Container as a Service (CaaS)

Cuando un proveedor de cloud computing ofrece un servicio con el que los usuarios pueden desarrollar, probar y ejecutar software en los llamados contenedores de aplicaciones o distribuirlos más allá de la infraestructura de TI, se habla de servicios de contenedores.

Los contenedores de aplicaciones tienen su origen en el entorno Linux y permiten la virtualización a nivel del sistema operativo. Esto significa que las aplicaciones, junto con todas sus dependencias (bibliotecas y archivos de configuración), se ejecutan como instancias encapsuladas aisladas las unas de las otras. Este método permite gestionar de forma paralela varias aplicaciones que cuentan con distintos requerimientos en un único sistema operativo, así como desplegarlas en sistemas diferentes.

Por lo general, un CaaS comprende un entorno completo de contenedores que incluye herramientas de orquestación, un catálogo de imágenes (el denominado Registry), un software de gestión de clústeres así como un juego de herramientas para desarrolladores y diversas API (Application Programming Interfaces o interfaces de programación de aplicaciones). La suscripción sigue un modelo de alquiler en función del uso.

Estas preguntas pueden ayudar a perfilar la elección de un servicio de CaaS empresarial:

• ¿Qué herramientas de orquestación ofrece?
• ¿Qué formatos de archivos soporta para aplicaciones-contenedor?
• ¿Permite gestionar aplicaciones multicontenedor?
• ¿Cómo gestiona los clústeres para el funcionamiento de los contenedores?
• ¿Qué funciones de red y de almacenamiento soporta?
• ¿Ofrece el proveedor un registro privado para imágenes de contenedor?
• ¿Cómo está integrado el entorno de tiempo de ejecución de contenedores con otros servicios en la nube del proveedor?
• ¿Qué modelos de facturación ofrece?

El ECS de Amazon incluye diversas interfaces que permiten gestionar en la Amazon Elastic Compute Cloud (EC2) las aplicaciones aisladas en contenedores Docker. Este servicio de CaaS se fundamenta técnicamente en los siguientes recursos de la nube:

• Instancias de Amazon EC2: Amazon EC2 consiste en capacidad computacional escalable del servicio de cloud computing de Amazon que puede alquilarse en forma de las llamadas “instancias”.
  
  
• Amazon S3 (Amazon Simple Storage): se trata de una plataforma de almacenamiento de objetos basada en la nube.
  
  
• Amazon EBS (Amazon Elastic Block Store): Amazon EBS facilita volumen de almacenamiento de bloques altamente disponible para instancias EC2.
  
  
• Amazon RDS (Amazon Relational Database Service): Amazon RDS es un servicio de base de datos que se utiliza para gestionar los motores relacionales Amazon Aurora, PostgreSQL, MySQL, MariaDB, Oracle y Microsoft SQL Server.

ECS solo soporta el formato Docker para los contenedores.

En la configuración estándar de ECS, los contenedores se administran por medio de un orquestador propietario que actúa como master y se comunica con los agentes en cada uno de los nodos del clúster que se gestiona. Como alternativa ofrecen el módulo de código abierto Blox, que permite integrar en ECS schedulers de creación propia así como herramientas de terceros como Mesos.

Una ventaja del servicio de Container as a Service EC2 de Amazon es su integración con otros servicios de la casa como:

• AWS Identity and Access Management (IAM): el gestor de acceso e identidad permite definir roles y grupos para controlar el acceso de los usuarios a los recursos de la nube de Amazon (AWS).

• Elastic Load Balancing: el balanceador de carga elástico reparte automáticamente el tráfico de aplicaciones entrantes a través de varias instancias EC2.

• AWS CloudTrail: en este caso se trata de un servicio de auditoría operativa que registra todas las actividades de los usuarios y las llamadas a la API dentro de un clúster. Esto permite hacer un seguimiento de los procesos y evaluarlos en el marco de la gestión de los recursos y los análisis de seguridad.

• Amazon CloudWatch: el CloudWatch de Amazon es un servicio de monitorización de los recursos de la nube y las aplicaciones que se ejecutan en ella que también está disponible para los usuarios de AWS que operan contenedores de aplicaciones.

• AWS CloudFormation: este servicio Amazon permite a los usuarios de AWS definir plantillas para crear recursos de AWS. Los servicios de contenedores se pueden describir en plantillas JSON reutilizables que incluyen el diseño de la aplicación, las instancias y la capacidad de memoria necesarias para su ejecución, así como sus interacciones con otros servicios de AWS.

