C'est l'information qui a fait parler en ce premier décembre 2014, elle nous vient de l'équipe créatrice de CoreOS. On ne va pas vous faire l'affront de vous expliquer encore ce qu'est et n'est pas Docker, le premier lien de la liste s'en chargera très bien.
CoreOS crée Rocket, une alternative à Docker, mais pourquoi ?
Les raisons
Elles sont multiples. D'une part la stratégie mise en place par l'équipe de Docker, sa diversification vers des univers comme le Cloud, le Clustering, Windows "?", le téléversement ainsi que le téléchargement d'images toutes prêtes… mais aussi son fonctionnement monolithique et obligatoirement en "root" et pour finir la suppression du manifeste de CoreOS pour les conteneurs ont fini par faire déborder le verre/vase/bassin de patience et de respect de ses idéaux à l'équipe de CoreOS.
Oui, mais qu'apporte Rocket par rapport à Docker ?
Modulable
Tous les outils pour le téléchargement, l'installation et l'exécution des conteneurs doivent être interconnectés, mais indépendants et modulables.
Sécuritaire
Isolé, chiffré, le conteneur doit l'être dès sa création et le rester.
La distribution d'images de conteneurs
La recherche des images de conteneurs doit être simple et normée, la récupération de ceux-ci distribuée. Bittorent semble privilégié pour l'instant.
Ouvert
Afin que la communauté puisse l'adapter à ses besoins et ses envies.
L'état des lieux
Aujourd’hui Rocket est disponible en version 0.10 sur GitHub (cf. lien plus haut). Au menu des réjouissances, on pourra noter que Rocket est un outil de ligne de commande, "rkt", qui va créer un "tgz" chiffré et signé qui comprendra toutes les informations nécessaires à la création d'un conteneur, et met en place deux normes (à compléter/modifier par les futurs utilisateurs/développeurs) : l'App Container Image et l'App Container Runtime.
L'App Container image
L'App Container image (ou Image App Container (ACI)) est une spécification pour le format d'image d'un conteneur. C'est une archive simple qui est signée et éventuellement chiffrée.
L'App Container Runtime
L'App Container Runtime définit de façon claire et rigoureuse ce que l'environnement et les installations d'une exécution de conteneurs devraient fournir par défaut. Cela inclut les appareils, variables d'environnement, et privilèges qu'un conteneur devrait atteindre et surtout ne pas dépasser. cela comprend également une définition d'une interface de service de méta-données pour exposer les données de l'environnement à partir de l'extérieur du récipient tout en gardant la problématique sécuritaire en son cœur.
L'App Container Discovery
Comme son nom l'indique, vous permettra de trouver et de télécharger le conteneur dont vous avez besoin.
Une solution et une aventure entre Docker et CoreOS Rocket à suivre de près pendant ces journées hivernales !
Aller plus loin
- Article de LinuxFR.org sur Docker (2635 clics)
- Rocket (1555 clics)
- CoreOS (754 clics)
- Manifeste CoreOS pour les conteneurs (686 clics)
- CoreOS is building a container runtime, Rocket (471 clics)
# Dépêche pas très claire...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 10.
Je m'intéresse particulièrement à Docker en ce moment, j'ai l'impression qu'il y a un gros enjeu à ce fork mais j'avoue que je ne comprends pas à travers cette dépêche quels sont les tenants et les aboutissants de ce fork.
[^] # Re: Dépêche pas très claire...
Posté par AlbertFR . Évalué à -8.
il faut lire pour ça : "Oui, mais qu'apporte Rocket par rapport à Docker ?" ce sont les différences principales
http://lsm2013.out.airtime.pro:8000/lsm2013.ogg Ecoutez Radio RMLL !
[^] # Re: Dépêche pas très claire...
Posté par IckyThump . Évalué à 10.
Quel est le lien entre Docker et CoreOS ? Quelles sont les raisons "politiques" derrière le fork ?
Quels sont les problèmes posés par ces éléments ? A priori, d'un point de vue très extérieur, je n'y vois que des avantages.
Est-il possible d'avoir un résumé de ce manifeste, des raisons de sa suppression ?
En gros, j'ai l'impression qu'il y a plein de non-dit dans la dépêche, ça me donne l'impression de passer à côté du sujet.
[^] # Re: Dépêche pas très claire...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 02 décembre 2014 à 10:46.
J'ai lu cette partie, et je n'ai pas compris clairement ce qu'apporte Rocket à Docker :
Est-ce que Rocket fait ça ? Est-ce que Docker ne le fait pas du tout ? Est-ce un cahier des charges ? Pourquoi a-t-on besoin que ces caractéristiques ?
