Virtualisation en environnement professionnel

Introduction à la virtualisation
En 2007, c’est la fin des machines monoprocesseurs avec la course à l’évolution des MégaHertz.

Du fait de la consommation électrique élevée et les caractéristiques techniques des machines largement
supérieures aux demandes informatiques, la généralisation de la virtualisation a débuté.

Historique
Le début de la virtualisation remonte aux années 1960 sur des Mainframes IBM. On appelait, à l’époque,
les machines virtuelles, des PSEUDO-MACHINES. Le Mainframe utilisait un programme de contrôle pour
allouer des ressources et isoler les différentes instances des pseudo-machines entre-elles.

A la fin des années 90, il y a eu une transposition du concept IBM vers les architectures à processeurs
X86.

La première entreprise a se lancer, a été VMWARE dès la fin des années 90 en sortant WMWARE
Workstation. L’hyperviseur ESX, lui, est sorti en 2001. Les autres acteurs de la virtualisation ont emboîté le
pas. XENSOURCE, virtualisation OpenSource, est sortie en 2003 mais a été racheté par CITRIX en 2008
pour donner une version propriétaire XEN CITRIX et une version sortie OpenSource XEN XCP. La solution
Hyper-V de Microsoft n’est sortie qu’en 2008,

Concept
La virtualisation comprend l’ensemble des technologies et techniques permettant de séparer les
caractéristiques techniques d’un matériel supportant des logiciels orientés utilisateurs du système physique
pouvant l’héberger.

La virtualisation se décline à plusieurs niveaux dans un système d’information :

- virtualisation de serveurs :
consiste en l’isolation par une couche logicielle du contenu Système d’Exploitation et applications
de serveurs sur une machine physique : celle-ci pouvant offrir ses ressources systèmes (mémoire,
processeurs, réseau, ….) à plusieurs machines serveurs encapsulées dans un environnement
logiciel indépendantes les unes des autres.
- virtualisation d’applications :

ce système permet de dissocier l’application du Système d’Exploitation Hôte et des autres

applicatifs hébergés permettant d’éviter les conflits.

- virtualisation de postes de travail :

 l’ensemble des ressources du poste client (Système d’Exploitation, applications, …) sont sur le
serveur.

- virtualisation de stockage :

ce système permet de masquer les spécificités techniques des moyens de stockage permettant au
Système d’Information de voir l’ensemble comme un point unique de stockage.

- virtualisation de réseaux :

la virtualisation de réseaux est une couche d’abstraction supprimant l’adhérence entre les réseaux
logiques et les réseaux physiques où les commutateurs physiques ne servent plus qu’au transport
des flux IP avec comme objectif de fournir un partage efficace, contrôlé et sécurisé des ressources
réseaux.

Du fait des niveaux de privilèges d’utilisation des CPUs, interdisant de faire fonctionner plusieurs Systèmes
d’Exploitation sur une même machine physique, il a fallu trouver des moyens pour autoriser le
fonctionnement de plusieurs machines de Systèmes d’Exploitation différents. Du point de vue processeurs,
le logiciel appartient à 4 niveaux d’abstraction (anneaux ou rings : 0, 1, 2, 3). Chaque anneau définit un
niveau de privilège décroissant : les instructions les plus critiques demandant le niveau de privilège le plus
fort (0). Les applications utilisateur demandent un niveau 3, les routines systèmes matériel demandent un
niveau 0.

Virtualisation de serveurs

Généralités sur la virtualisation de serveurs

Dans tous les systèmes de virtualisation de serveurs, cela consiste à placer une couche d’abstraction entre
le système hôte (soit directement sur la partie physique, soit sur la partie Système d’Exploitation) et la
machine hébergée.

Hormis, l'émulation et le cloisonnement, on peut considérer 2 types principaux de produits de virtualisation :

les systèmes de virtualisation simple et les hyperviseurs.

Virtualisation simple
Cette technique de virtualisation consiste à installer une surcouche sur un Système d‘Exploitation hôte afin
d’émuler le Système d’Exploitation invité.
Les machines virtuelles sont bien isolées entre-elles mais cette technique est très consommatrice de
ressources, principalement dans les Entrées/Sorties et en mémoire.

Hyperviseur
L’hyperviseur s’appuie, généralement, sur la paravirtualisation, technique qui implique que le Système
d’Exploitation hôte soit modifié et adapté pour faire fonctionner les Systèmes d’Exploitation invités. La
paravirtualisation permet aux machines virtuelles de communiquer ensemble et avec la machine hôte, par
l’intermédiaire d’un bus logiciel.

Les machines paravirtualisées exploitent directement les drivers physiques pour la gestion des
Entrées/Sorties.

Le rôle de l’hyperviseur consiste à fournir aux machines virtuelles, un matériel virtuel (processeur,
mémoire, …) et à en contrôler le fonctionnement.

