglementaires).
Feuille de Route (Roadmap) : Élaborer un plan de migration détaillé, incluant les étapes clés, la priorisation des workloads (basée sur la criticité, la complexité, les dépendances), les outils à utiliser, les responsabilités de chaque équipe, et un calendrier réaliste.¹
Tests Pilotes (Proof of Concept - PoC) : Avant de lancer la migration à grande échelle, il est crucial de valider le processus, les outils et la plateforme cible sur un échantillon représentatif et non critique de VMs ou d'applications.⁶² Ces pilotes permettent d'identifier les problèmes potentiels (techniques, performance, compatibilité), d'affiner la méthodologie et de former les équipes.
Sauvegarde et Plan de Retour Arrière (Rollback) : Mettre en place une stratégie de sauvegarde robuste pour toutes les VMs et données avant de commencer la migration.⁶² Définir et tester un plan de retour arrière clair pour chaque phase de migration en cas d'échec majeur.
Exécution de la Migration : Suivre la feuille de route, utiliser les outils choisis, communiquer étroitement entre les équipes, et documenter le processus.
Suivi et Optimisation Post-migration : Une fois les VMs migrées, surveiller attentivement leurs performances et leur stabilité sur la nouvelle plateforme.¹ Procéder aux ajustements et optimisations nécessaires (tuning des ressources, configuration réseau/stockage).

Il est essentiel de comprendre que la migration n'est souvent pas une fin en soi, mais plutôt une étape dans un parcours de modernisation plus large et potentiellement continu. Une approche initiale de type "Lift and Shift" ou "Replatform" peut être choisie pour sortir rapidement de l'environnement VMware et réaliser des économies de coûts, tout en planifiant des phases ultérieures de "Refactoring" ou d'optimisation une fois l'infrastructure stabilisée sur la nouvelle plateforme open source. Des technologies comme KubeVirt ⁴⁸ sont particulièrement intéressantes dans cette optique, car elles permettent d'adopter une plateforme moderne (Kubernetes) tout en continuant à exécuter les VMs existantes (Replatforming). Cela crée une base solide pour une modernisation progressive, où les VMs peuvent être graduellement refactorisées en conteneurs natifs sur la même plateforme, au rythme de l'entreprise.⁶¹

6. Analyse Comparative : Migration vers Virtualisation Open Source vs. Conteneurisation Kubernetes

Le choix de la plateforme cible est une décision stratégique majeure qui conditionne l'ensemble du projet de migration et l'évolution future de l'infrastructure. Deux grandes voies se dessinent : rester dans un paradigme centré sur la VM en adoptant une solution de virtualisation open source, ou basculer vers un paradigme centré sur les conteneurs avec Kubernetes, tout en utilisant KubeVirt pour héberger les VMs existantes.

6.1. Chemin "Virtualisation Open Source" (Ex: Proxmox, KVM/oVirt, Xen)

Cette voie consiste à remplacer VMware vSphere/ESXi par un hyperviseur ou une plateforme de virtualisation open source pour continuer à gérer principalement des machines virtuelles.

Avantages :
- Transition plus familière : Le modèle opérationnel reste centré sur la VM, ce qui représente un changement moins radical pour les équipes d'infrastructure habituées à VMware.⁵ La courbe d'apprentissage initiale peut être moins abrupte.
- Performance VM éprouvée : Les hyperviseurs comme KVM et Xen sont matures et offrent d'excellentes performances pour les workloads virtualisés traditionnels.⁵
- Coûts potentiellement très bas : L'absence de coût de licence pour les solutions de base (KVM, Xen, Proxmox sans support) est un avantage financier majeur.¹¹
- Simplicité relative (pour certaines plateformes) : Des solutions intégrées comme Proxmox VE offrent une expérience de gestion relativement simple et unifiée.²⁰
Inconvénients :
- Moins orienté modernisation applicative : Cette approche résout le problème du coût et du verrouillage VMware, mais ne facilite pas intrinsèquement la transition vers des architectures cloud-natives basées sur les microservices et les conteneurs.⁶ Elle peut perpétuer une gestion en silos de l'infrastructure.
- Écosystème d'outils potentiellement fragmenté : Pour atteindre un niveau de fonctionnalité équivalent à la suite VMware complète (gestion avancée, SDN, sécurité, automatisation), il faut souvent assembler et intégrer différentes briques open source (ex: KVM + oVirt + Ceph + Ansible + ELK...), ce qui demande de l'expertise et de l'effort.⁵
- Maturité variable des outils : Bien que les hyperviseurs soient matures, certains outils de gestion, de supervision ou de sécurité de l'écosystème open source peuvent être perçus comme moins aboutis ou moins intégrés que leurs équivalents VMware.⁵
- Défis de support : Reposer sur le support communautaire pour une infrastructure critique peut être risqué.³¹ Le support entreprise est une option mais représente un coût additionnel.

6.2. Chemin "Conteneurisation Kubernetes" (Ex: OpenShift, Rancher, K8s + KubeVirt)

Cette voie consiste à adopter Kubernetes comme plateforme d'infrastructure unifiée, capable d'orchestrer à la fois les nouvelles applications conteneurisées et les VMs existantes grâce à KubeVirt.

Avantages :
- Alignement stratégique cloud-native : Positionne l'infrastructure pour l'avenir, en adoptant les standards de l'industrie pour le déploiement et la gestion d'applications modernes (microservices, serverless) et en facilitant les pratiques DevOps.⁶
- Plateforme unifiée VM/Conteneurs : KubeVirt permet de gérer les VMs et les conteneurs avec les mêmes outils, les mêmes API (Kubernetes) et sur la même infrastructure physique, réduisant la complexité et les silos.³⁷
- Modernisation progressive : Facilite un parcours où les applications peuvent être migrées en tant que VMs sur KubeVirt (Replatforming), puis progressivement refactorisées en conteneurs natifs sur la même plateforme lorsque cela fait sens.⁵⁴
- Richesse de l'écosystème Kubernetes : Bénéficie de l'immense écosystème d'outils open source pour l'observabilité (Prometheus/Grafana), la sécurité (Falco, OPA), le réseau (CNI), le stockage (CSI), le service mesh (Istio), etc.
- Scalabilité et résilience natives : Kubernetes est conçu dès le départ pour l'auto-réparation, le scaling horizontal et la gestion déclarative de l'état désiré.⁵⁴
- Potentiel d'optimisation des ressources : La gestion unifiée et la nature potentiellement plus légère des conteneurs (et de KubeVirt par rapport à une pile VM complète) peuvent conduire à une meilleure densité et utilisation du matériel.⁶¹
Inconvénients :
- Complexité et courbe d'apprentissage : Kubernetes est une plateforme complexe avec de nombreux concepts à maîtriser. La courbe d'apprentissage pour les équipes (infrastructure et développement) est significativement plus raide que pour la virtualisation traditionnelle.⁶
- Nouveauté relative de KubeVirt : Bien que basé sur KVM, KubeVirt est une technologie plus jeune que les hyperviseurs établis. Des défis de performance, de stabilité ou de manque de fonctionnalités spécifiques peuvent exister pour certains workloads VM très exigeants ou particuliers.⁵⁹
- Coût des plateformes managées : Utiliser une distribution Kubernetes entreprise comme OpenShift pour simplifier la gestion et obtenir du support représente un coût de souscription potentiellement élevé.⁴² Gérer K8s vanilla + KubeVirt en mode DIY est moins cher en licence mais maximise la complexité opérationnelle.
- Nécessité d'une transformation des processus : Adopter Kubernetes efficacement implique souvent une refonte des processus de déploiement (vers CI/CD), de gestion de la configuration (vers GitOps/IaC) et une collaboration plus étroite entre les équipes (DevOps).

6.3. Facteurs de Décision

Le choix entre ces deux voies dépendra d'une analyse approfondie de plusieurs facteurs propres à chaque organisation :

Maturité et Nature des Applications : Un parc applicatif majoritairement composé d'applications legacy stables et peu évolutives pourrait pencher vers la virtualisation open source. À l'inverse, une entreprise avec de nombreux développements en cours ou prévus, visant des architectures microservices, sera naturellement attirée par Kubernetes.
Objectifs Stratégiques Prioritaires : Si l'objectif premier est une réduction rapide des coûts de licence VMware avec un minimum de perturbations, la virtualisation open source peut être la voie la plus directe. Si l'objectif est une transformation à plus long terme vers l'agilité, le cloud-native et une plateforme unifiée, Kubernetes/KubeVirt est une option plus stratégique.
Compétences Internes et Culture d'Entreprise : L'existence (ou la volonté d'acquérir) des compétences pointues en Linux, KVM, et surtout Kubernetes/conteneurs est déterminante. La capacité de l'organisation à adopter de nouveaux outils, de nouveaux processus (DevOps, IaC) et à favoriser la collaboration entre équipes jouera un rôle crucial.⁵⁴ Une culture réfractaire au changement pourrait rendre l'adoption de Kubernetes très difficile.
Horizon Temporel et Budget : La virtualisation open source peut offrir des gains plus rapides avec un investissement initial potentiellement moindre (surtout en DIY). Kubernetes/KubeVirt représente un investissement initial plus important (en formation, outils, potentiellement licences de distribution) mais promet des bénéfices stratégiques à plus long terme.

En synthèse, le choix n'est pas purement technique mais profondément stratégique. La migration vers la virtualisation open source peut être vue comme une étape tactique, répondant au besoin immédiat de réduire les coûts et la dépendance à VMware, tout en conservant un paradigme opérationnel relativement familier. La migration vers Kubernetes/KubeVirt est une décision plus stratégique et transformatrice, visant une modernisation en profondeur de l'infrastructure et des applications, mais exigeant un investissement initial plus conséquent en termes de complexité, de coût et de changement organisationnel.⁶

7. Outils de Migration Spécifiques

La réussite technique d'une migration dépend en grande partie du choix et de la maîtrise des outils appropriés pour déplacer les machines virtuelles et leurs données de l'environnement source vers l'environnement cible. Il n'existe pas d'outil universel ; le choix dépendra fortement de la plateforme cible (KVM, Proxmox, OpenStack, Kubernetes/KubeVirt) et de la stratégie de migration adoptée (Lift & Shift, Replatform).

7.1. Outils de Migration VM-vers-VM (vers KVM/Proxmox/oVirt/OpenStack)

Ces outils sont conçus pour migrer des VMs VMware vers d'autres plateformes de virtualisation classiques.

virt-v2v :
- Description : Outil open source en ligne de commande, généralement inclus dans les distributions Linux basées sur Red Hat (RHEL, CentOS, Fedora), mais installable sur d'autres. Il est conçu pour convertir des VMs depuis VMware ESXi (via connexion directe ou vCenter), Xen, ou Hyper-V vers un format compatible KVM (géré par libvirt), oVirt, OpenStack ou RHV.⁶³
- Fonctionnement : virt-v2v se connecte à l'hyperviseur source, inspecte la VM, copie les disques en les convertissant au format désiré (qcow2, raw...), crée un fichier de définition XML pour libvirt, et tente d'installer les pilotes VirtIO nécessaires dans l'OS invité pendant le processus.⁶⁸
- Utilisation : Nécessite que la VM source soit arrêtée.⁶⁹ La commande spécifie la source (ex: -ic vpx://... pour vCenter, -ic esx://... pour ESXi), le nom de la VM, et la destination (ex: -o libvirt pour une importation directe dans libvirt local, -o local -os /chemin pour exporter les fichiers, -o openstack pour OpenStack).⁶⁸ Des options permettent de gérer l'authentification et la vérification des certificats.⁶⁹
- Limitations : Le support des OS invités est spécifique et documenté (principalement RHEL, Windows, SLES).⁶³ Des problèmes peuvent survenir avec certaines configurations UEFI ou des systèmes de fichiers spécifiques.⁶³ Des ajustements manuels post-migration (configuration réseau notamment) sont souvent nécessaires.⁶³
Importateur Intégré Proxmox VE (>= 8.2) :
- Description : Fonctionnalité intégrée à l'interface web de Proxmox VE (depuis la version 8.2) permettant d'importer directement des VMs depuis des hôtes VMware ESXi (versions 6.5 à 8.0) ou vCenter.⁶⁵
- Fonctionnement : L'administrateur ajoute d'abord l'hôte ESXi ou vCenter comme une source de "stockage" dans Proxmox. Ensuite, un assistant d'importation permet de parcourir les VMs sur la source, de sélectionner celles à migrer, et de configurer les paramètres de la VM cible sur Proxmox (nœud, stockage de destination, format de disque - qcow2 ou raw recommandé, réseau, etc.). L'outil gère la copie et la conversion des disques.⁶⁵
- Utilisation : Nécessite un accès SSH à l'hôte ESXi source. Il est recommandé d'arrêter la VM source, bien qu'une migration "live" soit possible (mais plus lente et potentiellement plus risquée). Les snapshots sur la VM source doivent être supprimés. L'import depuis des datastores vSAN n'est pas supporté.⁶⁵ Il est crucial d'avoir préalablement désinstallé les VMware Tools et installé les pilotes VirtIO sur la VM source (surtout pour Windows) pour assurer un démarrage et des performances correctes après migration.⁶⁵ Des ajustements post-migration (attacher le disque au contrôleur VirtIO SCSI, vérifier l'ordre de boot) sont souvent nécessaires.⁶⁵
OVF (Open Virtualization Format) :
- Description : Standard industriel pour l'empaquetage et la distribution de machines virtuelles. Une VM exportée en OVF comprend un fichier descripteur (.ovf, en XML), les fichiers de disques virtuels (.vmdk dans le cas de VMware), et éventuellement un fichier manifeste (.mf).⁷⁰
- Utilisation : Exporter la VM depuis VMware vSphere Client ou vCenter au format OVF.⁷⁰ Transférer les fichiers générés vers la plateforme cible. Utiliser l'outil d'importation OVF de la plateforme cible (ex: la commande qm importovf <vmid> <fichier.ovf> <stockage_cible> dans Proxmox ⁶⁵). L'outil VMware OVF Tool peut également être utilisé pour faciliter l'export, l'import et la conversion.⁷⁰
- Avantages/Inconvénients : Méthode standardisée mais souvent très manuelle, nécessitant des transferts de fichiers volumineux et des ajustements post-importation.
Conversion Manuelle de Disques + Recréation VM :
- Description : Approche la plus basique, impliquant de copier manuellement les fichiers de disque .vmdk (et *-flat.vmdk) depuis le datastore VMware vers un stockage accessible par la plateforme cible.⁶⁵
- Utilisation : Utiliser des outils comme scp ou un client SFTP (WinSCP) pour copier les fichiers.⁶⁵ Utiliser l'outil qemu-img sur l'hôte cible pour convertir le format de disque (ex: qemu-img convert -f vmdk -O qcow2 vmware_disk.vmdk proxmox_disk.qcow2).⁶⁷ Créer une nouvelle VM sur la plateforme cible avec une configuration matérielle similaire (CPU, RAM), puis attacher le disque nouvellement converti.⁶⁵
- Avantages/Inconvénients : Offre un contrôle total mais est très laborieux, lent, et sujet aux erreurs. Nécessite des étapes de configuration post-création importantes (installation des pilotes, configuration réseau, ajustement du bootloader/fstab).⁷¹
Outils de Sauvegarde/Restauration Tiers :
- Description : Les solutions de sauvegarde d'entreprise qui supportent à la fois VMware comme source et la plateforme open source cible (Proxmox, KVM via RHV/oVirt, Nutanix AHV...) peuvent être utilisées pour effectuer une migration V2V (Virtual-to-Virtual).¹⁹
- Utilisation : Sauvegarder la VM sur l'environnement VMware. Effectuer une restauration de cette sauvegarde en choisissant la plateforme open source comme destination. L'outil de sauvegarde gère la conversion et la création de la VM sur la cible.
- Exemples : Veeam (support Proxmox annoncé ¹⁹), Vinchin Backup & Recovery (supporte VMware, Proxmox, oVirt, OpenStack, XenServer...) ⁶⁸, Commvault ¹⁹, Rubrik ³⁰, Cohesity.³⁰
- Avantages/Inconvénients : Peut potentiellement simplifier et accélérer le processus via une interface unifiée, et offrir des options de restauration rapide (Instant VM Recovery) minimisant le downtime. Dépend fortement des capacités et des licences de l'outil de sauvegarde.

7.2. Outils de Migration vers Kubernetes/Conteneurs (incl. KubeVirt)

Ces outils visent à faciliter le déplacement de VMs ou d'applications vers un environnement Kubernetes, potentiellement en utilisant KubeVirt pour les VMs.

Red Hat Migration Toolkit for Virtualization (MTV) :
- Description : Composant intégré à la plateforme Red Hat OpenShift, conçu spécifiquement pour migrer des machines virtuelles depuis diverses sources (VMware vSphere étant une source majeure) vers OpenShift Virtualization (qui utilise KubeVirt).¹⁶
- Fonctionnement : Fournit une interface utilisateur dans la console OpenShift pour définir des fournisseurs source (ex: vCenter), créer des plans de migration spécifiant les VMs à migrer, et mapper les réseaux et les stockages entre l'environnement source et la configuration cible OpenShift (NetworkAttachmentDefinitions, StorageClasses). L'outil orchestre ensuite la copie des données et la création des objets KubeVirt (VirtualMachine, VirtualMachineInstance) correspondants dans OpenShift.⁵⁷ Il supporte la migration à froid (cold migration).⁵⁷
- Avantages : Solution intégrée et supportée dans l'écosystème OpenShift, simplifie un processus autrement complexe.
Konveyor :
- Description : Communauté open source (soutenue notamment par Red Hat) dont l'objectif est de développer des outils et des bonnes pratiques pour aider à la modernisation et à la migration d'applications vers Kubernetes et le cloud hybride.⁷³
- Outils Pertinents :
  - Crane (anciennement Migration Toolkit for Containers - MTC) : Outil principal pour migrer des applications (stateful ou stateless) entre différents clusters Kubernetes (ex: d'un ancien cluster OpenShift 3 vers un nouveau cluster OpenShift 4/moderne).⁷³ Il peut utiliser différentes méthodes de copie, y compris rsync pour une migration directe si une connectivité réseau existe, ou passer par un stockage objet intermédiaire.⁷³ Moins pertinent pour une migration VMware vers K8s initiale, mais utile pour les migrations K8s-vers-K8s ultérieures.
  - Move2Kube : Outil en ligne de commande qui vise à accélérer le re-platforming d'applications (depuis des VMs ou d'autres sources) vers Kubernetes en générant automatiquement des artefacts de déploiement K8s (manifestes YAML, Dockerfiles, etc.).⁷³
  - Pathfinder : Outil d'évaluation qui analyse un portefeuille d'applications pour déterminer leur aptitude à la conteneurisation et suggérer des stratégies de migration.⁷³
  - Tackle/Windup : Outil plus spécifique pour analyser des applications Java en vue de leur modernisation et migration.⁷³
- Positionnement : Konveyor semble s'être recentré sur les aspects applicatifs de la modernisation (Replatforming, Refactoring) plutôt que sur la migration d'infrastructure VM-vers-KubeVirt directe.⁷² Ses outils sont donc complémentaires aux outils de migration de VMs.
Plateformes Managées/Commerciales avec support KubeVirt :
- Platform9 : Propose une plateforme Kubernetes managée qui intègre KubeVirt et offre explicitement des services pour aider à la migration depuis VMware, en mettant en avant une réduction du TCO.⁶¹
- Spectro Cloud Palette : Plateforme de gestion de clusters Kubernetes qui supporte le déploiement et la gestion de KubeVirt, potentiellement avec des fonctionnalités pour faciliter l'intégration de VMs.³⁷

7.3. Outils d'Automatisation (Supportant la Migration)

Ces outils ne sont pas spécifiques à la migration mais peuvent grandement faciliter et sécuriser le processus en automatisant des tâches répétitives.

Ansible Automation Platform : Outil d'automatisation basé sur des playbooks YAML, très utilisé pour la configuration post-migration (installation de logiciels, configuration système), le déploiement d'infrastructure, et l'orchestration de tâches complexes sur les systèmes cibles (Linux, Windows).¹ Red Hat l'intègre fortement dans ses solutions de migration et de gestion.¹⁶
Terraform : Outil d'Infrastructure as Code (IaC) permettant de définir et de provisionner l'infrastructure cible (réseau, stockage, instances K8s, VMs sur certaines plateformes) de manière déclarative et reproductible.¹

L'analyse des outils disponibles montre clairement qu'il n'y a pas de solution unique pour tous les scénarios de migration. Le choix de l'outil est intrinsèquement lié à la plateforme cible (on n'utilisera pas les mêmes outils pour migrer vers Proxmox ou vers OpenShift Virtualization) et à la stratégie de migration retenue (un Lift & Shift VM-à-VM utilisera des outils différents d'un Replatforming vers KubeVirt).

De plus, on observe que le domaine de la migration VM-vers-KubeVirt est un domaine où l'outillage est moins standardisé et potentiellement moins mature que pour les migrations VM-à-VM traditionnelles. Des solutions intégrées comme MTV de Red Hat ⁵¹ ou des offres managées comme Platform9 ⁶¹ existent pour simplifier ce processus dans des contextes spécifiques (OpenShift ou plateforme managée). Cependant, réaliser une migration "DIY" vers KubeVirt sur un cluster Kubernetes vanilla nécessitera probablement une combinaison d'outils de conversion de disque (comme qemu-img), de scripting pour générer les manifestes KubeVirt, et une expertise Kubernetes/KubeVirt plus approfondie que pour utiliser un outil comme virt-v2v ou l'importateur Proxmox.

8. Retours d'Expérience, Études de Cas et Bonnes Pratiques

L'analyse des retours d'expérience et des cas concrets de migration permet de mieux appréhender la réalité du terrain, les bénéfices obtenus et les écueils à éviter.

8.1. Exemples de Migration vers Proxmox VE

Plusieurs organisations de tailles et de secteurs variés ont documenté leur passage de VMware (ou d'autres solutions comme XenServer) à Proxmox VE.

Motivations Récurrentes : La réduction des coûts (liée au modèle open source sans licence) et la volonté de s'affranchir du verrouillage fournisseur sont des moteurs fréquents.³³ La recherche de flexibilité ³⁴, de simplicité d'utilisation ³³ et le support de l'open source ³³ sont également cités.
Profils d'Organisations : On trouve des exemples dans l'éducation (collèges techniques comme HTL Leonding, universités comme Sigmund Freud Univ. ou Univ. de Macau ³³), les PME, les fournisseurs de services Internet ou d'hébergement (IGNUM, EdgeUno ³³), le secteur public/santé (Assurance Maladie française pour Proxmox Mail Gateway, projet de base de données pour la santé publique au Brésil ³³), des entreprises technologiques (Textkernel - IA pour RH, ESTECO - logiciels d'ingénierie ³³), des fondations (Cyber-Complex ³³) et même des lieux culturels (Odéon-Théâtre de l'Europe ³³).
Bénéfices Observés :
- Économies substantielles sur les coûts de licence (un cas mentionne 60% de réduction ³⁴).
- Amélioration des performances.³⁴
- Flexibilité accrue pour adapter l'infrastructure et tester de nouvelles configurations.³³
- Simplification de la gestion de l'infrastructure grâce à l'interface centralisée.³³
- Gain de temps pour les équipes d'administration.³³
- Scalabilité et fiabilité améliorées, notamment en utilisant les fonctionnalités de clustering HA et le stockage Ceph.³³
Démarche de Migration : Une approche graduelle est souvent privilégiée ³⁴, précédée d'une phase d'évaluation des besoins et de planification.³⁴ L'utilisation des fonctionnalités natives de Proxmox (HA, Ceph) est fréquente pour construire une infrastructure résiliente.³³
Appréciations Qualitatives : Les témoignages sont généralement positifs, qualifiant Proxmox VE de "phénoménal" ³³, de "meilleur moyen de simplifier l'infrastructure IT" ³³, ou soulignant la réduction des heures de travail.³³

8.2. Exemples de Migration vers OpenShift Virtualization / KubeVirt

Les retours d'expérience sur la migration vers KubeVirt (souvent via OpenShift Virtualization) sont peut-être moins nombreux ou moins détaillés publiquement, mais certains points émergent.

Motivations Principales : Recherche d'une alternative aux hyperviseurs traditionnels dans un contexte de modernisation, volonté de consolider la gestion des VMs et des conteneurs sur une plateforme unique.¹⁶ Faciliter la migration de workloads legacy vers une plateforme cloud-native sans réécriture immédiate.⁵⁵
Profils d'Organisations : Principalement des entreprises cherchant à moderniser leur infrastructure et à adopter Kubernetes de manière plus large, tout en gérant leur parc de VMs existant.³⁷ Un cas cité est celui de Reist Telecom AG.¹⁶
Bénéfices Observés :
- Gestion unifiée des VMs et des conteneurs via les outils et API Kubernetes/OpenShift.⁴⁹
- Processus de migration simplifié depuis VMware grâce à des outils dédiés comme le Migration Toolkit for Virtualization (MTV).⁵⁷
- Potentiel de réduction du TCO et d'augmentation de la densité des workloads par rapport à des silos séparés VM et conteneurs.⁶¹
- Flexibilité pour moderniser les applications au rythme de l'entreprise.¹⁶
- Bonnes performances lors des migrations à chaud de VMs avec stockage performant, minimisant l'impact sur les IOs.⁵⁶
Démarche de Migration : L'utilisation de MTV pour orchestrer la migration depuis VMware vers OpenShift est une approche documentée.⁵⁷ Le processus implique la création d'objets KubeVirt (VM/VMI) et le mapping des ressources réseau et stockage.⁵⁶

L'analyse croisée de ces retours suggère que Proxmox VE s'est solidement établi comme une alternative crédible et performante à VMware, particulièrement appréciée pour sa simplicité, sa flexibilité et son modèle économique avantageux dans des contextes variés allant de la PME à certains déploiements d'entreprise ou sectoriels (éducation, public). OpenShift Virtualization / KubeVirt apparaît comme une solution plus stratégique, visant les entreprises qui s'engagent dans une modernisation profonde vers le cloud-native et Kubernetes, et qui cherchent une plateforme unifiée pour gérer un parc applicatif mixte (VMs et conteneurs). Le choix de l'une ou l'autre voie semble donc dépendre fortement des objectifs à long terme et du contexte spécifique de l'organisation.

8.3. Leçons Apprises et Bonnes Pratiques (Synthèse)

Des migrations réussies (et des échecs évités) se dégagent plusieurs bonnes pratiques transversales :

La Planification est Reine : Ne jamais sous-estimer la phase amont. Réaliser un audit détaillé de l'environnement source, comprendre les dépendances applicatives et réseau, définir des objectifs clairs et mesurables, et choisir la stratégie (Lift&Shift, Replatform, Refactor) et l'approche (Big Bang, Phased) les plus adaptées.¹
Tester, Tester et Encore Tester : Les Proofs of Concept (PoC) et les migrations pilotes sur des workloads non critiques sont indispensables pour valider la plateforme cible, les outils de migration, les procédures, estimer les performances et identifier les problèmes potentiels avant de passer à l'échelle.⁶² Tester spécifiquement la compatibilité OS et applicative.⁶⁴
Préparer Méticuleusement les VMs Sources : Avant la migration, "nettoyer" les VMs sources : désinstaller les agents et outils spécifiques à VMware (VMware Tools) ⁶⁴, installer les pilotes paravirtualisés de la plateforme cible (VirtIO pour KVM/Proxmox) si possible ⁶⁴, et supprimer les snapshots de la VM qui peuvent compliquer ou ralentir la migration [⁶⁵

Sources des citations

Move From VMware : Libérez votre infrastructure de VMware - Alter Way, consulté le avril 22, 2025, https://www.alterway.fr/movefromvmware-liberez-votre-infrastructure-de-vmware/
Broadcom's Acquisition of VMware: Impact on Businesses ..., consulté le avril 22, 2025, https://www.rutter-net.com/blog/broadcoms-acquisition-of-vmware
Broadcom's VMware Acquisition: What It Means for Avi Networks Customers - Radware, consulté le avril 22, 2025, https://www.radware.com/blog/applicationdelivery/broadcom-s-vmware-acquisition/
A Broadcom VMware Alternative: Partners See 'Massive' Opportunity For HPE VM Essentials - CRN, consulté le avril 22, 2025, https://www.crn.com/news/virtualization/2025/a-broadcom-vmware-alternative-partners-see-massive-opportunity-for-hpe-vm-essentials
Quelles alternatives open source à VMware? — abilian.com, consulté le avril 22, 2025, https://abilian.com/fr/news/alternatives-open-source-a-vmware/
Quelles stratégies et solutions alternatives à VMWare envisager - Inside Group, consulté le avril 22, 2025, https://insidegroup.fr/actualites/strategie-vmware/
VMware Alternatives for Business: Exploring the Best Options - Otava, consulté le avril 22, 2025, https://www.otava.com/blog/vmware-alternatives-for-business-exploring-the-best-options/
Top VMware Alternatives in 2025 & How to Migrate Easily - Hystax, consulté le avril 22, 2025, https://hystax.com/vmware-alternatives-migration-2025/
Migrating from VMware to Open Source - Ubuntu, consulté le avril 22, 2025, https://ubuntu.com/engage/vmware-migration-to-open-source
How the Broadcom VMware Acquisition of VMware is Affecting Longtime Customers, consulté le avril 22, 2025, https://blog.clearscale.com/how-the-broadcom-vmware-acquisition-of-vmware-is-affecting-longtime-customers/
Alternatives to VMware: The Benefits of Open Source - Enix.io, consulté le avril 22, 2025, https://enix.io/en/blog/vmware-alternatives/
Top 5 Open Source Alternatives to VMware ESXi for SMBs | Pogo Tech Blog, consulté le avril 22, 2025, https://www.pogolinux.com/blog/top-5-open-source-alternatives-vmware-esxi-smb/
Xen vs. KVM - Comparison of Hypervisors | Storware BLOG, consulté le avril 22, 2025, https://storware.eu/blog/xen-vs-kvm-comparison-of-hypervisors/
Choisir la bonne plateforme de virtualisation : Proxmox vs. KVM expliqué - Bacula Systems, consulté le avril 22, 2025, https://www.baculasystems.com/fr/blog-fr/proxmox-vs-kvm/
KVM vs. VMware: Choosing the Right Hypervisor for Your Needs - Lightbits Labs, consulté le avril 22, 2025, https://www.lightbitslabs.com/blog/kvmvsvmware/
KVM ou VMware : quel hyperviseur choisir ? - Red Hat, consulté le avril 22, 2025, https://www.redhat.com/fr/topics/virtualization/kvm-vs-vmware-comparison
KVM vs Proxmox VE vs VMware vSphere comparison - PeerSpot, consulté le avril 22, 2025, https://www.peerspot.com/products/comparisons/kvm_vs_proxmox-ve_vs_vmware-vsphere
VMware Player 4.0 vs. KVM Linux Virtualization - OpenBenchmarking.org, consulté le avril 22, 2025, https://openbenchmarking.org/result/1112124-AR-KVMLINUX286&grs&export=pdf
Proxmox vs VMware: which virtualisation solution should you choose?, consulté le avril 22, 2025, https://www.1300nerdcore.com.au/post/proxmox-vs-vmware-which-virtualisation-solution-should-you-choose
Proxmox vs VMware: comparing virtualisation solutions - Qim info, consulté le avril 22, 2025, https://www.qiminfo.ch/en/proxmox-vs-vmware-which-virtualisation-solution-should-you-choose/
9 VMware Alternatives To Consider In 2025 - CloudZero, consulté le avril 22, 2025, https://www.cloudzero.com/blog/vmware-alternatives/
Explore the VMware Alternatives for Your Virtualization Needs, consulté le avril 22, 2025, https://globalcybersecuritynetwork.com/blog/explore-the-vmware-alternatives-for-your-virtualization-needs/
Top 9 VMware ESXi Alternatives for Server Virtualization 2024 | Vinchin Backup, consulté le avril 22, 2025, https://www.vinchin.com/vm-tips/vmware-esxi-alternatives.html
Proxmox VMware: What's Right for You? - Cloudzy, consulté le avril 22, 2025, https://cloudzy.com/blog/proxmox-vs-vmware/
Best VMware alternatives to explore in 2025 - GroWrk, consulté le avril 22, 2025, https://growrk.com/blog/vmware-alternatives
Looking for Vmware Alternatives? Here Are 7 Alternatives To Consider! - Workwize, consulté le avril 22, 2025, https://www.goworkwize.com/blog/vmware-alternatives
Comparison - Proxmox VE vs vSphere, Hyper-V, Xen..., consulté le avril 22, 2025, https://www.proxmox.com/en/products/proxmox-virtual-environment/comparison
Proxmox vs VMware vs Hyper-V: The Ultimate 2024 Showdown - Amaze, consulté le avril 22, 2025, https://www.amaze.au/proxmox-vs-vmware-vs-hyper-v-the-ultimate-2024-showdown/
Proxmox vs VMware - Comparison | Storware BLOG, consulté le avril 22, 2025, https://storware.eu/blog/proxmox-vs-vmware-comparison/
Broadcom\VMware alternative s? : r/sysadmin - Reddit, consulté le avril 22, 2025, https://www.reddit.com/r/sysadmin/comments/1k2kfjn/broadcomvmware_alternative_s/
Proxmox vs VMware: What Are the Main Security Differences? | Siberoloji, consulté le avril 22, 2025, https://www.siberoloji.com/proxmox-vs-vmware-what-are-the-main-security-differences/
Cost VMware standard vs Promox : r/Proxmox - Reddit, consulté le avril 22, 2025, https://www.reddit.com/r/Proxmox/comments/1b19539/cost_vmware_standard_vs_promox/
Success Stories from Proxmox customers & users, consulté le avril 22, 2025, https://www.proxmox.com/en/about/about-us/stories
Comparative Analysis Between Proxmox and VMware - X5 Servers, consulté le avril 22, 2025, https://x5servers.com/en/Comparative-analysis-between-Proxmox-and-VMware/
Did anyone regret a switch from VMWare to ProxMox? : r/sysadmin - Reddit, consulté le avril 22, 2025, https://www.reddit.com/r/sysadmin/comments/1jtxhx8/did_anyone_regret_a_switch_from_vmware_to_proxmox/
Navigating New Horizons: Thinfinity® Workspace as a Strategic VMware Alternative, consulté le avril 22, 2025, https://blog.cybelesoft.com/alternatives-to-vmware-post-broadcom/
Top 5 Kubernetes-Based Alternatives to VMware - Portworx, consulté le avril 22, 2025, https://portworx.com/blog/top-5-kubernetes-based-alternatives-to-vmware/
SUSE Harvester and Rancher Solutions on ThinkSystem V3 Servers - Lenovo Press, consulté le avril 22, 2025, https://lenovopress.lenovo.com/lp2110-suse-harvester-and-rancher-solutions-on-thinksystem-v3-servers
Harvester Overview, consulté le avril 22, 2025, https://docs.harvesterhci.io/v1.4/
SUSE® Virtualization :: Rancher product documentation, consulté le avril 22, 2025, https://documentation.suse.com/cloudnative/rancher-manager/latest/en/integrations/harvester/harvester.html
Rancher Vs. OpenShift - Qovery, consulté le avril 22, 2025, https://www.qovery.com/blog/rancher-vs-openshift/
Top 13 Kubernetes Alternatives for Containers in 2025 - Spacelift, consulté le avril 22, 2025, https://spacelift.io/blog/kubernetes-alternatives
Kubernetes Alternatives for Container Orchestration - Wiz, consulté le avril 22, 2025, https://www.wiz.io/academy/kubernetes-alternatives
13 alternatives to vanilla Kubernetes for container orchestration - Sysdig, consulté le avril 22, 2025, https://sysdig.com/learn-cloud-native/13-alternatives-to-vanilla-kubernetes-for-container-orchestration/
Kubernetes vs. OpenShift vs. VMware Tanzu: An Expert Comparison by HumberSys, consulté le avril 22, 2025, https://www.humbersys.com/?p=1182
KubeVirt user guide, consulté le avril 22, 2025, https://kubevirt.io/user-guide/
Rancher vs. Openshift: The Guide - Densify, consulté le avril 22, 2025, https://www.densify.com/openshift-tutorial/rancher-vs-openshift/
Migrating VMs to Kubernetes with Kubevirt - CloudRaft, consulté le avril 22, 2025, https://www.cloudraft.io/blog/migrating-vms-to-kubernetes-with-kubevirt
Simplifying VM Storage and Management With OpenShift and KubeVirt - Cloud Native Now, consulté le avril 22, 2025, https://cloudnativenow.com/social-facebook/simplifying-vm-storage-and-management-with-openshift-and-kubevirt/
Red Hat Launches OpenShift Virtualization Engine to Streamline Virtual Machine Management -- ADTmag - Application Development Trends, consulté le avril 22, 2025, https://adtmag.com/Articles/2025/01/22/Red-Hat-Launches-OpenShift-Virtualization-Engine.aspx
Red Hat OpenShift Virtualization | Red Hat Developer, consulté le avril 22, 2025, https://developers.redhat.com/products/openshift/virtualization
Red Hat OpenShift Virtualization Engine overview - YouTube, consulté le avril 22, 2025, https://www.youtube.com/watch?v=NvGBmk-T_Kc
Choosing the Right Platform: OpenShift Virtualization vs. VMware - Trilio, consulté le avril 22, 2025, https://trilio.io/openshift-virtualization/openshift-virtualization-vs-vmware/
VMware vs OpenShift Virtualization: Which Platform Wins in 2025? - SYONE, consulté le avril 22, 2025, https://blog.syone.com/vmware-vs-openshift-virtualizationwhich-platform-wins-in-2025
Transform your VMware workloads with ROSA on AWS: limitless… - Paradigma Digital, consulté le avril 22, 2025, https://en.paradigmadigital.com/techbiz/transform-vmware-workloads-rosa-aws-limitless-modernization/
Clustered Realities: Migrating VMs to Red Hat OpenShift Virtualization - Lightbits Labs, consulté le avril 22, 2025, https://www.lightbitslabs.com/blog/migrating-vms-to-red-hat-openshift-virtualization/
VMware to OpenShift Virtualization Migration - YouTube, consulté le avril 22, 2025, https://www.youtube.com/watch?v=Rp8YcDgSrZo&pp=0gcJCdgAo7VqN5tD
Red Hat OpenShift vs VMware ESXi comparison - PeerSpot, consulté le avril 22, 2025, https://www.peerspot.com/products/comparisons/red-hat-openshift_vs_vmware-esxi-40782
Kubernetes as a Virtual Machine Management System - kth .diva, consulté le avril 22, 2025, https://kth.diva-portal.org/smash/get/diva2:1909098/FULLTEXT01.pdf
Live Migration - KubeVirt user guide, consulté le avril 22, 2025, https://kubevirt.io/user-guide/compute/live_migration/
VMware vs KubeVirt - Discover a Cost-Effective Alternative for Virtualization - Platform9, consulté le avril 22, 2025, https://platform9.com/blog/vmware-vs-kubevirt/
What Is VMware Migration? | Pure Storage, consulté le avril 22, 2025, https://www.purestorage.com/uk/knowledge/vmware-migration.html
Converting virtual machines from other hypervisors to KVM with virt-v2v in RHEL 7, RHEL 8, and RHEL 9 - Red Hat Customer Portal, consulté le avril 22, 2025, https://access.redhat.com/articles/1351473
To those who successfully migrated VMWare to Proxmox or Hyper-V how did it go? - Reddit, consulté le avril 22, 2025, https://www.reddit.com/r/sysadmin/comments/1j3lbgj/to_those_who_successfully_migrated_vmware_to/
A Step-by-Step Guide to Migrating VMs from VMware ESXi to Proxmox - Cheap Windows VPS, consulté le avril 22, 2025, https://cheapwindowsvps.com/blog/a-step-by-step-guide-to-migrating-vms-from-vmware-esxi-to-proxmox/
Open-Source Migration with Migratekit: VMware to OpenStack - VEXXHOST sponsor pr... - Mohammed Naser - YouTube, consulté le avril 22, 2025, https://www.youtube.com/watch?v=AmQelZT_4TQ
VMware Migration Issues - Proxmox Support Forum, consulté le avril 22, 2025, https://forum.proxmox.com/threads/vmware-migration-issues.163753/
What Is Virt-v2v and How to Convert VM for KVM? - Vinchin Backup & Recovery, consulté le avril 22, 2025, https://www.vinchin.com/vm-migration/virt-v2v.html
Converting a VMware vCenter Linux virtual machine to KVM - Red Hat Customer Portal, consulté le avril 22, 2025, https://access.redhat.com/articles/1353223
How to Migrate VMs from VMware to Proxmox VE? - Apps4Rent.com, consulté le avril 22, 2025, https://www.apps4rent.com/blog/vmware-to-proxmox-ve-migration/
Migrate VMs from KVM to VMware | Steps and Common Problems | Vinchin Backup, consulté le avril 22, 2025, https://www.vinchin.com/vm-migration/kvm-to-vmware.html
Most efficient way to move virtual machines from vmare to kubevirt on kubernetes? - Reddit, consulté le avril 22, 2025, https://www.reddit.com/r/kubernetes/comments/1jqbwh2/most_efficient_way_to_move_virtual_machines_from/
-Konveyor- Moving Workloads Across Clusters With Crane – And A Look At The Konveyor Community | PDF | Backup | Replication (Computing) - Scribd, consulté le avril 22, 2025, https://www.scribd.com/document/815067347/Konveyor-Moving-Workloads-Across-Clusters-With-Crane-And-A-Look-At-The-Konveyor-Community
How to Become a Cloud Administrator ? Key Certifications and Skills You Need, consulté le avril 22, 2025, https://www.webasha.com/blog/how-to-become-a-cloud-administrator-key-certifications-and-skills-you-need
TOP 5 REASONS KUBERNETES RUNS BETTER ON VMWARE vSPHERE, consulté le avril 22, 2025, https://www.vmware.com/docs/solution-overview-top-5-reasons-kubernetes-runs-better-on-vmware-vsphere
What are the benefits of "enterprise-level" virtualization? - Server Fault, consulté le avril 22, 2025, https://serverfault.com/questions/513381/what-are-the-benefits-of-enterprise-level-virtualization
Product - Community vs Enterprise - CFEngine, consulté le avril 22, 2025, https://cfengine.com/community-vs-enterprise-comparison/
Lift-and-Shift or Refactor: Which Migration Methodology is Right for You? - ClearScale Blog, consulté le avril 22, 2025, https://blog.clearscale.com/lift-and-shift-or-refactor-which-migration-methodology-is-right-for-you/
Big Bang vs. Gradual Data Migration: Pros, Cons, and Best Practices - XB Software, consulté le avril 22, 2025, https://xbsoftware.com/blog/big-bang-or-gradual-data-migration/
Big Bang vs Trickle Migration [Key Differences & Considerations] - Brainhub, consulté le avril 22, 2025, https://brainhub.eu/library/big-bang-migration-vs-trickle-migration
Big Bang vs Phased Implementation - Impact on Time and Cost, consulté le avril 22, 2025, https://pm.stackexchange.com/questions/12038/big-bang-vs-phased-implementation-impact-on-time-and-cost

Simplifier et optimiser vos clusters Kubernetes : le combo gagnant EKS + Karpenter + Auto Mode

2025-04-29T18:00:00+02:00

Simplifier et optimiser vos clusters Kubernetes : le combo gagnant EKS + Karpenter + Auto Mode

Retour d’expérience de Qonto et focus sur Karpenter & EKS Auto Mode

À l’occasion d’une session au Summit AWS 2025, les équipes de Qonto et d’AWS sont revenues sur les bonnes pratiques pour gérer efficacement des clusters Kubernetes à grande échelle. Voici les principaux enseignements à retenir.

