Maîtriser Kubernetes pour une gestion optimisée des containers
Introduction
Maîtriser Kubernetes ne signifie pas connaître toutes les options de kubectl. C'est comprendre les patterns, les anti-patterns, et savoir adapter l'outil au contexte. Après l'avoir utilisé sur OVH, AWS EKS, GKE Autopilot, Scaleway Kapsule et Outscale, j'ai développé une expertise pratique que je partage ici.
Les pods : bien au-delà du basique
Le pod est l'unité fondamentale de Kubernetes, mais sa configuration optimale est un art. Chez Bloomflow, chaque pod avait des resource requests et limits calibrés sur l'utilisation réelle (mesurée via Prometheus pendant 2 semaines avant ajustement). Trop de requests = gaspillage de noeuds. Pas assez = OOM kills en production. Les liveness probes détectaient les deadlocks, les readiness probes géraient le warm-up. Chez Okeiro, les pods sur GKE Autopilot avaient des contraintes supplémentaires : les resource requests devaient être dans des ranges spécifiques sinon Autopilot refusait le scheduling. Comprendre ces subtilités par provider est essentiel.
Orchestration avancée : au-delà du Deployment
Le Deployment est le workload le plus courant, mais Kubernetes offre d'autres options. Les StatefulSets pour les applications avec état (j'ai utilisé des StatefulSets pour Redis chez Bloomflow). Les DaemonSets pour les agents de monitoring (Prometheus node-exporter, Fluent Bit). Les Jobs et CronJobs pour les tâches planifiées (backups, migrations de données). Chez Coopengo, un CronJob quotidien exportait les métriques de conformité HDS vers un bucket S3. Chez F2R2, des Jobs Terraform étaient déclenchés par ArgoCD pour les opérations d'infrastructure one-shot.
Gestion des configurations et secrets
Les ConfigMaps et Secrets sont la base, mais la gestion des secrets en production nécessite des outils supplémentaires. Chez Bloomflow, External Secrets Operator synchronisait les secrets depuis HashiCorp Vault. Les secrets Kubernetes étaient chiffrés au repos avec une clé KMS. La rotation des secrets déclenchait automatiquement un rolling restart des pods concernés. Chez KNDS, les secrets venaient d'OKMS (OVH Key Management Service). Chez WizOps.fr, External Secrets synchronise depuis Vault les credentials nécessaires au déploiement. Ne stockez jamais de secrets dans Git, même chiffrés avec Sealed Secrets : la rotation devient un cauchemar.
Monitoring Kubernetes : la stack qui fonctionne
Ma stack de monitoring standard : Prometheus (collecte), Grafana (visualisation), Loki (logs), Alertmanager (alertes). Déployée via Helm, gérée par ArgoCD. Chez Metronome, cette stack monitorait le cluster OVH avec des dashboards par service et des alertes sur les 4 golden signals (latence, trafic, erreurs, saturation). Chez Bloomflow, Tempo ajoutait le tracing distribué, essentiel pour diagnostiquer les problèmes dans une architecture microservices. Le dashboard "Kubernetes Cluster Overview" de Grafana donnait une vue instantanée de la santé du cluster : utilisation CPU/RAM par noeud, pods en erreur, volumes proches de la saturation.
Kubernetes multi-cloud : les subtilités par provider
Chaque provider Kubernetes a ses particularités. AWS EKS : excellente intégration IAM (IRSA pour les service accounts), mais le networking (VPC CNI) a des limites sur le nombre de pods par noeud. GKE Autopilot : pas de gestion de noeuds (simplissime) mais des contraintes sur les resource requests. Scaleway Kapsule : bon rapport qualité/prix, mais écosystème moins riche. OVH Managed Kubernetes : performant, bien intégré avec les services OVH (object storage, load balancers). Outscale Cloud : compatible AWS (API identiques), nécessaire pour le SecNumCloud. Chez Bloomflow, j'ai maintenu des clusters sur 3 de ces providers simultanément. La clé : abstraire les spécificités dans les values Helm et les modules Terraform.
Conclusion
Maîtriser Kubernetes, c'est combiner la connaissance des primitives (pods, deployments, services) avec l'expérience des patterns de production (resource management, secrets, monitoring) et la compréhension des spécificités par provider. Cette expertise s'acquiert sur le terrain, projet après projet.