Apa itu kontainerisasi?

Karena lebih portabel dan hemat sumber daya dibandingkan mesin virtual (VM), kontainer menjadi unit komputasi de facto dari aplikasi cloud native modern.

Kontainerisasi memungkinkan pengembang untuk membuat dan menerapkan aplikasi dengan lebih cepat dan lebih aman. Dengan metode tradisional, pengembang menulis kode dalam lingkungan komputasi tertentu, yang, ketika dipindahkan ke lokasi baru, sering kali menghasilkan bug dan kesalahan. Misalnya, ini dapat terjadi ketika pengembang mentransfer kode dari komputer desktop ke VM atau dari Linux ke sistem operasi Windows. Kontainerisasi menghilangkan masalah ini dengan menggabungkan kode aplikasi dengan file konfigurasi terkait, pustaka, dan dependensi yang diperlukan untuk menjalankannya. Paket perangkat lunak tunggal atau “kontainer” ini diabstraksi dari sistem operasi host. Oleh karena itu, kontainer tersebut madiri dan menjadi portabel, yang dapat berjalan di platform atau cloud apa pun, bebas dari masalah.

Konsep kontainerisasi dan isolasi proses sudah berumur puluhan tahun. Namun, kemunculan Docker sumber terbuka pada tahun 2013—standar industri untuk kontainer dengan alat pengembang sederhana dan pendekatan pengemasan universal—mempercepat adopsi teknologi ini. Saat ini, organisasi semakin sering menggunakan kontainerisasi untuk membuat aplikasi baru dan memodernisasi aplikasi yang sudah ada untuk cloud.

Menurut laporan dari Forrester¹, 74 persen pengambil keputusan infrastruktur di AS mengatakan bahwa perusahaan mereka mengadopsi kontainer dalam platform sebagai layanan (PaaS) di lingkungan cloud on premises atau cloud publik.

Kontainer bersifat “ringan”, artinya kontainer berbagi kernel sistem operasi mesin dan tidak memerlukan biaya tambahan untuk mengaitkan sistem operasi dalam setiap aplikasi. Kapasitas kontainer secara inheren lebih kecil daripada VM dan membutuhkan waktu start-up yang lebih sedikit. Kemampuan ini memungkinkan jauh lebih banyak kontainer untuk berjalan pada kapasitas komputasi yang sama dengan VM tunggal. Kemampuan ini mendorong efisiensi server yang lebih tinggi dan, pada gilirannya, mengurangi biaya server dan lisensi.

Yang paling penting, kontainerisasi memungkinkan aplikasi untuk “ditulis sekali dan dijalankan di mana saja” di seluruh pusat data on premises, hybrid cloud, dan lingkungan multicloud.

Portabilitas ini mempercepat pengembangan, mencegah vendor lock-in cloud, dan menawarkan manfaat penting lainnya seperti isolasi kesalahan, kemudahan manajemen, keamanan yang disederhanakan, dan banyak lagi.

Video berikut memberikan penjelasan lebih lanjut tentang kontainerisasi:

Arsitektur kontainerisasi terdiri dari empat lapisan komponen penting.

Kontainer merangkum aplikasi sebagai satu paket perangkat lunak yang dapat dieksekusi yang menggabungkan kode aplikasi bersama dengan semua file konfigurasi, pustaka, dan dependensi terkait yang diperlukan untuk menjalankannya.

Aplikasi yang dikontainer “terisolasi”, artinya mereka tidak dibundel dalam satu salinan sistem operasi. Sebagai gantinya, waktu proses kontainer sumber terbuka atau mesin kontainer (seperti mesin runtime Docker) diinstal pada sistem operasi host dan menjadi saluran bagi kontainer untuk berbagi sistem operasi dengan kontainer lain pada sistem komputasi yang sama.

Lapisan kontainer lainnya, seperti binari (bins) dan pustaka umum, dapat dibagikan di antara beberapa kontainer. Fitur ini menghilangkan overhead untuk menjalankan sistem operasi dalam setiap aplikasi dan membuat kontainer lebih kecil dalam kapasitas dan lebih cepat untuk memulai daripada VM, sehingga mendorong efisiensi server yang lebih tinggi. Isolasi aplikasi sebagai kontainer juga mengurangi kemungkinan kode berbahaya dalam satu kontainer akan berdampak pada kontainer lain atau menyerang sistem host.