Les méthodes d’accès des machines virtuelles aux données

La couche de virtualisation présente un stockage logique aux machines virtuelles. Cette couche de
virtualisation fait le lien vers les stockages physiques.
Les machines virtuelles accèdent aux volumes physiques par 3 méthodes : DAS, SAN ou NAS.

Direct Attached Storage (DAS)

Le stockage est directement attaché au serveur hôte par le biais de technologie courante : SATA ; E-SATA,
SAS, ….).

Storage Area Network (SAN)

L’échange entre l’hyperviseur et le stockage SAN se fait par le réseaux par l’intermédiaire de protocole
Fibre Channel ou ISCSI.

Network Attached Storage (NAS)

C’est un stockage sur le réseau qui est vu comme un serveur de fichiers accessible sur le réseau par des
protocoles spécialisés dans l’accès aux Systèmes de Gestion de Fichiers (NFS, CIFS, SMB, …).
Les principales fonctionnalités de virtualisation de serveurs
Les limitations :

- limite maximal d’hôtes et de machines virtuelles possibles : les solutions de machines virtuelles sont
limités en terme d’exploitation des ressources matérielles et de configuration maximale de VMs ;
- limite max de CPU logique par VM ;
- limite max de mémoire physique exploitable ;
- nombre max de VMs par hôte ;
- nombre max de VCPU par VM ;
- limite sur la quantité de VRAM par VM ;
- limite de la taille maxi de disques virtuels.
- …

Console de gestion :

Elément essentiel pour exploiter les fonctionnalités proposées par la solution de virtualisation. Cette
console peut être accessible par un navigateur web ou par un logiciel d’administration spécifique.

Architectures de virtualisation de serveurs

Solution de virtualisation avec stockage local

Dans cette solution, les machines virtuelles sont stockées et exécutées sur la même machine.
Cette solution est simple à déployer et à utiliser mais n'a que peu de sécurité.

Solution de virtualisation avec stockage externe

Dans cette solution, il y a séparation entre l'exécution et le stockage des machines virtuelles.

En multipliant les serveurs de virtualisation et les éléments de stockage, on améliore, la disponibilité :

compensation, ...).

Solution de virtualisation avec PRA

Cette solution permet de repartir une ou plusieurs machines en mode dégradé en cas de soucis sur le
système de virtualisation principal.
Cette solution améliore encore la disponibilité du fait que les machines virtuelles sont sur 2 sites différents.
En revanche, dans cette solution, on accepte de perdre un delta correspondant à la politique de
sauvegarde des machines virtuelles du site principal vers le site PRA.

On accepte aussi un délai de mise en route car les machines virtuelles sur le site PRA sont arrêtées en
fonctionnement normal.

Solution de virtualisation avec PCA

Cette solution permet un fonctionnement opérationnel avec les machines virtuelles dans la grande majorité
des situations. Il faut que les 2 sites soient reliés par de la fibre optique pour considérer que tous les
utilisateurs puissent accéder à tous les serveurs virtuels. En cas d'incident quelconque, les serveurs
prennent en charge la continuité de fonctionnement.
Migration des machines virtuelles physiques
Il est possible de faire des migrations entre machines physiques et virtuelles. Les différentes possibilités
sont :

- P2V : Physique vers Virtuel

- V2P : Virtuel vers Physique

- V2V ; Virtuel vers Virtuel

Il existe 2 types de migration :

- migration à chaud

- migration à froid

Migration à chaud
La migration à chaud permet d'effectuer une migration de machine virtuelle sans arrêter la machine source.
L'action peut se faire soit en mode console à partir d'outils du système de virtualisation ou d'outils tierces,
soit en mode commande..

Exemple du processus pour un P2V :

- création de la machine virtuelle de destination ;

- transfert du contenu du serveur physique vers la machine virtuelle, machine physique en production ;

- tests sans arrêter la machine physique ;

- copie de la différence entre la machine physique et la machine virtuelle depuis la création ;

- arrêt de la machine physique.

Migration à froid
La migration à froid se fait machine source arrêtée.

Entre machine virtuelle (V2V), cela consiste juste à faire un export de la machine virtuelle d'un serveur
virtuel vers un autre.

En V2P, il suffit de créer une image (.iso, ...) à partir de la machine virtuelle et de l'installer sur le serveur
physique.
En P2V, c'est la même chose. Il faut faire une image du serveur physique avec un outil (clonezilla, Acronis
Backup, ...) et ensuite de la réinstaller sur la machine virtuelle préparée pour accueillir l'image du serveur
physique.

Virtualisation d’applications
La virtualisation d'application a principalement comme objectif de réduire la complexité liée à la gestion et
au déploiement des applications au sein du Système d'Information (déploiement, mise à jour, suppression,
gestion des utilisations de licences, ...).

