(Nouvelle) présentation de l'image de base universelle Red Hat

Choisir une base solide

Il existe de nombreuses images de base de conteneurs. Alors, pourquoi choisir notre image de base universelle (UBI) ? Pour commencer, tout son code est dérivé de Red Hat Enterprise Linux (RHEL). Pour vous expliquer pourquoi choisir notre UBI, nous devons nous pencher sur l'objectif de RHEL :

« Red Hat Enterprise Linux est la source d'innovation Linux sûre et fiable qui assure la réussite de vos charges de travail. »

Livre numérique sur l'UBI de Red Hat

Étant donné que les conteneurs reposent sur Linux et que l'UBI est dérivée de RHEL, elle bénéficie des mêmes avantages ci-dessous.

1. Innovation : les entreprises cherchent en permanence à innover rapidement et facilement, mais aussi à assurer une cohérence du datacenter jusqu'à la périphérie, en rationalisant les processus d'exploitation et en centralisant les tâches de développement et de gestion.
2. Optimisation : Plus une infrastructure est complexe, plus les coûts sont élevés et l'efficacité moindre.
3. Protection : pour de nombreuses entreprises, la gestion permanente des risques sur le cloud hybride, notamment lors de la création, de la mise à l'échelle et de la gestion des charges de travail, peut constituer une difficulté.
4. Confiance : pour les entreprises, la gestion de la complexité du cycle de vie des applications, de la compatibilité des charges de travail, des correctifs de sécurité et des rapports de conformité est un défi sans fin.

Les conteneurs offrent une version allégée de l'espace utilisateur (l'ensemble des programmes, des bibliothèques et des dépendances qui accompagnent un système d'exploitation) de Linux. Il est possible de réduire ces dépendances à l'essentiel en plaçant les applications dans des conteneurs. Toutefois, il s'agit toujours d'un système d'exploitation, et la qualité d'une image de base de conteneur a autant d'importance que le système d'exploitation hôte. Le choix d'une image de base de conteneur adaptée à votre entreprise est central. Ce choix a des répercussions sur la sécurité et le cycle de vie, au même titre que la création d'un environnement d'exploitation standard.

Dès le début, nous avons compris l'importance des images de base pour les entreprises et avons commencé à proposer des images Red Hat Enterprise Linux (RHEL) au lancement de RHEL 7. Nous avons également publié des images RHEL 6 peu de temps après. Ces images ont fourni aux clients RHEL des conteneurs plus sécurisés, plus performants, adaptés aux besoins professionnels et à jour. L'exécution d'images de conteneurs sur des hôtes RHEL assure la compatibilité et la portabilité entre les environnements, sans oublier la simplicité d'utilisation. Un problème subsistait pourtant : le contrat d'entreprise des souscriptions RHEL empêchait nos clients de partager facilement les images de conteneurs qu'ils avaient créées en dehors de leur entreprise (or, il s'agit de l'un des principaux intérêts des conteneurs).

Au lancement de l'image de base universelle (UBI) Red Hat, nous avons apporté deux modifications majeures :

1. Les clients peuvent partager des images de conteneurs basées sur l'UBI avec qui ils veulent, à l'intérieur ou à l'extérieur de leur entreprise.
2. Les utilisateurs qui ne font pas partie de nos clients peuvent profiter de l'ensemble du contenu publié dans l'image de base universelle Red Hat.

Tout le monde peut désormais profiter de la fiabilité, de la sécurité et des performances de nos images officielles de conteneurs. En d'autres termes, vous pouvez créer une application conteneurisée sur l'UBI, la publier sur le serveur de registre de conteneurs de votre choix, puis la partager avec le monde entier. L'UBI vous permet de créer et partager vos applications conteneurisées, mais aussi de travailler dessus de façon collaborative, où et comme vous le souhaitez.

Lorsque vous créez des applications sur l'UBI, vous pouvez les partager et les exécuter où vous le souhaitez. Mais si vous les exécutez sur RHEL ou Red Hat OpenShift, vous bénéficiez également d'avantages supplémentaires. En voici les raisons.

1. Exécution sur tout type d'environnement : vous bénéficiez du même niveau de qualité, mais vous pouvez uniquement vous tourner vers la communauté ou régler les problèmes vous-même.
2. Exécution sur RHEL ou OpenShift : vous bénéficiez du même niveau de qualité, mais Red Hat assure une assistance complète. Si vous avez besoin d'aide, vous pouvez créer un ticket.

