Thomas SCHWENDER
L’idée originale de conteneur a germé dans les années 70s sur les systèmes Unix, quand l’on a eu besoin de mieux isoler le code applicatif.
A cette époque les ordinateurs étaient très chers et donc très rares, il fallait donc pouvoir les exploiter au maximum.
chrootL’appel système chroot a été créé en 1979, pendant le développement de la version 7 d’Unix.
chroot permet de changer le répertoire racine d’un processus et de ses enfants.
Cela a marqué le début de l'isolation des processus, en restreignant l’accès d’une application à une arborescence de fichiers données.
La sécurité s’en voit renforcée, l’environnement isolé ne permettant théoriquement pas à une attaque de "sortir" sur un système extérieur.
JailsJails permet de partitionner un système FreeBSD en sous-systèmes indépendants, appelés "jails", avec la possibilité d’assigner à chacun d’eux une adresse IP spécifique.
VServerComme FreeBSD Jails, Linux VServer est un mécanisme de "prison".
Il permet de partitionner des ressources (systèmes de fichiers, adresses réseau, mémoire) au sein de l’OS, via l’ajout de capacités de virtualisation de l’OS au noyau Linux.
Son principal inconvénient était qu’il imposait de patcher le noyau Linux.
Les namespaces sont une fonctionnalité du noyau Linux permettant à vos processus d’être séparés des autres processus tournant sur l’OS.
Ils permettent aux processus de disposer chacun de leurs propres ressources : réseau, PID, utilisateurs, hostname, mounts, etc.
Les namespaces "limitent ce que l’on peut voir"
Le 1er type de namespaces à avoir été ajouté au noyau Linux, en version 2.4.19, est les mount namespaces le 2002/08/03.
BorgBorg était l'orchestrateur de conteneurs (container cluster management system) utilisé en interne par Google.
Il était basé sur les mécanismes d’isolation déjà présents sur Linux et pouvait exécuter des milliers de jobs, en provenance de milliers d’applications, au travers d’un grand nombre de clusters chacun composé de dizaines de milliers de machines…
En 2004, pour Solaris 10, était publiée la 1ere beta publique des Solaris Containers, qui combinaient contrôle des ressources du système et définition de frontières, à l’aide du concept de zones.
Ces zones agissent comme autant de serveurs virtuels totalement isolés, au sein d’une seule instance d’OS.
OpenVZ
OpenVZ permet à un serveur physique d’exécuter de multiples instances de systèmes d’exploitation isolés, qualifiées de serveurs privés virtuels (VPS) ou environnements virtuels (VE).
user namespacesLes user namespaces sont les namespaces les plus complexes et les plus importants pour le fonctionnement de la conteneurisation.
Ils permettent à un processus d’avoir ses propres utilisateurs, et de disposer des droits root dans un conteneur, mais PAS à l’extérieur.
Les Linux Containers ont été la 1ere véritable implémentation d’une gestion de conteneurs pour Linux.
Ils s’appuient sur les cgroups et les Linux namespaces, et fonctionnent sur un noyau Linux non patché.
WardenProjet lancé par CloundFoundry, Warden s’appuyait à la base sur LXC.
Il avait pour but de fournir moyen simple de gérer des environnements isolés (des conteneurs 😉)
Pour se faire, il tournait comme un daemon, et proposait une API de gestion de conteneurs.
Docker a fourni un wrapping simple et facile d’utilisation des fonctionnalités d’isolation de processus du noyau Linux.
C’est cette facilité d’usage qui a permis l’explosion de popularité des conteneurs.