La virtualisation d'application peut être aussi une solution dans la gestion des conflits d'applications
(version java, ...) mais aussi pour traiter les dépendances nécessaires entre les applications.

L'exécution du fonctionnement des applications se fait dans un contexte d'exécution indépendant et isolé
du Système d'Exploitation client.

Ceci permet de sécuriser le fonctionnement de l'application et permet la compatibilité avec la plateforme

d'exécution.

Les solutions de virtualisation d'application peuvent fournir des applications virtualisées par une
implantation d'une solution de virtualisation soit directement sur le poste de travail, soit à partir d'une
solution à base de serveur.

Les avantages de la virtualisation d'application sont :

- équilibrage de charge ;

- architecture centralisée ;

- surveillance des performances ;

- solution d'authentification unique d'accès aux applications ;

- gestion centralisée des licences ;

- ...

Quelques offres commerciales

- ALTIRIS SOFTWARE VIRTUALIZATION (SVS)

- Microsoft Softgrid Application Virtualisation

- Citrix XENAPP

Virtualisation de postes de travail

L'utilisateur actuel a plus besoin d'avoir un environnement de travail auquel il peut accéder de n'importe où
(au travail, chez lui, en déplacement, ...) et depuis n'importe quel support (ordinateur de bureau, PC
portable, ordinateur personnel, tablette, ...).

Les directions informatiques ont besoin de réduire les coûts de fonctionnement (exploitation et
administration des systèmes) ainsi que diminuer les déplacements (ECO-TIC, réduction des coûts, gains
de temps, ...). Ils souhaitent aussi gagner en flexibilité dans le déploiement des postes de travail. De la
même manière, afin de réduire le temps consacré au poste de travail, il faut diminuer le temps consacré au
poste de travail, par exemple, en diminuant les temps liés aux désinfections virales ou en bloquant la
diffusion en cas d'attaque virale.
La solution est la virtualisation de postes informatiques. La virtualisation de postes de travail permet de
décoreller les éléments logiciels (système d'exploitation, applications, ...) des éléments physiques
(processeur, mémoire, stockage, ...) : la partie logicielle peut être hébergée sur un serveur centralisé. La
partie physique ne sert plus qu'à prendre en charge les entrées (clavier, souris) et l'affichage (écran).

L'ensemble de l'environnement de travail de tous les utilisateurs est donc stocké de manière centralisé,
facilitant, de fait, le déploiement et les évolutions sur ceux-ci. Le poste client peut être un client léger, un
PC classique, un PC portable, une tablette, ...

Fonctionnalités générales de la virtualisation de postes informatiques

Déploiement et recyclage instantané

L'administrateur définit des modèles de postes en fonction de profils d'utilisateurs définis en fonction de
services (finances, ressources humaines, ..., de type d'utilisation (formation, bureautique, ...). A partir de
modèles définis, l'administrateur peut déployer de nouveaux postes. De la même manière, en cas
d'évolution (patch système, évolution logiciel, l'administrateur peut faire évoluer son modèle et le remettre à
disposition instantanément à tous les utilisateurs concernés.

Accès à son environnement de n'importe où

L'environnement n'étant pas lié au poste physique, un poste de travail peut prendre différents usages en
fonction de la machine virtuelle chargée (poste public, poste bureautique, ...).

L'utilisateur n'a plus besoin que d'un accès réseau pour profiter de son environnement de travail.

Sécurisation de fonctionnement
Du fait de la non-persistance de l'environnement de travail sur le poste physique, l'administrateur a la
pleine gestion de tous les postes de travail pouvant, ainsi, facilement :

- corriger les erreurs utilisateurs (suppression d'icônes, ...);

- gérer les virus (suppression de machines virtuelles, ...);

- limiter les vols de matériels devenus inintéressants car il n'y a rien sur le poste et peu de technologie ;

- offrir un PC tout neuf tous les matins ;

- ...

Gestion simplifié des caractéristiques des postes informatiques

Du fait de la gestion centralisée, l'administrateur a facilement la main sur les caractéristiques des postes
(adresse IP, nom d'hôte, ...) et sur l'évolution technique des postes (quantité RAM, nombre de
processeurs, ...).
Gestion de l'accès aux PCs virtuels
L'administrateur peut autoriser ou non à avoir ;

- l'accès à l'environnement de travail sur un seul poste uniquement ou à partir de n'importe quelle
machine physique quelque soit la position géographique;

- l'accès à un poste de telle heure à telle heure ou complètement interdire complètement l'accès (départ
de l'entreprise, ...).

Architectures de virtualisation de postes informatiques

Solution basique
Dans cette solution, une machine virtuelle correspond à une machine qui pourra être utilisée. Les
avantages principaux de cette solution sont la centralisation des machines, l'évolution, ...