Para la gestión centralizada de las imágenes de contenedor, Amazon provee repositorios Docker privados en el EC2 Container Registry (ECR), cuyo acceso puede regularse por AWS IAM en el nivel de los recursos.

Una desventaja del servicio de contenedores de Amazon es que se limita a instancias EC2 y no ofrece soporte para infraestructuras de TI ajenas a AWS, ni física ni virtualmente. De esta forma, los escenarios de nube híbrida, en los cuales las aplicaciones multicontenedor se operan parcialmente on premises, son tan poco posibles como combinar los recursos de TI de diferentes proveedores de nube pública (multicloud). Esto guarda relación con el modelo de negocio con el cual Amazon ofrece su servicio de CaaS, y es que EC2 está disponible en la AWS de forma gratuita; los usuarios solo pagan por el suministro de la infraestructura de computación en la nube, por ejemplo, para un clúster de instancias EC2 que ha de fundamentar la gestión de aplicaciones-contenedor.

aracterísticas principales del Amazon EC2 Container Service

El siguiente vídeo muestra un breve tutorial sobre el Amazon EC2 Container Service (en inglés):

La GKE utiliza los recursos de la Google Compute Engine (GCE) y permite a los usuarios administrar aplicaciones basadas en contenedores en clústeres de la Google Cloud Platform (GCP). No obstante, la infraestructura de la nube de Google no limita a los usuarios a la GKE, sino que el Cluster Federation System de Kubernetes posibilita la agrupación de los recursos de diferentes clústeres de ordenadores en una federación lógica e implantar escenarios de nube híbrida o multicloud si fuera necesario.

Cada clúster creado con la GKE está compuesto por un nodo-maestro (master) en el que se ejecuta el servidor API de Kubernetes y un número indefinido de nodos-trabajadores (worker) que sirven las consultas REST del servidor API y ejecutan los servicios necesarios para soportar los contenedores Docker.

Mientras que los nodos-maestro supervisan la distribución de los recursos y el estado de los clústeres, en los nodos-trabajador se ejecutan las aplicaciones aisladas en contenedores. Si uno deja de funcionar, el nodo-maestro distribuye las tareas que requiere el funcionamiento de la aplicación entre el resto de nodos.

El Container as a Service de Google también soporta el extendido formato Docker y para la realización de imágenes Docker los usuarios disponen de un registro privado. Una sintaxis basada en JSON ofrece la opción de definir los servicios de contenedores como plantillas.

La integración de Kubernetes en GKE provee las siguientes funciones para la orquestación de aplicaciones-contenedor:

• Automatic binpacking: basándose en reglas y requisitos, Kubernetes coloca los contenedores de modo que se aproveche la capacidad del clúster al máximo. Esto evita que la disponibilidad de las aplicaciones-contenedor se vea obstaculizada.

• Chequeos de salud con función auto-repair: con los health checks automáticos, Kubernetes asegura que todas las cuentas y todos los contenedores funcionan bien. Los nodos o los contenedores que no responden se finalizan y sustituyen por otros.

• Escalado horizontal: con Kubernetes se pueden escalar aplicaciones hacia arriba o hacia abajo, bien de forma manual o por líneas de comando, en la interfaz gráfica de usuario o automáticamente a partir del uso de CPU.

• Service discovery y balanceo de carga: Kubernetes ofrece dos modos para el descubrimiento de servicios: por variables de entorno y por registros DNS. El balanceo de carga entre contenedores tiene lugar por medio de direcciones IP y nombres DNS.

• Orquestación de la memoria: Kubernetes también permite el montaje automático de diversos sistemas de almacenaje, ya se trate de memoria local, en la nube pública (vía GCP o AWS) o de sistemas de almacenamiento en red como NFS, iSCSI, Gluster, Ceph o Flocker.

De forma similar a ECS en la nube AWS de Amazon, GKE está integrado en la nube de Google de forma que los usuarios pueden acceder a varias funciones de la nube pública, que se añaden así a las del orquestador:

• Gestión de la identidad y el acceso: la IAM (Identity and Access Management) de la GKE se basa en las cuentas de Google y soporta un sistema de permisos basado en roles de usuario.

