~9 minutes
Cet article est en cours de rédaction. Le contenu peut être incomplet ou sujet à modifications.
Après avoir posé les bases Kubernetes, il y a un sujet qui revient systématiquement dans des discussions avec des équipes tech : quel Kubernetes choisir, et pourquoi ? (C’est entre autre pour cela je pense que l’ami Denis a choisi d’écrire un bouquin entier sur le sujet, et c’est une excellente idée !)
La question dépasse largement le simple choix de fournisseur cloud. AKS, EKS et GKE ont des philosophies différentes, des modèles de sécurité distincts, et des écosystèmes qui ne se valent pas selon les cas d’usage. Quant à k3s, il occupe un créneau bien particulier, l’edge et l’IoT , que les offres managées cloud ne couvrent tout simplement pas.
Cet article est le point d’entrée d’une série de quelques articles sur ce sujet avec un angle sécuritaire. Je te donne ici la vue d’ensemble, le tableau comparatif et ma grille de décision. Pour aller vraiment en profondeur sur chaque solution, les articles dédiés sont là.
Ce qui m’a frappé en 2025-2026 : les trois grands cloud providers ont tous convergé vers le “fully managed” avec AKS Automatic, EKS Auto Mode et GKE Autopilot. L’ère du cluster Kubernetes à configurer entièrement à la main dans le cloud est terminée — mais la surface d’attaque, elle, ne disparaît pas pour autant.
La série complète
Workload Identity, Azure Policy, Defender for Containers, AKS Automatic
→ Lire l'article completArchitecture, HA etcd, Cilium, air-gapped, Fleet, hardening physique
→ Lire l'article completAutopilot, Binary Authorization, Security Posture, Confidential Nodes
→ Lire l'article completPod Identity, Fargate, Karpenter, GuardDuty EKS, EKS Auto Mode
→ Lire l'article completTableau comparatif — L’état de l’art 2026
| Critère | AKS | EKS | GKE | k3s |
|---|---|---|---|---|
| Provider | Microsoft Azure | Amazon AWS | Google Cloud | SUSE / Rancher |
| Mode fully-managed | AKS Automatic | EKS Auto Mode | GKE Autopilot | ❌ Non |
| Plan de contrôle | Managé (gratuit) | Managé (0,10$/h) | Managé (gratuit) | Auto-géré |
| Identité workload | Azure Workload Identity | EKS Pod Identity | Workload Identity | RBAC local |
| Politique d’admission | Azure Policy (OPA) | Kyverno / OPA | Policy Controller (OPA) | Kyverno (optionnel) |
| CNI par défaut | Azure CNI Overlay | AWS VPC CNI | Dataplane V2 (Cilium) | Flannel |
| Coût minimal cluster | Gratuit (nodes payants) | ~72$/mois | Gratuit (nodes payants) | Gratuit (HW only) |
| Windows containers | ✅ Natif | ✅ Limité | ❌ Non | ❌ Non |
| Mode offline | ❌ Non | ❌ Non | ❌ Non | ✅ Oui |
| ARM64 natif | ✅ Oui | ✅ Oui | ✅ Oui | ✅ Natif |
| Kubernetes max supporté | 1.32 | 1.32 | 1.32 | 1.32 |
| Confidential computing | ✅ Azure CVM | ✅ Nitro Enclaves | ✅ Confidential Nodes | ❌ Non |
| Multi-cluster | Azure Fleet Manager | EKS Anywhere | GKE Enterprise/Fleet | K3s clusters manuels |
| Supply chain sécurisée | Image Integrity (Notation) | ECR signing | Binary Authorization | Cosign (manuel) |
| Runtime threat detection | Defender for Containers | GuardDuty EKS | Security Command Center | Falco (manuel) |
Choisir sa solution : une grille de lecture
Choisir k3s
- Tu déploies à l’edge ou sur IoT : usine, retail, véhicule, infrastructure critique
- Tu as besoin de fonctionner en mode air-gapped ou offline
- Tes ressources matérielles sont limitées (ARM bas de gamme, RAM < 2 GB)
- Tu veux une indépendance totale vis-à-vis du cloud
- Tu es prêt à prendre en charge le cycle de vie complet du cluster toi-même
→ Deep-dive k3s — Architecture, HA, sécurité physique, Fleet