Solution avec broker

Dans cette solution, il est fait des modèles de postes de travail suivant des profils souhaités. Ensuite ces
modèles peuvent être déclinés en autant de machines virtuelles souhaitées (en fonction capacité
hyperviseur) pour être utilisé sur des supports physiques.

Le rôle du broker est de gérer les connexions aux machines virtuelles.

Solution cluster d'Hyperviseur
Cette solution est la même que la précédente mais en amenant une partie sécurité et d'augmentation de la
capacité du nombre de postes de travail utilisables.

Une déclinaison de cette solution est la mise en cluster des hyperviseurs sur des sites différents permettant
d'améliorer la disponibilité et la fiabilité.

Une évolution proposée par certaines solutions de virtualisation de postes de travail concerne la possibilité
d'exécuter une partie des fonctionnalités sur le poste client en utilisant ces ressources , s'il en dispose, afin
d'améliorer le traitement. Ceci est principalement intéressant dans le cas de postes de travail virtuels
demandant de la ressources pour le graphisme (postes informatiques de dessinateurs, jeux vidéos, postes
multimédia, ...).

Les principales solutions de virtualisation de postes de travail sont :

- VMWARE VIEW,

- CITRIX DESKTOP,

- NEOCORTECH.
Virtualisation de stockage
La virtualisation de stockage permet aux systèmes informatiques (applications, systèmes, ...) de voir une
source de stockage uniforme masquant les différents types de ressources utilisées.

Tous les systèmes de stockage physiques sont présentés comme un lieu unique de stockage permettant
d'ajouter des nouveaux moyens de stockage de façon complètement transparente pour les applications et
systèmes les utilisant.

Il existe 2 types de virtualisation de stockage :

- virtualisation symétrique

Ce type de virtualisation met en jeu 3 acteurs : client, stockage et le serveur de virtualisation de stockage.
Toutes les données du client sont stockées sur les systèmes physiques en passant par le serveur de
virtualisation de stockage.

- virtualisation asymétrique

Dans ce type de virtualisation de stockage, le client dispose d'un agent qui demande au serveur de
virtualisation de stockage où se trouve le stockage et l'agent se charge de communiquer directement avec
le système de stockage concerné.

Avantages principaux de la virtualisation de stockage :

- réduction des coûts;

- simplicité de mise en oeuvre;

- vue d'ensemble de l'infrastructure réseau;

- optimisation des processus de stockage;

- évolution simple du système de stockage;

- meilleure protection des données;

- ...

Les principaux acteurs de la virtualisation de stockage :

- DATACORE : acteur majeur du domaine qui dispose de toute une gamme logicielle sur le domaine.

- EMC : propose des produits matériels et logiciels ainsi que les services associés.

- NET APP : propose, en autre, des solutions de stockage virtuelles et flexibles.

- HP : suite SAN Virtualisation Services Platform.

Exemple de la solution DATACORE

DATACORE est une solution simple et abordable très bien adaptée aux petites infrastructures
informatiques.

La solution DATACORE fournit des outils qui permettent :

- de convertir les moyens de stockage (serveurs, ...) en espaces de stockages réseaux;

- la gestion des différents espaces de stockage;

- la supervision des stockages réseaux;

- ....

DATACORE est une application WINDOWS qui est intégrée à la MMC du serveur support et permet
plusieurs possibilités :

- le regroupement de l'ensemble des serveurs DATACORE;

- le regroupement des serveurs utilisant les volumes virtuels de stockage;

- la gestion des fibres channels et/ou ISCSI;

- ...
DATACORE est aussi une très bonne solution à mettre en œuvre dans le cadre d'un PRA pour s'affranchir
de toutes les problématiques spécifiques de stockage de tel ou tel système.

Virtualisation de réseaux
De la même façon que la virtualisation de serveurs, la virtualisation de réseau place une couche
d'abstraction entre les réseaux logiques et les équipements physiques du réseau.

Dans la virtualisation de réseaux, les commutateurs servent en majorité à transporter le trafic IP. Dans la
virtualisation de réseau, un hyperviseur gère :

- la configuration réseau;

- la sécurité ;

- la haute disponibilité ;

- la mise en œuvre des protocoles de routages ;

- ...

La virtualisation de réseaux fonctionne avec n'importe quel type de commutateurs : le seul pré-requis est la
capacité du commutateur à transporter un trafic IP. Il y a une indépendance totale vis à vis des matériels.

Un hyperviseur réseau virtualise toutes les couches, du niveau 2 au niveau 7 du modèle OSI.

La virtualisation de réseaux permet de :

- simplifier les réseaux physiques qui ne sont plus utiliser que pour le transport des flux IP ;

- simplifier les modification de paramètres réseaux du fait de l'indépendance avec les modèles et types
d'équipements actifs ;

- ...