Kubernetes : un standard… qui reste complexe à opérer

Kubernetes s’est imposé comme l’orchestrateur de conteneurs de référence. 84 % des entreprises l’utilisent, selon la CNCF, que ce soit en production ou en expérimentation. Ses atouts sont connus :
- Portabilité : du laptop à l’on-prem, en passant par le cloud.
- Support des architectures microservices : agilité, découplage, scalabilité.

Mais derrière ces bénéfices se cache une complexité opérationnelle réelle : scaler les ressources, gérer les mises à jour, sécuriser les déploiements… Tout cela demande du temps et de l’expertise.

Depuis 2017, Amazon EKS (Elastic Kubernetes Service) propose de décharger les équipes de la gestion du control plane. Mais qu’en est-il du data plane et des ressources sous-jacentes ? Comment éviter de passer des heures sur l’optimisation des nœuds ou le patching du système ?

C’est là qu’interviennent Karpenter et EKS Auto Mode.

Karpenter : le scaling intelligent et granulaire

De Cluster Autoscaler à Karpenter : changer de paradigme

Avant Karpenter, le scaling horizontal (HPA) et Cluster Autoscaler étaient les standards. Mais ils reposaient sur des Auto Scaling Groups (ASG), avec plusieurs limites :
- Taille des instances homogène dans un ASG (peu de flexibilité).
- Latence liée à l’intermédiation entre Kubernetes, Cluster Autoscaler et ASG.
- Complexité pour gérer le Spot et les architectures ARM.

Karpenter, projet open source intégré à l’écosystème Kubernetes (SIG Autoscaling), vient casser ces limitations.

Comment fonctionne Karpenter ?

Il observe les pods en attente de scheduling.
Il choisit dynamiquement le meilleur type d’instance pour les exécuter.
Il provisionne directement les instances via l’API EC2 (sans passer par un ASG).
Il scale de manière fine : petites, moyennes, grandes instances, Spot, On-Demand, ARM, GPU, selon les contraintes de vos workloads.

Node Pools & Node Classes : plus de contrôle, moins de friction

NodePool : définit les types d’instances autorisées (par ex. : uniquement Graviton, Spot, GPU…).
NodeClass : configure les instances (subnets, AMI, IAM role, OS version…).
Support de l’auto-consolidation : Karpenter détecte les nœuds sous-utilisés, déploie de nouveaux nœuds optimisés, et termine les anciens.

Bénéfices concrets pour Qonto :

Scalabilité granulaire sans dépendance à des groupes statiques.
Adoption facilitée du Spot avec des économies sur le compute (jusqu’à 55 % combiné à Graviton et consolidation).
Simplification des mises à jour : changement de version d’OS simplement via la NodeClass.
Réduction des temps de mise à jour : de plusieurs jours à 1h pour certains clusters.

Aller plus loin avec EKS Auto Mode : l’automatisation poussée de Kubernetes

Le constat : EKS gère déjà le control plane, mais la gestion des nœuds restait à la charge des clients

Avec EKS Auto Mode, AWS va plus loin :
- Gestion automatique du data plane (instances EC2, patching, dimensionnement).
- Sélection dynamique des instances optimales.
- Mises à jour automatiques des nœuds avec OS optimisé (Amazon Linux / Ubuntu).
- Surveillance de l’état de santé des nœuds + correction automatique.
- Compute éphémère : rotation régulière des instances, réduisant la surface d’attaque et les risques liés aux patchs manquants.

La promesse :

Vous déclarez vos pods, AWS gère le reste.

Plus besoin de gérer :
- Le cycle de vie des instances.
- Le patching OS.
- Le monitoring bas niveau.
- La mise à l’échelle (scaling up & scaling down).

Focus sécurité :

Intégration native avec IAM Pod Identity pour les permissions sur les services AWS.
Rafraîchissement automatique des pods (patching tous les 14 jours).
Compute éphémère = renouvellement continu des ressources sous-jacentes.
Compatibilité avec les services de sécurité AWS (GuardDuty, Security Hub…).

Karpenter + Auto Mode : complémentaires ou concurrents ?

Les deux solutions sont complémentaires :
- Karpenter : idéal si vous avez besoin de contrôle fin sur les types d’instances, les stratégies Spot, les pools par workload (GPU, Graviton, etc.).
- Auto Mode : pour les cas où vous voulez externaliser totalement la gestion du data plane et concentrer vos efforts sur les déploiements applicatifs, sans gérer d’infrastructure.

Chez Qonto :
- Karpenter optimise les clusters actuels avec une gestion granulaire des instances.
- Auto Mode est exploré pour continuer à réduire la maintenance et déléguer davantage d’opérations non différenciantes à AWS.

Pourquoi ces choix technologiques comptent ?

Chez Qonto, ce sont 15 clusters, 15 000 pods et 200 déploiements par jour.
Avec ce niveau d’activité, maintenir un bon équilibre entre :
- Disponibilité.
- Sécurité.
- Scalabilité.
- Coût maîtrisé.

…devient un défi majeur. L’automatisation via Karpenter et Auto Mode permet de libérer les équipes des tâches les plus répétitives et chronophages.

Conclusion : Kubernetes à grande échelle, mais sans douleur

Scalabilité, coûts, sécurité, maintenance : les défis Kubernetes sont nombreux. Avec EKS, Karpenter et EKS Auto Mode, AWS propose un ensemble cohérent pour :
- Accélérer les déploiements.
- Simplifier la gestion opérationnelle.
- Optimiser les coûts de calcul.
- Sécuriser les clusters par défaut.

L’expérience de Qonto montre que ces outils sont non seulement efficaces, mais surtout adaptés à une gestion Kubernetes à grande échelle.

Et si vous pouviez, vous aussi, passer plus de temps à innover… et moins à patcher vos nœuds ?

Déployer Talos sur Numspot

2025-04-18T10:00:00+02:00

Déployer un cluster Kubernetes Talos sur NumSpot avec Terraform : quand minimalisme et souveraineté riment avec modernité

Motivation

Chez de nombreux Cloud Providers, la tentation est grande d’utiliser les services managés Kubernetes (KaaS) : maintenance simplifiée, upgrades automatisés, intégration avec la console cloud... NumSpot n’échappe pas à la règle et propose sa propre offre Kubernetes managée, très séduisante pour qui veut déployer vite et sans douleur.

Mais que faire lorsqu'on souhaite garder un contrôle total sur son OS, sa couche Kubernetes, tout en s’appuyant sur l’infrastructure robuste d’un cloud souverain ? C’est là que Talos de SideroLabs entre en scène. Minimaliste, sécurisé et taillé pour le Cloud Native, Talos OS s’impose comme un choix sérieux pour déployer Kubernetes en toute maîtrise.

Dans cet article, je vous guide sur la création d’un cluster Talos sur NumSpot, orchestré par Terraform. Une alternative sérieuse pour ceux qui veulent conjuguer automatisation, sobriété et souveraineté.

Pourquoi Talos et pas un service managé ?

Avant de plonger dans le code, posons le décor.

Talos est un OS Linux immuable et minimaliste conçu exclusivement pour exécuter Kubernetes. Pas de package manager, pas de SSH, une surface d’attaque réduite au strict nécessaire, et une approche API-first pour l'administration.

NumSpot, de son côté, est un cloud souverain basé sur OutScale (Xen), robuste et compatible avec les standards du cloud public. Il propose déjà un Kubernetes managé, mais dans notre cas :

Contrainte de sécurité élevée : Talos réduit les vecteurs d'attaque.

Volonté d’expérimenter : maîtriser les mises à jour, le bootstrap, la gestion du cycle de vie.

Homogénéité multi-cloud / on-prem : même OS partout, même comportement.

Pré-requis

Avant de commencer :

Un projet actif sur NumSpot avec quota suffisant.
Un compte de service numspot avec des droits suffisants pour créer tous les éléments de l'infrastructure Numspot.
Sous la forme d'un ID (SA_idKey) et d'un Secret (SA_KeyPass)
Une infrastructure réseau existante (Vpc, Subnet, Nat Gateway). Très facile à créer en utilisant terraform.
Une vm de service avec :
- Terraform installé (>=1.6.x).
- talosctl installé.
- curl pour accéder à l'API de numspot car tou n'est pas encore disponible dans le provider terraform pour Numspot.
- Prévoyez sur cette VM un volume supplémentaire de 20G monté sur la VM (/dev/sda).

1. Création d'une Image dans le catalogue privé du compte Numspot

L'image Talos n'est pas disponible dans le catalogue public de Numspot.

1.1 Téléchargement du raw disk Talos Linux

Nous allons devoir télécharger une image sur Talos Linux Image Factory

C'est un service proposé par Sidero Labs qui permet de générer des images machine personnalisées pour Talos Linux.

Choisir la version de Talos Linux, ex: 1.9.5
Cliquer sur "Next"
Choisir "Nocloud" comme type de distribution
Cliquer sur "Next"
Choisir amd64 comme architecture de machine, ne pas cocher SecureBoot
Cliquer sur "Next"
Vous pouvez choisir des extensions système si besoin (moi j'en ai choisi aucune)
Cliquer sur "Next"
Laisser le champ Customization vide
Cliquer sur "Next"
Télécharger le Disk Image (ex: https://factory.talos.dev/image//v1.9.5/nocloud-amd64.raw.xz) sur la VM de service

1.1.2 Copie du raw disk sur /dev/sda

Décompresser le raw disk

xz -d nocloud-amd64.raw.xz
mv talos-1.9.5-nocloud-amd64.raw

Nettoyage du disk avant copie

Vérifiez où est monté votre volume dans la vm (sudo fdisk -l). (Moi /dev/sda)

Disk /dev/vda: 10 GiB, 10737418240 bytes, 20971520 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: C7AE58FB-33FF-47AD-B0B0-C5494AA4C12B

Device       Start      End  Sectors  Size Type
/dev/vda1  2099200 20971486 18872287    9G Linux filesystem
/dev/vda14    2048    10239     8192    4M BIOS boot
/dev/vda15   10240   227327   217088  106M EFI System
/dev/vda16  227328  2097152  1869825  913M Linux extended boot

Partition table entries are not in disk order.


Disk /dev/sda: 20 GiB, 21474836480 bytes, 41943040 sectors
Disk model: QEMU HARDDISK
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Commande à lancer

sudo wipefs -a /dev/sda

Copie avec la commande dd du raw disk sur /dev/sda

sudo dd if=talos-1.9.5-nocloud-amd64.raw of=/dev/sda bs=32M status=progress
1241513984 bytes (1.2 GB, 1.2 GiB) copied, 1 s, 1.1 GB/s ...
38+1 records in
38+1 records out
1306525696 bytes (1.3 GB, 1.2 GiB) copied, 123.819 s, 10.6 MB/s

Soyez patient !

Ça peut prendre un certain temps avant d'avoir la 🫲.

Si on repasse un fdisk -l

on voit que le disk a maintenant une structure

Disk /dev/sda: 20 GiB, 21474836480 bytes, 41943040 sectors
Disk model: QEMU HARDDISK
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 1C07C588-7E7B-4245-BF46-C54B8BCBDEEE

Device       Start     End Sectors  Size Type
/dev/sda1     2048  206847  204800  100M EFI System
/dev/sda2   206848  208895    2048    1M BIOS boot
/dev/sda3   208896 2256895 2048000 1000M Linux filesystem
/dev/sda4  2256896 2258943    2048    1M Linux filesystem

1.1.3 Snapshot du volume pour en faire un ... Snapshot 😏

Sur numspot on peut convertir un snapshot en une image numspot utilisable pour booter une vm.

Je pense qu'on peut faire cette partie par l'api de numspot, mais je vais au plus simple et je vais le faire par le portail.

Allez dans Stockage >> Volumes
Identifiez le volume que vous avez ajouté à votre VM
Dans Actions Choissisez "Créer un Snapshot depuis ce Volume"
Donnez un nom à votre snapshot pour facilement l'identifier (ex: talos-nocloud-1.9.5)

Puis allez dans snapshot, Vérifiez que votre snapshot est généré et disponible

notez l'ID du snapshot dans notre exemple snap-88153838

1.1.4 Transformation du Snapshot en Image privée Numspot

C'est à ce moment-là que les choses se compliquent car cette fonctionnalité n'existe pas encore dans le portail.

On va donc utiliser l'API de numspot pour faire ça !

Il faut nous connecter à l'API pour récupérer un TOKEN d'authentification qui sera utilisé dans les commandes curl suivantes.
Créer un script auth.sh avec le code suivant :

Adapter simplement REGION, SA_idKey et SA_KeyPass

# auth.sh

export REGION="cloudgouv-eu-west-1"

SA_idKey="zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz"
SA_KeyPass="omygodthisisasecretkey"

export ACCESS_TOKEN=$(curl -s -X POST https://api.$REGION.numspot.com/iam/token \
-H 'Accept: */*' \
-u "${SA_idKey}":"${SA_KeyPass}" \
-H 'Content-Type: application/x-www-form-urlencoded' \
-d 'grant_type=client_credentials&scope=openid+offline_access' | jq -r '.access_token')

# pour Debug seulement
#echo $ACCESS_TOKEN

Nous avons notre TOKEN. Nous allons donc transformer notre snapshot en image privée.

Créer le script suivant ou la commande :

#!/bin/bash
source auth.sh

curl 'https://api.cloudgouv-eu-west-1.numspot.com/compute/spaces/xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx/images' \
  --request POST \
  --header 'Content-Type: application/json' \
  --header "Authorization: Bearer ${ACCESS_TOKEN}" \
  --data '{
  "architecture": "x86_64",
  "blockDeviceMappings": [
    {
      "bsu": {
        "deleteOnVmDeletion": true,
        "snapshotId": "snap-88153838",
        "volumeSize": 20,
        "volumeType": "standard"
      },
      "deviceName": "/dev/sda1"
    }
  ],
  "productCodes": [
    "0001"
  ],
  "name": "talos1.9.5-img",
  "rootDeviceName": "/dev/sda1"
}'

Adaptez les champs :
snapshotId
name
volumeType (si besoin)
Gardez les champs :
- /dev/sda1 de deviceName et rootDeviceName
- architecture

Je ne sais pas trop ce qu'est productCodes

Note :

Comment trouver https://api.cloudgouv-eu-west-1.numspot.com/compute/spaces/xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx ?
Allez dans IAM >> Espaces : Prenez l'ID de votre Espace
Lancez le script

Si tout se passe bien, allez dans Compute >> Images et tapez Talos dans le champ de recherche. Vous devriez avoir quelque chose d'approchant à ça

Notez l'ID de votre image (chez moi ami-4a8eaf5a)

Voilà nous avons une image disponible nous allons pouvoir créer des VM à partir de cette image.

Vous pouvez déjà créer une vm de test pour vous assurer qu'elle boot correctement

Note :

Le boot est, je ne sais pas trop pourquoi, la première fois très lent.

Si vous ouvrez la console de la VM créée vous aurez quelque chose comme ça d'approchant :

2. Création des configurations terraform pour Talos sur Numspot

Structure du répertoire :

.
├── files
├── numspot-talos
└── templates

Répertoire :

files : contient 1 fichier cp-scheduling.yaml qui permet de configurer les nœuds Talos avec des données fixes.
templates : contient 1 fichier de configuration node-configuration.yaml.tmpl qui permet de configurer les différents nœuds en fonction de leurs rôles ou autres paramètres.
numspot-talos : répertoire généré avec le nom du cluster, contiendra les fichiers permettant d'administrer le cluster avec la CLI talosctl et le kubeconfig permettant l'accès à l'API kubernetes

2.1 fichiers Providers

Créez un fichier providers.tf avec le code suivant :

terraform {
  required_providers {
    numspot = {
      source  = "numspot/numspot"
      version = ">= 1.0"
    }
    talos = {
      source  = "siderolabs/talos"
      version = ">= 0.6.0"
    }
  }
}

provider "numspot" {
  numspot_host    = "https://api.cloudgouv-eu-west-1.numspot.com"
  client_id       = "ID du SA"
  client_secret   = "Secret du SA"
  space_id        = "Votre Space ID"
  numspot_host_os = "https://objectstorage.eu-west-2.numspot.com"
}

Adaptez les informations de numspot

Le rôle principal du fichier providers.tf est de :

Déclarer les fournisseurs (Providers) requis : Indiquer à Terraform quels plugins (fournisseurs) sont nécessaires pour interagir avec les différentes API des services que vous souhaitez gérer (ici, NumSpot et Talos).
Configurer les fournisseurs : Fournir les informations d'authentification et les paramètres spécifiques (comme les points de terminaison d'API ou les régions) pour que Terraform puisse communiquer correctement avec ces services.
Bloc terraform {}
- C'est un bloc spécial pour les configurations globales de Terraform lui-même.
- required_providers {} : Ce sous-bloc est crucial. Il liste les fournisseurs externes dont dépend votre code Terraform.
  - numspot = { ... } :
    - Déclare que le fournisseur numspot est nécessaire.
    - source = "numspot/numspot" : Indique à Terraform où trouver le code de ce fournisseur dans le Registre Terraform (ici, il s'agit du fournisseur officiel maintenu par ou pour NumSpot).
    - version = ">= 1.0" : Spécifie que n'importe quelle version du fournisseur numspot égale ou supérieure à 1.0 est acceptable. Terraform téléchargera la version la plus récente correspondante lors de l'exécution de terraform init.
  - talos = { ... } :
    - Déclare que le fournisseur talos est nécessaire.
    - source = "siderolabs/talos" : Indique que ce fournisseur provient de l'organisation siderolabs (les créateurs de Talos OS).
    - version = ">= 0.6.0" : Spécifie que n'importe quelle version du fournisseur Talos égale ou supérieure à 0.6.0 est acceptable.
Bloc provider "numspot" {}
- Ce bloc configure le fournisseur numspot qui a été déclaré dans required_providers. C'est ici que vous donnez à Terraform les "clés" pour accéder à votre compte NumSpot.
- numspot_host = "https://api.cloudgouv-eu-west-1.numspot.com" : Définit l'URL du point de terminaison (endpoint) de l'API principale de NumSpot pour la région eu-west-1. C'est l'adresse que Terraform utilisera pour envoyer ses requêtes de gestion d'infrastructure.
- client_id = "ID du SA" : C'est l'identifiant de votre Compte de Service (SA) NumSpot. Vous devez remplacer "ID du SA" par votre véritable identifiant. Ce compte doit avoir les permissions nécessaires pour créer/modifier/supprimer les ressources définies dans votre code Terraform.
- client_secret = "Secret du SA" : C'est le secret associé à votre client_id. Vous devez remplacer "Secret du SA" par votre véritable secret. ATTENTION : Il est fortement déconseillé de stocker des secrets en clair directement dans les fichiers .tf. Utilisez plutôt des variables d'environnement (ex: NUMSPOT_CLIENT_SECRET) ou un fichier terraform.tfvars (ajouté au .gitignore) pour plus de sécurité.
- space_id = "Votre Space ID" : C'est l'identifiant de votre "Espace" (Space) NumSpot, qui correspond souvent à un projet ou un périmètre d'isolation logique au sein de votre organisation. Vous devez remplacer "Votre Space ID" par votre ID d'espace réel.
- numspot_host_os = "https://objectstorage.eu-west-2.numspot.com" : Définit l'URL du point de terminaison spécifique pour le service de Stockage Objet (Object Storage) de NumSpot, ici dans la région eu-west-2. Le fournisseur peut avoir besoin de cette information pour certaines opérations liées au stockage (par exemple, si vous gérez des buckets S3 ou téléchargez des images via ce service).

2.2 variables et fichiers de configuration statiques ou templates

Nous allons avoir besoin de quelques variables.

Ce fichier (vars.tf ou variables.tf) regroupe les paramètres que j'ai rendus configurables pour ce projet de déploiement de Talos sur NumSpot.

L'idée est que vous puissiez adapter facilement le déploiement à vos besoins (nom du cluster, IPs, configuration des nœuds) sans toucher au cœur logique du code Terraform.

Il faudra adapter les adresses IP en fonction des subnets que vous avez définis.

Un des gros avantages de Talos c'est de pouvoir définir une vip pour le control plane.

Créez un fichier vars.tf avec le code suivant :

variable "cluster_name" {
  description = "A name to provide for the Talos cluster"
  type        = string
  default     = "numspot-talos"
}

variable "vip" {
 description = "vip of k8s Talos cluster"
  type        = string
  default     = "10.0.1.230"
}

variable "node_data" {
  description = "A map of node data"
  type = object({
    controlplanes = map(object({
      install_disk = string
      hostname     = optional(string)
    }))
    workers = map(object({
      install_disk = string
      hostname     = optional(string)
    }))
  })
  default = {
    controlplanes = {
      "10.0.1.234" = {
        install_disk = "/dev/sda"
      },
      "10.0.1.235" = {
        install_disk = "/dev/sda"
      },
      "10.0.1.236" = {
        install_disk = "/dev/sda"
      }
    }
    workers = {
      "10.0.1.240" = {
        install_disk = "/dev/sda"
        hostname     = "worker-1"
      },
      "10.0.1.241" = {
        install_disk = "/dev/sda"
        hostname     = "worker-2"
      }
    }
  }
}

Voici le détail des variables que j'ai définies :

variable "cluster_name"
- Ce que ça fait : Ici, vous définissez le nom que portera le cluster Talos que nous allons créer. Ce nom sera utilisé pour taguer certaines ressources ou dans la configuration Talos elle-même.
- Type attendu : Une simple chaîne de caractères (string).
- Valeur par défaut : Si vous ne fournissez pas de nom spécifique, j'utiliserai "numspot-Talos" par défaut.
variable "vip"
- Ce que ça fait : Cette variable sert à définir l'adresse IP virtuelle (VIP) que j'utiliserai comme point d'accès stable pour le control plane Kubernetes (l'API Server). C'est l'adresse que vous utiliserez généralement dans votre kubeconfig.
- Type attendu : Une chaîne de caractères (string) représentant une adresse IP valide.
- Valeur par défaut : J'ai mis "10.0.1.230" par défaut, ce qui correspond à mon réseau de test. Adaptez-la à votre plan d'adressage réseau.
variable "node_data"
- Ce que ça fait : C'est la variable la plus structurée. Elle me permet de savoir exactement quels nœuds (control planes et workers) vous voulez dans votre cluster et quelques détails à leur sujet. Pour chaque nœud, je m'attends à trouver son adresse IP (qui sert de clé dans la map), le disque sur lequel je dois installer Talos (install_disk), et éventuellement un nom d'hôte (hostname) que vous souhaitez lui assigner.
- Type attendu : Un objet complexe (object) contenant deux maps : controlplanes et workers. Chaque map associe une adresse IP (clé string) à un objet contenant au moins install_disk (string) et optionnellement hostname (string).
- Valeur par défaut : J'ai fourni une configuration par défaut assez complète pour vous montrer la structure attendue et permettre un démarrage rapide. Elle configure :
  - Trois control planes aux IPs 10.0.1.234, 10.0.1.235, 10.0.1.236.
  - Deux workers aux IPs 10.0.1.240 (nommé worker-1) et 10.0.1.241 (nommé worker-2).
  - Pour tous ces nœuds par défaut, j'installerai Talos sur le disque /dev/sda (assurez-vous que c'est bien le disque que vous avez préparé sur vos VM NumSpot comme indiqué dans les prérequis !).
fichier files/cp-scheduling.yaml

Contenu :

cluster:
  allowSchedulingOnControlPlanes: true

Permet de déployer des workloads utilisateur sur les control-plane (vous pouvez mettre false)

fichier templates/node-configuration.yaml.tmpl

Contenu :

machine:
  certSANs:
    - ${ dns_name }
%{ if vip != "" }
    -  ${vip}
%{ endif }
  install:
    disk: ${install_disk}
  network:
    hostname: ${hostname}
    interfaces:
    - interface: eth0
      dhcp: true
%{ if vip != "" }
      vip:
        ip: ${vip}
%{ endif }

cluster:
  apiServer:
    certSANs:
      - ${ dns_name }

Permet de configurer des install disk différents, de mettre des hostname parlant et d'ajouter les SANs pour la vip et le fqdn du loadbalancer

2.3 les data (ressources externes numspot)

Mon infrastructure Numspot possède déjà des composants déployés (ex: VPC, Subnets, IPs ...).

Plutôt que de recréer un réseau à chaque fois, je pars du principe que vous avez déjà un VPC, un sous-réseau (subnet), et un groupe de sécurité (security group) prêts à l'emploi.

Ce fichier sert à les "retrouver" pour que Terraform puisse les utiliser.

Créez un fichier data.tf avec le code suivant :

data "numspot_vpcs" "ds-vpc" {
  ids = ["vpc-xxxxxxx"]
}

data "numspot_subnets" "ds-subnet" {
  vpc_ids    = [data.numspot_vpcs.ds-vpc.items.0.id]
}


data "numspot_security_groups" "ds-sg" {
  security_group_ids = ["sg-xxxxxxx"]
}

resource "null_resource" "print-ds-vpc-id" {
  provisioner "local-exec" {
    command = "echo data.numspot_vpcs.ds-vpc.items.0.id"
  }
}

resource "null_resource" "print-ds-subnet-id" {
  provisioner "local-exec" {
    command = "echo data.numspot_subnets.ds-subnet.items.0.id"
  }
}

resource "null_resource" "print-ds-sg-id" {
  provisioner "local-exec" {
    command = "echo data.numspot_security_groups.ds-sg.items.0.id"
  }
}

data "numspot_vpcs" "ds-vpc"
- Ce que ça fait : Ce bloc utilise une source de données (data) Terraform pour rechercher des informations sur un VPC spécifique dans NumSpot.
- Comment : Je lui demande de chercher le VPC dont l'identifiant est vpc-xxxxxxxx. Le nom que je lui donne dans Terraform est ds-vpc (pour "data source VPC").
- Pourquoi : J'ai besoin de l'identifiant et potentiellement d'autres détails de ce VPC pour configurer le reste de l'infrastructure, notamment pour trouver le bon sous-réseau.
- Important : Vous devez remplacer vpc-xxxxxxxx par l'ID du VPC que vous souhaitez réellement utiliser dans votre environnement NumSpot.
data "numspot_subnets" "ds-subnet"
- Ce que ça fait : De la même manière, je recherche ici un ou plusieurs sous-réseaux.
- Comment : Au lieu de chercher par ID de sous-réseau, je filtre en demandant les sous-réseaux qui appartiennent au VPC que j'ai trouvé juste avant (data.numspot_vpcs.ds-vpc.items.0.id). J'utilise .items.0.id car la source de données numspot_vpcs renvoie une liste (même s'il n'y a qu'un seul VPC correspondant à l'ID), et je prends le premier élément (0) de cette liste.
- Pourquoi : Les machines virtuelles de notre cluster Talos devront être placées dans un sous-réseau spécifique. Ce bloc me permet d'obtenir l'ID de ce sous-réseau.
- Note : Ce code suppose qu'il y a au moins un sous-réseau dans le VPC spécifié. Si vous en avez plusieurs, le code Terraform qui utilise data.numspot_subnets.ds-subnet.items.0.id ciblera le premier sous-réseau retourné par l'API NumSpot. Assurez-vous que c'est bien celui que vous visez.
data "numspot_security_groups" "ds-sg"
- Ce que ça fait : Je récupère ici les informations d'un groupe de sécurité existant.
- Comment : Comme pour le VPC, je le cible directement par son ID : sg-xxxxxxxx.
- Pourquoi : Les machines virtuelles auront besoin d'être associées à un groupe de sécurité pour contrôler le trafic entrant et sortant. Ce groupe doit déjà être configuré avec les règles nécessaires pour Talos et Kubernetes (par exemple, ouvrir les ports 6443, 50000, 50001, etc.).
- Important : Vous devez remplacer sg-xxxxxxxx par l'ID du groupe de sécurité que vous avez préparé pour ce cluster.
resource "null_resource" "print-..."
- Ce que ça fait : Ces trois blocs (print-ds-vpc-id, print-ds-subnet-id, print-ds-sg-id) sont un peu différents. Ils utilisent une ressource null_resource, qui ne crée rien dans NumSpot. Associée à provisioner "local-exec", elle me permet simplement d'exécuter une commande sur la machine où vous lancez Terraform.
- Comment : J'exécute une commande echo qui affiche littéralement la chaîne de caractères correspondant au chemin d'accès Terraform vers l'ID de la ressource (par exemple, echo data.numspot_vpcs.ds-vpc.items.0.id).
- Pourquoi : Je les ai ajoutés principalement à des fins de débogage ou de vérification rapide. Lorsque vous lancez terraform apply, ces commandes s'exécuteront et afficheront les chemins d'accès dans la sortie. Cela ne montre pas la valeur de l'ID, mais confirme que Terraform tente d'utiliser ces références. C'est une petite aide pour s'assurer que les data sources sont bien lues, même si pour voir les vraies valeurs, il faudrait utiliser des output ou une interpolation ${...} dans le echo.
- Note : Ces ressources null_resource n'ont aucun impact sur l'infrastructure créée et peuvent être retirées si vous les trouvez inutiles.

2.4 Les VMs et autres composants de l'infrastructure

Ce fichier contient les définitions des ressources principales que Terraform va créer et gérer sur NumSpot pour notre cluster Talos. On y trouve la création des VMs (Control Plane et Workers) et du Load Balancer nécessaire pour la haute disponibilité et l'accès externe à l'API Kubernetes.

Créez un fichier infra.tf avec le code suivant :

# Création des VMs Controlplane
resource "numspot_vm" "talos-cp" {
  for_each         = var.node_data.controlplanes
  image_id         = "ami-4a8eaf5a"
  type             = "ns-eco6-2c8r"
  keypair_name     = "talos-keypair"
  subnet_id        = data.numspot_subnets.ds-subnet.items.0.id
  security_group_ids = [data.numspot_security_groups.ds-sg.items.0.id]
  private_ips      = [each.key]

  tags = [
    {
      key   = "name"
      value = "talos-cp-${each.key}"
    }
  ]
}

# Création des VMs Worker
resource "numspot_vm" "talos-worker" {
  for_each         = var.node_data.workers
  image_id         = "ami-4a8eaf5a"
  type             = "ns-eco6-2c8r"
  keypair_name     = "talos-keypair"
  subnet_id        = data.numspot_subnets.ds-subnet.items.0.id
  security_group_ids = [data.numspot_security_groups.ds-sg.items.0.id]
  private_ips      = [each.key]

  tags = [
    {
      key   = "name"
      value = "talos-worker-${each.value.hostname}"
    }
  ]
}

resource "numspot_load_balancer" "load-balancer" {
  name = "nlb001"
  listeners = [{
    load_balancer_port     = 6443
    backend_port           = 6443
    backend_protocol       = "TCP"
    load_balancer_protocol = "TCP"
  }]

  subnets         = [data.numspot_subnets.ds-subnet.items.0.id]
  security_groups = [data.numspot_security_groups.ds-sg.items.0.id]
  backend_vm_ids  = [for ip, data in var.node_data.controlplanes : numspot_vm.talos-cp[ip].id]
  // invalide  à l'heure actuelle - public_ip       = numspot_public_ip.lb-public-ip.public_ip

  type = "internet-facing"

  health_check = {
    healthy_threshold   = 3
    check_interval      = 10
    port                = 6443
    protocol            = "HTTPS"
    path                = "/api/v1/namespaces/kube-public/configmaps/cluster-info"
    timeout             = 5
    unhealthy_threshold = 5
  }
}

data "numspot_load_balancers" "load-balancer" {
  load_balancer_names = [numspot_load_balancer.load-balancer.name]
  depends_on = [numspot_load_balancer.load-balancer]
}

Note :

Pour le Health check je mets ça mais en fait ça ne peut pas marcher car tous les accès à l'API sont authentifiés. même la partie publique.

Le problème c'est que je ne peux pas utiliser actuellement (bug ? ) un check TCP sur le port 6443 avec le provider numspot.

Je patcherai plus tard le healthcheck via un call API pour le mettre à jour.

resource "numspot_vm" "talos-cp"
- Ce que ça fait : Ici, je définis les machines virtuelles qui serviront de nœuds Control Plane pour notre cluster Kubernetes.
- Comment : J'utilise une boucle for_each qui s'appuie sur la map controlplanes de notre variable var.node_data (définie dans vars.tf). Pour chaque entrée dans cette map (chaque IP de control plane), Terraform créera une VM.
- Configuration clé :
  - image_id = "ami-3b18dcca" : J'utilise une image spécifique de NumSpot. Attention, cet ID (ami-3b18dcca) est l'ID de l'image Talos que nous avons créée manuellement dans la première étape du tuto. Vous devrez remplacer cet ID par celui de votre image Talos perso dans votre catalogue privé NumSpot.
  - type = "ns-eco6-2c8r" : Je choisis ce type d'instance (taille/puissance). Vous pouvez l'adapter selon vos besoins.
  - keypair_name = "talos-keypair" : J'associe une paire de clés SSH préexistante nommée talos-keypair à la VM. Même si Talos n'utilise pas SSH, NumSpot peut le requérir ou cela peut être utile pour certaines opérations de bas niveau (très rare avec Talos). Assurez-vous que cette keypair existe dans votre compte NumSpot.
  - subnet_id et security_group_ids : J'utilise les informations du VPC/Subnet/Groupe de Sécurité que nous avons récupérées dans data.tf.
  - private_ips = [each.key] : C'est ici que j'attribue l'adresse IP privée fixe à chaque VM control plane. L'adresse IP provient directement de la clé de la map var.node_data.controlplanes.
  - tags: Je mets un tag "name" sur chaque VM pour l'identifier facilement (ex: talos-cp-10.0.1.234).
resource "numspot_vm" "talos-worker"
- Ce que ça fait : Très similaire au bloc précédent, mais celui-ci crée les machines virtuelles pour les nœuds Worker de notre cluster.
- Comment : Utilise aussi une boucle for_each, mais cette fois sur la map workers de var.node_data.
- Configuration clé : Globalement identique aux control planes (même image, type, keypair, réseau), mais :
  - private_ips = [each.key] : Attribue l'IP privée fixe venant de la clé de la map var.node_data.workers.
  - tags: Le tag "name" utilise ici le hostname défini dans la valeur de la map (ex: talos-worker-worker-1).
resource "numspot_load_balancer" "load-balancer"
- Ce que ça fait : Crée un Load Balancer réseau (NLB) sur NumSpot.
- Pourquoi : Il va répartir le trafic entrant destiné à l'API Kubernetes (sur le port 6443) entre les différentes VMs Control Plane que nous avons créées. C'est essentiel pour la haute disponibilité et pour avoir un point d'entrée unique (vip) pour le cluster.
- Configuration clé :
  - name = "nlb001" : Je donne un nom fixe au Load Balancer.
  - listeners: Je configure l'écouteur pour recevoir du trafic TCP sur le port 6443 et le transférer vers les backends (nos control planes) sur le port 6443 également.
  - subnets & security_groups: Je place le LB dans notre sous-réseau et lui associe notre groupe de sécurité (il faut que ce groupe autorise le trafic sur le port 6443).
  - backend_vm_ids: C'est ici que je connecte le LB aux VMs control plane. J'utilise une expression for pour récupérer dynamiquement les IDs de toutes les VMs créées par le bloc numspot_vm.talos-cp.
  - public_ip: Note importante : J'ai commenté cette ligne (// invalide à l'heure actuelle - public_ip = ...). Cela suggère qu'au moment où j'ai écrit ce code, l'assignation directe d'une IP publique via cet attribut n'était pas fonctionnelle ou supportée par le provider NumSpot pour ce type de LB. Le LB sera donc probablement accessible via une IP publique assignée automatiquement ou nécessitera une étape manuelle/supplémentaire pour l'exposition sur Internet si type = "internet-facing" fonctionne comme attendu.
  - type = "internet-facing": Indique que je veux que ce LB soit potentiellement accessible depuis Internet (même si l'IP publique n'est pas explicitement définie ici).
  - health_check: Je définis comment le LB vérifie si les control planes sont opérationnels. Il essaie de contacter un endpoint spécifique de l'API Kubernetes (/api/v1/.../cluster-info) sur le port 6443 en HTTPS.
data "numspot_load_balancers" "load-balancer"
- Ce que ça fait : Ce bloc ne crée rien, il lit des informations sur le Load Balancer que nous venons juste de définir dans le bloc resource précédent.
- Comment : Il recherche un LB ayant le nom nlb001.
- Pourquoi : Souvent, on utilise une source de données comme celle-ci juste après avoir créé une ressource pour récupérer des attributs qui ne sont connus qu'après la création (comme un DNS Name généré automatiquement par NumSpot pour le LB). Le depends_on = [numspot_load_balancer.load-balancer] est crucial : il garantit que Terraform essaiera de lire ces informations seulement après que la création du LB soit terminée. Cela évite les erreurs si on essayait de lire trop tôt. Dans ce code précis, les informations lues ne semblent pas être utilisées immédiatement, mais c'est une bonne pratique de l'avoir si on prévoit d'utiliser des attributs dynamiques du LB plus tard (par exemple dans un fichier d'output).