• Stackdriver Monitoring: la herramienta de monitorización de Google informa a los usuarios sobre el rendimiento, el tiempo operativo y el estado de las aplicaciones en la nube. Para ello, Stackdriver recoge métricas de monitorización, eventos y metadatos y los elabora como paneles. La herramienta soporta como fuentes de datos la Google Cloud Platform, los Amazon Web Services y aplicaciones como Cassandra, Nginx, Apache HTTP Server y Elasticsearch.

• Stackdriver Logging: la herramienta Logging de Google permite almacenar, monitorizar y analizar datos log y eventos y es compatible con los servicios en la nube de Google (Google Cloud Platform) y Amazon (Amazon Web Services).

• Container Builder: con el constructor de contenedores, Google provee un programa para crear imágenes Docker directamente en la nube. Para ello solo se debe cargar el código fuente de la aplicación en el Google Cloud Storage.

La política de precios de Google para su servicio de CaaS es diferente a la de Amazon: mientras que la gestión de contenedores en clústeres de hasta cinco nodos es gratuita y solo se generan costes por el suministro de recursos en la nube como CPU, memoria, etc., cuando se operan contenedores en clústeres de mayor envergadura (6 o más instancias), Google factura una tasa por clúster y por hora.

Características principales de Google Container Engine

El componente central del servicio CaaS de Microsoft es Azure Container Engine, cuyo código fuente está disponible en GitHub con licencia open source. Azure Container Engine funciona como generador de plantillas para el Azure Resource Manager (ARM), las cuales pueden gestionarse vía API con una de estas herramientas de orquestación: Docker Swarm, DC/OS o Kubernetes (desde febrero de 2017).

Las funciones que pueden utilizar los usuarios del ACS a la hora de operar aplicaciones-contenedor en la nube de Microsoft dependen sobre todo del orquestador que se utilice.

En el seno de ACS, el gestor de clústeres DC/OS de Mesosphere se utiliza en combinación con la plataforma de orquestación Marathon y ofrece el siguiente abanico de funciones:

• Interfaz web de usuario: los clústeres de contenedores se pueden gestionar en la interfaz web de Marathon.

• Alta disponibilidad: Marathon se ejecuta como clúster activo/pasivo. Por cada nodo activo existe un nodo pasivo redundante que se hace cargo de sus tareas en caso de fallo.

• Service discovery y balanceo de carga: DC/OS ofrece con Marathon-LB un balanceador de carga basado en HAProxy y con Mesos DNS una herramienta de descubrimiento de servicio basada en DNS.

• Chequeos de salud: Marathon consulta el estado de las aplicaciones con HTTP o TCP. Las funciones de monitorización están disponibles en una API REST, por líneas de comando o en la interfaz web.

• Métricas: Marathon entrega métricas detalladas vía API en formato JSON que pueden enviarse a programas de monitorización como Graphite, statsD o Datadog.

• Servicio de notificación: los usuarios que utilizan DC/OS con Marathon en la nube Azure tienen la opción de reservar un punto de destino HTTP para notificaciones relacionadas con eventos.

• Grupos de aplicaciones: los contenedores pueden agruparse en los denominados “Pods” y gestionarse como unidades cerradas.

• Despliegue basado en reglas: diversas regulaciones permiten definir exactamente dónde y cómo se reparten las aplicaciones en el clúster.

En la versión Docker Swarm, ACS se apoya en la pila Docker y utiliza las mismas tecnologías open source que en Dockers Universal Control Plane, un componente fundamental del centro de datos Docker. Implementado en el servicio CaaS de Azure, Docker Swarm ofrece el siguiente espectro de funciones para orquestar y escalar aplicaciones-contenedor:

• Docker Compose: la solución de Docker para aplicaciones multicontenedor permite conectar varios contenedores entre sí y ejecutarlos con un solo comando. Se pueden definir tantos contenedores como sea necesario, incluyendo todas las dependencias, en un archivo de control basado en YAML.

• Control por líneas de comando: la interfaz de líneas de comando de Docker, Docker CLI, y el programa para aplicaciones multicontenedor, Docker Compose, permiten gestionar los clústeres de contenedores con líneas de comando.

• API REST: la API remota de Docker permite acceder a diversos programas externos del ecosistema de Docker.

• Despliegue basado en reglas: la distribución de los contenedores en el clúster puede administrarse por medio de etiquetas y reglas.