Isolé c'est pas le cas de Docker ? pourquoi un conteneur doit être chiffré ? Si tu es dans une infrastructure d'entreprise, tu n'as pas besoin de chiffrer les conteneurs.
La recherche des images de conteneurs Docker est simple, non ? Normée par rapport au nom des images ? Est-ce que la distribution est vraiment nécessaire ?
Docker, en entreprise, tu vas l'utiliser très probablement avec un dépôt local dédié à l'entreprise, pas en mettant des agents sur toutes les machines.
Docker n'est pas ouvert ?
[^] # Re: Dépêche pas très claire...
Posté par Anonyme . Évalué à 6.
Au départ Docker était assez simple, mais maintenant il est en train de se transformer en un outil qui fait tout.
Par exemple ils parlent d'ajouter la gestion/deploiement de machines distantes:
https://github.com/docker/docker/issues/8681
Avec ce que propose coreos on pourrait par exemple ne prendre que la partie execution d'un conteneur, et gérer autrement le telechargement des images.
Ca veut pas dire que la facon dont fonctionne Docker n'a pas d'interet. Mais la ils expliquent pourquoi ils ont décidé de créer un projet different.
Tout le monde n'est pas dans une infrastructure d'entreprise. Et puis meme dans ce cas, en quoi est ce qu'il n'y aurait pas besoin de chiffrer ?
La récupération distribuée c'est sans doute pour eviter de consommer trop de bande passante chez celui qui heberge. Ca permet d'éviter de dépendre d'une societé comme Docker pour heberger ses images.
Pour info, il existe aussi des gens qui font des trucs et qui ne sont pas "en entreprise". Et puis il existe tout types d'entreprises. C'est pas par ce que c'est pas utile dans ton cas que ca ne sert à rien.
[^] # Re: Dépêche pas très claire...
Posté par oinkoink_daotter . Évalué à 5.
Je ne suis pas persuadé de comprendre l'intérêt du chiffrement pour la confidentialité ici :
- soit tu n'as pas confiance dans l'infrastructure de déploiement, le chiffrement ne te protégera pas contre une lecture bourrine de la mémoire depuis l'extérieur du contenu. Mémoire dans laquelle il y a peu près tout ce que tu cherches à protéger.
- soit tu as confiance (ou tu considères que le risque est maîtrisé), mais de toute façon ton chiffrement de conteneur ne te protège pas des intrusions par le réseau (ici c'est un gros risque). Une fois à l'intérieur du conteneur le chiffrement est transparent, donc on peut tout récupérer sans même se rendre compte que c'est chiffré sur disque.
En fait, le conteneur chiffré ne te protège que d'une seule chose, le vol de l'information, machine (ou conteneur) arrêtée.
[^] # Re: Dépêche pas très claire...
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Soit tu espères une avancée prodigieuse dans le domaine du chiffrement homomorphe qui permettrait de garder le tout chiffré même pour les admins de la plateforme considérée, mais la question qui arrive alors doit être le coût total en énergie (cela valait-il le coup de chiffrer A et B en local, de l'envoyer sur le serveur de calcul, de lui faire calculer A+B en chiffré, de récupérer le résultat et de le déchiffrer, par rapport à faire le calcul A+B en local en clair).
[^] # Re: Dépêche pas très claire...
Posté par Anonyme . Évalué à 6.
Oui je suis d'accord. Je pensais à un chiffrement des images sur le serveur de stockage des images (dans lequel on a pas forcement confiance) et pas sur la machine qui fait tourner les conteneurs.
Mais en lisant l'annonce originale, ils ne parlent pas de chiffrement, ils disent "the crypto primitives for strong trust, image auditing and application identity should exist from day one". Donc plutot la signature et verification de l'intégrité des images (ce qui manque actuellement à Docker).
[^] # Re: Dépêche pas très claire...
Posté par claudex . Évalué à 7.
Vu le nombre d'infrastructure d'entreprise qui se repose (tout ou en partie) sur des hébergements externes, je ne serais pas aussi catégorique.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Dépêche pas très claire...
Posté par LupusMic (site web personnel, Mastodon) . Évalué à 3.
Surtout quand ces hébergements son physiquement aux USA.
[^] # Re: Dépêche pas très claire...
Posté par cosmocat . Évalué à 9.
Déjà, je pense que rocket n'est pas un fork de Docker (et que donc il faut corriger la dépêche) mais un projet concurrent car ils pensent que Docker a de gros défauts non vraiment corrigeables. Je conseille de lire le dernier lien donné pour en savoir plus, qui est une annonce du projet…
[^] # Re: Dépêche pas très claire...
