La virtualisation permet d’exécuter plusieurs systèmes d’exploitation (invités) sur un seul serveur physique (hôte) grâce à un hyperviseur. Chaque machine virtuelle (VM) possède son propre OS, ses ressources (CPU, RAM, disque) isolées. Les hyperviseurs se divisent en deux catégories : type 1 (bare-metal, ex: VMware ESXi, KVM, Hyper-V) et type 2 (ex: VirtualBox, VMware Workstation).

• Avantages – consolidation de serveurs, isolation, migration à chaud (vMotion), snapshots.
• Inconvénients – chaque VM inclut un OS complet (plus lourd), démarrage plus lent, consommation mémoire plus importante.
• Cas d’usage – serveurs legacy, environnements de test, infrastructure multi-OS, cloud IaaS (EC2).

ISOSET propose des modules sur la virtualisation avec VMware et KVM, pour administrer des infrastructures hybrides.

Un conteneur est une unité logicielle légère qui empaquette le code et toutes ses dépendances (bibliothèques, fichiers de configuration) de manière isolée au niveau du système d’exploitation. Contrairement à la VM, le conteneur partage le noyau de l’hôte, ce qui le rend bien plus rapide à démarrer (millisecondes) et plus économe en ressources.

• Image – modèle immuable contenant l’application et ses dépendances.
• Conteneur – instance exécutable d’une image.
• Docker Engine – moteur de conteneurisation (open source).
• Registre – stockage d’images (Docker Hub, AWS ECR, Azure ACR, GitLab Registry).

# Exemple de Dockerfile simple pour une app Node.js
FROM node:18-alpine
WORKDIR /app
COPY package*.json ./
RUN npm ci
COPY . .
EXPOSE 3000
CMD ["node", "server.js"]

ISOSET aide les entreprises à conteneuriser leurs applications existantes et à adopter les bonnes pratiques de sécurité des images.

• Isolation – VM : forte (hyperviseur). Conteneur : modérée (namespace, cgroups).
• Performance – VM : overhead de virtualisation. Conteneur : quasi natif.
• Démarrage – VM : minutes. Conteneur : millisecondes.
• Portabilité – VM : dépendante de l’hyperviseur. Conteneur : standard OCI (exécutable partout).
• Cas typique – VM : environnements legacy, besoin d’OS différents, forte isolation de sécurité. Conteneur : microservices, CI/CD, développement, cloud-native.

En production, on ne gère pas un conteneur isolé mais des centaines, répartis sur plusieurs machines. Kubernetes (K8s) automatise le déploiement, la mise à l’échelle, la résilience et le réseau des conteneurs. Il est devenu le standard de facto pour l’orchestration.

• Pods – le plus petit déployable (un ou plusieurs conteneurs liés).
• Deployments – gestion des répliques, mises à jour (rolling update).
• Services – exposition réseau stable vers les pods (ClusterIP, NodePort, LoadBalancer).
• Ingress – routage HTTP/HTTPS externe.
• ConfigMap & Secrets – configuration externalisée.

# Déploiement Kubernetes minimal
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deploy
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:latest
        ports:
        - containerPort: 80

ISOSET propose des ateliers Kubernetes sur des clusters réels (minikube, k3s, ou cloud EKS/AKS/GKE).

• Containerd / CRI-O – moteurs de conteneurs alternatifs à Docker (utilisés par Kubernetes).
• Podman – alternative à Docker sans daemon, rootless possible.
• Docker Compose – définition multi-conteneurs pour le développement local.
• Helm – gestionnaire de packages pour Kubernetes (charts).
• Registries – Docker Hub, GitHub Container Registry, AWS ECR, Azure ACR, Google Artifact Registry.

• VMs – risque de « VM escape » (franchir l’hyperviseur) mais rare. Nécessite des mises à jour régulières de l’hyperviseur.
• Conteneurs – partage du noyau, risque d’escalade. Bonnes pratiques : exécuter en non-root, images minimales (distroless, alpine), signatures (cosign).
• Kubernetes – RBAC (contrôle d’accès), Network Policies, Pod Security Standards, admission controllers (OPA/Gatekeeper).
• Scan d’images – outils comme Trivy, Clair, Snyk pour détecter les vulnérabilités avant déploiement.

# Scanner une image Docker avec Trivy
trivy image --severity HIGH,CRITICAL monimage:latest

ISOSET forme aux bonnes pratiques de sécurité des conteneurs et à l’intégration de scans dans les pipelines CI/CD.

ISOSET propose des ateliers adaptés pour découvrir la virtualisation (créer une VM avec VirtualBox) et les conteneurs (Docker via des images préconstruites). Une manière ludique de comprendre l’isolation et la portabilité des applications.

• Projet 1 – Créer une VM Linux sous VirtualBox, y installer un serveur web.
• Projet 2 – Dockeriser une application Python Flask, exécuter en local, pousser l’image sur Docker Hub.
• Projet 3 – Déployer l’application conteneurisée sur un cluster Kubernetes (minikube) avec un service LoadBalancer.
• Projet 4 – Mettre en place un pipeline CI/CD (GitHub Actions) qui construit l’image, la scanne et la déploie sur Kubernetes.

Les témoignages d’anciens apprenants montrent que ces projets sont très valorisants sur le marché du travail.

• Serverless containers – AWS Fargate, Azure Container Instances, Google Cloud Run : on ne gère plus les nœuds Kubernetes.
• WebAssembly (WASM) – alternative légère aux conteneurs pour certaines charges (exécution rapide, sécurisée).
• Kubernetes multi-clusters – gestion de flottes de clusters avec des outils comme KubeFed, Rancher.
• eBPF – programmation du noyau pour l’observabilité, le réseau et la sécurité des conteneurs (Cilium, Falco).