Abstraksi dari sistem operasi host membuat aplikasi dalam kontainer menjadi portabel dan dapat berjalan secara seragam dan konsisten di semua platform atau cloud. Kontainer dapat dengan mudah dipindahkan dari komputer desktop ke virtual machines (VM) atau dari sistem operasi Linux ke Windows. Kontainer juga akan berjalan secara konsisten pada infrastruktur tervirtualisasi atau bare metal server tradisional, baik di lokasi maupun di pusat data cloud.

Kontainerisasi memungkinkan pengembang perangkat lunak untuk membuat dan menerapkan aplikasi lebih cepat dan lebih aman, terlepas aplikasi tersebut adalah monolit tradisional (aplikasi perangkat lunak bertingkat tunggal) atau aplikasi modular yang dibangun di atas arsitektur layanan mikro. Pengembang dapat membangun aplikasi berbasis cloud baru dari bawah ke atas sebagai layanan mikro dalam kontainer, memecah aplikasi yang kompleks menjadi serangkaian layanan yang lebih kecil, terspesialisasi, dan mudah dikelola. Mereka juga dapat mengemas ulang aplikasi yang sudah ada ke dalam kontainer (atau layanan mikro terkontainerisasi) yang menggunakan sumber daya komputasi secara lebih efisien.

Kontainer sering dibandingkan dengan mesin virtual (VM) karena kedua teknologi memungkinkan efisiensi komputasi yang signifikan dengan memungkinkan beberapa jenis perangkat lunak (berbasis Linux atau Windows) untuk berjalan dalam satu lingkungan. 

Virtualisasi menggunakan hypervisor, lapisan perangkat lunak yang ditempatkan pada komputer fisik atau server yang memungkinkan komputer fisik untuk memisahkan sistem operasi dan aplikasinya dari perangkat kerasnya. Teknologi virtualisasi memungkinkan beberapa sistem operasi dan aplikasi perangkat lunak untuk berjalan secara bersamaan dan berbagi satu komputer fisik atau sumber daya mesin host (misalnya, CPU, penyimpanan, dan memori). Sebagai contoh, sebuah organisasi IT dapat menjalankan Windows dan Linux atau beberapa versi sistem operasi, bersama dengan berbagai aplikasi pada server yang sama.

Setiap aplikasi dan sistem file terkait, pustaka, dan ketergantungan lainnya, termasuk salinan sistem operasi (OS), dipaketkan sebagai VM. Dengan beberapa VM yang berjalan pada satu mesin fisik, penghematan yang signifikan dalam biaya modal, operasional, dan energi dapat dicapai.

Kontainerisasi, di sisi lain, menggunakan sumber daya komputasi bahkan lebih efisien. Kontainer membuat satu paket perangkat lunak yang dapat dieksekusi yang menggabungkan kode aplikasi bersama dengan semua dependensinya yang diperlukan agar dapat berjalan. Namun, tidak seperti VM, kontainer tidak dibundel dalam satu salinan OS. Sebagai gantinya, mesin waktu proses kontainer diinstal pada sistem operasi sistem host, atau “OS host”, yang menjadi saluran yang digunakan oleh semua kontainer pada sistem komputasi untuk berbagi OS yang sama.

Kontainer sering disebut “ringan”, karena berbagi kernel OS mesin dan tidak memerlukan biaya tambahan untuk mengasosiasikan OS di dalam setiap aplikasi (seperti halnya VM). Lapisan kontainer lainnya (bins dan pustaka umum) juga dapat digunakan bersama di antara beberapa kontainer, sehingga kontainer memiliki kapasitas yang lebih kecil daripada VM dan lebih cepat dimulai. Beberapa kontainer dapat berjalan pada kapasitas komputasi yang sama dengan satu VM, sehingga mendorong efisiensi server yang lebih tinggi dan mengurangi biaya server dan lisensi.

Video berikut menjelaskan lebih dalam tentang kontainer versus VM:

Kontainerisasi menawarkan manfaat yang signifikan bagi pengembang dan tim pengembangan, terutama di bidang berikut.