La virtualisation de réseaux est le réseau virtuel (ne pas confondre avec VPN : réseau chiffré point à point)
qui se décompose en 2 grandes catégories :

- réseau virtuel externe ;

- réseau virtuel interne.

Réseau virtuel externe
Usuellement appelé VLAN (Virtual Local Area Network), ils prennent en compte les équipements actifs de
commutation et la technologie logicielle VLAN pour construire des réseaux d'entreprise.

Réseau virtuel interne

Un réseau virtuel interne est un réseau qui n'est pas accessible par les autres systèmes.

Les composants principaux de la virtualisation de réseau virtuel interne sont :

- les cartes réseaux virtuelles (VNIC). Ce sont des périphériques réseaux virtuels avec les mêmes
caractéristiques que les interfaces réseaux physiques.

- les commutateurs virtuels, qui permettent d'associer plusieurs cartes virtuelles à une carte physiques et
permettre les routages externes.

Fonctionnement général d’un réseau virtuel interne :

Chaque réseau d'ordinateurs virtuels peut se composer d'un ou plusieurs sous-réseaux virtuels. Tous les
équipements informatiques de sous-réseaux d'un réseau virtuel peuvent communiquer entre-eux.

Chaque réseau d'ordinateurs virtuel possède un domaine de routage identifié par un identifiant (RDID).

Un sous-réseau virtuel fonctionne comme un réseau physique classique avec son propre domaine de
diffusion (fonctionne de la même manière que les VLANs). Un sous-réseau virtuel appartient à un et un
seul réseau d'ordinateurs virtuel (RDID) et il lui est assigné un identifiant de sous-réseau virtuel (VSID) : le
VSID est unique dans le centre de données (DATACENTER).

Les équipements informatiques d'un sous-réseau virtuel communique comme s'ils étaient sur un même
réseau physique.

Les sous-réseaux virtuels (VSID) d'un même réseau virtuel (RDID) peuvent communiquer par des
techniques de routage.
En revanche, les équipements informatiques de 2 réseaux virtuels (RDID différents) ne peuvent pas
communiquer ensemble : les cartes réseaux virtuelles associées à un RDID ne peuvent pas envoyer de
paquets aux autres cartes réseaux associées à un autre RDID.

Approche financière de la virtualisation

Notions clés

Métriques
4 indicateurs de niveau différent sont à prendre en compte pour la virtualisation

- CPU : pas d'importance, la puissance processeur utilisée par un serveur est d'environ 3 à 4 %.

- RAM : le taux d'utilisation de la mémoire est important : environ 40 à 41 %.

- I/O disques : les disques sont peu importants sur les serveurs d'origine mais sont capitaux à la cible
de virtualisation du fait du stockage centralisé

- RESEAU : par expérience, il ne faut pas négliger le nombre de ports réseaux sur les serveurs de
virtualisation.

La RAM et les I/O disques sont les indicateurs les plus importants (point pivot). Dans tous les cas, il faut
que ces 4 métriques soient cohérents.

Taux de densification
C'est le nombre de machines virtuelles par hyperviseur, ce paramètre est très important. Le taux de
densification moyen à l'heure actuel est d'environ 20..30.

Plus le taux de densification est élevé, moins le coût de la solution de virtualisation est important par
rapport à un système classique.

2 approches :

1 - plus je remplis (style surbooking en aviation) moins le coût est élevé mais plus j'augmente les risques
de problèmes;

2 - je m'intéresse à avoir une haute qualité de service, je mets un minimum d'instance par hyperviseur et
je garde de la place pour déplacer des instances vers un autre hyperviseur.
Indicateurs sur stockage centralisé
Point très important dans un projet de virtualisation, il faut un réseau dédié au stockage séparé du flux de
données. Il faut prendre en compte :

- le protocole : Fibre Channel, ISCSI, NFS, ...

- la puissance du contrôleur de stockage

Ces 2 paramètres déterminent les capacités de la baie de stockage : nombre d'Entrées/Sorties dont on
a besoin.

- capacité : c'est le taux d'utilisation réel des disques plus les mécanismes de SNAPSHOT.

- type de disques : il doit être cohérent avec les 3 autres paramètres.

Mesures et simulation
Nombre d'hyperviseurs

Il faut définir le nombre d'hyperviseurs nécessaire pour accepter les serveurs existants et prendre en
compte l'évolution du Système d'information. C'est lié avec le taux de densification et l'approche du taux de
densification souhaité.