Pourquoi utiliser l'UBI

Voici des souhaits et des besoins qui pourraient vous aider à déterminer si l'UBI est la solution idéale pour votre entreprise :

• Mon équipe de développement souhaite une image de conteneur de haute qualité qu'il est possible de distribuer publiquement.
• Mon équipe d'exploitation souhaite disposer d'une image de base compatible avec un cycle de vie d'entreprise.
• Mon équipe produit souhaite fournir un conteneur certifié Red Hat dont l'assistance est assurée conjointement avec Red Hat.
• Mes clients souhaitent bénéficier d'une assistance professionnelle dans leur environnement Red Hat.
• Ma communauté souhaite partager plus librement des applications conteneurisées, mais souhaite tout de même disposer d'une image de conteneur d'une qualité irréprochable.

Si l'une de ces affirmations s'applique à votre entreprise, poursuivez votre lecture.

Plus qu'une image de base

L'UBI n'est pas un système d'exploitation complet, et se compose des trois éléments suivants :

1. Un ensemble de quatre images de base (ubi-micro, ubi-minimal, ubi standard, ubi-init)
2. Un ensemble d'images d'exécution de langage (Node.js, Ruby, Python, PHP, Perl, etc.)
3. Un ensemble de paquets associés dans un référentiel Yum qui satisfait aux dépendances d'application courantes

Tout le contenu de l'UBI est un sous-ensemble créé à partir de RHEL. Tous les paquets de l'UBI proviennent de canaux RHEL et sont pris en charge de la même manière que RHEL lorsqu'ils sont exécutés sur RHEL ou OpenShift :

Une bonne prise en charge des images de conteneurs nécessite beaucoup de travail au niveau de l'ingénierie, de l'analyse de sécurité et des ressources. Il convient de tester non seulement les images de base, mais également leur comportement sur un hôte de conteneur donné.

Pour faciliter la mise à niveau, nous nous sommes principalement concentrés sur l'ingénierie et la prise en charge. L'UBI 8 peut être exécutée sur des hôtes RHEL 9, l'UBI 9 sur des hôtes RHEL 8 ainsi que d'autres permutations. Ainsi, les utilisateurs ont plus de flexibilité et de confiance lors des mises à niveau de la plateforme de l'application, que ce soit dans l'image de conteneur ou dans des hôtes sous-jacents. Pour une liste complète des éléments pris en charge, consultez la matrice de compatibilité des conteneurs sur le portail Red Hat.

Comparaison de quatre images de base

Micro : conçue pour les applications qui contiennent leurs propres dépendances (Python, Node.js, .NET, etc.).

• Plus petite image absolue utilisable comme base de création
• Aucun gestionnaire de paquets, ce qui réduit sa taille
• Recommandation : remplacer le fichier Dockerfile par Buildah

Minimal : conçue pour les applications qui contiennent leurs propres dépendances (Python, Node.js, .NET, etc.).

• Ensemble de contenu préinstallé réduit
• Aucun fichier binaire SUID
• Gestionnaire de paquets minimal (installation, mise à jour et suppression)

Standard : pour toute application exécutée sur RHEL.

• Pile de chiffrement OpenSSL unifiée
• Pile Yum complète
• Outils de base de système d'exploitation utiles (tar, gzip, vi, etc.)

Multi-service : simplifie l'exécution de plusieurs services dans un même conteneur.

• Configurée pour exécuter systemd au démarrage
• Permet d'activer les services au moment de la création

Images de conteneur d'exécution de langage prédéfinies

En plus des images de base qui vous permettent d'installer des langages, l'UBI fournit aux équipes de développement des images prédéfinies pour utiliser un certain nombre d'environnements d'exécution de langage. Dans de nombreux cas, il suffit de lancer une image pour pouvoir commencer à travailler immédiatement sur l'application en cours de création.

La liste complète des images de conteneur d'exécution prédéfinies est disponible sur Red Hat Ecosystem Catalog :

• Images basées sur l'UBI 9
• Images basées sur l'UBI 8
• Images basées sur l'UBI 7

Paquets associés

L'utilisation d'images prédéfinies fait toute la différence. Red Hat publie de nouvelles images lorsqu'une nouvelle version de RHEL est lancée et lorsque des correctifs CVE (Common Vulnerabilities and Exposures) cruciaux sont appliqués, conformément à la politique de mise à jour de RHEL. La politique d'image complète est disponible sur cette page : Mises à jour des images de conteneurs Red Hat. Nous avons conçu des images de sorte que vous puissiez simplement en extraire une pour commencer à créer votre application.

Parfois, au cours du processus de création, vous avez besoin d'un seul paquet supplémentaire. Ou, parfois, vous avez besoin qu'un paquet soit mis à jour pour que l'application fonctionne. C'est pourquoi l'UBI est également fournie avec un ensemble de RPM disponibles via Yum et transmise via un réseau de distribution de contenu à haute disponibilité. Lorsque vous exécutez une mise à jour Yum dans votre pipeline CI/CD à ce moment crucial où vous devez lancer une version en production, vous accédez à la même infrastructure que celle utilisée par nos clients.