2.5 La configuration du cluster Talos

Créez un fichier talos-cluster.tf avec le code suivant :

resource "talos_machine_secrets" "this" {}

data "talos_machine_configuration" "controlplane" {
  depends_on        = [numspot_load_balancer.load-balancer]
  cluster_name     = var.cluster_name
  cluster_endpoint = "https://10.0.1.230:6443"
  machine_type     = "controlplane"
  machine_secrets  = talos_machine_secrets.this.machine_secrets
}

data "talos_machine_configuration" "worker" {
  depends_on        = [numspot_load_balancer.load-balancer]
  cluster_name     = var.cluster_name
  cluster_endpoint = "https://10.0.1.230:6443"
  machine_type     = "worker"
  machine_secrets  = talos_machine_secrets.this.machine_secrets
}

data "talos_client_configuration" "this" {
  cluster_name         = var.cluster_name
  client_configuration = talos_machine_secrets.this.client_configuration
  endpoints            = [for k, v in var.node_data.controlplanes : k]
}

resource "talos_machine_configuration_apply" "controlplane" {
  client_configuration        = talos_machine_secrets.this.client_configuration
  machine_configuration_input = data.talos_machine_configuration.controlplane.machine_configuration
  for_each                    = var.node_data.controlplanes
  node                        = each.key
  config_patches = [
    templatefile("${path.module}/templates/node-configuration.yaml.tmpl", {
      hostname     = each.value.hostname == null ? format("%s-cp-%s", var.cluster_name, index(keys(var.node_data.controlplanes), each.key)) : each.value.hostname
      install_disk = each.value.install_disk
      vip          = var.vip
      public_ip    = data.numspot_load_balancers.load-balancer.items.0.public_ip
      dns_name     = data.numspot_load_balancers.load-balancer.items.0.dns_name
    }),
    file("${path.module}/files/cp-scheduling.yaml"),
  ]
}

resource "talos_machine_configuration_apply" "worker" {
  client_configuration        = talos_machine_secrets.this.client_configuration
  machine_configuration_input = data.talos_machine_configuration.worker.machine_configuration
  for_each                    = var.node_data.workers
  node                        = each.key
  config_patches = [
    templatefile("${path.module}/templates/node-configuration.yaml.tmpl", {
      hostname     = each.value.hostname == null ? format("%s-worker-%s", var.cluster_name, index(keys(var.node_data.workers), each.key)) : each.value.hostname
      install_disk = each.value.install_disk
      vip          = ""
      public_ip    = data.numspot_load_balancers.load-balancer.items.0.public_ip
      dns_name     = data.numspot_load_balancers.load-balancer.items.0.dns_name
    })
  ]
}

resource "talos_machine_bootstrap" "this" {
  depends_on = [talos_machine_configuration_apply.controlplane]

  client_configuration = talos_machine_secrets.this.client_configuration
  node                 = [for k, v in var.node_data.controlplanes : k][0]
}

resource "talos_cluster_kubeconfig" "this" {
  depends_on           = [talos_machine_bootstrap.this]
  client_configuration = talos_machine_secrets.this.client_configuration
  node                 = [for k, v in var.node_data.controlplanes : k][0]
}


resource "local_file" "talosconfig" {
  content  = data.talos_client_configuration.this.talos_config
  filename = "${path.module}/${var.cluster_name}/talosconfig"
}

resource "local_file" "kubeconfig" {
  content  = talos_cluster_kubeconfig.this.kubeconfig_raw
  filename = "${path.module}/${var.cluster_name}/kubeconfig"
}

Ce fichier est entièrement dédié à l'interaction avec Talos lui-même, une fois que les VMs de base sont (ou sont en train d'être) créées par infra.tf. J'utilise ici le provider Terraform siderolabs/talos pour générer les configurations spécifiques à Talos, les appliquer aux nœuds, et finalement bootstrapper le cluster Kubernetes. C'est ici que la "magie" Talos opère.

resource "talos_machine_secrets" "this"
- Ce que ça fait : C'est la première étape essentielle pour Talos. Je demande au provider de générer tous les secrets cryptographiques nécessaires (certificats PKI, clés) pour sécuriser le cluster et les communications entre les nœuds et avec le client (talosctl).
- Pourquoi : Talos est sécurisé par défaut et repose sur mTLS. Cette ressource gère toute la complexité de la génération de cette PKI.
data "talos_machine_configuration" "controlplane" et data "talos_machine_configuration" "worker"
- Ce que ça fait : Ces blocs ne créent rien sur les machines, ils utilisent des data sources du provider Talos pour générer les fichiers de configuration de base pour les control planes et les workers, mais en mémoire. C'est l'équivalent de ce que talosctl gen config ferait, mais intégré à Terraform.
- Pourquoi : J'ai besoin d'une configuration standard pour chaque type de nœud, basée sur le nom du cluster (var.cluster_name), l'endpoint (j'utilise ici directement la VIP 10.0.1.230 définie dans vars.tf – assurez-vous qu'elle correspond à votre var.vip!), le type de machine (controlplane ou worker) et les secrets générés juste avant.
- Dépendance : J'ai mis depends_on = [numspot_load_balancer.load-balancer] pour m'assurer que la génération de cette config (même si elle n'utilise pas directement le LB ici) n'ait lieu qu'après la création du LB, car les étapes suivantes vont utiliser les informations du LB.
data "talos_client_configuration" "this"
- Ce que ça fait : Génère, toujours en mémoire, la configuration client (talosconfig) nécessaire pour que talosctl (et le provider Terraform lui-même) puisse communiquer avec les nœuds Talos.
- Pourquoi : Pour appliquer les configurations et lancer le bootstrap, le provider a besoin de savoir comment s'authentifier auprès des nœuds Talos.
- Comment : J'utilise le nom du cluster, la partie "client" des secrets générés, et je lui fournis la liste des IPs des control planes comme points d'accès initiaux (endpoints).
resource "talos_machine_configuration_apply" "controlplane" et resource "talos_machine_configuration_apply" "worker"
- Ce que ça fait : C'est l'étape où j'applique effectivement la configuration sur chaque nœud (VM). Le provider Terraform se connecte à l'API Talos de chaque machine (sur le port 50000) en utilisant la configuration client générée, et lui envoie sa configuration.
- Comment : J'utilise for_each pour boucler sur les IPs définies dans var.node_data (comme pour la création des VMs). Pour chaque nœud (node = each.key), je prends la configuration de base générée (machine_configuration_input) et j'y ajoute des patchs (config_patches).
- Les Patchs (config_patches) : C'est là que je personnalise la configuration pour chaque nœud spécifique :
  - J'utilise templatefile pour lire un fichier modèle (templates/node-configuration.yaml.tmpl) et y injecter des valeurs dynamiques :
    - Le hostname : soit celui défini dans var.node_data, soit un nom généré automatiquement (ex: numspot-talos-cp-0).
    - Le disque d'installation (install_disk) pris depuis var.node_data.
    - La VIP (var.vip) pour les control planes (vide pour les workers).
    - L'IP publique (public_ip) et le nom DNS (dns_name) récupérés depuis le Load Balancer NumSpot (via la source de données data.numspot_load_balancers.load-balancer que j'avais définie dans infra.tf - c'est pour ça que la dépendance et la data source étaient importantes !).
  - Pour les control planes, j'ajoute aussi un patch statique (files/cp-scheduling.yaml), qui contient probablement des configurations spécifiques aux CPs (peut-être pour autoriser l'exécution de pods dessus, ou définir des taints/labels).
- Important : Ces blocs nécessitent que les fichiers templates/node-configuration.yaml.tmpl et files/cp-scheduling.yaml existent aux chemins indiqués.
resource "talos_machine_bootstrap" "this"
- Ce que ça fait : Une fois que tous les control planes ont leur configuration appliquée, je déclenche le processus de bootstrap sur un seul des control planes. C'est l'équivalent de la commande talosctl bootstrap.
- Pourquoi : Cette étape initialise le cluster etcd et démarre réellement le control plane Kubernetes.
- Comment : Je cible le premier control plane de ma liste ([for k, v in var.node_data.controlplanes : k][0]).
- Dépendance : depends_on = [talos_machine_configuration_apply.controlplane] garantit que je n'essaie pas de bootstrapper avant que les CPs soient configurés.
resource "talos_cluster_kubeconfig" "this"
- Ce que ça fait : Une fois le cluster bootstrappé, je demande à Talos (via le provider et en me connectant au premier control plane) de générer le fichier kubeconfig pour pouvoir interagir avec le cluster Kubernetes via kubectl.
- Pourquoi : C'est le sésame pour utiliser notre nouveau cluster !
- Dépendance : depends_on = [talos_machine_bootstrap.this] assure que le bootstrap est terminé.
resource "local_file" "talosconfig" et resource "local_file" "kubeconfig"
- Ce que ça fait : Je prends les configurations client Talos (talosconfig) et Kubernetes (kubeconfig) qui ont été générées par les ressources précédentes, et je les écris dans des fichiers locaux sur la machine où Terraform est exécuté.
- Pourquoi : Pour que vous puissiez facilement utiliser talosctl --talosconfig=./numspot-talos/talosconfig ... et kubectl --kubeconfig=./numspot-talos/kubeconfig ... après l'exécution de Terraform.
- Comment : Je les sauvegarde dans un sous-dossier portant le nom du cluster (ex: ./numspot-talos/).

3. Let's GO !

3.1 Terraform init

Lancez la commande :

terraform init

La commande terraform init est la première étape fondamentale que vous devez exécuter lorsque vous commencez à travailler avec une nouvelle configuration Terraform ou lorsque vous modifiez certains aspects fondamentaux d'une configuration existante (comme les fournisseurs, les modules ou le backend).

Son rôle principal est de préparer ton répertoire de travail pour que Terraform puisse exécuter les autres commandes (plan, apply, destroy, etc.).

Voici ce que terraform init fait exactement :

Initialisation du Backend :
- Terraform lit le bloc backend (s'il existe) dans ta configuration (généralement dans un fichier terraform.tf ou providers.tf).
- Il configure la manière dont Terraform va stocker et accéder au fichier d'état (terraform.tfstate). Ce fichier est crucial car il contient la correspondance entre tes ressources Terraform et l'infrastructure réelle.
- Si aucun backend n'est spécifié, il utilise le backend local par défaut (le fichier terraform.tfstate est stocké dans le même répertoire).
- Si un backend distant est configuré (comme S3, Azure Blob Storage, Terraform Cloud, etc.), init vérifie la configuration et établit la connexion.
Téléchargement des Fournisseurs (Providers) :
- Terraform analyse tes fichiers de configuration (.tf) pour identifier tous les fournisseurs requis, déclarés dans les blocs required_providers (comme numspot/numspot ou siderolabs/talos dans tes exemples).
- Il se connecte au Registre Terraform (ou à une autre source spécifiée) pour trouver et télécharger le code exécutable (le plugin) de chaque fournisseur nécessaire, en respectant les contraintes de version que vous avez spécifiées (version = ">= 1.0").
- Ces plugins sont stockés localement dans un sous-répertoire caché nommé .terraform/providers. C'est ce code qui permet à Terraform de communiquer avec les API des différents services (NumSpot, Talos, AWS, etc.).
Installation des Modules :
- Si ta configuration utilise des modules (référencés via des blocs module), terraform init va les télécharger ou les copier.
- Les modules peuvent provenir de différentes sources :
  - Registre Terraform
  - Dépôts Git (comme GitHub)
  - Chemins locaux sur ton disque dur
  - Archives HTTP
  - Buckets S3, GCS...
- Les modules téléchargés sont également stockés dans le répertoire .terraform/modules.
Initialisation des Modules Enfants :
- Si les modules que vous utilisez contiennent eux-mêmes des blocs required_providers ou référencent d'autres modules, terraform init s'occupe de ces dépendances de manière récursive.

Quand faut-il exécuter terraform init ?

La première fois que vous clonez ou crées une configuration Terraform.
Chaque fois que vous ajoutez ou supprimes un fournisseur.
Chaque fois que vous ajoutez ou supprimes un module.
Chaque fois que vous modifiez la configuration du backend.
Il est souvent sûr et recommandé de l'exécuter si vous n'êtes pas sûr de l'état de ton répertoire de travail.

C'est une commande idempotente, ce qui signifie que vous ouvez l'exécuter plusieurs fois sans effet négatif ; elle ne refera que ce qui est nécessaire.

3.2 Terraform apply

lancez la commande

terraform apply

La commande terraform apply est l'étape où vous concrétisez les changements décrits dans ta configuration Terraform. Après avoir potentiellement vérifié ce qui allait se passer avec terraform plan, terraform apply est la commande qui applique réellement ces changements à ton infrastructure réelle (sur NumSpot, Talos, etc.).

Voici ce que terraform apply fait en détail :

Lecture de la Configuration : Comme plan, il lit tous tes fichiers .tf dans le répertoire courant pour comprendre l'état désiré de ton infrastructure.
Lecture de l'État Existant : Il lit le fichier d'état (terraform.tfstate, qu'il soit local ou distant via un backend) pour savoir quelles ressources Terraform gère déjà et comment elles sont configurées selon la dernière exécution réussie.
Génération d'un Plan d'Exécution : Il compare l'état désiré (issu de ta configuration) avec l'état actuel (issu du fichier d'état et potentiellement en interrogeant les fournisseurs pour vérifier l'état réel des ressources). Sur la base de cette comparaison, il détermine les actions nécessaires :
- Créer de nouvelles ressources qui sont dans ta configuration mais pas dans l'état.
- Mettre à jour des ressources existantes dont la configuration a changé.
- Détruire des ressources qui sont dans l'état mais ne sont plus dans ta configuration.
Affichage du Plan et Demande de Confirmation :
- Terraform te montre le plan d'exécution qu'il vient de générer (exactement comme le ferait terraform plan). Il liste toutes les ressources qui seront créées, modifiées ou détruites, avec les détails des changements.
- Ensuite, il te demande explicitement de confirmer que vous souhaitez appliquer ce plan en tapant yes. C'est une étape de sécurité cruciale pour éviter des modifications accidentelles.
Exécution des Actions (si confirmé) :
- Si vous tapez yes, Terraform commence à exécuter les actions listées dans le plan, dans l'ordre correct en respectant les dépendances entre les ressources.
- Il communique avec les fournisseurs (NumSpot, Talos, etc.) via leurs API pour leur demander de créer, modifier ou supprimer les ressources réelles.
- Il affiche la progression de ces opérations en temps réel.
Mise à Jour du Fichier d'État :
- Au fur et à mesure que les opérations réussissent, Terraform met à jour le fichier d'état (terraform.tfstate) pour refléter le nouvel état de l'infrastructure. Par exemple, si une nouvelle VM est créée, son ID unique fourni par NumSpot sera enregistré dans le fichier d'état. Cette mise à jour est essentielle pour que les prochaines exécutions de Terraform sachent ce qui existe réellement.
Affichage des Sorties (Outputs) :
- Une fois toutes les actions terminées avec succès, Terraform affiche les valeurs des éventuelles sorties (output) que vous avez définies dans ta configuration (comme le chemin du kubeconfig ou l'IP du load balancer dans tes exemples).

C'est la commande principale pour gérer le cycle de vie de ton infrastructure avec Terraform.

Option importante : * terraform apply -auto-approve : Permet de sauter l'étape de confirmation manuelle (yes). À utiliser avec prudence, principalement dans des scripts d'automatisation (CI/CD) où un terraform plan a déjà été validé au préalable.

3.3 Utilisation du cluster

L'apply est très rapide, par contre, la configuration sous-jacente de Talos peut être assez longue.

Donc comment contrôler que tout va bien !

Dashboard Talos

Dans le répertoire numspot-talos vous avez ces fichiers

kubeconfig
talosconfig

Exécutez la commande :

talosctl --talosconfig numspot-talos/talosconfig dashboard -n 10.0.1.234 -e 10.0.1.234

Vous pouvez faire cela sur l'ensemble des nœuds du cluster

Accès à kubernetes

Rien de plus simple !

Exécutez la commande :

export KUBECONFIG=numspot-talos/kubeconfig

kubectl get nodes

kubectl get nodes
NAME                 STATUS   ROLES           AGE    VERSION
numspot-talos-cp-0   Ready    control-plane   3d1h   v1.32.0
numspot-talos-cp-1   Ready    control-plane   3d1h   v1.32.0
numspot-talos-cp-2   Ready    control-plane   3d1h   v1.32.0
worker-1             Ready    <none>          3d1h   v1.32.0
worker-2             Ready    <none>          3d1h   v1.32.0

Si vous souhaitez utiliser le cluster avec l'API publique de votre loadbalancer

Modifiez dans le kubeconfig server: https://10.0.1.230:6443 en server: https://nlb001-CXXXX.cloudgouv-eu-west-1.lbu.outscale.com:6443

Retrouvez l'URL dans le portail Numspot

Pour que ça fonctionne il faut patcher le healthcheck du loadbalancer pour faire un ping TCP sur le port 6443.

Créez un script update-lb.sh avec le contenu suivant :

#!/bin/bash

# Il faudra adapter si vous avez plusieurs LB
source auth.sh

LBID=$(curl -s 'https://api.cloudgouv-eu-west-1.numspot.com/compute/spaces/A MODIFIER/loadBalancers' \
  --request GET \
  --header 'Content-Type: application/json' \
  --header "Authorization: Bearer ${ACCESS_TOKEN}"  | jq -r '.items[0].name')


curl -s "https://api.cloudgouv-eu-west-1.numspot.com/compute/spaces/A MODIFIER/$LBID" \
  --request PUT \
  --header 'Content-Type: application/json' \
  --header "Authorization: Bearer ${ACCESS_TOKEN}" \
  --data '{
  "healthCheck": {
    "checkInterval": 10,
    "healthyThreshold": 3,
    "port": 6443,
    "protocol": "TCP",
    "timeout": 5,
    "unhealthyThreshold": 5
  }
}'

4. Améliorations

Plein de choses à prévoir !

Ce POC est un quick and dirty pour montrer qu'il est tout à fait possible de créer son propre cluster Talos sur Numspot.

Il faudrait retravailler les configurations Terraform pour variabiliser les différents ID passés "en dur" !

5. Conclusions

NumSpot continue de gagner en maturité, offrant des solutions cloud souveraines de plus en plus robustes et adaptées aux besoins des entreprises. La plateforme propose une interface web intuitive, le portail, qui permet de gérer les ressources cloud de manière centralisée et sécurisée.

Ce portail est conçu pour évoluer progressivement, intégrant de nouvelles fonctionnalités d'observabilité et de gestion des opérations afin de fournir une vue unifiée des services déployés.

Par ailleurs, NumSpot adopte une approche « Infrastructure as Code » (IaC), offrant des interfaces standardisées compatibles avec des outils du marché tels que Terraform.

Cette compatibilité permet aux ingénieurs de définir et de gérer l'infrastructure informatique à l'aide de fichiers de script ou de code, facilitant ainsi l'automatisation des actions sur le cloud

Cependant, bien que ces avancées soient prometteuses, il est important de noter que le portail et le provider Terraform de NumSpot nécessitent encore des enrichissements pour exploiter pleinement toutes les fonctionnalités de l'API.

Maîtriser l'Affinité et l'Anti-Affinité Pod/Node

2025-04-02T10:00:00+02:00

Kubernetes : Maîtriser l'Affinité et l'Anti-Affinité Pod/Node

Kubernetes est un formidable orchestrateur, mais par défaut, son scheduler place les pods là où il y a des ressources disponibles, sans forcément prendre en compte des contraintes plus fines.

C'est là qu'interviennent les mécanismes d'Affinité et d'Anti-Affinité, des outils puissants pour influencer la décision du scheduler et placer vos pods de manière plus intelligente.

Dans cet article, nous allons démystifier ces concepts, en expliquant simplement comment ils fonctionnent au niveau des Nœuds (Nodes) et des Pods, avec des exemples concrets et des cas d'usage.

Pourquoi aller au-delà du Scheduling par Défaut ?

Le scheduler de Kubernetes fait un bon travail pour répartir la charge, mais parfois, vous avez besoin de plus :

Performance : Placer un pod applicatif près de sa base de données ou de son cache pour réduire la latence réseau.
Haute Disponibilité (HA) : S'assurer que les réplikas d'une application critique ne tournent pas tous sur la même machine physique (ou dans la même zone de disponibilité) pour éviter un point unique de défaillance (SPOF).
Contraintes Matérielles/Logicielles : Forcer un pod à tourner sur un nœud disposant d'un matériel spécifique (GPU, SSD rapide) ou d'une licence particulière.
Isolation : Éviter que des pods très consommateurs en ressources ne se retrouvent sur le même nœud et ne s'impactent mutuellement.
Réglementation/Localisation : Contraindre des pods à s'exécuter dans une région géographique spécifique.

C'est pour répondre à ces besoins que l'Affinité et l'Anti-Affinité existent.

Comprendre les Concepts Clés

Affinité (Affinity) : Règle qui attire des pods vers certaines cibles (nœuds ou autres pods). "Je veux tourner ici, ou près de ce pod."
Anti-Affinité (Anti-Affinity) : Règle qui repousse des pods de certaines cibles. "Je ne veux pas tourner ici, ou près de ce pod."
Niveau Node : Les règles concernent les caractéristiques des nœuds (labels).
Niveau Pod : Les règles concernent la présence d'autres pods sur les nœuds.
Labels & Selectors : Le cœur du système. Les nœuds et les pods sont identifiés par des labels (paires clé/valeur), et les règles d'affinité/anti-affinité utilisent des selectors pour cibler ces labels.
topologyKey : Utilisé pour l'affinité/anti-affinité de pods. Définit le "domaine" de la règle : est-ce que les pods doivent être sur le même nœud (kubernetes.io/hostname), dans la même zone (topology.kubernetes.io/zone), ou dans la même région (topology.kubernetes.io/region) ?
Types de Règles :
- requiredDuringSchedulingIgnoredDuringExecution : Règle stricte. Le pod ne sera pas schedulé si la règle ne peut être satisfaite. Si les conditions changent après le scheduling (ex: label de nœud modifié), le pod continue de tourner (IgnoredDuringExecution). C'est la plus courante.
- preferredDuringSchedulingIgnoredDuringExecution : Règle préférentielle (soft). Le scheduler essaiera de satisfaire la règle, mais placera le pod ailleurs si ce n'est pas possible. Un poids (weight, entre 1 et 100) permet de prioriser plusieurs règles préférentielles.

(Note : Il existe aussi requiredDuringSchedulingRequiredDuringExecution, mais il est moins courant et peut causer des évictions de pods si les conditions changent, ce qui peut être perturbateur).

1. Affinité de Nœud (Node Affinity)

Objectif : Attirer un pod vers des nœuds ayant des caractéristiques spécifiques (labels).

Syntaxe : Se configure dans le spec.affinity.nodeAffinity du Pod.

apiVersion: v1
kind: Pod
metadata:
  name: mon-pod-rapide
spec:
  affinity:
    nodeAffinity:
      # Règle STRICTE
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: disktype # Le label du nœud
            operator: In   # L'opérateur (In, NotIn, Exists, DoesNotExist, Gt, Lt)
            values:
            - ssd       # La valeur recherchée
      # Règle PRÉFÉRENTIELLE
      preferredDuringSchedulingIgnoredDuringExecution:
      - weight: 50       # Poids de la préférence (1-100)
        preference:
          matchExpressions:
          - key: topology.kubernetes.io/zone
            operator: In
            values:
            - eu-west-1a # Préfère cette zone
      - weight: 30
        preference:
          matchExpressions:
          - key: topology.kubernetes.io/zone
            operator: In
            values:
            - eu-west-1b # Sinon, préfère celle-ci
  containers:
  - name: mon-conteneur
    image: nginx

Explication des Exemples :

required... : Ce pod doit être placé sur un nœud ayant le label disktype=ssd. Si aucun nœud ne correspond, le pod restera en attente (Pending).
preferred... : Le scheduler préférera (avec un poids de 50) placer le pod sur un nœud dans la zone eu-west-1a. S'il ne peut pas, il essaiera (avec un poids de 30) la zone eu-west-1b. S'il ne peut toujours pas, il le placera sur n'importe quel autre nœud disponible répondant à la règle required.

Schéma Conceptuel :

 Pod (veut disktype=ssd)   ─────►   Node 1 (disktype=ssd)  [OK]
                              │
                              └─X──►   Node 2 (disktype=hdd)  [Ignoré par 'required']

 Pod (préfère zone=a)      ───(Poids 50)───► Node 3 (zone=a) [Choix préféré]
                              │
                              ───(Poids 30)───► Node 4 (zone=b) [Second choix]
                              │
                              ───(Poids 0)────► Node 5 (zone=c) [Dernier recours]

Cas d'Usage :

Placer des pods nécessitant des I/O rapides sur des nœuds avec SSD (disktype=ssd).
Placer des pods nécessitant des GPU sur des nœuds équipés (hardware=gpu-tesla-v100).
Contraindre des pods à une zone ou région spécifique pour des raisons de latence ou de conformité (topology.kubernetes.io/zone=us-east-1).
Utiliser des nœuds avec des licences logicielles spécifiques.

2. Anti-Affinité de Nœud (Node Anti-Affinity)

Objectif : Empêcher un pod d'être schedulé sur des nœuds ayant certaines caractéristiques.

Note importante : Il n'existe pas de section nodeAntiAffinity dédiée. L'anti-affinité de nœud est réalisée en utilisant nodeAffinity avec les opérateurs NotIn ou DoesNotExist.

Syntaxe : Toujours dans spec.affinity.nodeAffinity.

apiVersion: v1
kind: Pod
metadata:
  name: pod-sans-gpu
spec:
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: hardware # Le label du nœud
            operator: DoesNotExist # Ne doit PAS avoir ce label
        - matchExpressions:
          - key: gpu-type # Ou, si le label existe...
            operator: NotIn # Sa valeur ne doit PAS être celles-ci
            values:
            - nvidia-a100
            - nvidia-v100
      preferredDuringSchedulingIgnoredDuringExecution:
      - weight: 80
        preference:
          matchExpressions:
          - key: maintenance # Label indiquant une maintenance prévue
            operator: DoesNotExist # Préfère éviter les nœuds en maintenance
  containers:
  - name: mon-conteneur
    image: busybox
    command: ["sleep", "3600"]

Explication des Exemples :

required... : Ce pod ne doit pas être placé sur un nœud ayant le label hardware (quelque soit sa valeur) OU sur un nœud dont le label gpu-type a la valeur nvidia-a100 ou nvidia-v100. Utile si le pod n'a pas besoin de GPU et que vous voulez réserver ces nœuds coûteux.
preferred... : Le scheduler évitera (avec un poids élevé de 80) de placer le pod sur des nœuds ayant le label maintenance. S'il ne trouve que des nœuds avec ce label (et qui satisfont la règle required), il le placera quand même là.

Schéma Conceptuel :

 Pod (ne veut pas gpu=nvidia) ───X──► Node 1 (gpu-type=nvidia-a100) [Rejeté par 'required']
                              │
                              └───►   Node 2 (pas de label gpu)   [OK]


 Pod (préfère éviter maintenance=true) ───(Poids 80 Éviter)───► Node 3 (maintenance=true) [Choix évité si possible]
                                     │
                                     ───(Poids 0)──────────► Node 4 (pas de label maintenance) [Choix préféré]

Cas d'Usage :

Éviter de placer des pods "normaux" sur des nœuds coûteux (GPU, grosse mémoire) réservés à des tâches spécifiques.
Éviter des nœuds marqués pour maintenance (maintenance=true).
Éviter des nœuds avec une architecture CPU spécifique si l'application n'est pas compatible (kubernetes.io/arch != arm64).

3. Affinité de Pod (Pod Affinity)

Objectif : Attirer un pod vers des nœuds où d'autres pods (correspondant à certains labels) sont déjà en cours d'exécution. Idéal pour la co-localisation.

Syntaxe : Se configure dans le spec.affinity.podAffinity du Pod. Nécessite un topologyKey.

apiVersion: v1
kind: Pod
metadata:
  name: web-server
  labels:
    app: frontend # Label pour être ciblé par d'autres
spec:
  affinity:
    podAffinity:
      # Règle STRICTE
      requiredDuringSchedulingIgnoredDuringExecution:
      - labelSelector:
          matchExpressions:
          - key: app         # Cherche des pods avec ce label...
            operator: In
            values:
            - cache         # ...et cette valeur (le pod cache)
        topologyKey: kubernetes.io/hostname # Doit être sur le MÊME NŒUD
      # Règle PRÉFÉRENTIELLE
      preferredDuringSchedulingIgnoredDuringExecution:
      - weight: 70
        podAffinityTerm:
          labelSelector:
            matchExpressions:
            - key: app
              operator: In
              values:
              - api-gateway
          topologyKey: topology.kubernetes.io/zone # Préfère être dans la MÊME ZONE que l'API Gateway
  containers:
  - name: web-container
    image: nginx

Explication des Exemples :

required... : Ce pod web-server doit être schedulé sur un nœud (topologyKey: kubernetes.io/hostname) où au moins un pod ayant le label app=cache est déjà en cours d'exécution. Si aucun nœud ne remplit cette condition, le pod restera Pending.
preferred... : Le scheduler préférera (poids 70) placer ce pod dans la même zone de disponibilité (topologyKey: topology.kubernetes.io/zone) qu'un pod ayant le label app=api-gateway.

Schéma Conceptuel :

 Pod Web (veut app=cache, même nœud)   ─────► Node 1 (contient Pod Cache (app=cache)) [OK]
                                       │
                                       └─X──► Node 2 (pas de Pod Cache)         [Ignoré par 'required']


 Pod Web (préfère app=api, même zone) ───(Poids 70)───► Node 3 (Zone A, contient Pod API (app=api)) [Choix préféré]
                                      │
                                      ───(Poids 0)────► Node 4 (Zone B, pas de Pod API)      [Moins préféré]

Cas d'Usage :

Performance : Placer un serveur web (app=frontend) sur le même nœud (topologyKey: kubernetes.io/hostname) qu'un cache en mémoire (app=cache) pour une latence minimale.
Localité des données : Placer des pods de traitement analytique (app=analytics) dans la même zone (topologyKey: topology.kubernetes.io/zone) que les pods de base de données (app=database) qu'ils interrogent fréquemment.
Regrouper des microservices très communicants.

4. Anti-Affinité de Pod (Pod Anti-Affinity)

Objectif : Empêcher un pod d'être schedulé sur des nœuds où d'autres pods (correspondant à certains labels) sont déjà en cours d'exécution. Idéal pour la haute disponibilité et l'isolation.

Syntaxe : Se configure dans le spec.affinity.podAntiAffinity du Pod. Nécessite aussi un topologyKey.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: ma-db-ha
spec:
  replicas: 3
  selector:
    matchLabels:
      app: database # Important pour que l'anti-affinité se cible elle-même
  template: # Le template du Pod
    metadata:
      labels:
        app: database # Le label que l'anti-affinité va rechercher
    spec:
      affinity:
        podAntiAffinity:
          # Règle STRICTE pour la Haute Disponibilité
          requiredDuringSchedulingIgnoredDuringExecution:
          - labelSelector:
              matchExpressions:
              - key: app           # Cherche des pods avec ce label...
                operator: In
                values:
                - database       # ...et cette valeur (les autres réplikas de moi-même)
            topologyKey: kubernetes.io/hostname # NE PAS être sur le MÊME NŒUD
          # Règle PRÉFÉRENTIELLE pour encore plus de résilience
          preferredDuringSchedulingIgnoredDuringExecution:
          - weight: 100
            podAffinityTerm:
              labelSelector:
                matchExpressions:
                - key: app
                  operator: In
                  values:
                  - database
              topologyKey: topology.kubernetes.io/zone # Préfère NE PAS être dans la MÊME ZONE
      containers:
      - name: db-container
        image: postgres:15

Explication des Exemples :

required... : Chaque nouveau pod de ce Deployment (app=database) ne doit pas être placé sur un nœud (topologyKey: kubernetes.io/hostname) où un autre pod avec le label app=database est déjà présent. Cela garantit que les 3 réplikas seront sur 3 nœuds distincts (si possible).
preferred... : De plus, le scheduler tentera fortement (poids 100) d'éviter de placer les réplikas dans la même zone de disponibilité (topologyKey: topology.kubernetes.io/zone). Si vous avez assez de nœuds répartis sur plusieurs zones, cela augmente encore la résilience. Si tous les nœuds disponibles sont dans la même zone, cette règle "soft" sera ignorée, mais la règle "hard" sur les nœuds sera toujours respectée.

Schéma Conceptuel :

 Pod DB Replica 1 ────► Node 1 (Zone A)

 Pod DB Replica 2 ───X──► Node 1 (déjà un Pod DB)
                  │
                  └───► Node 2 (Zone A) [OK pour 'required', mais pas idéal pour 'preferred']


 Pod DB Replica 3 ───X──► Node 1 (déjà un Pod DB)
                  │
                  ───X──► Node 2 (déjà un Pod DB)
                  │
                  └───► Node 3 (Zone B) [OK pour 'required', et OK pour 'preferred']

Cas d'Usage :

Haute Disponibilité : Assurer que les réplikas d'une application stateful (ex: base de données, etcd) sont répartis sur différents nœuds physiques (topologyKey: kubernetes.io/hostname) ou même différentes zones/régions (topologyKey: topology.kubernetes.io/zone) pour survivre à une panne matérielle ou de zone. C'est le cas d'usage le plus fréquent.
Isolation des Ressources : Éviter que plusieurs instances d'un pod très gourmand en CPU ou mémoire ne tournent sur le même nœud et ne se concurrencent (`topologyKey:
Sécurité : Répartir les composants d'une application pour limiter l'impact d'une compromission d'un nœud.

Bonnes Pratiques et Points d'Attention

Simplicité : N'abusez pas des règles complexes. Trop de contraintes peuvent rendre le scheduling difficile, voire impossible.
Labels Cohérents : La puissance de ces mécanismes repose sur une stratégie de labeling claire et cohérente pour vos nœuds et vos pods.
Choix du topologyKey : Réfléchissez bien au domaine d'application de vos règles de Pod (Anti-)Affinity (hostname, zone, region, ou même des labels custom sur vos nœuds).
IgnoredDuringExecution : Rappelez-vous que ces règles sont évaluées au moment du scheduling. Si les conditions changent après (un label de nœud est retiré, un pod co-localisé est supprimé), le pod ne sera pas automatiquement déplacé ou supprimé (sauf si vous utilisez les règles RequiredDuringExecution, moins courantes).
Performance du Scheduler : Des règles d'anti-affinité complexes sur un grand nombre de pods peuvent ralentir le scheduler. Utilisez-les judicieusement.
Combinaison : Vous pouvez combiner plusieurs types d'affinité (node, pod, anti-affinité) dans un même Pod spec pour des scénarios avancés.

Conclusion

L'Affinité et l'Anti-Affinité Node/Pod sont des outils essentiels dans la boîte à outils de tout administrateur ou développeur Kubernetes souhaitant optimiser le placement de ses charges de travail.

En maîtrisant les règles required et preferred, les labelSelectors et les topologyKeys, vous pouvez aller bien au-delà du scheduling par défaut pour améliorer la performance, la résilience et l'efficacité de vos applications conteneurisées.

Kubernetes 1.33

2025-03-31T10:00:00+02:00

Kubernetes 1.33 : Nouveautés Réseau, Sécurité et Expérience Admin

Introduction

Kubernetes 1.33 doit sortir le Mercredi 23 avril 2025

Kubernetes continue son évolution rapide avec la sortie de la version 1.33.

Cette nouvelle itération apporte son lot de fonctionnalités graduées vers la stabilité (GA), de nouvelles capacités en bêta et alpha, ainsi que des améliorations de performance et de sécurité notables.

Voici les points les plus importants:

Kubernetes 1.33 stabilise les Sidecars, le proxy nftables et l'API ServiceCIDR.
L'API v1 Endpoints est dépréciée, les fournisseurs cloud intégrés sont retirés.
Sécurité et performances renforcées incluses.

Explorons les autres points forts de cette version.