• Service discovery: Docker Swarm ofrece diversas funciones de descubrimiento de servicios.

Desde febrero de 2017, los usuarios de ACS pueden recurrir a Kubernetes para automatizar la administración, el despliegue y el escalado de aplicaciones-contenedor en clústeres Azure. Kubernetes ofrece también aquí todas las funciones básicas enumeradas en el apartado sobre el servicio de Google.

ACS también está integrado directamente en la nube de Microsoft con otros servicios del proveedor:

• Azure Portal y Azure CLI 2.0: los usuarios configuran clústeres de contenedores en el portal de Azure, la interfaz central de usuario de la plataforma en la nube, o en la interfaz de líneas de comando Azure CLI 2.0.

• Azure Container Registry: con el registro de Azure, los usuarios de Microsoft también cuentan con un repositorio privado para la realización de imágenes Docker.

• Operations Management Suite (OMS): la Microsoft Operations Management Suite (OMS) ofrece funciones de monitorización y análisis de logs para servicios de contenedores.

• Azure Stack: esta extensión es necesaria para operar contenedores en entornos híbridos.

Microsoft ha ampliado el ACS con funciones CI/CD (integración y despliegue continuos) para aplicaciones multicontenedor desarrolladas con Visual Studio, Visual Studio Team Services o la herramienta open source Visual Studio Code.

La gestión de identidad y acceso (IAM) está regulada por el Active Directory, cuyas funciones fundamentales están disponibles gratuitamente hasta un límite de 500.000 objetos directorio. Como en Amazon ECS, en el servicio de Microsoft el uso de las herramientas también es gratuito y solo se paga por utilizar la infraestructura subyacente.

Características principales del Microsoft Azure Container Service

El siguiente vídeo muestra cómo funcionan los contenedores Docker en la plataforma Azure:

A continuación aparece una comparación de los tres servicios de CaaS en relación con los criterios de selección más habituales entre los usuarios:

Una alternativa a CaaS puede ser instalar las herramientas que se necesitan en la misma infraestructura de la empresa (on premises). Ambas opciones tienen pros y contras.

Las reservas frente a los servicios de computación en la nube suelen tener origen en las dudas sobre la seguridad y, de hecho, aquellas compañías que gestionan un entorno de contenedores en sus propios centros de datos son las que mejor lo controlan. Esto implica tanto disponer de la máxima flexibilidad a la hora de seleccionar los componentes de hardware y de software (servidor, sistema operativo, entorno de tiempo de ejecución y herramientas de gestión) como tener la certeza de que todos los datos se procesan y almacenan en suelo propio.

Con todo, esta mayor libertad de decisión genera un significativo aumento de costes y trabajo en cuanto al suministro y mantenimiento del entorno de contenedores. Llevar a cabo complejas instalaciones en el propio centro de datos suele ir ligado a un elevado coste de inversión y al principio no siempre es seguro que se vaya a rentabilizar. Por el contrario, un entorno de contenedores en la nube facilita aplicaciones y funciones de software nuevas mucho más rápido y con menos gasto. Cuando se usa CaaS, los usuarios solo pagan por la potencia y los recursos que se utilizan de verdad sin tener que pagar por adelantado. Esta solución resuelve especialmente las necesidades de la pequeña empresa, de startups, emprendedores y autónomos, al poder hacer realidad sus proyectos con un presupuesto más modesto.

Como en cualquier otro servicio en la nube, el punto fuerte de CaaS es la tercerización de la infraestructura de TI a proveedores especializados que garantizan la actualidad y el buen funcionamiento de la tecnología. Esto, unido al modelo de facturación por uso, determina la orientación de CaaS a empresas con un elevado ritmo de desarrollo e implantación de innovaciones. Las empresas que, por el contrario, se decantan por una solución on premises, renuncian voluntariamente a la flexibilidad y la escalabilidad que los proveedores de servicios en la nube garantizan a su clientela.

Asimismo, cabe descartar la falsa creencia de que los datos que permanecen en los propios centros de datos están más seguros que en la nube, puesto que las pequeñas y medianas empresas no pueden mantener generalmente una infraestructura de TI que esté a la altura de los centros de datos de proveedores de servicios en la nube consolidados en materia de disponibilidad, seguridad de datos y cumplimiento normativo.

Ventajas e inconvenientes del modelo CaaS

Pros y contras de una plataforma de contenedores alojada in situ