Qu’est-ce qu’un hyperviseur ?

Un hyperviseur est un outil de virtualisation qui permet à un seul ordinateur hôte d’exécuter plusieurs machines virtuelles invitées en partageant des ressources telles que des threads de processeur, de la mémoire ou le débit réseau. En termes simples, un hyperviseur isole le matériel de l’ordinateur hôte, permettant à plusieurs systèmes d’exploitation de fonctionner simultanément sur une seule machine.

Parmi les exemples courants d’hyperviseur, on peut citer VMware Workstation/VMware ESXi, Windows Virtual PC/Microsoft Hyper-V, Xen et KVM. Ces outils ont tous pour objectif de permettre à plusieurs machines virtuelles invitées de s'exécuter sur un seul matériel. Les invités peuvent tous exécuter le même système d’exploitation ou des systèmes d’exploitation différents.

Comment fonctionne un hyperviseur ?

Les hyperviseurs agissent comme une couche qui sépare le logiciel de l'ordinateur de son matériel. Ils permettent au système d’exploitation de chaque machine virtuelle de se comporter comme s’il s’exécutait sur un matériel dédié et de transmettre les requêtes de ce système d’exploitation à la machine hôte.

Certains hyperviseurs sont intégrés au micrologiciel de l’appareil hôte, alors que d’autres s’exécutent par-dessus le système d’exploitation de l’ordinateur hôte. L’hyperviseur gère la communication entre la machine virtuelle et le matériel sous-jacent.

À titre d’exemple, imaginons que vous êtes un développeur de logiciels utilisant Mac OS X. Vous devez tester vos applications sous Windows et Linux. À l’aide d’un hyperviseur de type 2 (hébergé), vous pouvez exécuter une machine virtuelle Linux et Windows 11 sur votre Mac. Si le Mac est suffisamment puissant, vous pouvez exécuter ces deux machines virtuelles simultanément et passer de l'une à l'autre ainsi qu'à votre environnement de développement principal. L’hyperviseur gère l’allocation des threads du processeur et de la mémoire, et il crée des disques virtuels qui existent sous forme de fichiers dans le système de fichiers du système d’exploitation hôte.

Types d’hyperviseurs

Les hyperviseurs peuvent être divisés en deux catégories principales : Les hyperviseurs bare-metal et les hyperviseurs hébergés.

Hyperviseurs bare-metal

Comme leur nom l’indique, les hyperviseurs bare-metal s’exécutent directement sur l’ordinateur hôte. Ce sont souvent des hyperviseurs de type 1, qui intègrent tous les composants nécessaires du système d'exploitation ainsi que l'hyperviseur. Ce sont les options les plus courantes. Avec un hyperviseur bare-metal, il n’y a pas de système d’exploitation hôte. L’hyperviseur traduit les demandes d’accès aux ressources de chaque VM invitée, ce qui leur donne un accès plus direct au matériel de l’hôte.

Les hyperviseurs bare-metal offrent certains avantages en matière de sécurité grâce à la surface d’attaque réduite. De plus, il existe des avantages en termes de performances, car la surcharge liée à l'exécution de l'hyperviseur seul est inférieure à celle de l'exécution d'un système d'exploitation complet. Cela fait des hyperviseurs de type 1 un choix répandu pour les data centers et l’hébergement d’entreprises, où les priorités sont les hautes performances et la possibilité d’exécuter autant de VMs que possible sur l’hôte. La technologie Hyper-V de Microsoft est un exemple d’hyperviseur bare-metal qui offre des améliorations de performance significatives par rapport aux hyperviseurs traditionnels basés sur des logiciels (Type 2), comme l'entrée précoce d'IBM dans le domaine de la virtualisation.

Hyperviseurs hébergés

Un hyperviseur hébergé (ou hyperviseur de type 2) s’exécute au-dessus du système d’exploitation de l’ordinateur hôte. Ceux-ci ont une latence plus élevée que les hyperviseurs bare-metal et sont donc moins couramment utilisés dans les environnements de datacenter. Cependant, ils sont utiles pour les développeurs de logiciels, les testeurs et les chercheurs en sécurité qui ont besoin d’exécuter des applications dans divers environnements.

Les hyperviseurs hébergés sont parfois utilisés pour déployer un environnement préconfiguré sur plusieurs machines. Les développeurs peuvent configurer leurs ordinateurs comme ils le souhaitent et tester leur travail dans une machine virtuelle avec une configuration prévisible. 

Pourquoi utiliser un hyperviseur ? 

Les hyperviseurs constituent un bon choix pour :

• Résoudre les problèmes d’infrastructure
• Faire fonctionner plusieurs systèmes d’exploitation sur un seul matériel
• Exécuter des logiciels traditionnels
• Créer des environnements sandbox
• Créer des machines virtuelles avec état, faciles à mettre en pause, suspendre ou déplacer vers un autre matériel

Parfois, exécuter un hyperviseur et des machines virtuelles entières n’est pas une solution optimale. Étant donné que chaque machine virtuelle exécute son propre système d’exploitation, celles-ci sont très gourmandes en ressources. Les conteneurs sont de plus en plus répandus dans les situations où les développeurs ou les administrateurs système ont besoin de déployer rapidement des environnements sandbox plus légers.