Kubernetes 1.33 : Points les plus structurants

Dépréciation Officielle de l'API v1 Endpoints:
- Impact: Très élevé. Bien que l'API ne soit pas supprimée immédiatement, c'est un signal fort pour migrer impérativement vers l'API EndpointSlice. Toutes les nouvelles fonctionnalités et optimisations réseau se concentreront sur EndpointSlice. Les utilisateurs et les outils doivent planifier cette transition.
- (Introduit dans v1.33.0-alpha.3)
Suppression Finale des Flags Cloud Provider In-Tree (--cloud-provider, --cloud-config):
- Impact: Très élevé pour ceux qui n'ont pas encore migré. Cela marque la fin de l'intégration directe des fournisseurs de cloud dans les composants principaux comme kube-apiserver. Il est obligatoire d'utiliser les fournisseurs de cloud externes (out-of-tree).
- (Introduit dans v1.33.0-alpha.3)
Gestion des CIDR de Service via l'API (MultiCIDRServiceAllocator GA):
- Impact: Élevé pour les administrateurs et les distributions Kubernetes. La configuration des plages d'IP pour les services passe des flags de ligne de commande à un objet API (ServiceCIDR). Cela offre plus de flexibilité (multi-CIDR) mais nécessite une nouvelle façon de gérer et de valider ces plages (potentiellement via ValidatingAdmissionPolicy).
- (Introduit dans v1.33.0-alpha.1)
Conteneurs Sidecar (SidecarContainers) en GA:
- Impact: Élevé pour les développeurs d'applications. Cette fonctionnalité change la sémantique des conteneurs init avec restartPolicy: Always. Elle stabilise la manière native de gérer les sidecars, simplifiant les déploiements qui en dépendent fortement.
- (Introduit dans v1.33.0-alpha.1)
Mode nftables pour Kube-proxy en GA:
- Impact: Élevé pour les performances et l'administration réseau. Offre une alternative stable et potentiellement plus performante au mode iptables par défaut. Les administrateurs peuvent désormais l'adopter en production en toute confiance.
- (Introduit dans v1.33.0-alpha.2)
Liaison des Tokens de Service Account au Nœud (ServiceAccountTokenNodeBinding) en GA et Verrouillée:
- Impact: Élevé (Sécurité). Cette fonctionnalité de sécurité, qui empêche l'utilisation abusive de tokens de service account volés sur d'autres nœuds, est désormais toujours activée et non désactivable. Cela renforce la sécurité par défaut.
- (Introduit dans v1.33.0-alpha.1)
Changement de Comportement du CPU Manager (Static Policy & CFS Quota):
- Impact: Potentiellement élevé pour les workloads sensibles aux performances CPU. Le fait de ne plus appliquer de quota CFS aux conteneurs avec des CPUs exclusifs (policy static) change un comportement établi de longue date. Bien que probablement plus correct, cela pourrait causer des régressions pour certains. Une feature gate (DisableCPUQuotaWithExclusiveCPUs) permet de revenir à l'ancien comportement si nécessaire.
- (Introduit dans v1.33.0-alpha.2)
Validation et Avertissements pour les IP/CIDR Non Standards:
- Impact: Moyen à élevé (Compatibilité future). L'API server émettra des avertissements pour les formats non canoniques (ex: 192.168.000.1). C'est un précurseur d'une application plus stricte dans les futures versions, incitant les utilisateurs à nettoyer leurs configurations et manifests.
- (Introduit dans v1.33.0-beta.0)

Ces points représentent les changements les plus structurants, nécessitant une attention particulière lors de la planification de la mise à niveau vers Kubernetes 1.33, que ce soit en termes d'action requise, de changement de comportement fondamental ou de stabilisation majeure d'une fonctionnalité clé.

Kuberenetes 1.33 : Détail complet des changements

Graduations vers la Stabilité (GA)

Plusieurs fonctionnalités importantes atteignent la disponibilité générale (GA) dans la v1.33, signifiant qu'elles sont considérées comme stables et prêtes pour la production :

Sidecar Containers (SidecarContainers): La gestion native des conteneurs sidecar est désormais stable. Cette fonctionnalité simplifie la gestion du cycle de vie des conteneurs auxiliaires qui doivent démarrer avant les conteneurs principaux d'un pod et rester actifs pendant toute la durée de vie du pod. (Initialement dans v1.33.0-alpha.1, confirmé GA)
Montages Récursifs en Lecture Seule (RecursiveReadOnlyMounts): La possibilité de monter des volumes en lecture seule de manière récursive est maintenant GA, améliorant la sécurité en empêchant les écritures accidentelles dans les sous-répertoires des volumes montés. (v1.33.0-alpha.3)
Politique de Récupération des PV (HonorPVReclaimPolicy): Le respect de la politique de récupération ( Retain, Delete, Recycle) définie sur un PersistentVolume (PV) lors de la suppression de la PersistentVolumeClaim (PVC) associée est maintenant stable. (v1.33.0-alpha.3)
Source de Données pour Volumes (AnyVolumeDataSource): La capacité d'utiliser n'importe quelle ressource API comme source de données pour provisionner un volume via une PVC est désormais GA, offrant plus de flexibilité pour la création de volumes pré-remplis. (v1.33.0-alpha.3)
Validation des CRD avec Ratcheting (CRDValidationRatcheting): Cette fonctionnalité, qui permet des mises à jour d'objets personnalisés même si l'objet existant n'est pas valide selon les nouvelles règles de validation (tant que la mise à jour ne rend pas l'objet plus invalide), est désormais stable. (v1.33.0-alpha.3)
Limite de Backoff par Index pour les Jobs (JobBackoffLimitPerIndex): La configuration fine du nombre de tentatives par index pour les Jobs indexés est maintenant stable. (v1.33.0-alpha.3)
Mode nftables pour Kube-proxy: Le backend nftables pour kube-proxy passe en GA. Bien que iptables reste le mode par défaut, nftables offre une alternative potentiellement plus performante et flexible. (v1.33.0-alpha.2)
Liaison des Tokens de Service Account au Nœud (ServiceAccountTokenNodeBinding): Cette fonctionnalité de sécurité, qui lie les tokens de service account éphémères au nœud qui les demande, est désormais GA et activée par défaut. (v1.33.0-alpha.1)
Migration CSI pour Portworx (CSIMigrationPortworx): La migration automatique des volumes in-tree Portworx vers le driver CSI correspondant est stable. Assurez-vous que le driver CSI Portworx est installé avant la mise à niveau. (v1.33.0-alpha.1)
Flag --subresource pour Kubectl: La possibilité de cibler des sous-ressources (comme status ou scale) via kubectl patch, edit, etc., est maintenant stable. (v1.33.0-alpha.3)
Cache de Watch basé sur B-tree (BtreeWatchCache): Cette optimisation interne du cache de l'API server est désormais GA. (v1.33.0-alpha.2)
Allocation Multi-CIDR pour les Services (MultiCIDRServiceAllocator): Permet de définir plusieurs plages CIDR pour les Services ClusterIP, améliorant la flexibilité de l'adressage IP. (v1.33.0-alpha.1)

Fonctionnalités Promues en Bêta

Des fonctionnalités prometteuses passent en bêta, se rapprochant de la stabilité :

Validation Assouplie des Domaines de Recherche DNS (RelaxedDNSSearchValidation): Autorise désormais les domaines de recherche DNS contenant un simple point (.) ou un underscore (_), activé par défaut. (v1.33.0-alpha.3)
Autorisation Fine du Kubelet (KubeletFineGrainedAuthz): Permet un contrôle d'accès plus granulaire pour les endpoints de l'API du Kubelet, activé par défaut. (v1.33.0-alpha.1)
Mode Local pour le Kubelet du Control Plane (kubeadm) (ControlPlaneKubeletLocalMode): Kubeadm configure désormais par défaut le kubelet des nœuds master pour communiquer directement avec l'API server local, améliorant la résilience. (v1.33.0-alpha.2, v1.33.0-alpha.1)
Attente de Tous les Composants du Control Plane (kubeadm) (WaitForAllControlPlaneComponents): Kubeadm vérifie la santé des composants du control plane en utilisant les adresses et ports configurés dans leurs manifestes statiques. (v1.33.0-alpha.1)
Désactivation de l'Écriture Double pour l'Allocateur de Service CIDR (DisableAllocatorDualWrite): Désactivé par défaut, ce flag prépare la suppression de l'ancienne méthode d'écriture du CIDR de service via les arguments de l'API server. (v1.33.0-alpha.1)

Nouvelles Fonctionnalités Alpha et Améliorations Clés

La version 1.33 introduit également de nouvelles capacités expérimentales et des améliorations significatives :

API Server & Core:
- Suivi de Génération Observée pour les Pods (PodObservedGenerationTracking): Le Kubelet remplit status.observedGeneration pour indiquer la dernière metadata.generation du Pod qu'il a prise en compte (Alpha). (v1.33.0-beta.0)
- Validation et Canonicalisation des IP/CIDR: Des avertissements sont émis pour les formats IP/CIDR non standards (ex: zéros non significatifs), et les composants écrivent désormais ces valeurs sous forme canonique. (v1.33.0-beta.0, v1.33.0-alpha.3, v1.33.0-alpha.1)
- Encodage JSON en Streaming pour les Listes (StreamingJSONListEncoding): Réduit drastiquement l'utilisation mémoire de l'API server lors du renvoi de grandes listes en JSON (Alpha, activé par défaut). (v1.33.0-alpha.3)
- Namespace Ordonné (OrderedNamespaceDeletion): Nouvelle feature gate (Alpha, désactivée par défaut) qui supprime d'abord les pods lors de la suppression d'un namespace pour renforcer la sécurité. (v1.33.0-beta.0, v1.33.0-alpha.3)
- Métriques et Observabilité: Introduction d'une métrique de "digest" pour comparer le contenu d'etcd et du cache (apiserver_storage_digest), ajout d'annotations de latence d'authentification/autorisation aux logs d'audit, et ajout d'endpoints /statusz pour kube-scheduler et kube-controller-manager. (v1.33.0-beta.0, v1.33.0-alpha.3, v1.33.0-alpha.2)
Node & Kubelet:
- Mise à l'échelle Verticale In-Place (InPlacePodVerticalScaling): Améliorations continues, notamment la gestion des sidecars et des politiques de redimensionnement mémoire. (v1.33.0-beta.0, v1.33.0-alpha.3, v1.33.0-alpha.2)
- CPU Manager Static Policy: Possibilité de désactiver le quota CFS pour les conteneurs avec des CPUs exclusifs via la feature gate DisableCPUQuotaWithExclusiveCPUs (Alpha, activé par défaut). (v1.33.0-alpha.2)
Scheduling:
- Exposition de NodeInfo: Le NodeInfo complet est exposé aux plugins de Score pour des décisions plus fines. (v1.33.0-beta.0)
- Améliorations de Performance: Calculs de ressources de pods mis en cache et amélioration pour les contraintes de topologie requises. (v1.33.0-alpha.1)
Réseau (Kube-proxy):
- Améliorations nftables: Outre la GA, des améliorations de logging pour le débuggage. (v1.33.0-alpha.1)
- Observabilité: Endpoints /flagz, /statusz, et métriques/health checks enrichis avec l'information de famille IP. Métriques pour le suivi de la réconciliation conntrack. (v1.33.0-alpha.2, v1.33.0-alpha.1)
- Correction de Bugs: Résolution d'une fuite mémoire potentielle et d'une consommation CPU excessive avec les services UDP et IP externes/LB. (v1.33.0-alpha.3, v1.33.0-alpha.2)
Stockage:
- Suivi de Progression: Le changement de permissions/propriétaire des volumes indique désormais sa progression. (v1.33.0-alpha.3)
- Tests E2E: Ajout de tests pour les snapshots de groupes de volumes. (v1.33.0-alpha.1)
Sécurité:
- Restriction d'Audience pour les Nœuds: Configuration dynamique de l'audience/nom de compte de service demandée par le kubelet (Alpha). (v1.33.0-beta.0)
- UID Utilisateur depuis Certificat: Possibilité d'extraire l'UID utilisateur depuis un OID spécifique dans le sujet d'un certificat client (Bêta). (v1.33.0-alpha.1)
Allocation Dynamique de Ressources (DRA):
- Critères Priorisés: Support d'une liste ordonnée de critères de sélection pour satisfaire une demande de ressource. (v1.33.0-beta.0)
- Limite de Pods Augmentée: Un ResourceClaim peut maintenant être réservé pour 256 pods (contre 32). (v1.33.0-alpha.1)
CLI (kubectl):
- Fichier kuberc: Support alpha pour personnaliser le comportement de kubectl via un fichier kuberc distinct du kubeconfig. (v1.33.0-alpha.2)
- kubectl autoscale: Utilise désormais l'API autoscaling/v2 par défaut. (v1.33.0-alpha.1)
Kubeadm: Nombreuses améliorations sur les pré-vérifications, la gestion des feature gates (ControlPlaneKubeletLocalMode, WaitForAllControlPlaneComponents), les messages d'erreur, et la gestion des mises à niveau. (Multiples PRs)

Dépréciations et Suppressions Notables

L'API v1 Endpoints est officiellement dépréciée. Il est fortement recommandé d'utiliser l'API EndpointSlice à la place. L'API Endpoints ne sera pas supprimée mais n'est plus la méthode privilégiée. (v1.33.0-alpha.3)
Les feature gates AppArmor, AppArmorFields, JobPodFailurePolicy, PDBUnhealthyPodEvictionPolicy, KubeProxyDrainingTerminatingNodes et ServiceAccountTokenNodeBinding ont été supprimées car elles étaient déjà GA et activées par défaut.
Les feature gates StorageNamespaceIndex et SeparateCacheWatchRPC sont dépréciées et désactivées/non activables. (v1.33.0-alpha.2)
Les flags CLI --cloud-provider et --cloud-config de l'API Server sont supprimés, ainsi que les feature gates associées (DisableCloudProviders, DisableKubeletCloudCredentialProviders). (v1.33.0-alpha.3)

Conclusion

Kubernetes 1.33 continue de renforcer la plateforme en stabilisant des fonctionnalités clés (Sidecars, RRO Mounts, nftables proxy, Multi-CIDR Services) tout en introduisant des améliorations significatives en termes de performance, de sécurité et d'opérabilité. Les avancées dans le scheduling, l'allocation dynamique de ressources et la gestion in-place des pods ouvrent de nouvelles perspectives. Comme toujours, il est recommandé de consulter les notes de version complètes ([lien vers les notes officielles si disponible]) avant de mettre à niveau et de tester attentivement les nouvelles fonctionnalités, en particulier celles en Alpha et Bêta.

Kubernetes et ses Ressources

2025-03-27T10:00:00+01:00

Kubernetes et ses Ressources : Confessions d'un Kubelet au bord de la crise de nerfs

Introduction : Le grand malentendu cosmique des millicores

Ah, Kubernetes. Notre sauveur, notre plateforme rutilante, notre promesse d'un monde où les déploiements se font en musique et où les conteneurs gambadent joyeusement dans des prés de Nodes verdoyants. Et puis... il y a la gestion des ressources. Les fameux requests et limits. C'est là que le rêve DevOps rencontre la dure réalité, un peu comme quand on commande un plat magnifique sur Instagram et qu'on reçoit une bouillie triste dans une barquette en alu.

Avouons-le, expliquer les requests et limits à un nouveau venu, c'est comme essayer d'expliquer la règle du hors-jeu avec des marionnettes : ça semble simple en théorie, mais ça finit toujours en chaos et en pleurs.

Chapitre 1 : Les `Requests` - La liste au Père Noël (ou au kube-scheduler)

Imaginez votre conteneur comme un enfant un peu capricieux avant son anniversaire. Le request, c'est sa liste de souhaits :

"Je VEUX au moins 100 millicores de CPU pour pouvoir... euh... afficher 'Hello World' de manière très optimisée."
"Et il me FAUT absolument 128Mi de RAM, sinon mes variables vont se sentir à l'étroit et faire une dépression."

Le kube-scheduler, ce grand organisateur bienveillant mais un peu débordé (pensez à un animateur de colo avec 300 gamins hyperactifs), regarde cette liste. Il parcourt ses Nodes disponibles, en marmonnant : "Voyons voir... Tatie Node-01 a encore de la place à côté du conteneur Nginx qui ronfle... Oui, ça devrait passer. Allez hop, casé !"

Voix tremblante d'un Kubelet Anonyme (Kubelet-7b3f sur Node-Stresstest-04) :
"L'autre jour, le Scheduler m'a refilé un Pod qui demandait '10m' de CPU. Dix ! 
Pour une application qui, je le jure, essayait de calculer Pi jusqu'à la dernière décimale. 
Je l'ai vu venir gros comme une maison que ça allait mal finir. 
Mais bon, le request était satisfait, alors j'ai dû le prendre..."

Le request, c'est la promesse minimum garantie. C'est le siège réservé dans le train Kube. Si le Node ne peut même pas garantir ce minimum vital, votre Pod restera sur le quai, regardant les autres partir vers la gloire (ou vers une boucle infinie, on sait jamais).

Le drame des requests mal calibrées :

Trop basses : Votre Pod se retrouve sur un Node déjà bondé, partageant son CPU avec un voisin bruyant qui compile le noyau Linux en boucle. Résultat : votre application rame comme un galérien sous Prozac.
Trop hautes : Votre Pod devient une diva insupportable. "QUOI ? Pas de Node avec 8 coeurs dédiés juste pour mon script batch qui tourne 5 minutes par jour ? Scandaleux ! Je refuse de démarrer." Et il boude en état Pending pendant des heures.

Chapitre 2 : Les `Limits` - La Laisse Électronique (et parfois mortelle)

Ah, les limits. Si le request était la liste au Père Noël, le limit c'est le budget réel que Papa Maman Kubelet vous accorde. C'est la dure réalité après les rêves de grandeur.

"Ok, tu as demandé 100m de CPU, mais écoute coco, tu n'auras JAMAIS PLUS que 500m. Si tu dépasses, on va commencer à te ralentir TRES fort." (C'est le CPU Throttling, l'équivalent de devoir courir un 100m dans de la mélasse).

Confession d'un Kubelet Blasé (Kubelet-c4f8 sur Node-Production-Critical-66) :
"Regarder un Pod taper son limit CPU et commencer à se faire throttler... 
C'est mon petit plaisir coupable.
Ça rame, ça supplie, ça envoie des signaux de détresse dans les logs... 
et moi je suis là, imperturbable : 'Désolé mon grand, la limite, c'est la limite. 
Fallait pas être si gourmand.'"

"Et pour la RAM, tu voulais 128Mi ? Adorable. Mais si tu oses toucher à 1 Mi de plus que tes 256Mi de limit, pouf, tu disparais." (Ça, mes amis, c'est le célèbre et redouté OOMKiller, l'ange exterminateur de Kubernetes, aussi subtil qu'un coup de bazooka pour écraser une mouche).

Témoignage Anonyme d'un Kubelet Traumatisé (Kubelet-9a1d sur Node-Dev-Chaos-01) :
"'Limit Exceeded: 256Mi'. Ah, cette ligne dans mes logs... c'est le son de l'inévitable.
J'ai même pas le temps de dire 'OOM...' que l'autre psychopathe (l'OOMKiller, ndlr) 
est déjà passé et a tout nettoyé. 
Parfois, la nuit, j'entends encore les cris des processus terminés..."

Le Kubelet, maintenant transformé en videur de boîte de nuit fatigué, surveille tout le monde. Dès qu'un conteneur devient trop gourmand en CPU, il lui tire l'oreille numériquement (throttling). Si un autre se goinfre de RAM comme s'il n'y avait pas de lendemain, le Kubelet appelle son pote OOMKiller, qui arrive avec sa faux et... Terminé bonsoir. Votre Pod est OOMKilled, laissant derrière lui un message cryptique dans les logs et une équipe d'astreinte en sueur à 3h du matin.

Chapitre 3 : Les Classes de QoS - Le Club VIP, la Classe Éco et... les autres

Pour ajouter un peu de piment (comme s'il en manquait), Kubernetes classe vos Pods en fonction de comment vous avez défini (ou pas) ces requests et limits. C'est une sorte de hiérarchie sociale pour conteneurs :

Guaranteed (Le VIP) : Vous avez défini des requests ET des limits, et (attention, subtilité) ils sont égaux pour le CPU et la RAM. Ce Pod est un membre du Gotha. Il a une place réservée et un traitement de faveur. L'OOMKiller ira voir ailleurs en premier. C'est le Pod qui sirote du champagne dans le carré VIP du Node.
Burstable (La Classe Éco Confort) : Vous avez défini des requests, mais les limits sont plus hauts (ou absents pour une ressource mais pas l'autre). Ce Pod a sa place assise (request), mais il peut essayer de s'étaler un peu plus si personne ne regarde (limit > request). Attention, il est moins protégé que le VIP. Si ça chauffe, il risque de se faire throttler ou même OOMKiller avant les Guaranteed. C'est le passager qui espère secrètement que le siège à côté reste vide.
BestEffort (Le Stagiaire / Le Squatteur) : Vous n'avez défini AUCUN request ni limit. Ce Pod vit dangereusement. Il n'a aucune garantie, il prend ce qui reste. C'est le premier à se faire éjecter sans ménagement si les ressources viennent à manquer. L'OOMKiller le regarde avec un sourire carnassier dès son démarrage. C'est celui qui essaie de rentrer gratos à la soirée et qui se fait sortir par la sécurité à la première occasion.

Soupir d'un Kubelet Fataliste (Kubelet-f8g2 sur Node-Shared-08) :
"Quand je vois arriver un Pod BestEffort, je ne m'attache pas. Vraiment.
C'est comme accueillir un poisson rouge dans un aquarium de piranhas.
On sait tous comment ça va finir. 
Je prépare déjà le message 'Evicted'..."

Chapitre 4 : Le Grand Bazar - Pourquoi on se plante tous (avec amour)

Personne n'est parfait. Voici le florilège des erreurs classiques qui transforment nos clusters en joyeux chaos :

Le " YOLO Driven Development " : Ne mettre aucun request ni limit. Vos Pods sont en mode BestEffort, le Node devient une jungle où seule la loi du plus fort (ou du plus rapide à consommer la RAM) s'applique. Les OOMKills pleuvent comme à Gravelotte.
Le " Copier-Coller Sans Réfléchir " : Prendre les requests/limits d'un exemple sur Stack Overflow pour votre application Java ultra-gourmande. Spoiler : ça finit mal.
Le " Optimiste Pathologique " : Mettre des requests ridicules ("Mon appli utilise à peine 10m de CPU !") et des limits stratosphériques ("Mais au cas où, donnons-lui 4 coeurs !"). Résultat : vos Nodes sont pleins à craquer (basé sur les requests faibles), mais en réalité, ils sont constamment au bord de l'implosion car tout le monde dépasse allègrement. C'est l'overbooking aérien appliqué aux serveurs.
Le " Pessimiste Anxieux " : Mettre requests = limits partout, très haut "pour être sûr". Félicitations, vos Pods sont Guaranteed, mais vous utilisez 3 Nodes là où un seul aurait suffi. Votre DSI vous regarde avec des yeux qui lancent des éclairs (de factures Cloud).

Rire nerveux d'un Kubelet Développeur-Sympathisant (Kubelet-a2b5 sur Node-CI-CD-02) :
"Parfois, je vois des requests et limits arriver... et je me dis 'Ok, 
ce dev a clairement utilisé un générateur de nombres aléatoires'. 
J'ai vu des requests plus grands que les limits ! 
J'ai vu des demandes de '0.0001m' de CPU ! 
J'essaie de rester pro, mais des fois, 
j'aimerais pouvoir envoyer un 'LOL' dans les events du Pod."

Conclusion : Rire pour ne pas pleurer (et mettre des métriques)

La gestion des ressources dans Kubernetes, c'est un art subtil. Un mélange de science (monitoring, profiling), de doigt mouillé (estimations initiales) et parfois, de pure chance. C'est une source inépuisable de maux de tête, de crises de nerfs nocturnes, mais aussi, avouons-le, de bonnes tranches de rigolade (après coup, généralement).

Alors la prochaine fois que votre Pod se fait OOMKiller pour la 5ème fois de la journée, respirez un grand coup. Rappelez-vous que vous n'êtes pas seul. Nous sommes tous dans cette galère magnifique qu'est Kubernetes. Et n'oubliez pas : mettez des métriques partout, observez vos applications comme un stalker professionnel, ajustez vos requests et limits avec la précision d'un horloger suisse (ou au moins, avec un peu moins de "YOLO"), et peut-être, juste peut-être, votre Kubelet arrêtera de pleurer la nuit.

Et si ça ne marche toujours pas ? Blâmez le YAML. Ça marche toujours.

Dernier mot d'un Kubelet Philosophe (Kubelet-1c9e sur Node-Zen-Garden-00) :
"Au fond, nous les Kubelets, 
on est juste là pour essayer de maintenir un semblant d'ordre dans le chaos créatif des développeurs. 
On jongle avec des millicores et des mébioctets comme on peut. 
Alors oui, parfois on râle, parfois on throttle, parfois on appelle le grand méchant OOMKiller... 
mais c'est pour le bien du cluster. 
Enfin... on espère."

Nelm le futur de Helm ?

2025-03-26T10:00:00+01:00

Nelm : Redécouvrez le Déploiement de Charts Helm sur Kubernetes

Dans l'écosystème Kubernetes, Helm s'est imposé comme le gestionnaire de paquets de facto, simplifiant la définition, l'installation et la mise à niveau des applications. Cependant, malgré ses qualités, Helm 3 présente certaines limitations et complexités qui peuvent frustrer les équipes DevOps. C'est là qu'intervient Nelm, une alternative open-source construite sur les fondations de Helm 3, mais repensée pour offrir plus de contrôle, de prévisibilité et de robustesse dans vos déploiements.

Utilisé comme moteur de déploiement principal par l'outil CI/CD werf, Nelm conserve une compatibilité de premier ordre avec les Charts Helm existants tout en introduisant des fonctionnalités puissantes inspirées d'autres outils éprouvés comme Terraform.

Ce billet explore en profondeur ce qu'est Nelm, pourquoi vous pourriez l'envisager à la place de Helm, et comment ses fonctionnalités clés peuvent améliorer vos workflows de déploiement Kubernetes.

Qu'est-ce que Nelm ? Une Alternative Améliorée à Helm 3

Nelm n'est pas une réécriture complète de Helm, mais plutôt une évolution. Il reprend la base de code de Helm 3, assure la compatibilité avec ses concepts fondamentaux (Charts, Releases), mais réimplémente ou améliore des parties cruciales, notamment le moteur de déploiement.

Les objectifs principaux de Nelm sont de résoudre des problèmes connus de Helm 3 et d'introduire des capacités plus avancées :

Prévisualisation Fiable des Changements : Offrir une fonctionnalité similaire à terraform plan pour savoir exactement ce qui va changer dans le cluster avant d'appliquer.
Gestion des Mises à Jour Robuste : Remplacer le mécanisme de "Fusion à Trois Voies" (3-Way Merge) de Helm par l'Application Côté Serveur (Server-Side Apply) de Kubernetes, plus fiable.
Ordonnancement Avancé : Permettre un contrôle fin sur l'ordre de déploiement des ressources, y compris les dépendances externes.
Gestion Sécurisée des Secrets : Intégrer nativement le chiffrement des fichiers de valeurs ou de fichiers arbitraires.
Suivi Détaillé et Visibilité : Améliorer le suivi de l'état des ressources, afficher les logs et événements en continu pendant le déploiement.
Correction de Bugs Helm : Résoudre des problèmes récurrents de Helm, comme les erreurs liées aux versions d'API obsolètes.

Tout en offrant ces améliorations, Nelm maintient la compatibilité avec le format des Charts Helm et le stockage des informations de release (Secrets Kubernetes), permettant une transition potentielle depuis Helm.

Pourquoi Envisager Nelm ? Les Fonctionnalités Clés

Explorons les aspects qui différencient Nelm et peuvent apporter une valeur significative à vos processus de déploiement.

1. Planification Précise avec `nelm release plan install`

L'un des défis avec Helm est de comprendre précisément l'impact d'une commande helm upgrade. Nelm s'attaque à ce problème avec nelm release plan install. Cette commande utilise un dry-run basé sur Server-Side Apply pour générer un diff fiable entre l'état actuel dans le cluster et l'état désiré après application du Chart.

Exemple : Planifier la mise à jour d'une application web

Imaginons un Chart simple pour une application web my-webapp avec un Déploiement et un Service.

Chart.yaml:

    apiVersion: v2
    name: my-webapp
    version: 0.1.0
    appVersion: "1.0"

values.yaml:

    replicaCount: 1
    image:
      repository: my-registry/my-webapp
      tag: "1.0"
    service:
      type: ClusterIP
      port: 80

templates/deployment.yaml:

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: {{ .Release.Name }}-app
    spec:
      replicas: {{ .Values.replicaCount }}
      selector:
        matchLabels:
          app: {{ .Release.Name }}
      template:
        metadata:
          labels:
            app: {{ .Release.Name }}
        spec:
          containers:
            - name: web
              image: "{{ .Values.image.repository }}:{{ .Values.image.tag }}"
              ports:
                - containerPort: 8080 # Supposons que l'app écoute sur 8080

templates/service.yaml:

    apiVersion: v1
    kind: Service
    metadata:
      name: {{ .Release.Name }}-svc
    spec:
      type: {{ .Values.service.type }}
      ports:
        - port: {{ .Values.service.port }}
          targetPort: 8080 # Port du container
      selector:
        app: {{ .Release.Name }}

Après un premier déploiement (nelm release install -n web -r myapp ./my-webapp), nous voulons mettre à jour l'image vers la version "1.1" et passer à 2 réplicas. Planifions ce changement :

nelm release plan install -n web -r myapp ./my-webapp \
  --set image.tag="1.1" \
  --set replicaCount=2

Nelm affichera un résultat clair, indiquant uniquement les modifications prévues sur le Déploiement :

Planning release install "myapp" (namespace: "web")

┌ Update Deployment/myapp-app
│     namespace: web
│   spec:
│ -   replicas: 1
│ +   replicas: 2
│     template:
│       spec:
│         containers:
│           - name: web
│ -           image: "my-registry/my-webapp:1.0"
│ +           image: "my-registry/my-webapp:1.1"
│             ports:
└ Update Deployment/myapp-app

Planned changes summary for release "myapp" (namespace: "web"):
- update: 1 resource(s)

Cette clarté permet d'éviter les surprises et de valider les changements avant de les appliquer réellement avec nelm release install.

2. Server-Side Apply (SSA) au lieu de 3-Way Merge

Le mécanisme de "Fusion à Trois Voies" (3-Way Merge) utilisé par Helm pour calculer les patchs de mise à jour est basé sur l'état connu de la dernière release Helm réussie. Si des modifications manuelles ont eu lieu (kubectl edit), ou si une release précédente a échoué partiellement, Helm peut générer des patchs incorrects ou écraser des changements inattendus.

Nelm utilise l'Application Côté Serveur (Server-Side Apply), une fonctionnalité native de Kubernetes. Avec SSA, c'est le serveur d'API Kubernetes lui-même qui calcule le patch en se basant sur l'état réel de la ressource dans le cluster et l'état désiré soumis par Nelm. Chaque champ est "possédé" par un gestionnaire (ici, Nelm). Cela résout les problèmes de désynchronisation et assure des mises à jour beaucoup plus robustes et prévisibles. C'est la méthode adoptée par des outils modernes comme FluxCD.

3. Ordonnancement Avancé des Ressources

Helm propose un ordonnancement basique via les Hooks et leurs poids (helm.sh/hook-weight). Nelm étend considérablement ces capacités :

Annotation werf.io/weight : Similaire à helm.sh/hook-weight, mais applicable à toutes les ressources (pas seulement les hooks). Les ressources avec le même poids sont déployées en parallèle. Les groupes de poids sont déployés séquentiellement (du plus petit au plus grand).

Exemple : Déployer une ConfigMap avant un Déploiement.

    # templates/configmap.yaml
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: myapp-config
      annotations:
        werf.io/weight: "-10" # Déployé en premier
    data:
      config.json: |
        {"setting": "value"}

    # templates/deployment.yaml
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: myapp-deployment
      annotations:
        werf.io/weight: "0" # Déployé après la ConfigMap
    spec:
      # ... spec utilisant la ConfigMap

Annotation werf.io/deploy-dependency-<id> : La méthode la plus puissante. Permet à une ressource d'attendre qu'une autre ressource de la même release atteigne un état spécifique (present ou ready) avant de se déployer.

Exemple : Un Job qui initialise une base de données (StatefulSet) avant le démarrage de l'application (Deployment).

    # templates/database-sts.yaml
    apiVersion: apps/v1
    kind: StatefulSet
    metadata:
      name: myapp-db
    spec:
      # ... spec du StatefulSet

    # templates/init-db-job.yaml
    apiVersion: batch/v1
    kind: Job
    metadata:
      name: myapp-init-db
      annotations:
        # Attend que le StatefulSet soit prêt avant de lancer le Job
        werf.io/deploy-dependency-db: "state=ready,kind=StatefulSet,name=myapp-db"
        # Note: Le Job lui-même est souvent un hook Helm (pre-install/pre-upgrade)
        helm.sh/hook: pre-install, pre-upgrade
        helm.sh/hook-weight: "5" # Exécuté après le STS mais avant le déploiement applicatif
    spec:
      # ... spec du Job d'initialisation

    # templates/app-deployment.yaml
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: myapp-app
      annotations:
        # Attend que le Job d'initialisation soit terminé (présent suffit souvent pour un Job)
        # Ou si le Job doit absolument réussir, on pourrait pointer vers un état Ready hypothétique si le Job le supportait.
        # Ici, on suppose que la présence du Job terminé est suffisante.
        # Alternativement, si le Job crée une ressource signal (comme un Secret), on pourrait dépendre de cette ressource.
        # Pour cet exemple, nous allons supposer que le hook Helm suffit à séquencer.
        # Si le Job n'était PAS un hook, cette dépendance serait cruciale :
        # werf.io/deploy-dependency-init: "state=present,kind=Job,name=myapp-init-db"
        werf.io/weight: "10" # Assure qu'il se déploie après les hooks de poids inférieur
    spec:
      # ... spec de l'application

(Note : L'exemple combine hooks Helm et dépendances Nelm pour illustrer. Souvent, deploy-dependency remplace le besoin de certains hooks complexes.)*

Annotations *.external-dependency.werf.io/* : Permet d'attendre la disponibilité de ressources hors de la release actuelle, typiquement gérées par des opérateurs (ex: un ClusterIssuer de cert-manager, une Database de KubeDB).

Exemple : Une Ingress qui nécessite un ClusterIssuer géré séparément.

    # templates/ingress.yaml
    apiVersion: networking.k8s.io/v1
    kind: Ingress
    metadata:
      name: myapp-ingress
      annotations:
        # ID unique pour cette dépendance externe
        certissuer.external-dependency.werf.io/resource: "ClusterIssuer.v1.cert-manager.io/letsencrypt-prod"
        # Si le ClusterIssuer était dans un namespace spécifique (non applicable ici car ClusterIssuer est cluster-scoped) :
        # certissuer.external-dependency.werf.io/namespace: "cert-manager"

        # Annotation standard pour utiliser le ClusterIssuer
        cert-manager.io/cluster-issuer: "letsencrypt-prod"
    spec:
      # ... spec de l'Ingress

Nelm attendra que la ressource ClusterIssuer nommée letsencrypt-prod (avec le groupe d'API cert-manager.io/v1) soit prête avant de créer l'Ingress.

4. Suivi Amélioré des Ressources et Affichage des Logs

Pendant une commande nelm release install, Nelm fournit une sortie beaucoup plus riche que Helm :

Tableau de Suivi : Un tableau est affiché périodiquement, montrant l'état de chaque ressource gérée (Waiting, Progressing, Ready, Failed). Pour les ressources comme les Déploiements ou StatefulSets, il suit aussi l'état des Pods sous-jacents.
Détection Heuristique pour les CRDs : Nelm tente de déterminer l'état "Ready" de nombreuses Custom Resources en analysant leurs champs status, ce qui fonctionne pour environ la moitié des CRDs sans configuration supplémentaire.
Affichage des Logs en Continu : Nelm récupère et affiche les logs des conteneurs des Pods créés ou mis à jour pendant le déploiement. Très utile pour déboguer rapidement les problèmes de démarrage.
Affichage des Événements : En ajoutant l'annotation werf.io/show-service-messages: "true" à une ressource, Nelm affichera également les événements Kubernetes associés à cette ressource pendant le déploiement.

Des annotations permettent de personnaliser ce comportement (filtrer les logs par regex, skipper les logs pour certains conteneurs, ignorer les échecs pour des ressources non critiques, etc.). Voir la section Documentation du README pour la liste complète (werf.io/log-regex, werf.io/skip-logs, werf.io/fail-mode, etc.).

5. Gestion Native des Secrets Chiffrés

Gérer les secrets (mots de passe, clés d'API) dans Git est toujours délicat. Nelm intègre une solution inspirée de helm-secrets, mais nativement :

Fichiers de Valeurs Chiffrés : Vous pouvez créer des fichiers comme secret-values.yaml qui sont chiffrés sur disque mais déchiffrés en mémoire lors du nelm install ou nelm render. Leurs valeurs sont accessibles via .Values comme d'habitude.
Fichiers Arbitraires Chiffrés : Vous pouvez chiffrer n'importe quel fichier (ex: config.json, cert.pem) et le placer dans un répertoire secret/ à la racine du Chart. Ces fichiers peuvent être injectés dans les templates via la fonction {{ werf_secret_file "monfichier.txt" }}.

Le chiffrement utilise une clé AES-256-GCM générée via nelm chart secret key create et fournie via la variable d'environnement NELM_SECRET_KEY.

Exemple : Utiliser des identifiants de base de données chiffrés

Générer une clé (à faire une seule fois et à stocker de manière sécurisée) :

    export NELM_SECRET_KEY=$(nelm chart secret key create)
    # Stocker cette clé quelque part (ex: variable CI/CD, gestionnaire de secrets)
    echo $NELM_SECRET_KEY

Créer/éditer un fichier de valeurs secret :

    # Ouvre $EDITOR pour créer/modifier le fichier, le chiffre à la sauvegarde
    nelm chart secret values-file edit my-webapp/secret-values.yaml

Contenu de secret-values.yaml (dans l'éditeur) :

    database:
      username: dbuser
      password: SecurePassword123!

Le fichier my-webapp/secret-values.yaml sur disque contiendra des données chiffrées.

Utiliser les valeurs dans un template (ex: pour créer un Secret Kubernetes) :

    # templates/db-secret.yaml
    apiVersion: v1
    kind: Secret
    metadata:
      name: {{ .Release.Name }}-db-credentials
    type: Opaque
    stringData:
      username: {{ .Values.database.username }}
      password: {{ .Values.database.password }}

Déployer (Nelm utilisera secret-values.yaml automatiquement si NELM_SECRET_KEY est définie) :

    export NELM_SECRET_KEY=... # Fournir la clé
    nelm release install -n web -r myapp ./my-webapp

Exemple : Utiliser un fichier de configuration API chiffré

Créer/éditer un fichier secret dans le répertoire secret/ :

    # Assurez-vous que NELM_SECRET_KEY est définie
    mkdir -p my-webapp/secret
    nelm chart secret file edit my-webapp/secret/api-config.json

Contenu de api-config.json (dans l'éditeur) :

    {
      "apiKey": "abcdef123456",
      "endpoint": "https://api.example.com/v1"
    }

Le fichier my-webapp/secret/api-config.json sur disque sera chiffré.

Injecter le contenu dans une ConfigMap :

    # templates/api-configmap.yaml
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: {{ .Release.Name }}-api-config
    data:
      config.json: |
        {{- werf_secret_file "api-config.json" | nindent 8 }}

Déployer :

    export NELM_SECRET_KEY=... # Fournir la clé
    nelm release install -n web -r myapp ./my-webapp

La ConfigMap dans Kubernetes contiendra le JSON déchiffré.

Compatibilité avec Helm

Nelm se veut un remplacement "drop-in" pour de nombreux cas d'usage de Helm :

Charts : Les Charts Helm 3 sont directement utilisables avec Nelm sans modification. Toutes les fonctionnalités de templating, y compris les fonctions lookup, sont supportées.
Releases : Nelm utilise le même format de stockage des releases (Secrets dans le namespace de la release) que Helm 3. Théoriquement, vous pouvez alterner entre helm et nelm pour gérer la même release (bien que ce ne soit généralement pas recommandé en production).