Seiring dengan meningkatnya pertumbuhan solusi berbasis kontainer, kebutuhan akan standar seputar teknologi kontainer dan pendekatan untuk mengemas kode perangkat lunak pun muncul. Open Container Initiative (OCI)², sebuah proyek Linux yang didirikan pada bulan Juni 2015 oleh Docker dan para pemimpin industri lainnya, muncul sebagai cara untuk mempromosikan standar dan spesifikasi yang umum dan terbuka di sekitar teknologi kontainer. Sejak itu, OCI telah membantu memperluas pilihan untuk mesin sumber terbuka sehingga pengguna dapat menghindari vendor lock-in. Pengembang juga dapat memanfaatkan teknologi bersertifikasi OCI yang memungkinkan mereka membangun aplikasi dalam kontainer dengan menggunakan beragam alat DevOps dan menjalankannya secara konsisten pada infrastruktur pilihan mereka.

Untuk menjernihkan kebingungan, Docker juga merujuk ke Docker, Inc.³, perusahaan yang mengembangkan alat produktivitas yang dibangun di sekitar teknologi kontainer Docker. Hal ini juga berkaitan dengan proyek sumber terbuka Docker⁴, yang mana Docker, Inc. dan banyak organisasi dan individu lainnya berkontribusi.

Meskipun Docker merupakan teknologi mesin kontainer yang paling terkenal dan banyak digunakan, ekosistem yang lebih luas telah memiliki standar pada containerd dan alternatif lain seperti CoreOS rkt, Mesos Containerizer, LXC Linux Containers, OpenVZ, dan crio-d.

Saat ini sebuah organisasi mungkin memiliki ratusan atau ribuan kontainer, jumlah yang hampir tidak mungkin dikelola oleh tim secara manual. Di sinilah orkestrasi kontainer berperan.

Platform orkestrasi kontainer menjadwalkan dan mengotomatiskan manajemen seperti penerapan kontainer, jaringan, penyeimbangan beban, skalabilitas, dan ketersediaan.

Kubernetes, alat orkestrasi kontainer paling populer yang tersedia, adalah teknologi sumber terbuka (awalnya sumber terbuka oleh Google, berdasarkan proyek internal mereka yang disebut Borg) yang mengotomatiskan fungsi kontainer Linux. Kubernetes bekerja dengan banyak mesin kontainer, seperti Docker Engine. Kubernetes juga bekerja dengan sistem kontainer apa pun yang sesuai dengan standar Open Container Initiative (OCI) untuk format gambar kontainer dan waktu proses.

Sementara Kubernetes adalah standar industri, platform orkestrasi kontainer populer lainnya termasuk Apache Mesos, Nomad dan Docker Swarm.

Untuk mempelajari selengkapnya tentang orkestrasi kontainer, lihat video ini yang menjelaskan cara kerja Kubernetes:

Kontainerisasi merupakan bagian integral darin modernisasi aplikasi. Proses ini mengacu pada transformasi aplikasi monolitik (lama) menjadi aplikasi cloud native yang dibangun di atas arsitektur layanan mikro yang dirancang untuk diintegrasikan ke dalam lingkungan cloud apa pun.

Layanan mikro adalah pendekatan yang unggul dalam pengembangan dan pengelolaan aplikasi dibandingkan dengan model monolitik sebelumnya yang menggabungkan aplikasi perangkat lunak dengan antarmuka pengguna terkait dan basis data yang mendasarinya ke dalam satu unit pada platform server tunggal. Dengan layanan mikro, aplikasi kompleks dipecah menjadi serangkaian layanan yang lebih kecil dan lebih terspesialisasi, yang masing-masing memiliki database dan logika bisnisnya sendiri. Layanan mikro berkomunikasi melalui antarmuka umum (seperti API) dan antarmuka REST (seperti HTTP). Dengan menggunakan layanan mikro, tim pengembangan dapat fokus memperbarui area aplikasi tertentu tanpa berdampak pada aplikasi secara keseluruhan, sehingga menghasilkan pengembangan, pengujian, dan penerapan yang lebih cepat.

Konsep di balik layanan mikro dan kontainerisasi serupa. Keduanya merupakan praktik pengembangan perangkat lunak yang pada dasarnya mengubah aplikasi menjadi kumpulan layanan atau komponen yang lebih kecil yang portabel, dapat diskalakan, efisien, dan lebih mudah dikelola.

Selain itu, layanan mikro dankcontainerisasi bekerja dengan baik ketika digunakan bersama. Kontainer menyediakan enkapsulasi ringan untuk aplikasi apa pun, baik monolit tradisional maupun layanan mikro modular. Layanan mikro, yang dikembangkan di dalam kontainer, kemudian mendapatkan semua manfaat yang melekat pada kontainerisasi, seperti portabilitas.