Envisagez des conteneurs si :

• Vous voulez bénéficier des avantages du sandboxing en matière de sécurité, mais vous n’avez pas besoin de répliquer des systèmes d’exploitation entiers
• Vous exécutez des microservices sans état
• Toutes les applications dont vous avez besoin peuvent s’exécuter sur le même système d’exploitation

Considérations de sécurité

Les hyperviseurs sont généralement très sécurisés. Cependant, il existe certains problèmes dont les administrateurs système doivent être conscients. Par exemple, les attaques Spectre et Meltdown découvertes en 2018 exploitent des vulnérabilités dans le matériel sous-jacent. Aujourd’hui encore, ces vulnérabilités existent toujours. Il est donc important de rester à jour en ce qui concerne les correctifs du BIOS et du logiciel de l’hyperviseur.

Un autre élément important à prendre en considération est la manière dont les hyperviseurs sont administrés. Limitez l’accès aux hôtes de l’hyperviseur et au logiciel d’administration. Activez la journalisation pour pouvoir vérifier qui accède à l’hôte de l’hyperviseur et les changements effectués. N’oubliez pas que si une VM invitée est compromise, les dommages doivent être limités à cette machine et aux services qui y sont en cours d’exécution. Cependant, si l’hôte de l’hyperviseur est compromis, l’attaquant pourrait obtenir un accès privilégié à tout ce qui s’exécute sur l’hyperviseur.

L’un des moyens de protéger les machines virtuelles consiste à les chiffrer. Cela rend non seulement la tâche plus difficile pour les attaquants externes en limitant ce qu'ils peuvent voir s'ils parviennent à accéder à l'hôte hyperviseur, mais cela protège également contre les menaces internes. Si vos disques virtuels ne sont pas chiffrés, un administrateur système malveillant pourrait en faire des copies pour les lire à sa guise. Le chiffrement des disques les rend illisibles lorsqu’ils sont à l'arrêt. Il est toujours possible d'effectuer des sauvegardes de machines virtuelles chiffrées, mais celles-ci ne sont lisibles que lorsqu'elles sont montées dans le système d'exploitation invité approprié.

Choisir le bon hyperviseur

Les hyperviseurs existent en de nombreuses versions pour s’adapter à différents cas d’utilisation. Lors du choix d’un hyperviseur, prenez en compte les points suivants :

• Le niveau d’expertise IT de votre entreprise ;
• Quelle infrastructure est déjà disponible ?
• Le type et la taille des workloads que l’hyperviseur devra traiter ;
• Votre budget
• Si la latence est un problème

Dans la plupart des cas, une petite entreprise ayant simplement besoin d’accéder à des machines virtuelles à des fins de test a tout intérêt à utiliser un hyperviseur de type 2. Les grandes entreprises qui tentent de maximiser l’utilisation de leur infrastructure stratégique ou qui ont besoin de VMs hautes performances devraient envisager un hyperviseur de type 1.

Une fois que vous avez déterminé le type d'hyperviseur, la prochaine étape consiste à choisir le fournisseur avec lequel travailler. Ce choix peut être guidé par des considérations telles que :

• Si vous avez déjà lourdement investi dans une plateforme cloud ou un écosystème logiciel
• Quel type d’accord de licence serait adapté à votre budget et à vos besoins d’évolutivité ?
• Le niveau de support fournisseur dont vous souhaitez bénéficier

Comment démarrer

Les hyperviseurs de type 2 ont tendance à être dotés de systèmes de gestion très flexibles et puissants, ce qui les rend faciles à utiliser, même pour les équipes disposant de ressources IT limitées. Les hyperviseurs de type 1 peuvent nécessiter plus d’expertise. Lors de la configuration de vos machines virtuelles, tenez compte des points suivants :

• Combien de machines seront exécutées sur l’hôte pour allouer les ressources en conséquence
• Limites de débordement appropriées pour garantir des performances fiables
• Taille du disque virtuel et possibilité de le stocker en tant que fichier unique ou multiple
• Configuration du chiffrement des lecteurs, en tenant compte de toute surcharge de performance que cela pourrait engendrer
• Configuration du réseau (par exemple, en utilisant des cartes réseau distinctes pour chaque groupe de machines virtuelles et en définissant des ID de VLAN)
• Que les réseaux servant à la gestion des hôtes et aux autres ressources privilégiées sont isolés des machines virtuelles
• Une solution de sauvegarde qui facilite la restauration des machines virtuelles en cas de panne ou de perte de données

Pour en savoir plus sur la manière dont Veeam peut vous aider à gérer vos sauvegardes et vos plans de reprise d’activité, consultez Veeam Backup & Replication. Cette suite logicielle flexible et puissante vous permet de sauvegarder vos machines virtuelles et de les restaurer en quelques minutes, pour qu’elles soient à nouveau opérationnelles aussi rapidement que possible après une panne.