Commandes CLI : La structure des commandes est différente, mais les fonctionnalités sont largement équivalentes. Voici une correspondance rapide :

Helm Command	Nelm Command
`helm upgrade --install --atomic --wait -n ns rel ./c`	`nelm release install --auto-rollback -n ns -r rel ./c`
`helm uninstall -n ns release`	`nelm release uninstall -n ns -r release`
`helm template ./chart`	`nelm chart render ./chart`
`helm lint ./chart`	`nelm chart lint ./chart`
`helm dependency build ./chart`	`nelm chart dependency download ./chart`
`helm get values -n ns release`	`nelm release get values -n ns -r release`
(Plugin helm-diff) `helm diff upgrade ...`	(Natif) `nelm release plan install ...`
(Plugin helm-secrets) `helm secrets ...`	(Natif) `nelm chart secret ...`

Plugins Helm : Non supportés directement. Nelm privilégie l'intégration native des fonctionnalités utiles (comme plan et secret).

La migration consiste principalement à adapter vos scripts CI/CD pour utiliser les commandes Nelm équivalentes.

Conclusion : Plus de Contrôle et de Fiabilité pour vos Déploiements

Nelm se présente comme une alternative sérieuse et réfléchie à Helm 3 pour les équipes qui recherchent plus de prévisibilité, de contrôle et de robustesse dans leurs déploiements Kubernetes. En remplaçant le 3-Way Merge par Server-Side Apply, en offrant une planification détaillée des changements, un ordonnancement avancé des ressources, un suivi amélioré et une gestion native des secrets, Nelm répond à plusieurs points de douleur courants rencontrés avec Helm.

Sa compatibilité avec les Charts Helm existants facilite son adoption. Si vous utilisez déjà werf, vous bénéficiez déjà de Nelm. Sinon, et si les fonctionnalités décrites ici vous semblent pertinentes pour vos défis de déploiement, Nelm mérite assurément d'être exploré.

Pour commencer, consultez les instructions d'installation et essayez-le sur un projet de test !

Accélérer la migration et la modernisation dans le cloud

2025-03-24T10:00:00+01:00

Accélérer la migration et la modernisation dans le cloud : approches techniques et outils avancés selon AWS

Dans un contexte où un nombre significatif de workloads demeure sur site, AWS propose une méthodologie robuste pour migrer depuis des infrastructures on-premise (move to the cloud). Certains sujet abordé dans cet événement, comme EKS, sont valables aussi pour moderniser des infrastructures aws existants. Les sessions de l'AWS MAP Academy Technical Track qui se sont tenues à Paris le dernier 13 Mars (source) ont présenté en détail des stratégies basées sur des processus rigoureux, des outils d'automatisation et des techniques d'optimisation avancées. Voici une synthèse technique des principaux points abordés.

Intervenants

Parmi les intervenants, on trouvait :

Sid Ahmed, Partner SA
Clément Lebra, Migration and Modernization SA
Gengis Birsen, Partner SA
Pragnesh Shah, Migration and Modernization Sr. Partner SA

Opportunités de migration et approches stratégiques

Identification et évaluation des workloads

La migration vers AWS est perçue comme une opportunité majeure, car de nombreuses charges de travail restent non migrées. Les conférences ont insisté sur l'importance d'une analyse approfondie pour :

Identifier les workloads non migrés et évaluer leur criticité.
Appliquer des techniques de migration industrielle afin d'optimiser la rapidité et la robustesse du transfert.

Le Migration Acceleration Program (MAP) s’articule notamment autour de trois étapes clés :

Assess (Évaluation)
Cette phase consiste dans l'analyse des workloads existants et dans l'évaluation de leur préparation à la migration. Il y a notamment un étude du Total Cost of Ownership (TCO) pour estimer les économies potentielles. Des services comme Application Discovery Service sont mis à disposition pour recenser les serveurs, les applications et les métriques (CPU, mémoire, I/O disque) avec ou sans agent. Ces données permettent un right-sizing précis pour adapter les ressources AWS.
Mobilize (Mobilisation)
Élaboration d’un plan de migration détaillé intégrant allocation des ressources, gestion des risques et calendrier précis. Il y a l'élaboration d’un business case avec des outils comme OLA (Optimizing and Licensing Assessment) pour l’optimisation des licences et MPA (Migration Planning Assessment) pour la planification.
Migrate & Modernize (Migration et Modernisation)
Réalisation de la migration avec des outils comme AWS Application Migration Service (MGN) pour la réplication continue des serveurs et AWS Migration Hub Orchestrator pour gérer les workflows complexes. La modernisation peut inclure la conteneurisation avec Amazon ECS/EKS, l’utilisation de bases de données gérées comme Amazon RDS, ou l’adoption d’architectures serverless avec AWS Lambda.

Modernisation applicative : analyse et transformation technique

Analyse du portefeuille applicatif

Des outils comme CAST Highlight et CAST Imaging, en partenariat avec AWS, facilitent l’analyse du portefeuille applicatif en fournissant :

Une évaluation de la taille du code (lignes, complexité).
Une cartographie des dépendances techniques (bibliothèques, API obsolètes) et des contraintes (ex. : compatibilité DLL).
Des recommandations pour choisir entre lift & shift, conteneurisation, refactoring ou réécriture complète.

Évaluation des risques et planification technique

L’analyse des niveaux de maturité technologique et des besoins métier permet d’évaluer les risques et de planifier la transformation. Cela aboutit à une feuille de route pour convertir les applications legacy en microservices ou architectures serverless, en intégrant les meilleures pratiques de sécurité et de conformité. Par exemple, le refactoring peut s’appuyer sur AWS Mainframe Modernization pour les workloads mainframe.

Planification de la transformation cloud

Approche multi-dimensionnelle

Au-delà des aspects techniques, la planification doit intégrer des facteurs humains et des processus opérationnels. L'utilisation d'outils tel que Migration Readiness Assessment (MRA) permet de :

Cartographier l’état actuel de l’infrastructure et des applications
Impliquer les équipes opérationnelles et de gouvernance
Prioriser les actions et générer des rapports d’alignement stratégique (notamment pour définir des business cases et des stratégies d'optimisation)

Feuille de route opérationnelle

Les workflows de migration sont conçus pour gérer des projets à grande échelle. Des outils tels que AWS Migration Hub et ses Journey templates offrent une visibilité centralisée sur l'ensemble du processus, depuis l'inventaire initial jusqu'au cut-over final, en automatisant la gestion destâches et en facilitant la collaboration entre les parties prenantes.

Optimisation de l’infrastructure et techniques de Right-Sizing

Dimensionnement précis, automatisation et réduction des coûts

L'optimisation des ressources AWS repose sur des techniques de right-sizing et d'analyse fine des métriques de consommation. Des outils comme AWS Application Discovery Service, combinés à des exports de données manuels ou automatisés, permettent de :

Analyser la charge réelle des serveurs on-premise,
Simuler différents scénarios de provisionnement (on-demand, spot instances, savings plans),
Générer des rapports détaillés sur TCO et identifier des opportunités de réduction de coûts, par exemple par le passage à des instances basées sur graviton (en architecture ARM) qui offrent un excellent rapport prix-performance.

Pour les clusters Amazon EKS, des outils comme Karpenter optimisent les ressources Kubernetes en consolidant les pods pour maximiser l’utilisation des ressources, en remplaçant dynamiquement les instances EC2 sous-utilisées (nœuds en termes d’EKS) par des options plus efficaces, tout en gérant les transitions vers des spot instances avec une tolérance aux interruptions.

Exemple d’automatisation pour EKS via l’outil K9S

Et ensuite le mécanisme EKS Auto mode.

L’Impact de la GenAI dans la migration et la modernisation

Augmentation de la productivité par l’automatisation

L’intégration de solutions de GenAI dans les projets de migration permet de réduire significativement les tâches répétitives. Des outils comme Amazon Bedrock et Amazon Q Developer génèrent automatiquement des drafts de documentation, des schémas architecturaux, et même du code. Ces outils offrent un premier niveau d’analyse pour :

Valider les business cases
Générer des tests unitaire
Faciliter la code review

Ils permettent aussi d’activer des agents intelligents qui complètent ou refactorisent le code en se basant sur une base de connaissances entraînéesur les meilleures pratiques AWS. La Next Generation Developer Experience and Productivity redéfinit ainsi le cycle de vie du développement logiciel en offrant une automatisation complète des phases de build, test et déploiement grâce à des intégrations avec des pipelines DevOps (GitLab, Jenkins, GitHub, etc.) et des mécanismes de feedback en temps réel pour l’audit de sécurité et l’optimisation des performances, améliorant ainsi la qualité du code et réduisant le time-to-market.

Accélération de la migration et de la modernisation par l’utilisation d’outils avancés

Une palette d’outils pour tous les cas d’usage

Les projets de migration et de modernisation bénéficient donc d’un écosystème riche d’outils qui permettent de couvrir l’ensemble du processus :

OLA et MPA pour la construction rapide de business cases et l’analyse du TCO
Migration Hub et ses Journey Templates pour la gestion centralisée du projet
MGN pour la réplication en continu et le basculement minimaliste des serveurs
DMS (Database Migration Service) avec Schema Conversion intégrant la GenAI pour automatiser la conversion de schémas et le refactoring de code
Amazon QDeveloper pour moderniser et adapter le code aux nouvelles architectures (par exemple, migration de .NET vers .NET Core sur Linux)

Automatisation et orchestration des workflows

Les outils d'orchestration, tels que Migration Hub Orchestrator, permettent de créer des workflows personnalisés qui automatisent les étapes de migration (ex. containerisation via App2Container) tout en intégrant des interventions manuelles lorsque nécessaire. Cette automatisation assure une réduction des erreurs et une accélération des délais de migration.

Expérience développeur de nouvelle génération dans les projets de migration et modernisation

Réinventer le cycle de vie du développement

Les solutions de nouvelle génération visent à optimiser l'expérience développeur en intégrant la GenAI à toutes les étapes du cycle de développement :

Planification et Requirements Analysis : L’IA assiste dans la création de drafts de documents techniques et l’élaboration de schémas d’architecture à partir d’un simple prompt
Génération et refactoring du code : Amazon QDeveloper permet de générer du code, d’effectuer des revues automatisées et de proposer des corrections basées sur une analyse contextuelle approfondie de la base de code
Intégration dans les pipelines CI/CD : Les agents intelligents interagissent avec les systèmes de versionning (ex. Gitlab Duo with AmazonQ) pour automatiser les commits, les tests unitaires et les déploiements ansi que les upgrades (Java), tout en assurant des audits de sécurité en continu

Collaboration et productivité optimisée

L'objectif est de permettre aux développeurs de se concentrer sur la création de valeur en réduisant le temps passé sur des tâches répétitives et administratives. Les outils de génération de documentation, de tests et de transformation de code fournissent une première couche d'analyse et d'optimisation, sur laquelle les experts peuvent ensuite itérer pour affiner les résultats.

Conclusion

L'approche AWS pour la migration et la modernisation se distingue par une méthodologie intégrée et des outils avancés qui couvrent l'ensemble du processus, depuis l'évaluation initiale et la planification jusqu'à l'exécution, l'optimisation et la modernisation applicative. En combinant des techniques de right-sizing, des workflows automatisés et l'intégration de la GenAI en continue évolution, AWS offre aux entreprises la possibilité de réduire significativement le TCO, d'améliorer la productivité et de transformer sa propre infrastructure en un levier stratégique de compétitivité.

Cette vision technologique, soutenue par les nombreux outils préséntés dans cet articles et bien d'autres, permet de répondre aux défis complexes des projets de transformation numérique en garantissant une transition rapide, sécurisée et optimisée vers le cloud.

Q & A

Q : Dans le cadre de notre partenariat avec AWS, nous disposons d’un outil officiel pour VMware qui facilite l’import/export vers des instances EC2. Toutefois, pour les migrations vers le Cloud depuis des hyperviseurs de type KVM (comme Proxmox ou oVirt) pour lesquels il n’existe pas d’outils de migration directe à ce jour, faut-il encore recourir exclusivement à trouver la bonne instance EC2 baremetal (avec les drivers compatibles pour KVM) et procéder manuellement à la migration, ou existe-t-il une solution plus simple ?

A : Même s’il n’y a toujours pas d’outils directs comme pour VMware, AWS Migration Evaluator permet de construire des templates personnalisés qui définissent les étapes du processus de migration depuis des environnements KVM. Grâce à ces templates, on peut définir des workflows de migration adaptés à vos besoins, simplifiant ainsi la transition et réduisant le temps et l’effort requis pour migrer vos workloads.

Sécurisez vos CI/CD avec Trivy

2025-02-25T16:00:00+01:00

Sécurisez vos CI/CD avec Trivy

Des études récentes révèlent que 75 % des conteneurs contiennent des vulnérabilités critiques ou élevées, et 85 % des images en production présentent au moins une vulnérabilité non corrigée. Source

Un pipeline CI/CD, c'est un ensemble d'outils qui automatisent le développement, les tests et le déploiement des applications. Ça permet de rendre tout ce processus plus rapide et plus fiable. Cependant, pour que cela soit véritablement efficace, il est nécessaire de considérer la sécurité dès le début. C'est ce qu'on appelle le "Shift Left Security".

C'est à ce moment précis que Trivy prend le relais ! Trivy est un outil de détection des vulnérabilités open source qui inspecte les conteneurs, le code et même les dépendances. Il est rapide, intuitif, et s'adapte à beaucoup d'outils DevOps connus. Trivy vous offre la possibilité de détecter des vulnérabilités dès leur apparition, améliorant ainsi considérablement la sécurité de vos applications.

Pourquoi utiliser Trivy dans une CI/CD ?

Je vais essayer de vous convaincre :

• Identification anticipée des vulnérabilités : Trivy repère les failles de sécurité basé sur les CVE et les mauvaises configurations, dès les premières étapes du développement (selon votre CI). Les problèmes n'ont plus de retard, ils arrivent dès qu'on commence à respirer !

• Prise en charge multi-cibles : Que vous utilisiez Docker, Kubernetes ou que vous développiez du code applicatif, Trivy répond à toutes vos exigences. Trivy peut aussi bien scanner votre repo pour savoir si un mot de passe y est en clair, comme scanner une image docker et y trouver des éventuelles vulnérabilités, ou encore scanner votre cluster. Une solution unique pour tous vos projets… et pas besoin de consulter 15 experts qui ne sont jamais d’accord !

• Intégration transparente : Trivy se couple aisément avec vos outils de prédilection tels que GitHub Actions, GitLab CI, Jenkins, et bien d'autres. Pas besoin de changer vos habitudes, Trivy s'ajoute en douceur à votre workflow, comme un ninja discret… mais efficace !

Alors convaincu ? Aller on continue …

Tester rapidement Trivy avec Docker

Étape 1 : Télécharger Trivy (Docker)

Pour commencer, vous pouvez utiliser Docker pour télécharger rapidement Trivy. Ouvrez votre terminal et exécutez la commande suivante :

docker pull aquasec/trivy:0.18.3

Cette commande télécharge l'image Docker de Trivy version 0.18.3. Une fois le téléchargement terminé, vous êtes prêt à scanner !

Étape 2 : Scanner une image Docker

Pour scanner une image Docker, utilisez la commande suivante. Remplacez \<nom-image> par le nom de l'image que vous souhaitez analyser. Par exemple, pour scanner une image nommée nginx:latest :

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock aquasec/trivy:0.18.3 image nginx:latest

Cette commande lance Trivy dans un conteneur Docker et scanne l'image nginx:latest pour détecter les vulnérabilités.

Tester Trivy en local

Installer Trivy

Il suffit de suivre la documentation officielle : https://trivy.dev/v0.18.3/installation/

Mais en résumé, sous linux un simple apt-get install trivy devrait suffire.

Scanner une image docker

trivy image nginx:latest

Tout simplement :)

Résultat avec un template

trivy image --format template --template "@contrib/html.tpl" -o report.html nginx:latest

Ici la commande va sortir le résultat sous forme de fichier html. Pour cela, il faut au préalable avoir le template sur sa machine grâce à la commande wget https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/html.tpl -P contrib/. Et voici le résultat :

Intégrer Trivy dans une CI/CD

Dans cet exemple, nous allons utiliser GitLab CI pour illustrer l'intégration d'une étape de scan de sécurité avec Trivy :

stages:
  - test
  - build
  - deploy

trivy-scan:
  stage: test
  image:
    name: docker.io/aquasec/trivy:latest
    entrypoint: [""]
  script:
    - trivy image --clear-cache
    - trivy image --download-db-only
    - trivy image --severity HIGH,CRITICAL nginx:latest

build:
  image: docker:latest
  stage: build
  script:
    - echo "Building the project..."
    - docker build -t nginx:latest .

deploy:
  image: docker:latest
  stage: deploy
  script:
    - echo "Deploying the project..."
    - docker run -d --name my-app nginx:latest

Ce fichier .gitlab-ci.yml standard inclut un stage test, avec un job trivy-scan. Celui-ci utilise l'image Docker de Trivy pour analyser les vulnérabilités de l'image nginx:latest.

trivy image --clear-cache :
- Efface le cache local de Trivy, ce qui garantit l'utilisation des dernières bases de données de vulnérabilités.
trivy image --download-db-only:
- Télécharge uniquement la base de données des vulnérabilités sans effectuer de scan, pour s'assurer qu'elle est bien à jour.
trivy image --severity HIGH,CRITICAL nginx:latest :
- Analyse l’image nginx:latest.
- Ne signale que les vulnérabilités de sévérité HIGH et CRITICAL, pour se concentrer sur les plus critiques.

Note

Depuis la version 15.0 de GitLab CI, des composants officiels sont mis à disposition des développeurs. Parmi eux, on trouve le composant Container Scanning, qui permet d’analyser automatiquement les images Docker à la recherche de vulnérabilités.

Avant la version 15.0, cette fonctionnalité était exclusivement réservée aux utilisateurs de GitLab Ultimate. Désormais, elle est disponible gratuitement pour toutes les éditions de GitLab, offrant ainsi un accès élargi aux outils de sécurité des conteneurs.

Ce composant s’intègre facilement dans un pipeline GitLab CI/CD et repose sur des outils de sécurité comme Trivy ou Clair. Il offre une solution native pour renforcer la sécurité des conteneurs avant leur déploiement.

Bonus

--severity : Filtre les vulnérabilités par niveau de gravité. Par exemple, --severity CRITICAL,HIGH pour ne voir que les vulnérabilités critiques et élevées.
--ignore-unfixed : Ignore les vulnérabilités qui n'ont pas de correctif disponible. Utile pour se concentrer sur les problèmes que vous pouvez réellement résoudre.
--exit-code : Définit le code de sortie en fonction de la gravité des vulnérabilités trouvées. Par exemple, --exit-code 1 pour faire échouer le pipeline CI/CD si des vulnérabilités critiques sont détectées.
--format : Spécifie le format de sortie du rapport. Options incluent table, json, sarif, etc. Par exemple, --format json pour obtenir un rapport au format JSON.
--ignorefile : Spécifie un fichier contenant des vulnérabilités à ignorer. Par exemple, --ignorefile .trivyignore pour utiliser un fichier .trivyignore à la racine de votre projet.
Trivy a aussi sa propre extention Vscode, ça peut-être super utile en local !

Les bonnes pratiques

La règle numéro 1 : Scannez tôt et souvent ! Ajoutez Trivy dans votre pipeline CI/CD et faites un scan à chaque commit. Comme ça, vous repérez les vulnérabilités avant qu’elles ne fassent trop de dégâts. Votre code reste sécurisé et vous évitez les mauvaises surprises.

Ensuite, l’automatisation des corrections, c’est toujours une bonne idée. En automatisant les mises à jour et les corrections des dépendances vulnérables, vous réduisez la charge de travail manuelle et vous assurez que votre code est toujours au top sans devoir y penser à chaque instant.

Les pièges courants

Mais attention, il y a quelques pièges à éviter. Les faux positifs, par exemple, peuvent surgir comme des fantômes. Ne perdez pas de temps à les poursuivre ! Vérifiez chaque alerte pour ne pas partir dans une chasse aux chimères. Un bon processus pour trier les alertes est essentiel pour garder votre esprit clair.

Les performances, ça peut aussi devenir un casse-tête. Les scans de sécurité peuvent être gourmands en ressources. Mais pas de panique ! Avec des techniques comme le cache et les scans incrémentaux, vous pouvez accélérer tout ça et éviter que votre machine n'implose sous la pression.

Enfin, n’oubliez pas que Trivy, aussi puissant soit-il, ne doit pas être votre seul bouclier. Pour une sécurité à toute épreuve, n’hésitez pas à combiner plusieurs outils et pratiques. La défense multicouche, c’est la clé pour protéger vos applications des vilaines attaques !

Voilà, vous êtes prêt à déployer Trivy sans crainte et à garder un oeil sur les pièges !

Les Services Template de k0rdent

2025-02-20T10:00:00+01:00

Comprendre les Service Templates dans k0rdent : Une Approche Technique

Dans l’univers de la gestion de clusters Kubernetes à grande échelle, k0rdent se distingue par sa capacité à orchestrer de multiples plans de contrôle via une approche déclarative et modulaire.

Parmi ses outils avancés, les service templates jouent un rôle crucial en permettant de déployer et de gérer des services de manière standardisée et réutilisable.

Cet article technique explore en profondeur ce que sont les service templates dans k0rdent, comment ils sont structurés et comment ils s’intègrent dans l’architecture globale de la plateforme.

Dans k0rdent, l'utilisation de flux constitue la clé de voûte de l'automatisation et de l'orchestration des déploiements Kubernetes.

La plateforme s'appuie sur un flux de travail déclaratif qui commence par la définition de la configuration du cluster via des fichiers YAML, garantissant une spécification précise de l'infrastructure souhaitée.

Le k0rdent Cluster Manager (kcm) prend ensuite le relais pour déployer automatiquement le cluster, en intégrant des outils comme FluxCD et Helm afin d'installer les composants nécessaires.

Par la suite, le k0rdent State Manager (ksm) configure les politiques de sécurité et déploie les services à travers des « ServiceTemplate », assurant ainsi une cohérence et une conformité optimales sur l'ensemble de l'environnement.

Ce modèle de flux interconnecté permet non seulement une gestion centralisée et transparente, mais aussi une synchronisation continue avec les dépôts Git, facilitant l'adaptation dynamique aux évolutions des environnements multi-cloud et hybrides.

Cette approche permet à k0rdent de simplifier la complexité inhérente à la gestion des clusters tout en offrant une solution robuste et scalable pour les équipes DevOps.

1. Contexte et Objectifs de k0rdent

k0rdent se présente comme un « super control plane » conçu pour centraliser la gestion de clusters Kubernetes, que ce soit sur le cloud, sur site ou dans des environnements hybrides.

Grâce à une architecture reposant sur des Custom Resource Definitions (CRD) et sur les principes de Kubernetes Cluster API (CAPI), k0rdent offre un moyen déclaratif de décrire et de gérer à la fois l’infrastructure des clusters et les services qui y sont déployés.

Dans ce cadre, les service templates apportent une abstraction qui permet de définir et de déployer des services de manière standardisée, tout en tirant parti de la puissance des Helm charts.

2. Qu’est-ce qu’un Service Template ?

Un service template dans k0rdent est un objet Kubernetes personnalisé qui encapsule la définition d’un service à déployer. Il s’appuie principalement sur un Helm chart afin d’automatiser l’installation, la configuration et la mise à jour des composants applicatifs ou de contrôle.

2.1 Structure Technique d’un Service Template Le service template est une Custom Resource défini en YAML et se présente sous la forme d’un objet de type ServiceTemplate .

Un exemple de definition de service template :

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplate
metadata:
  name: prometheus-27.3.1
  namespace: k0rdent-prometheus
spec:
  helm:
    chartSpec:
      chart: prometheus
      version: 27.3.1
      interval: 10m0s
      sourceRef:
        kind: HelmRepository
        name: k0rdent-prometheus

Avec une custom resource HelmRepository de flux:

apiVersion: source.toolkit.fluxcd.io/v1
kind: HelmRepository
metadata:
  name: k0rdent-prometheus
  namespace: k0rdent-prometheus
  labels:
    k0rdent.mirantis.com/managed: "true"
spec:
  interval: 10m0s
  url: https://prometheus-community.github.io/helm-charts

Dans cet exemple, plusieurs points techniques sont à noter :

Helm Integration : La section helm.chartSpec définit le chart à utiliser, sa version ainsi que la fréquence de réconciliation (ici toutes les 10 minutes).
Source de Chart : La clé sourceRef référence un objet de type HelmRepository, garantissant que le chart est récupéré depuis une source centralisée et validée.
Déploiement déclaratif : En définissant l’état souhaité via un CRD, k0rdent s’assure que la configuration du service reste conforme, même en cas de dérive (drift).

Au niveau de la custom resource : HelmRepository

Ce manifeste YAML définit une ressource de type HelmRepository qui fait partie du toolkit FluxCD, utilisé ici pour intégrer et gérer un dépôt de charts Helm dans un environnement GitOps consommé par k0rdent.

Voici une explication détaillée des différentes sections :

kind: HelmRepository Le type de ressource est un HelmRepository, ce qui signifie que Flux va interroger ce dépôt pour récupérer les charts Helm disponibles. Cela permet d’automatiser la mise à jour et le déploiement des applications via ces charts.
labels: Le label k0rdent.mirantis.com/managed: "true" peut être utilisé pour identifier que ce HelmRepository est géré ou supervisé par le système k0rdent. Cela facilite le filtrage et la gestion des ressources dans un environnement multi-clusters ou multi-projets.
interval: 10m0s Cela spécifie que Flux va vérifier le dépôt toutes les 10 minutes pour détecter d’éventuelles mises à jour des charts. Ce mécanisme de polling permet d’assurer que les dernières versions ou modifications sont prises en compte de manière automatique.
url: https://prometheus-community.github.io/helm-charts C’est l’URL du dépôt Helm hébergeant les charts de la communauté Prometheus. Ce dépôt contient une collection de charts pour déployer Prometheus, Grafana, Alertmanager et d’autres outils liés à la surveillance.

3. L’Extension avec le ServiceTemplateChain

Pour renforcer la gestion des versions et faciliter l’évolution des déploiements, k0rdent introduit le concept de ServiceTemplateChain.

Cet objet est également défini via une CRD et permet de lister ou de valider les templates pris en charge dans une chaîne de déploiement.

Un exemple simple de définition est le suivant

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplateChain
metadata:
  name: prometheus-27.3.1
  namespace: k0rdent-prometheus
spec:
  supportedTemplates:
  - name: prometheus-27.3.1
  - name: prometheus-26.5.1
    availableUpgrades:
        - name: prometheus-27.3.1

Le ServiceTemplateChain est une ressource personnalisée (CRD) utilisée par k0rdent pour définir quels templates de service sont autorisés dans un certain namespace et comment ils s’enchaînent pour gérer les mises à jour (upgrade paths) d’une application déployée. Autrement dit, il s’agit d’un mécanisme permettant de :

Déclarer les templates supportés

Dans le champ spec.supportedTemplates, on liste les noms des ServiceTemplates qui peuvent être utilisés pour déployer un service. Par exemple, dans l’exemple précédent, le template prometheus-27.3.1 est explicitement supporté.

Gérer les chemins de mise à jour Pour certains templates, il est possible de spécifier des upgrades. Ainsi, dans l’exemple, le template prometheus-26.5.1 dispose d’un chemin de mise à jour vers prometheus-27.3.1.

Cela permet à k0rdent de savoir qu’une version antérieure (ici la 26.5.1) peut être mise à jour vers la version 27.3.1.

4. Demo sur 2 clusters déployés sur azure

Nous allons réaliser une démonstration de la mise en œuvre des service templates en déployant deux clusters AKS à partir du template clustertemplate.k0rdent.mirantis.com/azure-aks-0-1-0.

Ce template permet de provisionner des clusters Azure Kubernetes Service (AKS) de manière déclarative et conforme aux bonnes pratiques de k0rdent.

Pour en savoir plus sur l’intégration de k0rdent avec Azure, vous pouvez consulter l’article dédié : k0rdent on Azure

Dans cette démonstration, nous allons :

Déployer le chart helm cert-manager sur tous les cluster à partir du catalogue d'application de k0rdent (https://catalog.k0rdent.io/) via MultiClusterService
Déployer buildkit-service uniquement sur le cluster de développemnt (aks-dev-001)

4.1 Pré-requis

Pour réaliser cette démonstration de service templates en déployant deux clusters AKS à partir du template clustertemplate.k0rdent.mirantis.com/azure-aks-0-1-0, voici les principaux prérequis à prévoir :

Accès à Azure

Un compte Azure valide, avec un abonnement actif et suffisamment de quota pour créer deux clusters AKS. Des droits suffisants (Owner ou Contributor) pour provisionner des ressources dans l’abonnement cible.

Identifiants Azure

Une Azure Service Principal (SP) configurée avec les rôles adéquats pour déployer des clusters AKS. Les variables d’environnement généralement requises par le provider Azure (CAPI) : AZURE_SP_APP_ID (client ID de la SP) AZURE_SP_PASSWORD (secret de la SP) AZURE_SP_TENANT_ID (tenant ID Azure) AZURE_SUBSCRIPTION_ID (ID de l’abonnement) Ces identifiants seront ensuite stockés dans un objet Credential dans k0rdent, afin d’automatiser le déploiement.

Voir le point 2. de l'article k0rdent sur Azure

Management Cluster k0rdent

Un cluster de management Kubernetes (pouvant être un cluster local via kind, un cluster existant, etc.) sur lequel k0rdent est déjà installé et opérationnel. Le composant k0rdent Cluster Manager (KCM) doit y être déployé pour gérer la création et la mise à jour des clusters cibles.

Voir le point 1. de l'article k0rdent sur Azure

4.2 Création de 2 cluster AKS

Cluster n°1

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: aks-dev-001
  namespace: kcm-system
spec:
  template: azure-aks-0-1-0
  credential: azure-aks-credential
  propagateCredentials: false
  config:
    clusterLabels:
      cluster_id: "dev001"
      environment: "dev"
      csp: "microsoft-azure"
    location: "northeurope"
    machinePools:
      system:
        count: 1
        vmSize: Standard_B2s_v2
      user:
        count: 1
        vmSize: Standard_B2s_v2
EOF

clusterdeployment.k0rdent.mirantis.com/aks-dev-001 created

Cluster n°2

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: aks-stg-001
  namespace: kcm-system
spec:
  template: azure-aks-0-1-0
  credential: azure-aks-credential
  propagateCredentials: false
  config:
    clusterLabels:
      cluster_id: "stg001"
      environment: "stg"
      csp: "microsoft-azure"
    location: "northeurope"
    machinePools:
      system:
        count: 1
        vmSize: Standard_B2s_v2
      user:
        count: 1
        vmSize: Standard_B2s_v2
EOF

kubectl get ClusterDeployment
NAME          READY   STATUS
aks-dev-001   True    ClusterDeployment is ready
aks-stg-001   True    ClusterDeployment is ready

kubectl get managedclusters
NAME          READY   SEVERITY   REASON      MESSAGE
aks-dev-001   True               Succeeded
aks-stg-001   True               Succeeded

4.3 Créer le HelmRepository pour buildkit-service

kubectl apply -f- <<EOF
apiVersion: source.toolkit.fluxcd.io/v1
kind: HelmRepository
metadata:
  name: buildkit-service
  namespace: kcm-system
  labels:
    k0rdent.mirantis.com/managed: "true"
spec:
  provider: generic
  type: default
  url: https://andrcuns.github.io/charts
  interval: 10m0s
EOF

Vérification

get helmrepositories
NAME               URL                                    AGE    READY   STATUS
buildkit-service   https://andrcuns.github.io/charts      28m    True    stored artifact: revision 'sha256:...95a9db4'
catalog-core       oci://ghcr.io/k0rdent/catalog/charts   7d4h
kcm-templates      oci://ghcr.io/k0rdent/kcm/charts       7d4h

4.4 Déploiement buildkit-service

4.4.1 Préparation du service template

L'objet ServiceTemplate qui référence le chart buildkit-service. Dans cet exemple, nous utilisons la version 0.9.0

kubectl apply -f- <<EOF

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplate
metadata:
  name: buildkit-service-0-9-0
  namespace: kcm-system
spec:
  helm:
    chartSpec:
      chart: buildkit-service
      version: 0.9.0
      interval: 10m0s
      sourceRef:
        kind: HelmRepository
        name: buildkit-service

4.4.2 Préparation du service template chain

L’objet ServiceTemplateChain permet de définir la ou les versions disponibles et, éventuellement, les chemins de mise à niveau. Dans cet exemple, nous définissons une chaîne simple contenant uniquement le template de buildkit-service créé :

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplateChain
metadata:
  name: buildkit-service-chain
  namespace: kcm-system

spec:
  supportedTemplates:
    - name: buildkit-service-0-9-0
      # Vous pouvez ajouter ici d'autres templates et définir des availableUpgrades si vous prévoyez des mises à niveau
EOF

Vérifications

kubectl get ServiceTemplate buildkit-service-0-9-0 
NAME                      VALID
buildkit-service-0-9-0    true

kubectl get ServiceTemplateChain buildkit-service-ServiceTemplateChain
NAME                     AGE
buildkit-service-chain   7s

4.4.3 Déploiement sur le cluster de dev

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: aks-dev-001
  namespace: kcm-system
spec:
  template: azure-aks-0-1-0
  credential: azure-aks-credential
  propagateCredentials: false
  config:
    clusterLabels:
      cluster_id: "dev001"
      environment: "dev"
      csp: "microsoft-azure"
    location: "northeurope"
    machinePools:
      system:
        count: 1
        vmSize: Standard_B2s_v2
      user:
        count: 1
        vmSize: Standard_B2s_v2
  serviceSpec:
    services:
      - template: buildkit-service-0-9-0
        name: buildkit-service
        namespace: buildkit-service
    priority: 100
EOF

Vérifications

Namespace buildkit-service créé sur le cluster de dev

Application buildkit-service créé sur le cluster de dev

4.5 Déploiement de cert-manager via MultiClusterService

4.5.1 Rappel

kubectl get servicetemplate
NAME                      VALID
buildkit-service-0-9-0    true
cert-manager-1-16-2       true on va déployer ce chart
dex-0-19-1                true
external-secrets-0-11-0   true
ingress-nginx-4-11-0      true
ingress-nginx-4-11-3      true
kyverno-3-2-6             true
velero-8-1-0              true

4.5.2 Déployement du MultiClusterService

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: MultiClusterService
metadata:
  name: global-cert-manager
spec:
  clusterSelector:
    matchLabels:
      csp: "microsoft-azure"
  serviceSpec:
    services:
      - name: cert-manager
        namespace: cert-manager
        template: cert-manager-1-16-2
        values: |
          installCRDs: true
    priority: 300 
EOF

Dans cet exemple, le champ clusterSelector sélectionne les clusters qui possèdent le label csp: microsoft-azure. Le serviceSpec définit le service à déployer en se référant au ServiceTemplate nommé cert-manager-1-16-2 (préalablement créé dans le namespace approprié). La priorité (ici à 300) permet de gérer les éventuels conflits en cas de déploiement de plusieurs sources sur le même cluster.

le bloc YAML défini dans values permet de configurer l'installation des CRD et l'image utilisée par cert-manager. Vous devez adapter ces valeurs à la structure attendue par le chart Helm que vous utilisez. Vous pouvez également utiliser le champ valuesFrom pour référencer un ConfigMap ou un Secret contenant vos valeurs.

kubectl get multiclusterservice global-cert-manager

NAME                  AGE
global-cert-manager   19s

Vérifications

4.6 Exemples d'utilisation avancées

4.6.1 Utilisation de valeurs externes via aluesFrom

Dans cet exemple, au lieu d’inscrire directement les paramètres dans le manifeste, on utilise valuesFrom pour récupérer les valeurs depuis un ConfigMap externe :

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: MultiClusterService
metadata:
  name: global-external-service
spec:
  clusterSelector:
    matchLabels:
      environment: production
  serviceSpec:
    services:
      - name: my-external-service
        namespace: external-namespace
        template: external-service-1-0-0
        valuesFrom:
          configMapKeyRef:
            name: external-service-values
            key: values.yaml
    priority: 300

Ce mécanisme est particulièrement utile lorsque la configuration varie selon l’environnement ou doit être centralisée dans un ConfigMap (ou Secret).

4.6.2 Gestion des mises à jour avec Service Template Chain

Cet exemple montre deux versions d’un service et leur chaîne d’upgrade. Le ServiceTemplateChain permet de définir un chemin de mise à niveau entre la version 1.0.0 et 1.1.0 du service :

# ServiceTemplate pour la version 1.0.0
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplate
metadata:
  name: my-service-1-0-0
  namespace: my-app-namespace
spec:
  helm:
    chartSpec:
      chart: my-service
      version: 1.0.0
      interval: 10m0s
      sourceRef:
        kind: HelmRepository
        name: my-charts
---
# ServiceTemplate pour la version 1.1.0
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplate
metadata:
  name: my-service-1-1-0
  namespace: my-app-namespace
spec:
  helm:
    chartSpec:
      chart: my-service
      version: 1.1.0
      interval: 10m0s
      sourceRef:
        kind: HelmRepository
        name: my-charts
---
# Chaîne d'upgrade entre les deux versions
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplateChain
metadata:
  name: my-service-chain
  namespace: my-app-namespace
spec:
  supportedTemplates:
    - name: my-service-1-1-0
    - name: my-service-1-0-0
      availableUpgrades:
        - name: my-service-1-1-0

Ainsi, k0rdent saura qu’une mise à niveau de la version 1.0.0 vers 1.1.0 est disponible et pourra gérer ce processus de manière automatisée.

4.6.3 Insertion dynamique de valeurs via templating

La section values d'un ClusterDeployment injecte dynamiquement des informations spécifiques du cluster (récupérées via Sveltos) dans les valeurs du chart :

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: advanced-cluster
  namespace: kcm-system
spec:
  config:
    clusterLabels:
      environment: production
  serviceSpec:
    services:
      - name: my-app
        namespace: my-app-namespace
        template: my-app-1-0-0
        values: |
          app:
            controlPlaneHost: {{ .Cluster.spec.controlPlaneEndpoint.host }}
            controlPlanePort: "{{ .Cluster.spec.controlPlaneEndpoint.port }}"
            replicaCount: 3

Ici, les variables {{ .Cluster.spec.controlPlaneEndpoint.host }} et {{ .Cluster.spec.controlPlaneEndpoint.port }} seront remplacées par les informations du point d’accès du cluster lors du déploiement du service.

Dans cet exemple, nous déployons un service ingress-nginx sur des clusters ciblés par le label app: web.

On utilise le templating pour injecter dynamiquement une valeur extraite d'une annotation du cluster (par exemple, une adresse IP externe) dans les valeurs du chart

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: MultiClusterService
metadata:
  name: global-ingress-with-dynamic-values
spec:
  clusterSelector:
    matchLabels:
      app: web
  serviceSpec:
    services:
      - name: ingress-nginx
        namespace: ingress-nginx
        template: ingress-nginx-4-11-3
        values: |
          controller:
            replicaCount: 2
            service:
              externalTrafficPolicy: Local
              loadBalancerIP: {{ .Cluster.metadata.annotations.external-ip }}
    priority: 350

Ici, la syntaxe {{ .Cluster.metadata.annotations.external-ip }} permet de récupérer dynamiquement l’IP définie dans les annotations du cluster pour la passer au chart d’ingress-nginx

5 Conclusion

L'approche proposée par k0rdent, via l'utilisation des Services Template, Service Template Chain et MultiClusterService, offre une solution puissante pour simplifier la gestion des applications dans des environnements multi-clusters.