Secara keseluruhan, kontainer, layanan mikro, dan komputasi cloud telah bergabung, membawa pengembangan dan pengiriman aplikasi ke tingkat yang baru. Teknologi ini menyederhanakan alur kerja DevOps dan mendukung jalur integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD) untuk mempercepat pengembangan perangkat lunak. Pendekatan-pendekatan generasi mendatang ini telah menghadirkan ketangkasan, efisiensi, dan keandalan pada siklus hidup pengembangan perangkat lunak, sehingga menghasilkan pengiriman aplikasi terkontainerisasi yang lebih cepat dan peningkatan bagi pengguna dan pasar.

Organisasi terus bergerak ke cloud, di mana pengguna dapat mengembangkan aplikasi dengan cepat dan efisien. Kontainerisasi telah menjadi contoh penggunaan bisnis yang penting untuk migrasi cloud, proses pemindahan data, aplikasi, dan beban kerja dari pusat data on premises ke infrastruktur berbasis cloud atau dari satu lingkungan cloud ke lingkungan cloud lainnya.

Migrasi cloud adalah bagian penting dari lingkungan hybrid cloud organisasi, yang menggabungkan layanan cloud on-premises, publik, dan privat untuk menciptakan infrastruktur IT tunggal, fleksibel, hemat biaya yang mendukung dan mengotomatiskan manajemen beban kerja di seluruh lingkungan cloud.

Saat ini, aplikasi dan data berbasis cloud dapat diakses dari perangkat apa pun yang terhubung ke internet, memungkinkan anggota tim untuk bekerja dari jarak jauh dan saat bepergian. Penyedia layanan cloud (CSP), misalnya, Amazon Web Services (AWS), Google Cloud Services, IBM® Cloud, atau Microsoft Azure), mengelola infrastruktur yang mendasarinya, yang menghemat biaya server dan peralatan lainnya dan juga menyediakan pencadangan jaringan otomatis untuk keandalan tambahan. Infrastruktur cloud menskalakan sesuai permintaan dan menyesuaikan sumber daya komputasi, kapasitas, dan infrastruktur secara dinamis seiring perubahan persyaratan beban. Selain itu, CSP secara teratur memperbarui penawaran, memberi pengguna akses berkelanjutan ke teknologi inovatif terbaru, seperti AI generatif.

Banyak penyedia layanan cloud terkemuka menawarkan kontainer sebagai layanan (CaaS). Pada dasarnya merupakan bagian dari infrastruktur sebagai layanan (IaaS), CaaS berada di antara IaaS dan platform sebagai layanan (PaaS) dalam tumpukan komputasi cloud, memberikan keseimbangan antara kontrol yang ditawarkan oleh IaaS dan kesederhanaan PaaS.

CaaS menyediakan platform berbasis cloud tempat pengguna dapat merampingkan virtualisasi berbasis kontainer dan proses manajemen kontainer. CaaS juga menyediakan waktu proses kontainer, lapisan orkestrasi, dan manajemen penyimpanan persisten. Pada tahun 2022, pasar CaaS global bernilai hampir 2 miliar USD.⁵ 

Komputasi tanpa server adalah model pengembangan dan eksekusi aplikasi yang memungkinkan pengembang untuk membangun dan menjalankan kode aplikasi tanpa menyediakan atau mengelola server atau infrastruktur backend.

Dalam komputasi tanpa server, penyedia layanan cloud mengalokasikan sumber daya mesin sesuai permintaan, memelihara server atas nama pelanggan mereka. Secara khusus, pengembang dan CSP menangani penyediaan infrastruktur cloud yang diperlukan untuk menjalankan kode dan meningkatkan dan menurunkan skala infrastruktur sesuai permintaan sesuai kebutuhan. Penyedia mematuhi model penetapan harga ‘bayar sesuai penggunaan’.

Komputasi tanpa server dapat meningkatkan produktivitas pengembang dengan memungkinkan tim untuk fokus pada penulisan kode, bukan mengelola infrastruktur. Sebaliknya, kontainer menawarkan lebih banyak kontrol dan fleksibilitas, yang dapat membantu mengelola aplikasi yang ada dan memigrasikannya ke cloud.