RHEL comme base

Lorsqu'elles ont été lancées en 2014, les applications conteneurisées ont fortement stimulé l'innovation dans le domaine de l'informatique en entreprise. Aujourd'hui, elles continuent de changer la donne en améliorant les processus de développement et de maintenance des applications traditionnellement monolithiques. Toutefois, les conteneurs ne sont pas la solution à tout. Dans le monde de l'entreprise, les systèmes d'exploitation ont besoin de plus de stabilité et de fiabilité, mais aussi d'outils de sécurité, de guides et de correctifs rapides. Or, la solution RHEL est justement conçue pour répondre à ces besoins. Voici quelques-unes des équipes Red Hat qui travaillent sur les images de base :

• L'équipe d'ingénierie spécialisée dans les performances se charge de la mise à jour et de la maintenance des bibliothèques essentielles, telles que glibc et OpenSSL, mais aussi de l'exécution de langages tels que Python et Ruby, conçus pour fournir des performances robustes et fonctionner de manière fiable avec les charges de travail que vous choisissez de conteneuriser.
• L'équipe chargée de la sécurité des produits s'assure que ces mêmes bibliothèques et langages reçoivent des correctifs de sécurité au bon moment. Les mesures reposent sur le système Container Health Index.
• Les équipes d'ingénierie et de gestion des produits se consacrent à l'ajout de nouvelles fonctions et à la gestion du cycle de vie à long terme. Ainsi, vous avez l'assurance que vous investissez dans un système qui s'inscrit dans la durée.

La tarification de RHEL est basée sur des souscriptions. Votre entreprise n'a donc pas à acheter des licences par version ou à payer l'assistance en plus des licences. Lorsque vous souscrivez, vous pouvez exécuter n'importe quelle version actuelle de RHEL. Vous bénéficiez notamment de l'accès aux services d'assistance Red Hat et des avantages d'un système d'exploitation Linux plus sûr, renforcé et fiable. Bien que RHEL soit une excellente solution, que ce soit comme ou hôte ou comme image pour les conteneurs, il n'est pas rare que les équipes de développement gèrent de très nombreux cas d'utilisation, dont certains peuvent échapper aux scénarios pris en charge. C'est là qu'intervient l'UBI.

Aujourd'hui et demain

Peut-être qu'aujourd'hui, vous cherchez simplement une image de base pour vous lancer dans la création d'une simple application conteneurisée. Ou peut-être que vous utilisez actuellement des conteneurs autonomes exécutés sur un moteur dédié, et que vous passez à un environnement cloud-native qui crée et certifie des opérateurs conçus pour une exécution sur OpenShift. Dans les deux cas, l'UBI constitue une base solide.

Les conteneurs encapsulent un espace utilisateur de système d'exploitation léger dans un nouveau format, et Red Hat est le leader des systèmes d'exploitation Linux pour les entreprises. L'UBI a pour but d'établir une nouvelle référence dans le secteur du développement de conteneurs. Elle met les conteneurs de qualité professionnelle à la portée des éditeurs de logiciels indépendants (ISV), des clients et des communautés Open Source.

En particulier, les éditeurs indépendants peuvent utiliser une base unique et fiable pour leurs applications conteneurisées, y compris les opérateurs Kubernetes. S'ils utilisent l'UBI, ils peuvent profiter de la certification Red Hat Container Certification pour vérifier en continu les logiciels déployés sur une plateforme Red Hat telle qu'OpenShift.

Premiers pas

Pour vous lancer, rien de plus simple. Vous pouvez extraire ces images avec le moteur de conteneurs de votre choix, mais nous recommandons Podman Desktop ou Podman si vous préférez travailler en ligne de commande. Il vous suffit de récupérer une image depuis l'un de ces référentiels et de démarrer.

Pour l'UBI 9 :

podman pull registry.access.redhat.com/ubi9/ubi
podman pull registry.access.redhat.com/ubi9/ubi-minimal
podman pull registry.access.redhat.com/ubi9/ubi-init

Pour l'UBI 8 :

podman pull registry.access.redhat.com/ubi8/ubi
podman pull registry.access.redhat.com/ubi8/ubi-minimal
podman pull registry.access.redhat.com/ubi8/ubi-init

Pour l'UBI 7 :

podman pull registry.access.redhat.com/ubi7/ubi
podman pull registry.access.redhat.com/ubi7/ubi-minimal
podman pull registry.access.redhat.com/ubi7/ubi-init

Pour plus d'informations, consultez le livre numérique complet sur l'image de base universelle Red Hat ou la FAQ sur l'UBI Red Hat.