Fibre Channel contre ISCSI

Le débit moyen en Fibre Channel est d'environ 8 Gbits/s et celui en ISCSI est inférieur à 10 Gbits/s. Ces
débits sont quasiment identiques tant que la taille des blocs sont inférieurs à 16 Ko, ce qui est la généralité
dans la majorité des cas (plutôt des blocs de 4 à 10 Ko). Vu le coût, il est préférable de s'appuyer sur du
ISCSI dans la majorité des entreprises.

ECO-TIC
C'est un point important qui est à prendre en compte dans le fait de mettre de la virtualisation dans une
architecture informatique. On considère qu'un serveur virtualisé au regard d'un serveur physique, c'est
l'énergie de 2 voitures économisés annuellement.

Pour exemple, la puissance consommée d'un processeur quad-core est d'environ 650W, la puissance
consommée d'une baie SAN de stockage est de 3 à 4 KW
Sécurité au niveau de la virtualisation
La virtualisation apporte quelques avantages dans la sécurité des systèmes d'informations. Les principaux
avantages à ce niveau sont :

- si un virus est installé sur une machine virtuelle, la solution est simple de revenir à une situation saine.

- la relative isolation entre une machine virtuelle et son serveur hôte permet de limiter les actions des virus.
De plus, si un disque d'une machine virtuelle est corrompu, le disque physique lui reste intact.

- la portabilité de machines virtuelles permet de les utiliser à moindre coût dans des solutions de Plan de
Reprise d'Activités.

En revanche, la virtualisation apporte aussi son lot de risques de sécurité avec des risques pouvant
toucher, le système d'exploitation, la couche de virtualisation ou les deux.

Les principaux risques de sécurité informatique induits par la virtualisation sont :

- risques de compromission

un attaquant prenant la main sur un système hôte peut entraîner éventuellement la compromission de
l'ensemble des systèmes invités.

- risques d'indisponibilité

l'ensemble des machines étant sur une seule machine, l'interruption de celle-ci impacte un ensemble
de service.

- gestion des erreurs et incidents

la gestion des erreurs est plus compliquée à gérer dans un système virtualisé. Il en est de même pour
bien déterminé d'où provient un incident : quel est l'organisme où le système est à l'origine.

Règles à prendre en compte pour minimiser les risques

- définition des processus d'administration des systèmes hôtes et invités ;

- procédure de mise à niveau des systèmes hôtes et invités ;

- description des configurations des systèmes hôtes et invités ;

- concevoir une architecture informatique de virtualisation en appliquant le principe de cloisonnement
(séparation physique du réseau d'administration et des systèmes hôtes et invités) ;

- prévoir une architecture assurant facilement la disponibilité : traiter correctement la consolidation des
machine sur l'hôte, ce qui augmente la criticité ;

- avoir du personnel d'administration formé ;

- superviser les systèmes hôtes et les systèmes invités.

La sécurité du serveur physique hébergeant les outils de virtualisation (hyperviseur, ...) est critique. Il faut
donc bien protéger ces éléments. Une bonne pratique est de séparer le réseau d'administration des
serveurs physiques et le réseau des machines virtuelles.

Les ressources principales à contrôler en virtualisation sont :

- CPU

un ordonnanceur spécifique est chargé, en général, de répartir la charge sur un ou plusieurs

processeurs entre les différents serveurs virtuels.

- Mémoire

la mémoire attribuée est généralement réservée à la création de la machine virtuelle. On peut définir un
minimum et un maximum de RAM (ressource la mieux gérée).

- Stockage

mettre le bon type de ressources en fonction de l'utilisation.

- Réseau

actuellement, c'est la ressource la moins bien gérée. Il n'y a aucune limitation de bande passante
possible.

Virtualisation et le coud computing

Au coeur d'ITIL (Information Technology Infrastructure Library), on trouve l'idée que les services des
systèmes informatiques doivent être alignés sur les besoins métiers. Le cloud utilise entre autre la
virtualisation.
Internet a révolutionné l'accès à l'informatique. Le Cloud (modèle ou environnement informatique
constitués de composants informatiques : matériels, logiciels, réseaux et services, permettant de fournir
des services en nuage accessibles par internet ou par un réseau privé) révolutionne l'accès aux ressources
et aux services. La possibilité de louer des serveurs et/ou des services et d'en disposer sur une durée
même faible est formidable pour une entreprise et remet en question le fonctionnement même d'un
système informatique.

La virtualisation et le Cloud Computing sont 2 concepts différents mais ils sont complémentaires. La
délivrance de services de cloud computing utilise la virtualisation. La virtualisation est nécessaire dans le
cloud computing principalement pour l'automatisation de la mise à disposition des ressources et le suivi
des consommations. Le cloud s'appuie aussi sur la containairisation.

Le principal avantage du cloud computing est de fournir la capacité pour les clients de gérer les instances
virtuelles de manière simple, rapide et dynamique : les services devant être disponibles et utilisables
immédiatement sans faire appel à un administrateur système.