Praktik keamanan untuk lingkungan terkontainerisasi membutuhkan strategi yang mencakup seluruh siklus hidup kontainer, termasuk pengembangan, pengujian, dan penerapan.

Praktik-praktik ini harus mengatasi semua lapisan tumpukan, termasuk platform kontainerisasi, gambar kontainer, platform orkestrasi, serta kontainer dan aplikasi individual.

Pertama dan terpenting, kebijakan keamanan kontainer harus berputar di sekitar kerangka kerja zero trust. Model ini memverifikasi dan mengesahkan setiap koneksi pengguna dan memastikan bahwa interaksi tersebut memenuhi persyaratan bersyarat dari kebijakan keamanan organisasi. Strategi keamanan zero-trust juga mengautentikasi dan mengesahkan setiap perangkat, aliran jaringan, dan koneksi berdasarkan kebijakan dinamis, dengan menggunakan konteks dari sebanyak mungkin sumber data.

Keamanan kontainer telah menjadi perhatian yang lebih signifikan karena semakin banyak organisasi yang mengandalkan teknologi kontainerisasi, termasuk platform orkestrasi, untuk menerapkan dan meningkatkan skala aplikasi mereka. Sesuai dengan laporan dari Red Hat⁶, kerentanan dan kesalahan konfigurasi merupakan masalah keamanan teratas pada lingkungan kontainer dan Kubernetes.

Seperti yang telah disebutkan sebelumnya, aplikasi dalam klontainer secara inheren memiliki tingkat keamanan karena dapat berjalan sebagai proses yang terisolasi dan beroperasi secara independen dari kontainer lain. Benar-benar terisolasi, ini dapat mencegah kode berbahaya mempengaruhi kontainer lain atau menyerang sistem host. Namun, lapisan aplikasi dalam kontainer sering dibagikan di seluruh kontainer. Dalam hal efisiensi sumber daya, hal ini merupakan nilai tambah, tetapi juga membuka pintu untuk gangguan dan pelanggaran keamanan di seluruh kontainer. Hal yang sama dapat dikatakan tentang sistem operasi bersama karena beberapa kontainer dapat dikaitkan dengan sistem operasi host yang sama. Ancaman keamanan pada sistem operasi umum dapat berdampak pada semua kontainer terkait; sebaliknya, pembobolan kontainer berpotensi menyerang sistem operasi host.

Tetapi bagaimana dengan risiko dan kerentanan yang terkait dengan gambar kontainer itu sendiri? Strategi kontainerisasi yang kuat mencakup pendekatan “aman secara default”, yang berarti bahwa keamanan harus melekat pada platform dan bukan solusi yang diterapkan dan dikonfigurasi secara terpisah. Untuk tujuan ini, mesin kontainer mendukung semua properti isolasi default yang melekat pada sistem operasi yang mendasarinya. Izin keamanan dapat ditentukan untuk secara otomatis memblokir komponen yang tidak diinginkan agar tidak memasuki kontainer atau untuk membatasi komunikasi dengan sumber daya yang tidak perlu.

Sebagai contoh, Linux Namespaces membantu menyediakan tampilan sistem yang terisolasi untuk setiap kontainer; ini termasuk jaringan, titik mount, ID proses, ID pengguna, komunikasi antar-proses, dan pengaturan nama host. Namespaces dapat membatasi akses ke salah satu sumber daya tersebut melalui proses dalam setiap kontainer. Biasanya, subsistem yang tidak memiliki dukungan Namespace tidak dapat diakses dari dalam kontainer. Administrator dapat dengan mudah membuat dan mengelola “batasan isolasi” ini pada setiap aplikasi yang dikontainerisasi melalui antarmuka pengguna yang sederhana.

Selain itu, berbagai solusi keamanan kontainer tersedia untuk mengotomatiskan deteksi dan respons ancaman di seluruh perusahaan. Alat-alat ini membantu memantau dan menegakkan kebijakan keamanan dan memenuhi standar industri untuk memastikan aliran data yang aman. Misalnya, alat perangkat lunak manajemen keamanan dapat membantu mengotomatiskan jalur pipa CI/CD, memblokir kerentanan sebelum produksi, dan menyelidiki aktivitas yang mencurigakan dengan visibilitas waktu nyata. Pendekatan ini berada di bawah DevSecOps, aplikasi dan proses pengembangan yang mengotomatiskan integrasi praktik keamanan di setiap tingkat siklus pengembangan perangkat lunak.