Ces outils permettent de définir des déploiements standardisés et versionnés à l'aide de charts Helm, tout en facilitant les mises à jour et l'extension des services sur l'ensemble des clusters ciblés.

En centralisant le contrôle et en automatisant le déploiement des services critiques, cette approche réduit non seulement le risque d'erreurs manuelles, mais améliore également l'agilité et la résilience de l'infrastructure Kubernetes.

Ainsi, en adoptant ces concepts, les équipes DevOps disposent d'un véritable levier pour optimiser la gestion et la scalabilité de leurs environnements complexes.

k0rdent on Azure

2025-02-13T10:00:00+01:00

k0rdent sur Azure avec AKS : Premiers pas

Les organisations doivent aujourd’hui faire face à une complexité croissante dans la gestion de leurs infrastructures. La centralisation du contrôle et l’automatisation des tâches récurrentes deviennent des impératifs pour assurer la scalabilité, la sécurité et l’efficacité opérationnelle.

C’est ici qu’intervient k0rdent, en offrant :

Un contrôle centralisé sur plusieurs clusters Kubernetes
Une approche déclarative qui permet de réutiliser des templates pour une cohérence inter-environnements
Une extensibilité facilitée grâce à des modules complémentaires (comme kcm pour la gestion du cycle de vie des clusters, ou kof pour l’observabilité)

Ce billet de blog détaille l’expérimentation de trois configurations de déploiement sur Azure en utilisant les templates préconçus par k0rdent.

1. Création d'un cluster d'administration

Pré-requis :

Une VM sur Azure 22.04.5 LTS, Jammy Jellyfish
Homebrew (/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)")
k0s (curl --proto '=https' --tlsv1.2 -sSf https://get.k0s.sh | sudo sh)
krew (brew install krew))
kubectl (brew install kubectl)
helm (brew install helm)
azure CLI (az) (brew install azure-cli)
jq (brew install jq)

1.1 Création du cluster d'administration

# Création du cluster d'un seul noeud
sudo k0s install controller --single

# Démarrage du cluster
sudo k0s start

# Aliasing
echo 'source <(kubectl completion bash)' >>~/.bashrc
echo 'alias k=kubectl' >>~/.bashrc
echo 'complete -o default -F __start_kubectl k' >>~/.bashrc
source ~/.bashrc

# Copie du kubeconfig 
mkdir ~/.kube
sudo cp /var/lib/k0s/pki/admin.conf ~/.kube/config
sudo chmod +r ~/.kube/config
sudo chown devops: /home/devops/.kube/config


# Installation des plugins krew
kubectl krew install ns 
kubectl krew install ctx 
kubectl krew install neat
kubectl krew install view-secret
kubectl krew install stern


kubectl get nodes

# Résultat : 
NAME          STATUS   ROLES           AGE     VERSION
herlec-icdc   Ready    control-plane   6m11s   v1.32.1+k0s

1.2 Installation de k0rdent

# Récupération des valeurs par défaut(au cas ou...)

helm inspect values oci://ghcr.io/k0rdent/kcm/charts/kcm > kcm-values.yaml

Interroge le chart Helm disponible dans le registre OCI (ici sur ghcr.io) pour récupérer les valeurs de configuration par défaut. Le résultat est ensuite redirigé vers le fichier kcm-values.yaml, que vous pourrez modifier si nécessaire.

# Installation du kcm
helm install kcm oci://ghcr.io/k0rdent/kcm/charts/kcm --version 0.1.0 -n kcm-system --create-namespace -f kcm-values.yaml

# Résultat : 

Pulled: ghcr.io/k0rdent/kcm/charts/kcm:0.1.0
Digest: sha256:accb6d1f9035d3dd46abbd86e10a7cd2c8bf235f8a77d079edeab58dfa9d38e8
NAME: kcm
LAST DEPLOYED: Thu Feb 13 08:02:08 2025
NAMESPACE: kcm-system
STATUS: deployed
REVISION: 1
TEST SUITE: None

Installe le chart Helm nommé kcm dans le namespace kcm-system (en créant le namespace si celui-ci n'existe pas) en utilisant la version 0.1.0 du chart. Elle applique également les configurations définies dans le fichier kcm-values.yaml pour personnaliser l'installation.

# Check du déploiement
kubectl get pods -n kcm-system 

# Cela peut prendre du temps pour avoir tous les composants installés, 
# car c'est le contrôleur qui les installe.
NAME                                                          READY   STATUS    RESTARTS   AGE
azureserviceoperator-controller-manager-6b4dd86894-gvz8c      1/1     Running   0          109s
capa-controller-manager-64bbcb9f8-gx5qz                       1/1     Running   0          94s
capi-controller-manager-66f8998ff5-tt9xd                      1/1     Running   0          3m4s
capo-controller-manager-588f45c7cf-57tr2                      1/1     Running   0          76s
capv-controller-manager-69f7fc65d8-pbgmt                      1/1     Running   0          64s
capz-controller-manager-544845f786-q24nd                      1/1     Running   0          109s
helm-controller-7644c4d5c4-98ff7                              1/1     Running   0          6m
k0smotron-controller-manager-bootstrap-9fc48d76f-558fw        2/2     Running   0          2m40s
k0smotron-controller-manager-control-plane-7df9bc7bf-hzlfv    2/2     Running   0          2m37s
k0smotron-controller-manager-infrastructure-f7f94dd76-vpv8t   2/2     Running   0          84s
kcm-cert-manager-895954d88-pmwd4                              1/1     Running   0          5m59s
kcm-cert-manager-cainjector-685ffdf549-kz2jn                  1/1     Running   0          6m
kcm-cert-manager-webhook-59ddc6b56-4ld68                      1/1     Running   0          6m
kcm-cluster-api-operator-8487958779-ln8qd                     1/1     Running   0          3m48s
kcm-controller-manager-7998cdb69-l7ksk                        1/1     Running   0          3m48s
kcm-velero-b68fd5957-xcnrs                                    1/1     Running   0          6m
source-controller-6cd7676f7f-25hnw                            1/1     Running   0          6m

# Verification que projectsveltos est déployé et fonctionnement
kubectl get ns

# Résultat : 
NAME              STATUS   AGE
default           Active   18m
k0s-autopilot     Active   17m
kcm-system        Active   8m37s
kube-node-lease   Active   18m
kube-public       Active   18m
kube-system       Active   18m
mgmt              Active   4m49s
projectsveltos    Active   5m16s


kubectl get po -n projectsveltos

# Résultat : 
kubectl get pods -n projectsveltos  
NAME                                     READY   STATUS    RESTARTS   AGE
access-manager-56696cc7f-plxns           1/1     Running   0          6m36s
addon-controller-7c98776c79-wqbjw        1/1     Running   0          6m36s
classifier-manager-7b85f96469-swwjk      1/1     Running   0          6m36s
event-manager-67f6db7f44-btvmj           1/1     Running   0          6m36s
hc-manager-6d579d675f-lnxvb              1/1     Running   0          6m36s
sc-manager-55c99d494b-7d5cx              1/1     Running   0          6m36s
shard-controller-5ff9cd796d-hsm48        1/1     Running   0          6m36s
sveltos-agent-manager-7467959f4f-vd2sb   1/1     Running   0          5m43s

Si Projectsveltos vous intéresse, vous pouvez consulter le blog d'Alter Way pour lire les articles à ce sujet.

1.3 Check des différents composant de k0rdent

Il faut que tout soit à true

kubectl get Management,providertemplate,clustertemplate -n kcm-system

# Résultats :

NAME                                  READY   RELEASE     AGE
management.k0rdent.mirantis.com/kcm   True    kcm-0-1-0   21m

NAME                                                                         VALID
providertemplate.k0rdent.mirantis.com/cluster-api-0-1-0                      true
providertemplate.k0rdent.mirantis.com/cluster-api-provider-aws-0-1-0         true
providertemplate.k0rdent.mirantis.com/cluster-api-provider-azure-0-1-0       true
providertemplate.k0rdent.mirantis.com/cluster-api-provider-openstack-0-1-0   true
providertemplate.k0rdent.mirantis.com/cluster-api-provider-vsphere-0-1-0     true
providertemplate.k0rdent.mirantis.com/k0smotron-0-1-0                        true
providertemplate.k0rdent.mirantis.com/kcm-0-1-0                              true
providertemplate.k0rdent.mirantis.com/projectsveltos-0-45-0                  true

NAME                                                                 VALID
clustertemplate.k0rdent.mirantis.com/adopted-cluster-0-1-0           true
clustertemplate.k0rdent.mirantis.com/aws-eks-0-1-0                   true
clustertemplate.k0rdent.mirantis.com/aws-hosted-cp-0-1-0             true
clustertemplate.k0rdent.mirantis.com/aws-standalone-cp-0-1-0         true
clustertemplate.k0rdent.mirantis.com/azure-aks-0-1-0                 true
clustertemplate.k0rdent.mirantis.com/azure-hosted-cp-0-1-0           true
clustertemplate.k0rdent.mirantis.com/azure-standalone-cp-0-1-0       true
clustertemplate.k0rdent.mirantis.com/openstack-standalone-cp-0-1-0   true
clustertemplate.k0rdent.mirantis.com/vsphere-hosted-cp-0-1-0         true
clustertemplate.k0rdent.mirantis.com/vsphere-standalone-cp-0-1-0     true

2. Usage sur Azure

2.1 Connexion à votre compte Azure

az login 

To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code C9EQUM9SG to authenticate.


Retrieving tenants and subscriptions for the selection...

# Choisir le tenant sur lequel vous allez manager vos AKS

# Verifier les providers disponibles
az provider list --query "[?registrationState=='Registered']" --output table | \
grep -e "Microsoft.Compute" \
-e "Microsoft.Network" \
-e "Microsoft.ContainerService" \
-e "Microsoft.ManagedIdentity" \
-e "Microsoft.Authorization"

# Résultats
Microsoft.Compute                   Registered           RegistrationRequired
Microsoft.Network                   Registered           RegistrationRequired
Microsoft.ContainerService          Registered           RegistrationRequired
Microsoft.ManagedIdentity           Registered           RegistrationRequired
Microsoft.Authorization             Registered           RegistrationFree

Si vous avez déjà créé un cluster AKS sur Azure tout devrait être déjà enregistré

Si ce n'est pas le cas utiliser la commande az provider register --namespace [nom du service]

Par exemple az provider register --namespace Microsoft.ContainerService

2.2 Récupérer les information de la souscription courante

export SUBSCRIPTION_ID=$(az account show --query id -o tsv)
export TENANT_ID=$(az account show --query tenantId -o tsv)

2.3 Création d'un compte de service avec le role contributeur sur la souscription

SP_INFO=$(az ad sp create-for-rbac --role contributor --scopes="/subscriptions/$SUBSCRIPTION_ID" --output json)

export AZURE_CLIENT_ID=$(echo $SP_INFO | jq -r '.appId')
export AZURE_CLIENT_SECRET=$(echo $SP_INFO | jq -r '.password')
export AZURE_TENANT_ID=$(echo $SP_INFO | jq -r '.tenant')

echo $AZURE_CLIENT_ID
echo $AZURE_CLIENT_SECRET
echo $AZURE_TENANT_ID

2.4 Création du secret pour l'authentification de kcm

kubectl apply -f- <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: azure-cluster-identity-secret
  namespace: kcm-system
  labels:
    k0rdent.mirantis.com/component: "kcm"
stringData:
  clientSecret: $AZURE_CLIENT_SECRET # Password retrieved from the Service Principal
type: Opaque
EOF

2.5 Création du secret azure-aks-credential (pour le template AKS)

kubectl apply -f- <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: azure-aks-credential
  namespace: kcm-system
  labels:
    k0rdent.mirantis.com/component: "kcm"
stringData:
  AZURE_CLIENT_ID: "${AZURE_CLIENT_ID}"
  AZURE_CLIENT_SECRET: "${AZURE_CLIENT_SECRET}"
  AZURE_SUBSCRIPTION_ID: "${SUBSCRIPTION_ID}"
  AZURE_TENANT_ID: "${AZURE_TENANT_ID}"
type: Opaque
EOF

# Résultat :
secret/azure-cluster-identity-secret created

# Vérifier le contenu du secret avec 
kubectl view-secret azure-cluster-identity-secret -n kcm-system

# Résultat :
Viewing only available key: clientSecret
xxxxxxxxxx

2.6 Création des authentifications pour k0rdent et capz.

Tout est fait par références ce qui permet de ne pas avoir de mot de passe dans les manifestes

kubectl apply -f- <<EOF
apiVersion: infrastructure.cluster.x-k8s.io/v1beta1
kind: AzureClusterIdentity
metadata:
  name: azure-cluster-identity
  namespace: kcm-system
  labels:
    clusterctl.cluster.x-k8s.io/move-hierarchy: "true"
    k0rdent.mirantis.com/component: "kcm"
spec:
  allowedNamespaces: {}
  clientID: $AZURE_CLIENT_ID
  clientSecret:
    name: azure-cluster-identity-secret
    namespace: kcm-system
  tenantID: $AZURE_TENANT_ID
  type: ServicePrincipal
EOF

# Résultat :
azureclusteridentity.infrastructure.cluster.x-k8s.io/azure-cluster-identity created

# Vérifier les informations
kubectl describe azureclusteridentity.infrastructure.cluster.x-k8s.io/azure-cluster-identity

2.7 Création des crédences pour kcm

Tout se fait par référence aussi

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: Credential
metadata:
  name: azure-cluster-identity-cred
  namespace: kcm-system
spec:
  identityRef:
    apiVersion: infrastructure.cluster.x-k8s.io/v1beta1
    kind: AzureClusterIdentity
    name: azure-cluster-identity
    namespace: kcm-system
EOF

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: Credential
metadata:
  name: azure-aks-credential
  namespace: kcm-system
spec:
  description: Azure AKS credentials
  identityRef:
    apiVersion: v1
    kind: Secret
    name: azure-aks-credential
    namespace: kcm-system
EOF


# Résultat :
credential.k0rdent.mirantis.com/azure-cluster-identity-cred created

# Check 
kubectl describe credential.k0rdent.mirantis.com/azure-cluster-identity-cred 

# Regardez les informations du status
Status:
  Conditions:
    Last Transition Time:  2025-02-13T09:44:25Z
    Message:               Credential is ready
    Reason:                Succeeded
    Status:                True
    Type:                  CredentialReady
  Ready:                   true

2.8 Choix de la localisation du cluster

Nous prendons par exemple northeurope. Prenez celle qui vous sied le mieux

2.9 Choix du template de cluster

kubectl get clustertemplate -n kcm-system | grep azure

# Résultat :
azure-aks-0-1-0                 true
azure-hosted-cp-0-1-0           true
azure-standalone-cp-0-1-0       true

azure-standalone-cp-0-1-0 : Permet de déployer un cluster k0s sur Azure
azure-hosted-cp-0-1-0 : Permet de déployer un cluster kubernetes dont le control plane est géré dans le cluster d'administration (k0smotron)
azure-aks-0-1-0 : Déploiement d'un cluster AKS classique

3. Test du template azure-aks-0-1-0

Objectif : Déployer un cluster Kubernetes managé via Azure Kubernetes Service (AKS). Cette approche tire parti de la robustesse d’AKS en termes de scalabilité, sécurité et intégration native avec les services Azure.

Points forts :

Simplicité de déploiement : Intégration directe avec le portail Azure et ses API. Gestion optimisée des ressources : Évolutivité automatique et surveillance native. Sécurité renforcée : Conformité aux standards Azure et mise à jour des correctifs gérée par Microsoft. Cas d’usage : Idéal pour des environnements de production nécessitant une haute disponibilité et une maintenance réduite, avec une prise en charge native par le cloud.

3.1 Création du déploiement du cluster

Notes : Faites bien attention au type des machines les nom sont sensible à la casse.

ex: standard_a4_v2 ne fonctionnera pas il faut avoir Standard_A4_v2

Pour connaitre tout les paramètres possible au niveau de l'attribut config il faut regarder le fichier values.yaml situé dans le répertoire templates/cluster/azure-aks du repo https://github.com/k0rdent/kcm.git

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: aks-by-k0rdent
  namespace: kcm-system
spec:
  template: azure-aks-0-1-0
  credential: azure-aks-credential
  propagateCredentials: false
  config:
    clusterLabels: {}
    location: "northeurope"
    machinePools:
      system:
        count: 1
        vmSize: Standard_A4_v2
      user:
        count: 1
        vmSize: Standard_A4_v2
EOF


# Résultats : 
clusterdeployment.k0rdent.mirantis.com/aks-by-k0rdent created

3.2 Suivi de la création du cluster

kubectl get clusterdeployment

# Résultat
NAME             READY   STATUS
aks-by-k0rdent   False   aks-by-k0rdent: Waiting for control plane provider to indicate the control plane has been initialized. aks-by-k0rdent. aks-by-k0rdent.

La clusterAPI crée l'insfrastructure Azure pour déployer l'AKS managé

kubectl get resourcegroups.resources.azure.com

# Résultat
NAME             READY   SEVERITY   REASON      MESSAGE
aks-by-k0rdent   True               Succeeded

On voit que le cluster AKS aks-by-k0rdent a bien été créé

kubectl get managedclusters
NAME             READY   SEVERITY   REASON      MESSAGE
aks-by-k0rdent   True               Succeeded

Node machinePools

kubectl get azureasomanagedmachinepools

# Résultat : 
NAME                    AGE
aks-by-k0rdent-system   18m
aks-by-k0rdent-user     18m

Au final on a :

kubectl get clusterdeployment

# Résultat :
NAME             READY   STATUS
aks-by-k0rdent   True    ClusterDeployment is ready

3.3 Récupération du kubeconfig

az aks get-credentials --resource-group aks-by-k0rdent --name aks-by-k0rdent --overwrite-existing -f aks-by-k0rdent.conf

3.4 Test du cluster

KUBECONFIG=aks-by-k0rdent.conf kubectl get nodes

# Résultat : 
NAME                                 STATUS   ROLES    AGE   VERSION
aks-systempool-34952453-vmss000000   Ready    <none>   14m   v1.31.1
aks-userpool-34952453-vmss000000     Ready    <none>   14m   v1.31.1

3.5 Nettoyage

kubectl delete clusterdeployments aks-by-k0rdent

Toutes les resources Azure créées sont supprimées

4. Test du Template azure-standalone-cp-0-1-0

Ce template permet de créer un cluster kubernetes standard le control plane et worker en VM.

Objectif : Déployer un cluster Kubernetes avec un control plane dédié, entièrement indépendant des services managés d’Azure. Cette configuration permet une personnalisation poussée et une isolation accrue des composants critiques.

Points forts :

Personnalisation avancée : Permet de définir des configurations spécifiques pour le control plane sans être limité par les contraintes d’un service managé. Isolation et sécurité : Un control plane autonome peut offrir une isolation renforcée, essentielle pour des environnements sensibles. Contrôle total sur la configuration : Les équipes peuvent affiner chaque aspect du déploiement pour répondre à des exigences précises. Cas d’usage : Particulièrement intéressant pour des scénarios où la personnalisation et l’optimisation fine du contrôle sont nécessaires, notamment dans des contextes de R&D ou d’infrastructures hybrides.

4.1 Création du manifeste de déploiement du cluster

export CLUSTER_DEPLOYMENT_NAME="standalone-cp-azure"

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: "${CLUSTER_DEPLOYMENT_NAME}"
  namespace: kcm-system
spec:
  template: azure-standalone-cp-0-1-0
  credential: azure-cluster-identity-cred
  propagateCredentials: true
  config:
    clusterLabels: {}
    controlPlaneNumber: 1
    workersNumber: 1
    location: "northeurope"
    subscriptionID: "${SUBSCRIPTION_ID}"
    clusterIdentity:
      name: "azure-cluster-identity"
    controlPlane:
      vmSize: Standard_A4_v2
    worker:
      vmSize: Standard_A4_v2
    #tenantID: "${AZURE_TENANT_ID}"
    #clientID: "${AZURE_CLIENT_ID}"
    #clientSecret: "${AZURE_CLIENT_SECRET}"
EOF

Dans ce cas, nous allons avoir la création sur azure d'un esemble de resource permettant d'avoir une cluster kubernetes complet : noeuds de "control plane" et worker. Dans notre cas 1 noued de control plane et 1 noeud worker.

Composants créés :

Ressource	Type
pip-standalone-cp-azure-apiserver	Public IP address
pip-standalone-cp-azure-node-natgw	Public IP address
standalone-cp-azure-controlplane-nsg	Network security group
standalone-cp-azure-cp-0	Virtual machine
standalone-cp-azure-cp-0-nic	Network Interface
standalone-cp-azure-cp-0_OSDisk	Disk
standalone-cp-azure-md-n5rsj-2kqvm	Virtual machine
standalone-cp-azure-md-n5rsj-2kqvm-nic	Network Interface
standalone-cp-azure-md-n5rsj-2kqvm_OSDisk	Disk
standalone-cp-azure-node-natgw	NAT gateway
standalone-cp-azure-node-nsg	Network security group
standalone-cp-azure-node-routetable	Route table
standalone-cp-azure-public-lb	Load balancer
standalone-cp-azure-vnet	Virtual network

4.2 Vérifications

kubectl get resourcegroups,virtualnetworks,virtualnetworkssubnets,natgateways

# Résultat :
NAME                                                    READY   SEVERITY   REASON      MESSAGE
resourcegroup.resources.azure.com/standalone-cp-azure   True               Succeeded

NAME                                                        READY   SEVERITY   REASON      MESSAGE
virtualnetwork.network.azure.com/standalone-cp-azure-vnet   True               Succeeded

NAME                                                                                                       READY   SEVERITY   REASON      MESSAGE
virtualnetworkssubnet.network.azure.com/standalone-cp-azure-vnet-standalone-cp-azure-controlplane-subnet   True               Succeeded
virtualnetworkssubnet.network.azure.com/standalone-cp-azure-vnet-standalone-cp-azure-node-subnet           True               Succeeded

NAME                                                          READY   SEVERITY   REASON      MESSAGE
natgateway.network.azure.com/standalone-cp-azure-node-natgw   True               Succeeded

kubectl get azuremachines

# Résultat :
NAME                                 READY   SEVERITY   REASON                    STATE       AGE
standalone-cp-azure-cp-0             False   Info       Creating                  Succeeded   85s
standalone-cp-azure-md-jmnmx-qrqxt   False   Info       WaitingForBootstrapData               67s

devops@herlec-icdc:~$ kubectl get azuremachines

# Résultat :
NAME                                 READY   SEVERITY   REASON     STATE       AGE
standalone-cp-azure-cp-0             True                          Succeeded   3m3s
standalone-cp-azure-md-jmnmx-qrqxt   False   Info       Creating   Succeeded   2m45s

kubectl get azuremachines


# Résultat :
NAME                                 READY   SEVERITY   REASON   STATE       AGE
standalone-cp-azure-cp-0             True                        Succeeded   21m
standalone-cp-azure-md-n5rsj-2kqvm   True                        Succeeded   20m

kubectl get clusterdeployments

# Résultat :
NAME                  READY   STATUS
standalone-cp-azure   True    ClusterDeployment is ready

4.3 Récupération du kubeconfig

kubectl get standalone-cp-azure-kubeconfig -n kcm-system

# Utilisation du plugin view-secret

kubectl view-secret standalone-cp-azure-kubeconfig -n kcm-system > kubeconfig.yaml

4.4 Test du cluster

KUBECONFIG=kubeconfig.yaml kubectl get nodes

# Résultat :
NAME                                 STATUS   ROLES           AGE   VERSION
standalone-cp-azure-cp-0             Ready    control-plane   25m   v1.31.5+k0s
standalone-cp-azure-md-n5rsj-2kqvm   Ready    <none>          25m   v1.31.5+k0s

KUBECONFIG=kubeconfig.yaml kubectl get po -A
NAMESPACE        NAME                                        READY   STATUS             RESTARTS       AGE
kube-system      calico-kube-controllers-6cd7d8cc9f-bpfzh    1/1     Running            0              27m
kube-system      calico-node-4cpmm                           1/1     Running            0              27m
kube-system      calico-node-ktjxt                           1/1     Running            0              26m
kube-system      cloud-controller-manager-765494fb6f-b67bb   0/1     CrashLoopBackOff   9 (58s ago)    27m
kube-system      cloud-node-manager-8qpvz                    1/1     Running            0              27m
kube-system      cloud-node-manager-hvzc8                    1/1     Running            0              26m
kube-system      coredns-645c5d6f5b-m7jxq                    1/1     Running            0              26m
kube-system      coredns-645c5d6f5b-qnnzg                    1/1     Running            0              26m
kube-system      csi-azuredisk-controller-54ff6d4cb7-h4sg5   1/6     CrashLoopBackOff   21 (76s ago)   5m12s
kube-system      csi-azuredisk-controller-54ff6d4cb7-ppggp   1/6     CrashLoopBackOff   21 (75s ago)   5m12s
kube-system      csi-azuredisk-node-fz4x6                    3/3     Running            0              5m12s
kube-system      csi-azuredisk-node-q5pj8                    3/3     Running            0              5m12s
kube-system      kube-proxy-dbq2r                            1/1     Running            0              26m
kube-system      kube-proxy-hvtkv                            1/1     Running            0              27m
kube-system      metrics-server-78c4ccbc7f-6ng5r             1/1     Running            0              27m
projectsveltos   sveltos-agent-manager-789964cb68-6vqtk      1/1     Running            0              27m

4.5 Gestion des erreurs

pour le cloud-controller-manager

Run: Cloud provider azure could not be initialized dynamically from secret kube-system/azure-cloud-
provider: NewCloudFromSecret: failed to get config from secret kube-system/azure-cloud-provider: secrets "azure-cloud-provider" not found

La doc n'est pas claire sur ce sujet : (https://docs.k0rdent.io/latest/admin-credentials/?h=cloud+controller+manager#cloud-provider-credentials-propagation)

4.6 Tentative de patching à la main

kubectl view-secret standalone-cp-azure-cp-mt-azure-json

J'ai créé sur le cluster le secret azure-cloud-provider dans le ns kube-system avec les information suivantes :

KUBECONFIG=kubeconfig.yaml kubectl apply -f- <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: azure-cloud-provider
  namespace: kube-system
type: Opaque
stringData:
  cloud-config: |-
    {
    "cloud": "AzurePublicCloud",
    "tenantId": "${AZURE_TENANT_ID}",
    "subscriptionId": "${AZURE_SUBSCRIPTION_ID}",
    "aadClientId": "${AZURE_CLIENT_ID}",
    "aadClientSecret": "${AZURE_CLIENT_SECRET}",
    "resourceGroup": "${CLUSTER_DEPLOYMENT_NAME}",
    "securityGroupName": "${CLUSTER_DEPLOYMENT_NAME}-node-nsg",
    "securityGroupResourceGroup": "${CLUSTER_DEPLOYMENT_NAME}",
    "location": "northeurope",
    "vmType": "vmss",
    "vnetName": "${CLUSTER_DEPLOYMENT_NAME}-vnet",
    "vnetResourceGroup": "${CLUSTER_DEPLOYMENT_NAME}",
    "subnetName": "${CLUSTER_DEPLOYMENT_NAME}-node-subnet",
    "routeTableName": "${CLUSTER_DEPLOYMENT_NAME}-node-routetable",
    "loadBalancerSku": "Standard",
    "loadBalancerName": "",
    "maximumLoadBalancerRuleCount": 250,
    "useManagedIdentityExtension": false,
    "useInstanceMetadata": true
    }

EOF

KUBECONFIG=kubeconfig.yaml  kubectl delete po -n kube-system -l component=cloud-controller-manager
KUBECONFIG=kubeconfig.yaml  kubectl delete po -n kube-system -l app=csi-azuredisk-node

KUBECONFIG=kubeconfig.yaml kubectl get po -n kube-system

# Résultat 

NAME                                        READY   STATUS    RESTARTS   AGE
calico-kube-controllers-6cd7d8cc9f-ldl9q    1/1     Running   0          82m
calico-node-fwssw                           1/1     Running   0          82m
calico-node-t5ppw                           1/1     Running   0          81m
cloud-controller-manager-765494fb6f-5c5kk   1/1     Running   0          14m
cloud-node-manager-j4f4f                    1/1     Running   0          81m
cloud-node-manager-kmkfn                    1/1     Running   0          82m
coredns-645c5d6f5b-mnnfz                    1/1     Running   0          81m
coredns-645c5d6f5b-wkfrb                    1/1     Running   0          81m
csi-azuredisk-controller-54ff6d4cb7-6bfr5   6/6     Running   0          13m
csi-azuredisk-controller-54ff6d4cb7-jm2rj   6/6     Running   0          13m
csi-azuredisk-node-ckvd4                    3/3     Running   0          30m
csi-azuredisk-node-ps79t                    3/3     Running   0          30m
kube-proxy-fk7mt                            1/1     Running   0          81m
kube-proxy-nqvcd                            1/1     Running   0          82m
metrics-server-78c4ccbc7f-5hvpb             1/1     Running   0          82m

All Good !

Fin du test azure-standalone-cp-0-1-0

4.7 Cleaning

kubectl delete clusterdeployment standalone-cp-azure

# Résultat :

clusterdeployment.k0rdent.mirantis.com "standalone-cp-azure" deleted

# CA PREND DU TEMPS ! (Nettoyage de toutes les ressources Azure)

5. Test du template azure-hosted-cp-0-1-0

En pré-requis il faut du stockage sur le cluster de management

Je vais faire très simple et installer localpath-provisioner de rancher

kubectl apply -f https://raw.githubusercontent.com/rancher/local-path-provisioner/v0.0.31/deploy/local-path-storage.yaml

kubectl patch storageclass local-path -p '{"metadata": {"annotations":{"storageclass.kubernetes.io/is-default-class":"true"}}}'

Ce template permet de créer un cluster kubernetes dont le control plane est managé par k0smotron dans le cluster de management. Les workers sont déployés sous forme de VMs Azure.

Le cluster de management se trouve dans un resource group qui s'appelle aaaaa-herlec-icdc

J'ai :

un vnet : herlec-icdc-vnet
un subnet : default
un nsg : herlec-icdc-nsg
une route table herlec-icdc-routetable

5.1 Création du manifeste de déploiement du cluster

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: azure-hosted-cp
spec:
  template: azure-hosted-cp-0-1-0
  credential: azure-cluster-identity-cred
  config:
    clusterLabels: {}
    location: "westeurope"
    subscriptionID: "${AZURE_SUBSCRIPTION_ID}"
    vmSize: Standard_A4_v2
    workersNumber: 2
    resourceGroup: aaaaa-herlec-icdc
    network:
      vnetName: herlec-icdc-vnet
      nodeSubnetName: default
      routeTableName: herlec-icdc-routetable
      securityGroupName: herlec-icdc-nsg
    k0smotron:
      service:
        type: ClusterIP
        #apiPort: 30443
        #konnectivityPort: 30132
EOF

J'ai une erreur concernant k0smotron qui n'a pas d'adresse IP sur son service loadbalancer. Il faudra que je regarde si au niveau du déploiement on peut gérer ce paramètre. Je vais la forcer avec l'adresse ip publique et privée de ma VM.

kubectl get svc mc-azure-hosted-cp-lb -n kcm-system

# Résultat :

mc-azure-hosted-cp-lb       LoadBalancer   10.104.136.148   <pending>     6443:30661/TCP,8132:30619/TCP   58m

Patching

kubectl patch svc kmc-azure-hosted-cp-lb --type='merge' -p '{"spec":{"externalIPs":["10.0.0.4", "13.xx.xx.xx"]}}'

kubectl get svc mc-azure-hosted-cp-lb -n kcm-system

# Résultat :
kmc-azure-hosted-cp-lb       LoadBalancer   10.104.136.148   10.0.0.4,13.xxx.xx.xx   6443:30661/TCP,8132:30619/TCP   64m

5.2 Méthode alternative

Même comme ca, en forçant l'adresse IP sur l'ip publique de la VM ca ne marche pas.

Je vais donc redéployer kcml sur un cluster d'administration basé sur AKS. de cette manière l'intégration à l'eco-système Azure sera plus simple. Stockage, loadbalancers.

Je vais créer un vnet, subnet, Route table et un nsg

- resourcegroup   :   001-kcm-k8s-hosted-cp
- un vnet         :   001-kcm-k8s-hosted-cp-vnet
- un subnet       :   001-kcm-k8s-hosted-cp-subnet-001
- un nsg          :   001-kcm-k8s-hosted-cp-nsg-001
- une route table :   001-kcm-k8s-hosted-cp-rt-001

kubectl apply -f- <<EOF
apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: 001-kcm-k8s-hosted-cp
spec:
  template: azure-hosted-cp-0-1-0
  credential: azure-cluster-identity-cred
  config:
    clusterLabels: {}
    location: "northeurope"
    subscriptionID: "${AZURE_SUBSCRIPTION_ID}"
    vmSize: Standard_A4_v2
    workersNumber: 2
    resourceGroup: 001-kcm-k8s-hosted-cp
    network:
      vnetName: 001-kcm-k8s-hosted-cp-vnet
      nodeSubnetName: 001-kcm-k8s-hosted-cp-subnet-001
      routeTableName: 001-kcm-k8s-hosted-cp-rt-001
      securityGroupName: 001-kcm-k8s-hosted-cp-nsg-001
EOF

J'ai bien la création d'un loadbalancer pour le control plane géré par k0smotron

kmc-001-kcm-k8s-hosted-cp-lb  LoadBalancer   10.0.228.50    135.x.x.9   6443:32191/TCP,8132:30190/TCP  

# Test curl 
curl -k https://135.x.x.9:6443

# Résultat :
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
  "message": "Unauthorized",
  "reason": "Unauthorized",
  "code": 401
}

C'est OK!

5.3 Récupération du kubeconfig

kubectl view-secret 001-kcm-k8s-hosted-cp-kubeconfig -n kcm-system > 001-kcm-k8s-hosted-cp.conf


# Vérifications 
KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl get nodes 
No resources found


KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl get po -A

# Résultats
NAMESPACE        NAME                                        READY   STATUS    RESTARTS   AGE
kube-system      calico-kube-controllers-6cd7d8cc9f-k8xd7    0/1     Pending   0          48s
kube-system      cloud-controller-manager-668b5cf9b6-trzsv   0/1     Pending   0          48s
kube-system      coredns-7b7b486b6c-vjh7v                    0/1     Pending   0          49s
kube-system      metrics-server-78c4ccbc7f-kcmqs             0/1     Pending   0          48s
projectsveltos   sveltos-agent-manager-7c967bfdd5-7c4d9      0/1     Pending   0          24s


# Aucun des pods n'est prets !

Quand on regarde la documentation il y a une note qui n'est pas clair, car on ne sait pas quand il faut patcher la resource azurecluster

Référence : https://docs.k0rdent.io/v0.1.0/template-azure/

kubectl get azurecluster

# Résultat :

NAME                    CLUSTER                 READY   REASON   AGE
001-kcm-k8s-hosted-cp   001-kcm-k8s-hosted-cp                    3m21s

J'ai donc patché la resource pour voir si ca changeait quelque chose 😀

kubectl patch azurecluster 001-kcm-k8s-hosted-cp  --type=merge --subresource status --patch 'status: {ready: true}'

# Résultat :
azurecluster.infrastructure.cluster.x-k8s.io/001-kcm-k8s-hosted-cp patched

Et ... ca fonctionne !!!

J'ai bien 2 vm qui sont provisionnées

Maintenant on a :

KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl get po -A

NAMESPACE        NAME                                        READY   STATUS             RESTARTS       AGE
kube-system      calico-kube-controllers-6cd7d8cc9f-pvvwh    1/1     Running            0              86m
kube-system      calico-node-2wfrf                           1/1     Running            0              4m9s
kube-system      calico-node-tw7vs                           1/1     Running            0              4m10s
kube-system      cloud-controller-manager-668b5cf9b6-k9jx4   0/1     CrashLoopBackOff   3 (41s ago)    6m26s
kube-system      cloud-node-manager-nllzg                    1/1     Running            0              4m10s
kube-system      cloud-node-manager-vl2j8                    1/1     Running            0              4m9s
kube-system      coredns-645c5d6f5b-2tldj                    1/1     Running            0              3m59s
kube-system      coredns-645c5d6f5b-cv4nz                    1/1     Running            0              3m59s
kube-system      csi-azuredisk-controller-54ff6d4cb7-44q7b   4/6     CrashLoopBackOff   12 (23s ago)   2m41s
kube-system      csi-azuredisk-controller-54ff6d4cb7-k6zvx   3/6     CrashLoopBackOff   12 (8s ago)    2m41s
kube-system      csi-azuredisk-node-4p268                    3/3     Running            0              2m41s
kube-system      csi-azuredisk-node-qjp8j                    3/3     Running            0              2m41s
kube-system      konnectivity-agent-j4r4n                    1/1     Running            0              4m10s
kube-system      konnectivity-agent-j7lng                    1/1     Running            0              4m9s
kube-system      kube-proxy-nq7z6                            1/1     Running            0              4m9s
kube-system      kube-proxy-s6m2s                            1/1     Running            0              4m10s
kube-system      metrics-server-78c4ccbc7f-qdz88             1/1     Running            0              86m
projectsveltos   sveltos-agent-manager-665b9479b8-8mmm4      1/1     Running            0              86m

Il va falloir fixer encore le cloud-controller-manager comme à l'étape précédente

export CLUSTER_DEPLOYMENT_NAME="001-kcm-k8s-hosted-cp"
export LOCATION="northeurope"

KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl apply -f- <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: azure-cloud-provider
  namespace: kube-system
type: Opaque
stringData:
  cloud-config: |-
    {
    "cloud": "AzurePublicCloud",
    "tenantId": "${AZURE_TENANT_ID}",
    "subscriptionId": "${AZURE_SUBSCRIPTION_ID}",
    "aadClientId": "${AZURE_CLIENT_ID}",
    "aadClientSecret": "${AZURE_CLIENT_SECRET}",
    "resourceGroup": "${CLUSTER_DEPLOYMENT_NAME}",
    "securityGroupName": "${CLUSTER_DEPLOYMENT_NAME}-nsg-001",
    "securityGroupResourceGroup": "${CLUSTER_DEPLOYMENT_NAME}",
    "location": "${LOCATION}",
    "vmType": "vmss",
    "vnetName": "${CLUSTER_DEPLOYMENT_NAME}-vnet",
    "vnetResourceGroup": "${CLUSTER_DEPLOYMENT_NAME}",
    "subnetName": "${CLUSTER_DEPLOYMENT_NAME}-subnet-001",
    "routeTableName": "${CLUSTER_DEPLOYMENT_NAME}-rt-001",
    "loadBalancerSku": "Standard",
    "loadBalancerName": "",
    "maximumLoadBalancerRuleCount": 250,
    "useManagedIdentityExtension": false,
    "useInstanceMetadata": true
    }

EOF

Je provoque un redémarrage des pods du namespace kube-system

KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl -n kube-system  rollout restart deploy cloud-controller-manager csi-azuredisk-controller calico-kube-controllers metrics-server coredns
deployment.apps/cloud-controller-manager restarted
deployment.apps/csi-azuredisk-controller restarted
deployment.apps/calico-kube-controllers restarted
deployment.apps/metrics-server restarted
deployment.apps/coredns restarted


# Vérifications :

KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl get po -A

NAMESPACE        NAME                                        READY   STATUS    RESTARTS   AGE
kube-system      calico-kube-controllers-555f4ffcbc-ks7r5    1/1     Running   0          10s
kube-system      calico-node-mvqms                           1/1     Running   0          18m
kube-system      calico-node-rcztl                           1/1     Running   0          19m
kube-system      cloud-controller-manager-8d7d987f8-jpx4n    1/1     Running   0          13s
kube-system      cloud-node-manager-ltz8t                    1/1     Running   0          8m32s
kube-system      cloud-node-manager-msnw6                    1/1     Running   0          8m32s
kube-system      coredns-645c5d6f5b-cfkt2                    1/1     Running   0          9m36s
kube-system      coredns-6c4b58d497-685fl                    0/1     Pending   0          12s
kube-system      coredns-6c4b58d497-kw87j                    0/1     Running   0          12s
kube-system      csi-azuredisk-controller-54ff6d4cb7-rrm4n   6/6     Running   0          8m20s
kube-system      csi-azuredisk-controller-54ff6d4cb7-rs7mf   6/6     Running   0          8m20s
kube-system      csi-azuredisk-controller-7c45dc7f7f-twc89   0/6     Pending   0          13s
kube-system      csi-azuredisk-node-vlc2b                    3/3     Running   0          8m20s
kube-system      csi-azuredisk-node-zsfdj                    3/3     Running   0          8m20s
kube-system      konnectivity-agent-pxrv2                    1/1     Running   0          9m34s
kube-system      konnectivity-agent-x5spn                    1/1     Running   0          9m34s
kube-system      kube-proxy-59rb9                            1/1     Running   0          18m
kube-system      kube-proxy-n5wp6                            1/1     Running   0          18m
kube-system      metrics-server-5b9b76db47-tqk67             0/1     Running   0          12s
kube-system      metrics-server-78c4ccbc7f-w8phh             1/1     Running   0          7m11s
projectsveltos   sveltos-agent-manager-7c967bfdd5-7c4d9      1/1     Running   0          28m

Maintenant tout est Okubectl !