Choisir AKS
- Ton organisation est Microsoft-first : Azure AD, Office 365, SQL Server, .NET
- Tu dois gérer des Windows Server containers (unique parmi les trois)
- Tu as des exigences de conformité gouvernementale avec des certifications spécifiques Azure
- Tu veux une intégration native avec Azure DevOps et les pipelines Microsoft
→ Deep-dive AKS — Workload Identity, Defender, AKS Automatic
Choisir GKE
- Tu fais du ML/AI avec des TPU ou des GPU (intégration Vertex AI)
- Tu veux le mode Autopilot pour vraiment déléguer les ops à Google
- Tu as besoin de Binary Authorization et d’une supply chain sécurisée par défaut
- La sécurité par défaut la plus stricte est une priorité
→ Deep-dive GKE — Autopilot, Binary Auth, Security Posture
Choisir EKS
- Ton infrastructure est AWS-native : S3, RDS, DynamoDB, Lambda
- Tu utilises ou envisages Fargate pour des workloads serverless
- Tu as besoin de Karpenter dans sa version la plus mature pour l’optimisation des coûts
- Tu déploies des workloads hybrides (on-premises via EKS Hybrid Nodes)
→ Deep-dive EKS — Pod Identity, Karpenter, GuardDuty
Ce qui a changé en 2025-2026
Plusieurs évolutions majeures sur les 12 derniers mois qui méritent d’être notées avant de plonger dans les détails :
1. La convergence vers le “fully managed” est désormais consommée. AKS Automatic (GA fin 2024), EKS Auto Mode (GA fin 2024) et GKE Autopilot (mûri depuis 2021) permettent tous de déployer des workloads sans gérer un seul node. La question n’est plus “est-ce que je gère mes nodes ?” mais “est-ce que le mode automatique répond à mes contraintes ?”
2. L’identité workload sans secrets statiques est devenue le standard. Les trois clouds ont convergé vers des mécanismes d’OIDC qui permettent à un pod d’obtenir des credentials temporaires sans jamais manipuler de secrets. C’est un changement fondamental pour la sécurité des clusters.
3. EKS Hybrid Nodes (GA 2025) et AKS sur Azure Arc permettent désormais d’intégrer des machines on-premises comme workers dans un cluster cloud-managé. La frontière entre cloud et on-premises devient floue — et la surface d’attaque s’étend.
4. k3s v1.32 + Raspberry Pi 5 : le Cortex-A76 change la donne pour l’edge. Des workloads d’inférence ML qui nécessitaient du matériel dédié il y a deux ans tournent maintenant sur un Pi 5 en cluster k3s.
Quelques références pour aller plus loin
- AKS — Documentation officielle Microsoft
- EKS — Documentation officielle AWS
- GKE — Documentation officielle Google Cloud
- k3s — Documentation officielle SUSE Rancher
- OWASP Kubernetes Top 10
- CIS Kubernetes Benchmark
✓ À retenir 📌
✓ Les trois grands convergent vers le "fully managed" : AKS Automatic, EKS Auto Mode et GKE Autopilot gèrent désormais les nodes en plus du plan de contrôle. La sécurité par défaut s'améliore, mais la surface d'attaque reste réelle.
✓ Le choix n'est pas qu'une question de features : l'écosystème existant (cloud provider, outils, compétences d'équipe) pèse plus lourd que les différences techniques. Choisis la solution que ton équipe maîtrise réellement.
✓ k3s n'est pas un "petit Kubernetes" : c'est une distribution production-ready pensée pour l'edge et les contraintes d'autonomie. Si tu es dans ce cas d'usage, c'est la meilleure option.
✓ GKE Autopilot est le plus sécurisé par défaut : pods privilégiés bloqués, hostNetwork interdit, securityContext enforced. Si tu peux t'y conformer, c'est le mode à privilégier.
✓ Les quatre articles de fond de cette série couvrent chaque solution en détail — architecture, sécurité avancée, hardening checklist et scénarios d'attaque concrets.