Services en nuage
Ce sont des services proposés par un cloud. Le type de services sont :

IAAS (Infrastructure_As_A_Service)

L'IAAS permet de mettre à disposition du client, une infrastructure informatique qui conviendra à tout
moment aux besoins en ressources de l'entreprise cliente.

Exemple d'utilisation d'IAAS :

- infrastructure : mise à disposition d'une architecture informatique à un client en fonction de ses

besoins.

- Virtual Data Center (VDC) : mise à disposition de serveurs virtualisées interconnectés pouvant fournir
des capacités d'hébergement.

PAAS (Plateform_As_A_Service)

Le PAAS permet aux utilisateurs de créer des applications en utilisant les outils fournis par le fournisseur
cloud. Le client ne prend que les fonctionnalités pré-configurées convenant à ses exigences.

L'infrastructure et les applications sont gérées par le fournisseur cloud. Le client n'est facturée qu'aux
service PAAS utilisés.
SAAS (Service_As_A_Service)

Le SAAS permet à des clients d'accéder à des logiciels sur Internet.

Les utilisateurs peuvent avoir accès aux applications à partir de n'importe quel appareil disposant d'une
connexion Internet : on parle de logiciel à la demande.

Dans ce système, les utilisateurs souscrivent à un abonnement pour le logiciel souhaité plutôt que de
l'acheter.

Les avantages de ce type de solutions sont entre autres :

- tout est compris : la puissance nécessaire au fonctionnement est à la charge du fournisseur cloud.

- pas de frais d'installation.

- paiement à l'utilisation.

- évolution simple à l'usage (augmentation/diminution du stockage ou du nombre de licence, ...).

- accessible de partout.

- ...

Les 5 caractéristiques essentielles d'un cloud

Libre-service à la demande

Un client peut réserver unilatéralement des capacités informatiques (temps serveurs, stockage réseau, ...)
en fonction de ses besoins et de manière automatique (sans intervention humaine).

Accès ubiquitaire au réseau

Les capacités sont disponibles au travers du réseau et l'accès se fait via des mécanismes standards pour
une utilisation sur tout type de plate-forme (smartphone, tablette, PC lourd, ...).

Mise en commun des ressources

Il faut pouvoir servir plusieurs clients;

Elasticité rapide

Cela doit permettre les modifications de manière rapide.

Service mesuré

L'usage des services doit être surveillé, contrôlé et indiqué : TRANSPARENCE.

Modèles de cloud
- cloud privé : infrastructure réservé à l'entreprise

- cloud communautaire : partage par plusieurs entreprises ayant des préoccupations communes

- cloud public : infrastructure disponible au grand public

- cloud hybride : infrastructure pour 2 clouds qui partagent uniquement les infrastructures physiques

Containerisation et virtualisation

Présentation de Docker.
Docker est un logiciel libre qui automatise le déploiement d'applications dans des conteneurs logiciels.

Docker est un outil qui peut empaqueter une application et ses dépendances dans un conteneur isolé et
qui pourra être exécuté sur n'importe quel serveur Linux. Cela permet d'étendre la flexibilité et la portabilité
d’exécution d'une application, que ce soit sur la machine locale, un cloud privé ou public.

Docker étend le format de conteneur Linux standard, LXC, avec une API de haut niveau fournissant une
solution de virtualisation qui exécute les processus de façon isolée.

Contrairement aux machines virtuelles traditionnelles, un conteneur Docker n'inclut pas de système
d'exploitation, il s'appuie sur les fonctionnalités du système d’exploitation fournies par l'infrastructure.

Une machine virtuelle « imite » un serveur ou une station de travail. Dans un système virtualisé type, chaque
VM « invitée » contient un système d'exploitation complet, avec ses pilotes, fichiers binaires ou bibliothèques,
ainsi que l'application elle-même. Chaque VM s'exécute alors sur un hyperviseur, qui s'exécute à son tour
sur un système d'exploitation hôte, qui lui-même fait fonctionner le matériel du serveur physique. On
s'aperçoit que chaque itération du système d'exploitation hôte et des fichiers binaires associés risque
d'entraîner des doublons de binaires ou de bibliothèques entre les VM ; cela gaspille la mémoire du serveur
et limite forcément le nombre de VM prises en charge par chaque serveur.

Le concept de conteneur permet aux instances virtuelles de partager un système d'exploitation hôte unique,
avec ses fichiers binaires, bibliothèques ou pilotes. Cela réduit le gaspillage de ressources.
 Comparatif virtualisation / Docker

Le rôle de l'hyperviseur est assuré par un moteur, tel que Docker, qui s'installe par-dessus le système
d'exploitation hôte.