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
J'ai modifié la dépêche car effectivement le code semble original et non forké depuis Docker.
[^] # Re: Dépêche pas très claire...
Posté par Misc (site web personnel) . Évalué à 10.
En gros, docker commence à intégrer de base des trucs que coreos propose, et donc coreos inc. pense que docker inc. va leur marcher commercialement sur les pieds tot ou tard.
Du coup, ils partent sur leur propre solution.
# Catégorie Cuisine ?
Posté par M5oul (site web personnel) . Évalué à 7.
Vous êtes sûr que c’est de la cuisine ?
[^] # Re: Catégorie Cuisine ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
De la cuisine interne communautaire ? Bon ok, corrigé merci.
[^] # Re: Catégorie Cuisine ?
Posté par KiKouN . Évalué à 5.
Ça doit pas être facile à digérer une cuisine à base de contenairs et de fusée. Quoi que très énergétique et riche en fer.
[^] # Re: Catégorie Cuisine ?
Posté par Anonyme . Évalué à 3.
C’est la cuisine moléculaire.
[^] # Re: Catégorie Cuisine ?
Posté par Sidonie_Tardieu . Évalué à 5.
C'est totalhazbin, la cuisine moléculaire. Son auteur (Hervé This) s'est d'ailleurs auto-forké.
Son 'nouveau' projet, ici :
http://hervethis.blogspot.fr/2011/12/la-cuisine-note-note.html
Pour les audio-visuels, version courte :
https://www.youtube.com/watch?v=ZbaZguZLaMc
et une longue conférence, un peu générale :
http://plus.franceculture.fr/partenaires/strasbourg/de-la-cuisson-dans-des-fosses-la-cuisine-note-note-en-passant-par-la-nouvelle
Pour un sextumvirat ! Zenitram, Tanguy Ortolo, Maclag, xaccrocheur, arnaudus et alenvers présidents !
[^] # Re: Catégorie Cuisine ?
Posté par KiKouN . Évalué à 3.
Mais dans ce cas, ce n'est pas de la cuisine note à note. C'est de la cuisine instrument de musique à instrument de musique.
Les tambours du bronx ont du soucis à ce faire.
[^] # Re: Catégorie Cuisine ?
Posté par reynum (site web personnel) . Évalué à 4.
Bah oui tu ne connais pas la roquette ? c'est une délicieuse petite salade.
kentoc'h mervel eget bezan saotred
[^] # Re: Catégorie Cuisine ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Alors que la rockette libre, c'est « un rendez-vous, proposé par un collectif éponyme composé d’associations de la culture libre », les vendredis, sur Paris.
# Comment ça root ?
Posté par Patrice FERLET (site web personnel) . Évalué à 2.
Bha je viens de tester rocket, et il me demande aussi d'être en root…
Alors qu'avec docker, mon user est dans le groupe "docker" et je n'ai pas besoin d'être root… J'ai pas compris la remarque donc.
[^] # Re: Comment ça root ?
Posté par Anonyme . Évalué à 10.
Docker nécessite un daemon qui tourne en root, avec lequel on communique par une API (et le groupe "docker" permet de se connecter au socket qui permet d'utiliser cette API). Le daemon fait certains trucs qui nécessitent d'etre root, mais aussi d'autres ou ca n'est pas nécessaire.
Avec rocket, l'outil qui démarre un container a aussi besoin des droits root, mais ca pourrait etre un binaire suid qui ne fait que ca, sans avoir un daemon complet qui tourne en root.
[^] # Re: Comment ça root ?
Posté par lolop (site web personnel) . Évalué à 3.
Mais… est-ce que c'est compatible avec systemd ;-)
Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
[^] # Re: Comment ça root ?
Posté par GnunuX (site web personnel) . Évalué à 7.
https://coreos.com/using-coreos/systemd/
[^] # Re: Comment ça root ?
Posté par Patrice FERLET (site web personnel) . Évalué à 1.
Ok bonne réponse :)
Quoiqu'il en soit, j'ai testé Rocket… j'ai rien panné… le conteneur démarre et me rend pas la main, je pense qu'il bloque au stage 1. Et ça me parait pas évident en l'état (bon ok c'est une version prélaunch 0.10 unstable buggy not tested)
[^] # Re: Comment ça root ?
Posté par Misc (site web personnel) . Évalué à 8.
En sachant au passage que si tu es dans le groupe docker, c'est comme si tu était root ( tu lance un container avec un mount bindé d'un repertoire, tu modifie les permissions pour mettre un +s, hop, tu es root)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.