5.4 Test du cluster créé

KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl  create deploy web --image nginx -n default
KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl  expose deploy web --type LoadBalancer -n default --port 80

KUBECONFIG=001-kcm-k8s-hosted-cp.conf kubectl  get deploy,svc -n default

# Résultats :
NAME                  READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/web   1/1     1            1           3m22s

NAME                 TYPE           CLUSTER-IP      EXTERNAL-IP     PORT(S)        AGE
service/kubernetes   ClusterIP      10.96.0.1       <none>          443/TCP        34m
service/web          LoadBalancer   10.101.53.225   4.208.216.226   80:32732/TCP   2m14s

Le cloud controller fonctionne bien il a créé un loadbalancer qui pointe sur les vm du cluster kubernetes

5.5 Test de l'accès au service web

curl -s -o /dev/null -I -w "%{http_code}" 4.208.216.226 

200%

Le déprovisionnement fonctionne aussi très bien le loadbalancer ainsi que l'adresse ip publique sont bien supprimés

5.6 Cleaning

# Très important !  

kubectl patch azurecluster 001-kcm-k8s-hosted-cp  --type=merge --patch 'metadata: {finalizers: [manual]}'

kubectl delete clusterdeployment 001-kcm-k8s-hosted-cp

# CA PREND DU TEMPS ! (Nettoyage de toutes les ressources Azure)

# Libérer la resource pour sa suppression 

kubectl patch azurecluster 001-kcm-k8s-hosted-cp --type=json -p='[{"op": "remove", "path": "/metadata/finalizers/0"}]'

6. Conclusions

k0rdent (kcm) démontre sa capacité à simplifier considérablement le déploiement et la gestion de clusters Kubernetes sur Azure. Que ce soit pour des clusters AKS entièrement managés, des clusters k0s autonomes, ou des clusters avec un plan de contrôle hébergé, k0rdent offre une abstraction puissante grâce à l'intégration de Cluster API.

L'automatisation fournie par k0rdent réduit la complexité, accélère les déploiements, et permet aux équipes de se concentrer sur leurs applications plutôt que sur l'infrastructure sous-jacente.

L'utilisation de templates préconfigurés et la gestion centralisée des identifiants facilitent grandement l'adoption de Kubernetes sur Azure.

Context-Aware Identity Management (avec Kyverno)

2025-02-10T12:00:00+01:00

Beyond the Static Gates

Salut les passionnés de Kubernetes !

Soyons réalistes, RBAC dans Kubernetes, bien qu'essentiel, peut donner l'impression d'avoir un videur qui ne vérifie que les cartes d'identité sans se soucier de savoir si vous êtes sur le point de causer des problèmes.

Il vous fait passer la porte, mais il ne sait rien de vous ni pourquoi vous êtes là maintenant.

Imaginez ceci : un développeur accède accidentellement à une base de données de production depuis son réseau domestique à 3 heures du matin. RBAC dit : "Oui, vous avez le rôle", mais il passe complètement à côté des signaux d'alerte criant "Violation de sécurité potentielle !"

C'est là que la gestion des identités contextuelles (Context-Aware Identity Management - CAIM) entre en jeu.

C'est comme donner à votre videur un badge de détective, la capacité de lire dans les pensées et peut-être une API de vérification des antécédents.

CAIM vous permet de contrôler l'accès aux ressources Kubernetes en fonction du contexte de la requête - qui, quoi, quand, où, comment... tout.

Il ne s'agit pas seulement de renforcer la sécurité, mais d'ajouter une couche de sécurité intelligente qui comprend les nuances de votre environnement et s'adapte dynamiquement aux menaces potentielles.

Prêt à passer à la vitesse supérieure en matière de sécurité Kubernetes ? Plongeons-nous dedans !

Le Problème avec RBAC Seul : Des Rôles Statiques dans un Monde Dynamique

Le contrôle d'accès basé sur les rôles (RBAC) de Kubernetes est le fondement de l'autorisation. Nous définissons des Rôles (quelles actions peuvent être effectuées) et des RoleBindings (qui peut effectuer ces actions). Solide, n'est-ce pas ?

Pas tout à fait. Considérez ces limitations :

Manque de Contrôle Granulaire : RBAC a du mal à appliquer des politiques précises. Pouvez-vous facilement dire : "Les développeurs de l'équipe A peuvent seulement lire les logs de production pendant les sessions de débogage" ? C'est complexe.
Nature Statique : Les permissions sont fixes. Elles ne s'adaptent pas en fonction de l'heure, du lieu ou du périphérique. Un compte compromis a les mêmes permissions, peu importe où ou quand il est utilisé.
Cauchemar de la Gestion des Exceptions : Besoin d'accorder un accès temporaire à une ressource spécifique pour une durée limitée ? RBAC rend cela lourd et sujet aux erreurs.

RBAC fournit une base de sécurité de base, mais ce n'est tout simplement pas suffisant pour les environnements complexes et à enjeux élevés d'aujourd'hui. Nous avons besoin de quelque chose de plus intelligent.

L'Identité Contextuelle : L'Autorisation avec un Cerveau

La gestion des identités contextuelles fait passer l'autorisation au niveau supérieur. Au lieu de faire confiance aveuglément aux rôles, elle évalue une requête en fonction d'un ensemble riche d'attributs contextuels :

Contexte de l'Utilisateur : Rôle, appartenances aux groupes, fonction, département, habilitation de sécurité.
Contexte de la Ressource : Type de ressource, étiquettes, espace de noms, niveau de sensibilité.
Contexte Temporel : Heure de la journée, jour de la semaine, fenêtres de maintenance.
Contexte Géographique : Localisation de l'utilisateur, adresse IP d'origine, segment de réseau.
Contexte du Périphérique : Type de périphérique, système d'exploitation, posture de sécurité (par exemple, statut de l'antivirus).
Contexte des Menaces : Flux d'informations sur les menaces en temps réel, scores de détection d'anomalies.

Avec CAIM, vous pouvez définir des politiques comme celles-ci :

"Autoriser l'accès à la base de données de production uniquement depuis le réseau d'entreprise, pendant les heures de bureau, et uniquement aux membres du groupe 'administrateurs-de-base-de-données'."
"Refuser l'accès aux données sensibles des clients à partir de tout périphérique qui n'est pas conforme aux politiques de sécurité de l'entreprise (par exemple, absence d'antivirus ou OS obsolète)."
"Escalader automatiquement les permissions lors d'un incident de sécurité en fonction du niveau de gravité."

Techniquement comment faire ?

Prenons un exemple : Use case : Un utilisateur ne peux acceder aux resources d'un certain namespace seulement entre 8h et 19h

Voici une approche détaillée et plusieurs solutions pour implémenter une gestion d'identité contextuelle dans Kubernetes, en mettant l'accent sur notre exemple de restriction horaire :

Défis avec Kubernetes RBAC Standard

Le RBAC (Role-Based Access Control) natif de Kubernetes est puissant pour gérer l'autorisation basée sur les rôles. Cependant, il est limité pour la gestion contextuelle. Le RBAC standard ne permet pas nativement de :

Définir des conditions temporelles dans les règles RBAC.
Intégrer facilement des sources de contexte externes (localisation, appareil, etc.).

Solutions pour la CAIM dans Kubernetes

Pour implémenter la CAIM, vous devrez étendre les capacités de Kubernetes. Voici les approches principales :

1. Admission Webhooks (Authorization Webhooks) Personnalisés

Principe : Vous pouvez créer un webhook d'admission d'autorisation personnalisé. Kubernetes interrogera ce webhook avant d'autoriser une requête à l'API server. Votre webhook peut alors examiner le contexte (y compris l'heure) et décider d'autoriser ou non l'accès.
Avantages :
- Flexibilité totale : Vous contrôlez entièrement la logique de décision d'autorisation.
- Intégration native : Utilise les mécanismes d'extension de Kubernetes.
Inconvénients :
- Complexité de développement : Vous devez développer et maintenir le webhook personnalisé.
- Performance : Un webhook mal optimisé peut impacter la performance de l'API server.
Exemple Conceptuel (Webhook) pour la restriction horaire :

   # Logique du webhook (simplifiée, conceptuelle)
   import datetime

   def authorize_request(request):
       current_hour = datetime.datetime.now().hour
       namespace = request.namespace
       user = request.userInfo.username

       if namespace == "mon-namespace" and (current_hour < 8 or current_hour >= 19):
           # Refuser l'accès en dehors des heures autorisées pour ce namespace
           return {"allowed": False, "reason": "Accès refusé en dehors des heures de bureau (8h-19h)"}
       else:
           # Laisser Kubernetes RBAC standard gérer l'autorisation ensuite
           return {"allowed": True}

Mise en œuvre (points clés) :

Développement du webhook : Écrire le service webhook (en Go, Python, etc.) qui contient la logique d'autorisation contextuelle.
Déploiement du webhook : Déployer le service webhook dans votre cluster Kubernetes.
Configuration de l'Admission Controller : Configurer un ValidatingWebhookConfiguration ou MutatingWebhookConfiguration dans Kubernetes pour intercepter les requêtes d'autorisation et les envoyer à votre webhook. Il faut spécifier quels types de requêtes (par exemple, create, update, delete) et quelles ressources (par exemple, pods, deployments) doivent être interceptées.
Sécurité : Sécuriser la communication entre l'API server et le webhook (TLS, authentification).

2. Utilisation d'un Policy Engine (OPA - Open Policy Agent ou Kyverno)

Principe : Utiliser un moteur de politiques externe comme OPA ou Kyverno. Ces outils sont conçus pour appliquer des politiques complexes et contextuelles. Ils s'intègrent bien avec Kubernetes via des admission controllers.
Avantages :
- Langage de politique dédié : OPA utilise Rego, Kyverno utilise YAML (plus simple). Ces langages sont conçus pour exprimer des politiques complexes de manière déclarative.
- Gestion centralisée des politiques : OPA et Kyverno permettent de gérer les politiques de manière centralisée et versionnée.
- Auditabilité : Facilitent l'audit des décisions d'autorisation.
- Communauté et maturité : OPA et Kyverno sont des projets open source actifs et matures.
Inconvénients :
- Courbe d'apprentissage (OPA/Rego) : Rego peut être un peu complexe à apprendre au début. Kyverno est plus simple.
- Déploiement et gestion supplémentaires : Il faut déployer et gérer le moteur de politiques (OPA ou Kyverno) dans le cluster.
Exemple OPA (Rego) pour la restriction horaire :

   package kubernetes.admission

   import time

   # Politique de restriction horaire pour le namespace "mon-namespace"
   deny[msg] {
       input.namespace.metadata.name == "mon-namespace"
       not is_within_business_hours

       msg := "Accès refusé en dehors des heures de bureau (8h-19h) pour le namespace 'mon-namespace'"
   }

   is_within_business_hours {
       hour := time.now_in_zone("Europe/Paris").hour 
       hour >= 8
       hour < 19
   }

Exemple Kyverno (YAML) pour la restriction horaire :

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: deny-outside-business-hours
  namespace: kyverno
spec:
  background: false
  validationFailureAction: Enforce
  rules:
  - name: check-business-hours
    match:
      any:
      - resources:
          kinds: ["*"]
          namespaces:
          - mon-namespace
    validate:
      message: "Accès refusé en dehors des heures de bureau (8h-19h)"
      deny:
        conditions:
          any:
          - key: '{{ time_now_utc().time_to_cron(@).split(@,'' '') | [1].to_number(@) }}'
            operator: LessThan
            value: 6
          - key: '{{ time_now_utc().time_to_cron(@).split(@,'' '') | [1].to_number(@) }}'
            operator: GreaterThan
            value: 17

J'ai une préférence depuis tout le temps pour Kyverno, donc je vais illustrer cette implémentation avec cet outil.

Installation de Kyverno via Helm

helm repo add kyverno https://kyverno.github.io/kyverno/
helm repo update
helm install kyverno kyverno/kyverno -n kyverno --create-namespace

Création d'un namespace de test

kubectl create namespace mon-namespace

Création de la ClusterPolicy

kubectl apply -f- <<EOF
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: deny-outside-business-hours
  namespace: kyverno
spec:
  background: false
  validationFailureAction: Enforce
  rules:
  - name: check-business-hours
    match:
      any:
      - resources:
          kinds: ["*"] # Ciblage des resources de tous les types (pods, deployments, etc.)
          namespaces:
          - mon-namespace
    validate:
      message: "Accès refusé en dehors des heures de bureau (8h-19h)"
      deny:
        conditions:
          any:
          - key: '{{ time_now_utc().time_to_cron(@).split(@,'' '') | [1].to_number(@) }}'
            operator: LessThan
            value: 6
          - key: '{{ time_now_utc().time_to_cron(@).split(@,'' '') | [1].to_number(@) }}'
            operator: GreaterThan
            value: 17
EOF

{{ time_now_utc().time_to_cron(@).split(@,'' '') | [1].to_number(@) }}

Cette expression JMESPath dans Kyverno fait plusieurs opérations :

time_now_utc() : récupère l'heure UTC actuelle
time_to_cron(@) : convertit cette heure en format cron
split(@,' ') : divise la chaîne cron en tableau en utilisant l'espace comme séparateur
[1] : sélectionne le deuxième élément (index 1) qui représente l'heure
to_number(@) : convertit cette heure en nombre

Par exemple, si l'heure est 14:30 UTC :

Format cron : "30 14 * * *"
Après split : ["30", "14", "", "", "*"]
Sélection : "14"
Résultat final : 14 (nombre)

Si vous essayez de créer par exemple un déploiement en dehors du créneau 8h-19h vous aurez :

error: failed to create deployment: admission webhook "validate.kyverno.svc-fail" denied the request:

resource Deployment/mon-namespace/nginx was blocked due to the following policies

deny-outside-business-hours:
  check-business-hours: Accès refusé en dehors des heures de bureau (8h-19h)

Mot de la fin : La Sécurité Kubernetes pour l'Ère Moderne

La gestion des identités contextuelles est une technique puissante pour améliorer la sécurité de vos clusters Kubernetes. Elle va au-delà des limitations de RBAC en ajoutant une couche d'autorisation intelligente qui tient compte du contexte de chaque requête.

Bien qu'elle introduise une complexité, les avantages – sécurité renforcée, conformité améliorée et plus grande flexibilité – en valent la peine.

kui

2025-02-07T11:00:00+01:00

Kui : Optimisez Votre Expérience Kubernetes avec une Interface Graphique Performante et Open Source

Kubernetes s'est imposé comme la plateforme d'orchestration de conteneurs de référence. Cependant, l'interface en ligne de commande (kubectl), bien que puissante, peut présenter des défis d'ergonomie, en particulier lors de la navigation et de l'analyse de données complexes. Le rendu ASCII standard peut rendre la lecture et l'interprétation des ressources laborieuses. Kui intervient ici comme une solution élégante, en enrichissant l'interaction avec Kubernetes grâce à une interface utilisateur graphique (GUI) intuitive et performante.

Pourquoi intégrer Kui à votre workflow Kubernetes ?

Kui est un projet open source initié au sein des SIGs Kubernetes, conçu pour transformer votre manière d'interagir avec vos clusters. En s'appuyant sur la robustesse de kubectl, Kui propose une interface visuelle avancée qui permet de :

Structurer l'information avec des tableaux interactifs et triables : Dépassez les limitations des listes ASCII statiques et gagnez en lisibilité.
Explorer les détails des ressources de manière contextuelle : Accédez rapidement aux informations essentielles via une navigation intuitive.
Visualiser en temps réel les logs et événements : Diagnostiquez et analysez les comportements de vos ressources de façon dynamique.
Organiser votre espace de travail avec une interface à onglets : Gérez efficacement plusieurs contextes et tâches simultanément.
Accélérer l'exécution des commandes kubectl : Bénéficiez d'un gain de performance significatif, avec des commandes traitées 2 à 3 fois plus rapidement.

Architecture et Fonctionnement de Kui

Kui est architecturé autour du framework Electron, lui permettant de fonctionner comme une application de bureau native. Techniquement, lorsqu'une commande kubectl est saisie dans Kui, elle est transmise à l'exécutable kubectl sous-jacent. Les résultats sont ensuite interprétés et restitués visuellement via une API REST, assurant une communication fluide et performante entre l'interface graphique et le moteur CLI.

Déploiement et Configuration de Kui

L'installation de Kui a été conçue pour être simple et adaptable à différents environnements :

macOS : L'intégration avec Homebrew simplifie l'installation : brew install kui kubectl kui get pods open /Applications/Kui.app.
Windows et Linux : Un package téléchargeable et dézippable est disponible. Après décompression, l'ajout du répertoire au PATH système permet d'exécuter Kui via la commande kubectl kui ou directement via l'exécutable Kui.
Déploiement Avancé : Pour les environnements spécifiques, la compilation depuis le code source ou l'utilisation d'une image Docker sont également envisageables.

Une fois déployé, Kui offre un environnement interactif combinant une interface graphique intuitive et un REPL (Read-Eval-Print Loop) pour une exploration et une gestion efficace de vos ressources Kubernetes.

Avantages Clés de Kui pour les Opérations Kubernetes

Kui apporte des bénéfices substantiels qui optimisent significativement la productivité et l'expérience utilisateur :

Ergonomie Optimisée : Prise en main rapide pour les utilisateurs novices et efficacité accrue pour les experts.
Gain de Productivité Mesurable : Visualisation claire des données et navigation contextuelle pour des workflows plus rapides.
Visibilité Améliorée sur les Infrastructures Complexes : Supervision et gestion simplifiées des environnements Kubernetes les plus denses.
Débogage Accéléré : Identification et résolution des incidents facilitées par une analyse visuelle des logs et événements.
Personnalisation et Extensibilité : Adaptation de Kui aux besoins spécifiques via la création d'extensions Kubernetes personnalisées, de thèmes, d'icônes et l'amélioration des commandes existantes.

Cas d'Usage Concrets : Optimisation des Workflows Kubernetes

Kui trouve sa place dans de nombreux scénarios opérationnels :

Monitoring Continu : Suivi en temps réel de l'état et des performances des clusters Kubernetes.
Diagnostic et Résolution d'Incidents : Analyse approfondie des logs et événements pour un débogage rapide et précis.
Gestion des Déploiements et Mises à Jour : Simplification des processus de déploiement et de mise à jour applicative.
Collaboration et Partage d'Informations : Facilitation du travail d'équipe et de la communication autour des ressources Kubernetes.
Automatisation et Personnalisation des Tâches : Création de commandes et thèmes sur mesure pour répondre à des besoins spécifiques.

Exemple Pratique : Visualisation Avancée des Pods

L'exécution de la commande kubectl get all avec Kui transforme l'affichage ASCII traditionnel en plusieurs tableaux interactifs et triables. Un simple clic sur un pod permet d'accéder instantanément à ses détails, logs et événements associés. Cette approche élimine la manipulation fastidieuse de longs identifiants et centralise l'information de manière accessible.

Détail d'un pod :

On peut lancer un terminal (si on a les droits) dans le pod :

On peut aussi voir :

le status du pod
Voir le noeud sur lequel le pod est exécuté
les logs (kubectl logs)
les labels (kubectl --show-labels)
les containers composants le pod (kubectl describe)
le yaml (kubectl get -o yaml)
On peut faire un edit du fichier yaml (kubectl edit)
Voir les événements concernant le pod (kubectl get events)

Pour chacune des ressources kubernetes on aura des affichages dediés

Exemple les nodes :

Kui Guidebooks : Automatisation et Guidage des Tâches Complexes

Kui introduit une fonctionnalité novatrice : les Guidebooks. Imaginez la possibilité de transformer des procédures complexes en assistants interactifs directement intégrés à votre environnement de travail. C'est précisément la vocation des Guidebooks de Kui.

La Simplicité du Markdown au Service de l'Automatisation

Un Guidebook est défini par un simple fichier Markdown. La structuration des instructions en Markdown, enrichie de directives spécifiques à Kui, permet de générer un assistant intelligent qui guide l'utilisateur pas à pas à travers une tâche définie.

Mécanismes Clés des Guidebooks

Parcours Guidé et Séquencé : Le Guidebook définit un flux d'actions ordonné. Kui présente chaque étape à l'utilisateur de manière claire et progressive.
Gestion Interactive des Choix Utilisateur : L'assistant attend les décisions de l'utilisateur à chaque étape avant de progresser. Par exemple, une étape "Sélectionnez le cluster cible" attendra la sélection avant de continuer.
Validation Contextuelle Intelligente : Kui peut évaluer dynamiquement la pertinence d'une étape en fonction du contexte utilisateur. Par exemple, la vérification de dépendances sera conditionnée à l'environnement spécifique, évitant ainsi les étapes superflues.
Optimisation des Opérations Coûteuses : Pour les actions longues ou non-idempotentes, les Guidebooks permettent de valider leur nécessité, optimisant ainsi les ressources et le temps.

Potentiel des Guidebooks : Scénarios d'Application

Onboarding Simplifié pour les Nouveaux Collaborateurs : Création de Guidebooks pour guider les nouveaux membres d'équipe dans la configuration de leur environnement de développement.
Déploiements Applicatifs Orchestrés : Transformation des procédures de déploiement complexes en assistants interactifs pour minimiser les erreurs et garantir la cohérence.
Résolution Guidée des Problèmes Techniques : Développement de Guidebooks de diagnostic pour autonomiser les utilisateurs dans la résolution d'incidents.
Automatisation des Tâches Répétitives : Rationalisation des tâches répétitives et réduction de la charge cognitive grâce à un guidage pas à pas.

Exemples :

Formations intéractives kubernetes

Les blocs de code sont activables, les résultats sont affichés de manière graphique

Kui se positionne comme une solution mature et performante, dépassant le simple rôle d'interface graphique pour Kubernetes. Il s'agit d'un outil puissant qui optimise significativement l'interaction avec vos clusters, permettant un gain de temps substantiel et une amélioration notable de l'efficacité opérationnelle. Pour tout professionnel travaillant avec Kubernetes, Kui représente une solution à envisager sérieusement pour optimiser son workflow.

k0rdent

2025-02-07T10:00:00+01:00

k0rdent de Mirantis : Plongée au Cœur d'une Plateforme de Gestion de Conteneurs Distribuée (DCME) Open Source pour Kubernetes

Dans le paysage actuel de l'IT, la gestion de Kubernetes à grande échelle et dans des environnements distribués (multi-cloud, edge) représente un défi complexe. Mirantis, acteur majeur de l'écosystème Kubernetes, a répondu à ce besoin avec k0rdent, une plateforme open source de gestion de conteneurs distribuée (DCME - Distributed Container Management Environment). k0rdent se positionne comme un "super plan de contrôle" orchestrant et simplifiant la gestion d'infrastructures Kubernetes hétérogènes. Cet article explore en profondeur l'architecture, les composants, les fonctionnalités techniques et les avantages de k0rdent.

Architecture de k0rdent : Une Vision en Couches pour la Gestion Distribuée

L'architecture de k0rdent est conçue selon une approche modulaire et distribuée, permettant une gestion centralisée tout en respectant les principes de scalabilité et de résilience. Elle s'articule autour de trois composants clés, chacun jouant un rôle spécifique dans l'orchestration de l'environnement Kubernetes :

k0rdent Cluster Manager (kcm) : Le Chef d'Orchestre des Clusters Kubernetes

Le kcm est le cœur de k0rdent, responsable de la gestion du cycle de vie complet des clusters Kubernetes. Il s'appuie sur l'API Cluster (CAPI - Cluster API), un projet open source de la CNCF (Cloud Native Computing Foundation), pour automatiser la création, la configuration, la mise à niveau et la suppression des clusters Kubernetes à travers diverses infrastructures. CAPI permet une approche déclarative de la gestion des clusters, où l'état désiré est défini, et le kcm se charge de le réaliser.
- Abstraction de l'Infrastructure : Le kcm abstrait la complexité des infrastructures sous-jacentes (AWS, Azure, vSphere, OpenStack, bare metal). Grâce à CAPI et à ses fournisseurs d'infrastructure (Infrastructure Providers), k0rdent peut déployer et gérer des clusters sur différentes plateformes de manière uniforme. L'utilisateur interagit avec une API standardisée, indépendamment du fournisseur cloud ou de l'infrastructure on-premise.
- Gestion du Cycle de Vie Déclarative : Le kcm met en œuvre une gestion du cycle de vie déclarative. Les configurations de clusters sont définies dans des fichiers YAML, qui sont ensuite appliqués par le kcm. Les mises à jour, les mises à l'échelle et les autres opérations sont également gérées de manière déclarative, garantissant la cohérence et la reproductibilité. Cette approche s'inscrit dans les principes du GitOps, favorisant l'infrastructure as code.
- Reprise Après Sinistre Intégrée : La robustesse est au cœur de la conception du kcm. Il intègre des mécanismes de sauvegarde et de restauration pour assurer la reprise après sinistre. Les données critiques du kcm, notamment les configurations et les métadonnées des clusters, peuvent être sauvegardées sur une infrastructure externe (par exemple, un stockage objet S3 compatible). En cas de défaillance, ces données peuvent être restaurées pour rétablir rapidement la plateforme de gestion.
- Extensibilité via les Fournisseurs CAPI : L'architecture basée sur CAPI rend k0rdent hautement extensible. De nouveaux fournisseurs d'infrastructure CAPI peuvent être ajoutés pour supporter de nouvelles plateformes cloud ou on-premise. Cela permet à k0rdent de s'adapter aux environnements hybrides et multi-cloud complexes.
k0rdent State Manager (ksm) : Le Gardien de la Configuration et des Politiques

Le ksm est responsable de la gestion de l'état et de la configuration des clusters Kubernetes gérés par k0rdent. Il va au-delà de la simple gestion de l'infrastructure et se concentre sur la configuration logicielle et les politiques applicables aux clusters.
- Gestion Centralisée des Configurations : Le ksm permet de définir et d'appliquer des configurations cohérentes à l'ensemble des clusters gérés. Cela inclut les configurations Kubernetes (RBAC, NetworkPolicies, etc.), mais aussi la configuration d'outils et de services externes déployés sur les clusters. Cette centralisation simplifie la gouvernance et assure la conformité.
- Installation de Services "Beach-Head" : Le concept de "beach-head services" est central au ksm. Il permet de déployer de manière automatisée des services fondamentaux et partagés sur chaque cluster Kubernetes géré. Ces services peuvent inclure :
  - Outils d'Observabilité : Agents Prometheus, Grafana, outils de logging (Fluentd, Elasticsearch, Kibana).
  - Outils de Sécurité : Solutions de sécurité réseau, scanners de vulnérabilités.
  - Outils de Gestion des Politiques : OPA (Open Policy Agent), Kyverno pour l'application de politiques de sécurité et de conformité.
  - Outils de Mise en Réseau : Service meshes (Istio, Linkerd), Ingress controllers.
  Ces services "beach-head" sont déployés de manière uniforme sur tous les clusters, garantissant un environnement cohérent et sécurisé.
- Gestion des Politiques et de la Conformité : Le ksm peut intégrer des moteurs de politiques comme OPA ou Kyverno pour appliquer des politiques de sécurité, de gouvernance et de conformité à l'échelle de la flotte de clusters. Ces politiques peuvent être définies de manière centralisée et appliquées automatiquement à tous les clusters, assurant la conformité aux exigences réglementaires et aux standards de sécurité de l'organisation.
- Intégration GitOps : Le ksm s'intègre naturellement avec les flux de travail GitOps. Les configurations et les politiques sont versionnées dans un dépôt Git, et les modifications sont automatiquement synchronisées avec les clusters gérés par le ksm. Cela renforce la traçabilité, l'auditabilité et la reproductibilité des configurations.
k0rdent Observability and FinOps (kof) : La Visibilité et l'Optimisation des Coûts

Le kof fournit une vue unifiée sur l'observabilité et les aspects FinOps (Financial Operations) des clusters Kubernetes gérés. Il agrège les données de monitoring, de logging et de coût provenant de l'ensemble de la flotte de clusters, offrant une visibilité centralisée et des outils d'optimisation.
- Observabilité Unifiée : Le kof collecte et agrège les métriques, les logs et les traces provenant de tous les clusters gérés. Il offre des tableaux de bord centralisés pour visualiser l'état de santé, les performances et les événements de l'ensemble de l'environnement Kubernetes. Cela facilite la détection et la résolution des problèmes, ainsi que l'analyse des performances globales.
- Monitoring Approfondi : Le kof va au-delà du monitoring de base des clusters et des nœuds. Il permet de surveiller les applications, les services et les workloads déployés sur les clusters. Des métriques spécifiques aux applications peuvent être collectées et analysées, offrant une visibilité granulaire sur les performances et le comportement des applications distribuées.
- Gestion des Logs Centralisée : Le kof centralise la gestion des logs provenant de tous les clusters. Il permet de rechercher, d'analyser et de corréler les logs pour diagnostiquer les problèmes et comprendre le comportement du système. L'intégration avec des outils de logging populaires (Elasticsearch, Loki, etc.) est généralement proposée.
- Fonctionnalités FinOps : Le kof intègre des fonctionnalités FinOps pour aider les organisations à maîtriser les coûts de leur infrastructure Kubernetes. Cela peut inclure :
  - Visualisation des Coûts : Tableaux de bord affichant les coûts par cluster, par namespace, par application, etc.
  - Allocation des Coûts : Attribution des coûts aux différentes équipes ou départements.
  - Recommandations d'Optimisation : Suggestions pour optimiser l'utilisation des ressources et réduire les coûts (redimensionnement des pods, autoscaling, etc.).
  - Politiques de Gestion des Coûts : Définition de budgets et d'alertes pour contrôler les dépenses.
- Alerting et Notifications : Le kof configure des alertes basées sur des seuils de performance, des erreurs ou des anomalies détectées dans les logs ou les métriques. Ces alertes peuvent être envoyées par email, Slack, PagerDuty ou d'autres canaux de notification, permettant une réponse rapide aux problèmes.

Fonctionnement et Flux de Travail de k0rdent

Le fonctionnement de k0rdent peut être résumé par le flux de travail suivant :

Définition de la Configuration du Cluster : L'utilisateur définit la configuration du cluster Kubernetes souhaité (type d'infrastructure, version de Kubernetes, ressources, etc.) à l'aide de fichiers YAML compatibles avec CAPI.
Déploiement du Cluster via kcm : Le kcm, en utilisant CAPI et le fournisseur d'infrastructure approprié, provisionne et configure le cluster Kubernetes sur l'infrastructure cible.
Configuration et Politiques via ksm : Le ksm, en se basant sur les configurations définies (souvent versionnées dans Git), configure les services "beach-head", applique les politiques de sécurité et de conformité sur le cluster nouvellement créé.
Observabilité et FinOps via kof : Le kof collecte et agrège les données de monitoring, de logging et de coût du cluster. Les utilisateurs peuvent visualiser ces données via les tableaux de bord du kof pour surveiller l'état du cluster, analyser les performances et optimiser les coûts.
Gestion Continue du Cycle de Vie : Le kcm continue de surveiller le cluster et permet de réaliser des opérations de mise à niveau, de mise à l'échelle, de sauvegarde et de restauration de manière déclarative.

Avantages Techniques Clés de k0rdent

Gestion Centralisée et Unifiée : k0rdent offre un point de contrôle unique pour gérer l'ensemble de l'infrastructure Kubernetes distribuée, simplifiant les opérations et réduisant la complexité.
Automatisation Déclarative et GitOps : L'approche déclarative et l'intégration GitOps facilitent l'infrastructure as code, la reproductibilité, la traçabilité et l'automatisation des opérations Kubernetes.
Abstraction de l'Infrastructure et Portabilité : Grâce à CAPI, k0rdent abstrait la complexité des infrastructures sous-jacentes, permettant de déployer et de gérer des clusters Kubernetes sur divers environnements de manière uniforme et portable.
Extensibilité et Adaptabilité : L'architecture modulaire et l'utilisation de standards open source (CAPI, OPA, Prometheus, etc.) rendent k0rdent extensible et adaptable à des environnements variés et à des besoins spécifiques.
Observabilité Intégrée et FinOps : Le kof fournit une visibilité centralisée sur l'état de santé, les performances et les coûts de l'infrastructure Kubernetes, permettant une gestion proactive et une optimisation des ressources.
Facilitation des Plateformes de Développement Internes (IDP) : k0rdent simplifie la création de plateformes de développement internes en fournissant une infrastructure Kubernetes gérée et cohérente, ainsi que des outils d'observabilité et de gestion des politiques. Les développeurs peuvent se concentrer sur le développement d'applications sans se soucier de la complexité de la gestion de Kubernetes.

Cas d'Utilisation Techniques

Environnements Multi-Cloud et Hybrides : Gestion centralisée de clusters Kubernetes déployés sur différents fournisseurs cloud (AWS, Azure, GCP) et environnements on-premise.
Edge Computing : Déploiement et gestion de clusters Kubernetes distribués en périphérie (edge) pour des applications nécessitant une faible latence et un traitement local des données.
Grandes Entreprises avec de Nombreuses Équipes et Clusters : Simplification de la gestion et de la gouvernance d'un grand nombre de clusters Kubernetes, réduisant la charge opérationnelle des équipes DevOps et assurant la cohérence et la conformité.
Fournisseurs de Services Gérés (MSP) : Offre de services Kubernetes managés à leurs clients en s'appuyant sur k0rdent pour la gestion centralisée et automatisée des clusters.

Les ServiceTemplate de k0rdent : Déployer des Services Facilement sur Kubernetes

k0rdent utilise des ServiceTemplate pour simplifier le déploiement d'applications et de services sur les clusters Kubernetes gérés. Ces templates sont basés sur des charts Helm et permettent de définir comment installer un service spécifique.

Points Clés :

Définition des ServiceTemplate : Ils indiquent à k0rdent où trouver un chart Helm (souvent dans un dépôt privé) pour installer une application. L'exemple de Nginx Ingress montre comment définir le chart, la version et le dépôt Helm dans un ServiceTemplate.
Intégration dans ClusterDeployment : Pour déployer un service sur un cluster, on référence le ServiceTemplate dans la section serviceSpec d'un objet ClusterDeployment. Cela indique à k0rdent d'inclure ce service lors de la création ou de la modification du cluster.
Services de base ("Beach-head services") : Les ServiceTemplate sont idéaux pour déployer des services fondamentaux comme Kyverno ou Ingress Nginx sur tous les clusters gérés de manière cohérente.
Personnalisation via values : On peut personnaliser la configuration des services en passant des valeurs Helm spécifiques dans la section values du ClusterDeployment. Ces valeurs sont fusionnées avec la configuration par défaut du chart Helm. On peut aussi utiliser valuesFrom pour charger les valeurs depuis un ConfigMap ou Secret.
Templating des valeurs : k0rdent permet d'utiliser le templating (avec Sveltos) dans les values pour récupérer dynamiquement des informations du cluster Kubernetes cible (comme l'endpoint du control plane).
Suivi de l'état : L'état du déploiement des services (installé, erreurs, etc.) est visible dans la section status.services de l'objet ClusterDeployment.
Suppression de services : Pour supprimer un service déployé via ServiceTemplate, il suffit de retirer sa définition de la section serviceSpec du ClusterDeployment.
Un exemple simple

Scénario : Nous voulons déployer une application web simple (Nginx) sur un cluster Kubernetes géré par k0rdent, en utilisant un ServiceTemplate.

1. Définition du ServiceTemplate pour Nginx :

Imaginons que nous ayons un chart Helm simple pour déployer Nginx, disponible dans un dépôt Helm public (ou privé). Nous allons créer un ServiceTemplate qui pointe vers ce chart.

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ServiceTemplate
metadata:
  name: simple-nginx-template-1.0.0 # Nom du ServiceTemplate (versionné)
  namespace: k0rdent-system # Namespace où le ServiceTemplate est défini (gestion)
spec:
  displayName: "Nginx Web Server Simple" # Nom affiché dans l'interface utilisateur
  description: "Déploie un serveur web Nginx basique." # Description du template
  helm: # Spécification du chart Helm
    chartSpec:
      chart: simple-nginx # Nom du chart Helm (dans le dépôt)
      version: 1.0.0 # Version du chart Helm
      sourceRef: # Référence au dépôt Helm
        kind: HelmRepository
        name: k0rdent-public-charts # Nom du HelmRepository (défini ailleurs dans k0rdent)

Explication du ServiceTemplate :

apiVersion, kind, metadata : Définition standard d'un objet Kubernetes ServiceTemplate.
metadata.name : simple-nginx-template-1.0.0 - Nom unique pour identifier ce template. La version 1.0.0 est incluse pour le versionnement.
metadata.namespace : k0rdent-system - On place généralement les ServiceTemplate de gestion dans un namespace système.
spec.displayName, spec.description : Informations pour l'affichage dans l'interface utilisateur de k0rdent, pour aider les utilisateurs à comprendre ce que fait ce template.
spec.helm : Indique que ce ServiceTemplate utilise un chart Helm pour le déploiement.
- chartSpec.chart : simple-nginx - Nom du chart Helm que nous voulons utiliser.
- chartSpec.version : 1.0.0 - Version spécifique du chart Helm à utiliser.
- chartSpec.sourceRef : Indique où trouver le dépôt Helm.
  - kind: HelmRepository : Type de référence (dépôt Helm).
  - name: k0rdent-public-charts : Nom d'un objet HelmRepository qui aurait été préalablement défini dans k0rdent et qui pointe vers l'URL du dépôt Helm public contenant le chart simple-nginx. (La définition de HelmRepository n'est pas montrée ici pour simplifier).

2. Déploiement de Nginx sur un Cluster via ClusterDeployment :

Maintenant, pour déployer ce Nginx sur un cluster géré par k0rdent, nous allons créer ou modifier un ClusterDeployment et y référencer notre ServiceTemplate.

apiVersion: k0rdent.mirantis.com/v1alpha1
kind: ClusterDeployment
metadata:
  name: mon-cluster-web # Nom de notre ClusterDeployment
  namespace: mon-organisation # Namespace pour notre organisation
spec:
  template: aws-standalone-cp-0-1-0 # Template de cluster utilisé (défini ailleurs)
  credential: aws-credential # Credential AWS pour ce cluster (défini ailleurs)
  serviceSpec: # Spécification des services à déployer sur ce cluster
    services:
      - template: simple-nginx-template-1.0.0 # Référence au ServiceTemplate Nginx
        name: nginx-web # Nom de l'instance du service (release Helm)
        namespace: applications-web # Namespace où Nginx sera déployé sur le cluster cible
    priority: 100 # Priorité des services (peut être utilisé pour ordonnancer les déploiements)

Explication du ClusterDeployment :

apiVersion, kind, metadata : Définition standard d'un objet ClusterDeployment.
metadata.name : mon-cluster-web - Nom de notre déploiement de cluster.
metadata.namespace : mon-organisation - Namespace pour organiser nos déploiements.
spec.template, spec.credential : Définissent le template de cluster et les informations d'identification pour l'infrastructure sous-jacente (AWS dans cet exemple). Ces parties ne sont pas directement liées aux ServiceTemplate, mais sont nécessaires pour un ClusterDeployment complet.
spec.serviceSpec.services : La partie cruciale pour les ServiceTemplate.
- - template: simple-nginx-template-1.0.0 : Indique que nous voulons utiliser le ServiceTemplate que nous avons défini pour Nginx. On le référence par son nom.
- name: nginx-web : Donne un nom à cette instance de service. Ce nom sera utilisé comme nom de release Helm.
- namespace: applications-web : Spécifie le namespace applications-web sur le cluster cible où Nginx sera déployé. Si ce namespace n'existe pas, k0rdent peut le créer (selon la configuration).
- priority: 100 : Définit une priorité pour ce service. Si vous avez plusieurs services, vous pouvez utiliser les priorités pour contrôler l'ordre de déploiement.

Ce qui se passe lorsque vous appliquez le ClusterDeployment :

k0rdent lit le ClusterDeployment et détecte la section serviceSpec.services.
Pour le service nginx-web, il recherche le ServiceTemplate nommé simple-nginx-template-1.0.0 dans le namespace k0rdent-system.
k0rdent récupère la définition du ServiceTemplate, notamment les informations sur le chart Helm (simple-nginx version 1.0.0 depuis le dépôt k0rdent-public-charts).
k0rdent utilise Helm pour déployer le chart simple-nginx sur le cluster Kubernetes cible, dans le namespace applications-web, en utilisant le nom de release nginx-web.

Vérification :

Une fois le ClusterDeployment appliqué et k0rdent a terminé le déploiement, vous pouvez vérifier sur le cluster cible (via kubectl) que le service Nginx est bien déployé dans le namespace applications-web. Vous devriez voir des Pods Nginx en cours d'exécution et un Service Nginx créé.

kubectl get pods -n applications-web
kubectl get service -n applications-web

Conclusion

k0rdent de Mirantis représente une solution technique robuste et complète pour la gestion de conteneurs distribuée avec Kubernetes. Son architecture modulaire, son approche déclarative, son intégration avec CAPI et son focus sur l'observabilité et le FinOps en font une plateforme puissante pour les organisations qui cherchent à maîtriser la complexité de Kubernetes à grande échelle et dans des environnements distribués. En tant que projet open source, k0rdent bénéficie de la contribution de la communauté, assurant son évolution et son adaptation aux besoins du marché. Pour les architectes, les ingénieurs DevOps et les responsables de plateformes Kubernetes, k0rdent est une solution à considérer sérieusement pour simplifier et optimiser la gestion de leurs infrastructures conteneurisées.

Évolution des Applications SaaS

2025-01-09T10:00:00+01:00

L'IA détrône les applications : Satya Nadella et la révolution des agents intelligents

Dans une interview récente, Satya Nadella, PDG de Microsoft, a partagé une vision audacieuse de l'avenir de la technologie, où l'intelligence artificielle (IA) et les agents intelligents jouent un rôle central.

Loin d'être de simples assistants, ces agents sont appelés à remplacer les applications traditionnelles telles que nous les connaissons.

Cette perspective, qui remet en question le modèle actuel du logiciel en tant que service (SaaS), mérite une analyse approfondie.

lien vidéo

Les applications, simples façades de bases de données

Selon Nadella, les applications d'entreprise (Biz apps) comme Dynamics ne sont fondamentalement que des bases de données avec une logique métier. Cette logique, qui gère les interactions avec les données, est sur le point de migrer vers des agents d'IA. Ces agents deviendront les principaux acteurs de l'interaction avec les données, capables d'orchestrer les actions et les analyses. Ils ne se limiteront pas à une seule base de données, mais pourront interagir avec plusieurs sources d'informations.

L'agent d'IA : la nouvelle interface utilisateur

L'idée clé de cette vision est que les agents d'IA deviendront la principale interface d'interaction avec les données, remplaçant ainsi l'approche traditionnelle des applications avec des interfaces utilisateurs. Nadella envisage un avenir où les utilisateurs interagissent avec un Copilot qui appelle des agents spécialisés pour chaque tâche. Par exemple, un utilisateur pourrait faire appel à un agent pour Excel, un agent pour Word, et ainsi de suite.

Un exemple : Excel, du tableur à outil pour l'IA

L'exemple d'Excel est particulièrement révélateur. Nadella souligne qu'Excel, combiné avec Python et un interpréteur de code, devient un outil puissant pour l'analyse de données avec l'aide d'un agent. Il imagine un scénario où Copilot utilise Excel comme un outil pour générer des analyses, des visualisations, et même des plans, en s'appuyant sur les capacités de Python. Excel n'est plus un tableur isolé, mais une interface utilisée par les agents d'IA pour réaliser des analyses complexes.

Copilot : l'orchestrateur de l'IA

L'approche de Microsoft est de construire Copilot comme une couche d'organisation pour l'IA, avec des agents spécialisés pour chaque application. Cela implique une nouvelle façon de penser le travail, où les agents d'IA prennent en charge des tâches qui étaient auparavant effectuées par les utilisateurs directement. Copilot devient l'interface principale qui permet d'interagir avec ces agents.

La fin du SaaS traditionnel ?

Selon Nadella, l'ère des logiciels en tant que service (SaaS) est en train de changer. Les applications SaaS sont considérées comme des interfaces superficielles au-dessus des bases de données, qui seront progressivement remplacées par des interactions directes avec des agents d'IA. L'accent sera mis sur l'efficacité des bases de données et la capacité des agents à interagir avec diverses sources de données.

Implications pour l'avenir

Cette vision a des implications profondes pour l'avenir de la technologie :

Disruption du modèle SaaS : Le modèle SaaS traditionnel est remis en question. Les applications ne sont plus vues comme des outils autonomes, mais plutôt comme des canaux d'interaction avec des agents d'IA. Les entreprises devront s'adapter à ce changement ou disparaître
L'IA au cœur de la logique métier : La logique métier migre de l'application vers l'IA, ce qui signifie que les agents d'IA deviennent les acteurs principaux dans la manipulation et l'analyse des données.
Automatisation et efficacité : L'intégration d'agents d'IA vise à automatiser de nombreuses tâches et à rendre les workflows plus efficaces. L'IA permettra aux utilisateurs d'accomplir des tâches complexes sans avoir à manipuler directement des données ou utiliser des interfaces complexes.
Transformation des rôles : Les développeurs devront se concentrer sur la création d'agents d'IA intelligents et capables d'interagir avec des données et des outils divers. Le développement d'applications traditionnelles pourrait diminuer, remplacé par la création d'agents d'IA.

OpenKruise / ArgoProj

2024-12-19T12:00:00+01:00

Optimisation des Déploiements Kubernetes : La Synergie entre OpenKruise et Argo

Dans l'écosystème Kubernetes en constante évolution, la gestion efficace des applications est primordiale. OpenKruise et Argo, deux projets open source incubés par la CNCF (Cloud Native Computing Foundation), offrent des solutions puissantes pour relever ces défis. Bien qu'ils aient des objectifs distincts, ils se complètent de manière remarquable, créant une synergie qui améliore considérablement les processus de déploiement, de mise à jour et de gestion des applications Kubernetes. Cet article de blog technique explore cette complémentarité, en fournissant des exemples concrets pour illustrer comment ces outils peuvent être utilisés ensemble pour une gestion d'applications Kubernetes optimisée.

OpenKruise : L'automatisation avancée pour Kubernetes

OpenKruise est une suite d'outils d'extension pour Kubernetes, axée sur l'automatisation de la gestion des applications à grande échelle. Il se concentre sur les aspects suivants :

Workloads avancés : OpenKruise étend les workloads Kubernetes de base (comme Deployment, StatefulSet, DaemonSet) avec des fonctionnalités améliorées telles que les mises à jour in-place, des stratégies de mise à l'échelle et de mise à niveau configurables et des opérations parallèles. Cela permet des déploiements plus rapides et plus efficaces, avec moins d'impact sur les systèmes environnants.
Gestion "bypass" : OpenKruise permet de gérer les conteneurs sidecar et les déploiements multi-domaines sans modifier directement les workloads existants. Par exemple, SidecarSet injecte et met à jour les conteneurs sidecar de manière indépendante, et WorkloadSpread contrôle la répartition des pods sur différents types de nœuds.
Protection de la haute disponibilité : OpenKruise offre des mécanismes pour protéger les ressources Kubernetes contre les suppressions en cascade, et PodUnavailableBudget pour prévenir les disruptions d'applications.
Fonctionnalités opérationnelles de haut niveau : Il fournit des outils comme ImagePullJob pour pré-télécharger les images et ContainerRecreateRequest pour redémarrer des conteneurs spécifiques dans un Pod en cours d'exécution.

Exemple 1 : Mise à jour in-place avec CloneSet et SidecarSet

Supposons que vous ayez une application web déployée avec un CloneSet, avec un conteneur principal (nginx) et un conteneur sidecar (logtail) pour la collecte de logs. OpenKruise permet d'effectuer les actions suivantes :

Mise à jour de l'image du conteneur nginx : Au lieu de recréer les pods, vous pouvez effectuer une mise à jour in-place du conteneur nginx en utilisant les fonctionnalités de CloneSet. Cela réduit le temps de mise à jour et évite les perturbations inutiles.
Mise à jour indépendante du conteneur logtail : En utilisant SidecarSet, vous pouvez mettre à jour l'image du conteneur logtail sans affecter le conteneur nginx ni interrompre le service. SidecarSet peut même effectuer des mises à jour à chaud (hot upgrades) pour les conteneurs sidecar qui gèrent le trafic, tels que les proxies ou les mesh containers.
Gestion des logs : SidecarSet facilite la collecte des logs en partageant les volumes et les variables d'environnement entre les conteneurs principal et sidecar.

Exemple 2 : Déploiement multi-domaines avec WorkloadSpread

Imaginez que vous déployiez une application dans différents environnements (par exemple, zones de disponibilité ou types de nœuds). OpenKruise permet d'utiliser WorkloadSpread pour :

Définir des sous-ensembles (subsets) : Vous pouvez définir des subsets pour les nœuds normaux et élastiques, en spécifiant le nombre maximal de réplicas pour chacun.
Répartition des pods : WorkloadSpread distribue les pods sur les différents subsets en fonction des règles définies, assurant ainsi que votre application est déployée sur les différents domaines configurés.
Contrôle de la suppression des pods : En collaboration avec les annotations Kubernetes et OpenKruise, WorkloadSpread gère la priorité de suppression des pods afin d'éviter des perturbations inutiles pendant les opérations de scale-in.

Argo : La puissance du GitOps pour les déploiements Kubernetes

Argo est un ensemble d'outils open source axés sur les pratiques GitOps, offrant une approche déclarative et automatisée de la gestion des applications sur Kubernetes. Les principaux outils d'Argo sont :

Argo CD : Un outil de livraison continue (CD) basé sur GitOps pour Kubernetes. Il synchronise automatiquement l'état de l'application définie dans les dépôts Git avec les environnements cibles. Il prend en charge diverses méthodes de configuration, notamment Kustomize, Helm, et les fichiers YAML.
Argo Workflows : Un moteur de workflow natif pour Kubernetes, permettant d'orchestrer des tâches parallèles sous forme de DAG (Directed Acyclic Graph) ou de séquences de tâches. Il est idéal pour les pipelines de CI/CD, le traitement des données et l'automatisation de l'infrastructure.
Argo Rollouts : Un contrôleur Kubernetes qui fournit des stratégies de déploiement avancées telles que les déploiements bleu-vert et canari, avec analyse et rollback automatisés.
Argo Events : Un gestionnaire de dépendances basé sur les événements, permettant de définir des actions à déclencher en fonction de diverses sources d'événements.

Exemple 3 : Déploiement continu avec Argo CD

Argo CD est l'outil central de la suite Argo pour implémenter le GitOps. Il permet de :

Définir l'état souhaité : Vous définissez la configuration de votre application (manifestes Kubernetes, Helm charts, etc.) dans un dépôt Git.
Synchronisation automatique : Argo CD surveille en permanence le dépôt Git et synchronise automatiquement les modifications avec votre cluster Kubernetes cible.
Détection des dérives : Argo CD détecte et visualise les différences entre l'état actuel de l'application et l'état souhaité, offrant des options de synchronisation automatique ou manuelle.
Rollback : Vous pouvez facilement revenir à n'importe quelle version précédente de votre configuration en utilisant l'historique du dépôt Git.

Exemple 4 : Pipelines CI/CD avec Argo Workflows

Argo Workflows est un puissant outil pour créer des pipelines complexes sur Kubernetes. Il peut être utilisé pour :

Définir des workflows : Vous définissez chaque étape d'un workflow comme un conteneur et modélisez les dépendances entre ces étapes.
Orchestrer des tâches parallèles : Argo Workflows permet d'exécuter des tâches en parallèle, ce qui est idéal pour les pipelines de CI/CD ou de traitement de données.
Gérer les artefacts : Argo Workflows prend en charge les artefacts, ce qui permet de suivre et de gérer les entrées et les sorties de chaque étape du workflow.
Intégrer les notifications : Argo Workflows permet de configurer des notifications pour les événements importants, tels que la fin d'un workflow ou l'échec d'une étape.
Utilisation d'Argo Events : Argo Events peut être utilisé pour déclencher des workflows basés sur des événements spécifiques.

La complémentarité : OpenKruise et Argo, un duo gagnant

Bien qu'ils soient des outils distincts, OpenKruise et Argo peuvent être combinés pour créer une solution de gestion d'applications Kubernetes encore plus robuste. Voici comment :

OpenKruise améliore les fondations, Argo automatise le cycle de vie : OpenKruise fournit les outils pour une gestion plus fine des workloads, tandis qu'Argo automatise le déploiement et la synchronisation de ces workloads.
Mises à jour intelligentes avec OpenKruise, contrôlées par Argo : OpenKruise permet des mises à jour in-place et des mises à jour indépendantes des conteneurs sidecar, tandis qu'Argo CD garantit que ces mises à jour sont appliquées conformément à la configuration définie dans Git.
Workflows puissants avec Argo Workflows et déploiements sophistiqués avec OpenKruise : Argo Workflows peut être utilisé pour créer des pipelines CI/CD automatisés qui déclenchent des déploiements via Argo CD, en utilisant les fonctionnalités de déploiement avancées d'OpenKruise telles que les mises à jour in-place et la gestion multi-domaines.
Combinaison des capacités de Rollouts avec OpenKruise et Argo : OpenKruise Rollouts et Argo Rollouts peuvent être utilisé en fonction des use-case. Argo Rollouts permet un contrôle plus fin des stratégies de déploiement, tandis que Kruise Rollouts permet des mises à jour multi-batch ou des déploiements canari. Les deux peuvent s'intégrer avec Argo CD.

Exemple 5 : Un workflow CI/CD complet

Un pipeline CI/CD typique pourrait fonctionner comme suit :

Développement : Les développeurs modifient le code de l'application et le poussent vers un dépôt Git.
CI : Argo Workflows est déclenché par un commit vers le dépôt Git, effectue des tests unitaires, construit une image de conteneur, et la pousse vers un registre d'images.
CD :
- Argo CD synchronise l'état de l'application déployée dans Kubernetes avec le dépôt Git, en utilisant les nouvelles images de conteneurs construites.
- OpenKruise, via SidecarSet, injecte et gère les sidecars (par exemple, logtail) en toute transparence. OpenKruise via WorkloadSpread assure la bonne répartition des pods sur les différents environnements.
- Si une mise à jour de l'application est nécessaire, Argo Rollouts peut être utilisé pour un déploiement canari ou bleu/vert, en s'appuyant sur la gestion avancée des workloads d'OpenKruise.
Monitoring : Les métriques de l'application sont monitorées via Prometheus et Grafana.

Dans ce scénario, Argo et OpenKruise travaillent en harmonie : Argo assure la cohérence du processus de déploiement tandis qu'OpenKruise fournit une meilleure fondation pour des mises à jour efficaces et une gestion plus fine des applications.

Conclusion

OpenKruise et Argo, bien qu'étant des projets distincts, offrent une complémentarité remarquable pour améliorer la gestion des applications Kubernetes. OpenKruise fournit des outils avancés pour optimiser les workloads et automatiser les opérations, tandis qu'Argo apporte la puissance du GitOps pour l'automatisation des déploiements. Utilisés ensemble, ils offrent un puissant écosystème pour des déploiements Kubernetes plus efficaces, plus robustes et plus fiables.

L'intégration de ces deux outils dans votre infrastructure Kubernetes peut vous aider à réduire la complexité, à améliorer la vitesse de déploiement et à assurer une meilleure disponibilité de vos applications.

En tirant parti des fonctionnalités avancées de gestion des applications d'OpenKruise et de la puissance du GitOps d'Argo, les entreprises peuvent optimiser leurs flux de travail de développement et de déploiement, et tirer le meilleur parti de leur infrastructure Kubernetes. L'avenir de la gestion des applications Kubernetes réside dans cette synergie, où chaque outil joue son rôle spécifique pour un résultat global optimisé.

kubevpn

2024-12-19T10:00:00+01:00

KubeVPN : Votre Environnement de Développement Cloud Natif Connecté à Kubernetes

KubeVPN est un outil puissant qui transforme la façon dont les développeurs interagissent avec les environnements Kubernetes. Il offre un environnement de développement cloud natif qui se connecte de manière transparente au réseau de votre cluster Kubernetes. Avec KubeVPN, vous pouvez accéder aux ressources de votre cluster Kubernetes directement depuis votre machine locale, simplifiant considérablement le développement et le débogage d'applications cloud natives.

Les Défis du Développement Cloud Natif

Le développement d'applications pour Kubernetes peut être complexe. Traditionnellement, les développeurs sont confrontés aux défis suivants :

Difficulté d'accès aux ressources du cluster : Accéder aux services et pods du cluster Kubernetes nécessite souvent des configurations complexes et des redirections de ports.
Environnement de développement non cohérent : Les environnements locaux peuvent différer significativement de ceux du cluster, ce qui peut entraîner des problèmes d'intégration et de déploiement.
Complexité du débogage : Le débogage d'applications exécutées dans le cluster Kubernetes peut être difficile, car il faut souvent se connecter aux pods et analyser les journaux à distance.

KubeVPN répond à ces défis en fournissant une connexion directe et cohérente au réseau Kubernetes, permettant aux développeurs de travailler plus efficacement.

Comment KubeVPN Simplifie le Développement Kubernetes

KubeVPN offre une approche innovante pour le développement cloud natif, en établissant un tunnel sécurisé entre votre machine locale et votre cluster Kubernetes. Voici les fonctionnalités clés qui rendent KubeVPN si utile :

1. Connexion au Réseau Kubernetes

KubeVPN vous permet de vous connecter au réseau de votre cluster Kubernetes en utilisant la commande kubevpn connect. Cette commande crée un tunnel et ajoute une route vers une interface virtuelle, comme tun0, redirigeant le trafic vers un gestionnaire de trafic distant. Vous pouvez alors accéder aux ressources du cluster à l'aide des noms de service ou des adresses IP des pods/services. Un mot de passe administrateur est requis pour créer le tunnel.

kubevpn connect

Résultat

...

+----------------------------------------------------------+
| Now you can access resources in the kubernetes cluster ! |
+----------------------------------------------------------+

Après la connexion, vous pouvez vérifier l'état de la connexion avec la commande kubevpn status:

kubevpn status

Exemple de résultat :

ID    Mode   Cluster     Kubeconfig                     Namespace   Status      Netif
0     full   k8s-train   /Users/hleclerc/.kube/config   default     Connected   utun7

Deployons juste un nginx via helm

helm install hello-world oci://ghcr.io/herveleclerc/hello-world --version 0.1.0

Résultat

Pulled: ghcr.io/herveleclerc/hello-world:0.1.0
Digest: sha256:5eba2624abeeebb332c06c08e4ccb3015d6a449272bc937f877b7711b128ae68
NAME: hello-world
LAST DEPLOYED: Thu Dec 19 09:54:21 2024
NAMESPACE: default
STATUS: deployed
REVISION: 1
NOTES:
1. Get the application URL by running these commands:
  export POD_NAME=$(kubectl get pods --namespace default -l "app.kubernetes.io/name=hello-world,app.kubernetes.io/instance=hello-world" -o jsonpath="{.items[0].metadata.name}")
  export CONTAINER_PORT=$(kubectl get pod --namespace default $POD_NAME -o jsonpath="{.spec.containers[0].ports[0].containerPort}")
  echo "Visit http://127.0.0.1:8080 to use your application"
  kubectl --namespace default port-forward $POD_NAME 8080:$CONTAINER_PORT

Regardons le pod déployé par kubevpn et helm

kubectl get svc,po -o wide
NAME                              TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)                                     AGE     SELECTOR
service/hello-world               ClusterIP   10.0.145.54    <none>        80/TCP                                      3m48s   app.kubernetes.io/instance=hello-world,app.kubernetes.io/name=hello-world
service/kubernetes                ClusterIP   10.0.0.1       <none>        443/TCP                                     241d    <none>
service/kubevpn-traffic-manager   ClusterIP   10.0.123.176   <none>        8422/UDP,10800/TCP,9002/TCP,80/TCP,53/UDP   115s    app=kubevpn-traffic-manager

NAME                                           READY   STATUS    RESTARTS   AGE     IP             NODE                                NOMINATED NODE   READINESS GATES
pod/hello-world-57f994fd7d-j8th6               1/1     Running   0          3m48s   10.224.0.102   aks-agentpool-35883522-vmss00001g   <none>           <none>
pod/kubevpn-traffic-manager-8556f588c8-749bf   3/3     Running   0          114s    10.224.0.116   aks-agentpool-35883522-vmss00001g   <none>           <none>

Vous pouvez tester la connexion en utilisant ping avec l'adresse IP d'un pod :

ping 10.224.0.116

Vous pouvez aussi tester la connexion en utilisant curl avec l'adresse IP d'un service:

curl 10.224.0.102

KubeVPN prend en charge la résolution des noms DNS Kubernetes, vous pouvez donc accéder à un service nommé hello-world dans l'espace de noms default en utilisant les noms suivants: * hello-world * hello-world.default * hello-world.default.svc.cluster.local Vous pouvez même utiliser le nom court de domaine comme productpage.

curl hello-world 1 # Nom court
curl hello-world.default.svc.cluster.local

Important : La résolution des noms courts ne fonctionne que dans l'espace de noms où kubevpn-traffic-manager est déployé.

2. Interception du Trafic Inbound

KubeVPN permet également d'intercepter le trafic entrant des services Kubernetes et de le rediriger vers votre machine locale. Cette fonctionnalité est particulièrement utile pour le débogage et le développement, car elle vous permet de tester localement vos modifications tout en les intégrant dans l'environnement Kubernetes.

Vous pouvez utiliser la commande kubevpn proxy pour intercepter le trafic entrant d'un déploiement spécifique, par exemple productpage:

kubevpn proxy deployment/hello-world

Vous pouvez même définir une règle pour que seul le trafic avec un header spécifique soit redirigé vers votre machine locale, par exemple, avec le header app=monapp.

kubevpn proxy deployment/hello-world --headers app=monapp

Pour annuler le proxy, vous pouvez utiliser la commande kubevpn leave :

kubevpn leave deployment/hello-world

Plus d'informations ici : reverse proxy

3. Modes de Connexion

KubeVPN propose différents modes de connexion pour s'adapter à vos besoins :

Mode Connect : Crée un tunnel simple pour connecter votre machine locale au cluster Kubernetes.
Mode Reverse : Injecte un conteneur sidecar dans le contrôleur, bloque le trafic entrant et le redirige vers votre machine locale via un tunnel.
Mode Mesh : Utilise Envoy comme proxy. Si les headers contiennent une clé-valeur spéciale, le trafic est routé vers la machine locale, sinon, il est routé vers le service d'origine.
Mode Lite : (--lite=true) Permet de se connecter à plusieurs clusters Kubernetes simultanément, conçu pour la connexion à plusieurs réseaux de clusters.
Mode Full : Par défaut, (--lite=false) Permet de se connecter à un réseau de clusters et prend également en charge le proxy du trafic entrant vers votre machine locale.

Vous pouvez vous connecter à plusieurs clusters en utilisant les modes lite et full :

# Se connecter à 2 clusters en mode lite
kubevpn connect
kubevpn status
kubevpn connect -n default --kubeconfig ~/.kube/dev_config --lite

L'état des connexions sera alors mis à jour en conséquence:

ID Mode Cluster Kubeconfig Namespace Status
0 full k8s-train /Users/hleclerc/.kube/config default Connected
1 lite k8s-dev /Users/hleclerc/.kube/dev_config default Connected

4. Mode Développement Local avec Docker

KubeVPN va encore plus loin en permettant d'exécuter vos pods Kubernetes dans des conteneurs Docker locaux. Cela vous garantit un environnement de développement identique à celui du cluster, avec les mêmes variables d'environnement, volumes et configuration réseau.

J'utilise limactl

Voici un exemple de commande pour lancer le mode développement :

kubevpn dev deployment/hello-world --entrypoint sh

Cette commande : * Connecte votre machine locale au réseau du cluster. * Injecte un sidecar pour intercepter le trafic entrant. * Lance un conteneur Docker avec l'image de votre pod.

Vous pouvez utiliser localhost:port pour accéder à votre conteneur. L'environnement, le volume et le réseau sont les mêmes que dans le pod Kubernetes distant. Vous pouvez choisir de ne pas utiliser de proxy:

kubevpn dev deployment/hello-world --no-proxy

Vous pouvez aussi utiliser un image docker spécifique et un point d'entrée particulier:

kubevpn dev deployment/hello-world --dev-image [docker registry]/[namespace]/[repo]:[tag]  --entrypoint /bin/bash

KubeVPN prend en charge le Docker in Docker (DinD).

docker run -it --privileged --sysctl net.ipv6.conf.all.disable_ipv6=0 -v /var/run/docker.sock:/var/run/docker.sock -v /tmp:/tmp -v ~/.kube/config:/root/.kube/config --platform linux/amd64 naison/kubevpn:latest

5. Prise en Charge des Protocoles Multiples

KubeVPN supporte les couches 3 et supérieures du modèle OSI, comme ICMP, TCP, UDP, gRPC, WebSocket et HTTP.

6. Installation Facile

KubeVPN peut être installé de différentes manières : * Avec brew (macOS/Linux) : brew install kubevpn. * Avec scoop (Windows) : scoop bucket add extras && scoop install kubevpn. * Avec krew (Windows/macOS/Linux) : kubectl krew index add kubevpn https://github.com/kubenetworks/kubevpn.git && kubectl krew install kubevpn/kubevpn && kubectl kubevpn. * Via une release GitHub. Vous pouvez également installer l'application de démo Bookinfo:

kubectl apply -f https://raw.githubusercontent.com/kubenetworks/kubevpn/master/samples/bookinfo.yaml

Vous pouvez nettoyer après le test en utilisant la commande:

kubectl delete -f https://raw.githubusercontent.com/kubenetworks/kubevpn/master/samples/bookinfo.yaml

Exemples d'Utilisation Concrets

Voici quelques exemples d'utilisation qui illustrent la puissance de KubeVPN :

Développement et débogage local : Vous pouvez exécuter votre application dans un conteneur Docker local, mais connecté au réseau Kubernetes grâce à KubeVPN. Cela vous permet de déboguer votre application dans un environnement identique à celui de production.
Test de modifications en temps réel : Vous pouvez intercepter le trafic entrant vers un service Kubernetes et le rediriger vers votre machine locale. Cela vous permet de tester rapidement les modifications de votre code sans avoir à redéployer l'application dans le cluster.
Accès facile aux API Kubernetes : Vous pouvez utiliser les outils en ligne de commande Kubernetes comme kubectl directement depuis votre machine locale, sans avoir à configurer des tunnels ou des redirections de ports complexes.
Collaboration simplifiée : Les membres de votre équipe peuvent utiliser KubeVPN pour accéder au même environnement de développement, réduisant ainsi les problèmes de compatibilité et de configuration.

FAQ

Vos sources répondent également à certaines questions fréquentes : * Si l'image Docker ne peut pas être téléchargée ou si l'environnement interne ne peut pas accéder à docker.io :
* Transférer l'image dans votre propre registre privé et utiliser l'option --image. * Utiliser l'option --transfer-image pour transférer automatiquement l'image vers l'adresse spécifiée par l'option --image. * Si vous obtenez l'erreur 137 lors de l'utilisation de kubevpn dev, il peut s'agir d'une insuffisance de ressources allouées par Docker Desktop. Augmentez la mémoire dans les paramètres de Docker Desktop. * Si vous utilisez Docker dans WSL (Windows Subsystem for Linux) et que la connexion au cluster ne fonctionne pas, vous pouvez installer Docker dans WSL, utiliser kubevpn connect sur Windows, ou utiliser l'option --network container:$CONTAINER_ID lors de l'utilisation de kubevpn dev. * Si vous obtenez l'erreur 172.17.0.1:443 connect refusued lors de l'accès à l'api Kubernetes, cela peut être dû à un conflit entre le sous-réseau de Kubernetes et celui de Docker. Utilisez l'option --connect-mode container avec kubevpn dev ou modifiez le fichier ~/.docker/daemon.json en ajoutant un sous-réseau qui ne sera pas en conflit, par exemple: "bip": "172.15.0.1/24".

Conclusion

KubeVPN est un outil indispensable pour tout développeur travaillant avec Kubernetes. Il simplifie l'accès aux ressources du cluster, permet de tester facilement les modifications locales et offre un environnement de développement cohérent. Si vous développez des applications cloud natives, vous devriez absolument essayer KubeVPN !

Ce billet de blog a exploré les principales fonctionnalités de KubeVPN, en s'appuyant sur les informations fournies dans vos sources. J'espère qu'il vous sera utile et vous encouragera à adopter cet outil pour améliorer votre productivité.

Kubernetes 1.32

2024-12-13T10:00:00+01:00

Kubernetes 1.32 : Stabilité et la performance !

Salut les mordus de Kubernetes ! La version 1.32 est arrivée, et elle est pleine de nouveautés intéressantes qui vont améliorer votre expérience Kubernetes.

Accrochez-vous, on vous embarque pour un tour d'horizon des nouvelles fonctionnalités les plus cool !

Performance et Stabilité : Kubelet s'améliore

Le gestionnaire de mémoire de Kubelet est enfin en version stable ! C'est une grande nouvelle car cela signifie que vous pouvez l'utiliser en toute confiance en production.

Ce gestionnaire améliore la façon dont Kubelet gère la mémoire des pods, prévenant les interruptions de service dues à une saturation.

En plus de cela, on a droit à une meilleure gestion des connexions UDP grâce à un correctif dans kube-proxy.

Fini les problèmes DNS après un redémarrage des pods DNS ! De même, le contrôleur de point de terminaison a été corrigé pour gérer plus efficacement les objets Endpoint.

Et devinez quoi ? Le gestionnaire d'expulsion (Eviction) a été corrigé pour supprimer les images et les conteneurs inutilisés.

Cela vous permet de libérer de l'espace précieux sur vos nœuds !

Fonctionnalités en version stable : La cerise sur le gâteau

En plus des améliorations de performance et de stabilité, plusieurs fonctionnalités ont été promues en version stable dans Kubernetes 1.32. Parmi elles :

StatefulSetAutoDeletePVC : Plus besoin de supprimer manuellement les PVC associés à un StatefulSet lorsqu'il est supprimé.
CustomResourceFieldSelectors : Cette fonctionnalité offre plus de flexibilité dans la gestion des CustomResourceDefinitions.
RetryGenerateName : La génération de noms pour les objets Kubernetes est désormais plus robuste et fiable.
SizeMemoryBackedVolumes : La gestion des volumes en mémoire est maintenant plus stable et performante.
PodLifecycleSleepAction: Cette fonctionnalité simplifie la gestion des actions de cycle de vie des pods.

Encore plus de nouveautés

Kubernetes 1.32 ne s'arrête pas là ! Voici d'autres nouveautés à découvrir :

La fonctionnalité « Scheduler Queueing Hints » est passée en version bêta. Elle promet d'optimiser la planification des pods.
La prise en charge de Windows pour le gestionnaire de mémoire des nœuds a été ajoutée, améliorant ainsi les performances et la stabilité des nœuds Windows.
Vous pouvez maintenant configurer des domaines de recherche de pod avec plus de liberté.
L'intégration du chien de garde (watchdog) systemd au kubelet permet de redémarrer automatiquement les kubelets bloqués.

Autres Changements importants

Des modifications ont été apportées à l'API pour la gestion du redimensionnement des pods. Un nouveau sous-ressource /resize a été ajouté pour les opérations de redimensionnement.
Une nouvelle fonctionnalité permet la suppression non sécurisée des ressources corrompues. Cette fonctionnalité est désactivée par défaut et peut être activée en définissant l'option --feature-gates=AllowUnsafeMalformedObjectDeletion=true.
La structure NodeToStatusMap a été modifiée, passant d'une map à une structure. Des méthodes ont été ajoutées pour accéder aux entrées et absentNodesStatus informe de l'état des nœuds absents dans la map.
Le support pour la suppression des requêtes et des limites lors du redimensionnement d'un pod a été supprimé.
"ComponentSLIs" est maintenant en GA et verrouillée.

En résumé

Kubernetes 1.32 apporte une multitude d'améliorations qui raviront les utilisateurs de la plateforme.

N'hésitez pas à explorer toutes les nouveautés et à les mettre en pratique pour tirer le meilleur parti de votre environnement Kubernetes !

N'oubliez pas de consulter les notes de version officielles pour une liste complète des changements.

Change Log

Upgradez vous cluster fréquemment !!!

Le blog d'alter way

Améliorer la Developer Experience avec Backstage : le pari réussi de Safran et AWS

Améliorer la Developer Experience avec Backstage : le pari réussi de Safran et AWS

Pourquoi miser sur le Platform Engineering ?

Backstage, la fondation open source signée Spotify

Ce que Backstage apporte :

Harmonix : l'accélérateur AWS

Harmonix inclut :

Le retour d’expérience de Safran

Résultats observés :

Une plateforme pensée pour l’autonomie

Les défis rencontrés

Ce qui attend Safran et AWS

Conclusion : de l’expérience développeur à l’impact business

Industrialiser le RAG pour booster l’IA générative : l’approche pragmatique en 2025

Industrialiser le RAG pour booster l’IA générative : l’approche pragmatique en 2025

Un constat alarmant, une promesse ambitieuse

RAG : le bon compromis pour une IA efficace

Comment fonctionne un système RAG

Réduire les hallucinations, sécuriser les échanges, limiter les coûts

Une architecture modulaire et réutilisable

Exemple concret : un assistant IA métier chez Bureau Veritas

Mettre à l’échelle en gardant le contrôle

Évaluer et améliorer en continu

Passer du test à la production

VMWare --> Open Source

Migration de VMware vers les Solutions Open Source de Virtualisation et de Conteneurisation

Sources des citations

Simplifier et optimiser vos clusters Kubernetes : le combo gagnant EKS + Karpenter + Auto Mode

Simplifier et optimiser vos clusters Kubernetes : le combo gagnant EKS + Karpenter + Auto Mode

Kubernetes : un standard… qui reste complexe à opérer

Karpenter : le scaling intelligent et granulaire

De Cluster Autoscaler à Karpenter : changer de paradigme

Comment fonctionne Karpenter ?

Node Pools & Node Classes : plus de contrôle, moins de friction

Bénéfices concrets pour Qonto :

Aller plus loin avec EKS Auto Mode : l’automatisation poussée de Kubernetes

Le constat : EKS gère déjà le control plane, mais la gestion des nœuds restait à la charge des clients

La promesse :

Focus sécurité :

Karpenter + Auto Mode : complémentaires ou concurrents ?

Pourquoi ces choix technologiques comptent ?

Conclusion : Kubernetes à grande échelle, mais sans douleur

Déployer Talos sur Numspot

Déployer un cluster Kubernetes Talos sur NumSpot avec Terraform : quand minimalisme et souveraineté riment avec modernité

Motivation

Pourquoi Talos et pas un service managé ?

Pré-requis

1. Création d'une Image dans le catalogue privé du compte Numspot

1.1 Téléchargement du raw disk Talos Linux

1.1.2 Copie du raw disk sur /dev/sda

1.1.3 Snapshot du volume pour en faire un ... Snapshot 😏

1.1.4 Transformation du Snapshot en Image privée Numspot

2. Création des configurations terraform pour Talos sur Numspot

2.1 fichiers Providers

2.2 variables et fichiers de configuration statiques ou templates

2.3 les data (ressources externes numspot)

2.4 Les VMs et autres composants de l'infrastructure

2.5 La configuration du cluster Talos

3. Let's GO !

3.1 Terraform init

3.2 Terraform apply

3.3 Utilisation du cluster

4. Améliorations

5. Conclusions

Maîtriser l'Affinité et l'Anti-Affinité Pod/Node

Kubernetes : Maîtriser l'Affinité et l'Anti-Affinité Pod/Node

Pourquoi aller au-delà du Scheduling par Défaut ?

Comprendre les Concepts Clés

1. Affinité de Nœud (Node Affinity)

2. Anti-Affinité de Nœud (Node Anti-Affinity)

3. Affinité de Pod (Pod Affinity)

4. Anti-Affinité de Pod (Pod Anti-Affinity)

Bonnes Pratiques et Points d'Attention

Conclusion

Kubernetes 1.33

Kubernetes 1.33 : Nouveautés Réseau, Sécurité et Expérience Admin

Introduction

Kubernetes 1.33 : Points les plus structurants

Kuberenetes 1.33 : Détail complet des changements

Pourquoi Talos et pas un service managé ?

Chapitre 1 : Les `Requests` - La liste au Père Noël (ou au kube-scheduler)

Chapitre 2 : Les `Limits` - La Laisse Électronique (et parfois mortelle)

1. Planification Précise avec `nelm release plan install`