Comme le conteneur de chaque application est libéré de la charge d'un OS, il est nettement plus petit, plus
facile à migrer ou à télécharger, plus rapide à sauvegarder ou à restaurer.

La différence en termes d'occupation peut être considérable, car un serveur donné accueillera de 10 à 100
fois plus d'instances de conteneur que d'instances d'applications sur VM.

Exemple de taille de conteneur (un système debian, une base de données, un serveur web).

La conteneurisation assure la sécurité des applications en isolant les conteneurs les uns des autres et
empêche la prolifération de logiciels malveillants entre les instances. Même si l’isolation est plus importante
entre VM qu’entre conteneurs.

Principe de fonctionnement de Docker

Lors de l’installation de Docker une carte réseau docker0 est créée, elle fait le lien entre la machine
physique et les images docker.
 Présentation des liens réseaux sous Docker.

Pourquoi des conteneurs plutôt que des VM ?

La virtualisation a un coût, notamment au niveau de l'hyperviseur et des systèmes d'exploitation invités,
qui requièrent chacun de la mémoire et de coûteuses licences. Il en résulte une augmentation de la taille
de chaque machine virtuelle, ce qui limite le nombre de VM qu'un serveur peut héberger. La
conteneurisation vise à virtualiser les applications sans trop alourdir le système.

Depuis plusieurs années déjà, des systèmes d'exploitation tels qu’OpenVZ, FreeBSD, Solaris Containers et
Linux-VServer prennent cette fonctionnalité avec LXC. Mais c'est la récente introduction de plateformes
ouvertes, telles que Docker, qui a remis en avant la conteneurisation et son potentiel en matière
d'applications distribuées évolutives.

Xen vs VMware vs Docker : tableau comparatif

Xen vSphere Docker
Type Hyperviseur Hyperviseur Container
Editeur Xen Project (Linux Foundation) VMware Docker Inc.
et Citrix
Editeur GNU GPL v2 Licence commerciale Apache 2.0
Support Citrix propose un support pour VMware Red Hat et Suse
XenServer supportent maintenant
Docker dans leurs OS
Processeurs X86, X86-64, IA-64, PowerPC, X86, X86-64 X86-64
supportés ARM, Sparc
Plateformes Linux, Windows Linux, Windows Linux, Mac, Windows
Server et Windows 10
Prix Gratuit en version open source, VMware vSphere Standard : 894€ + Gratuit + support Linux
500 € / an et par socket pour 290€/an de support en production, par l'éditeur de la
XenServer ou 1 250 € par Enterprise Plus : 3145 € + 785€/an distribution choisie.
socket en licence perpétuelle, de support en production
plus le support.
Les + Faible coût, Grand nombre de Richesse des outils de gestion, Technologie éprouvée,
plateformes disponibles, Ecosystèmes de solutions Efficacité, Support de
Support entreprise par Citrix complémentaires, Nombreuses très grands
compétences disponibles environnements
Les - Aujourd'hui dépassé par KVM Le coût des nombreux composants Compatible Linux et
intégré à Windows 2016
Avantages et inconvénients

Avantages
  Accélération des déploiements car les containers Docker sont légers.
 Les basculer d'un environnement de développement ou de test à un environnement de production
peut donc se faire facilement.
 Démarrage rapide par rapport à une VM.

Inconvénients.

 Les containers créés sur Linux, ne pourront être utilisables sur Windows.

Infrastructure et technologies Docker

Infrastructure Docker.

Image Docker Une image est un modèle en lecture seule, elles sont utilisées pour créer des
conteneurs.
Registre Docker Un registre est un lieu de stockage d’images, il en existe des publics et des
privés.
Conteneur Docker Ils sont crées à partir d’images, c’est le composant actif.
Docker Engine C’est le moteur de docker, il effectue les actions sur les conteneurs.

Technologies utilisées par Docker.

Docker est un LXC augmenté.

Le noyau de Linux 2.6.24 intègre une prise en charge fondamentale de la conteneurisation pour assurer
une virtualisation au niveau du système d'exploitation et permettre à un même hôte d'exécuter plusieurs
instances Linux isolées, baptisées LXC.

Docker ne remplacent pas les conteneurs Linux. LXC est utilisé comme base et Docker ajoute des
capacités supérieures.
Docker autorise la portabilité entre machines (qui exécutent aussi Docker). LXC seul permet la mobilité,
mais est liée à la configuration du système. Donc la déplacer sur une autre machine peut introduire des
différences susceptibles d'empêcher le conteneur LXC de l'application de s'exécuter.

Cette fonctionnalité est remplacée par Libcontainer depuis la version 0.9 de Docker.

Les cgroups.
Fonctionnalité du noyau Linux pour limiter, compter et isoler les ressources (CPU, RAM, etc.) utilisées par
un groupe de processus.

Les namespaces.
Fonctionnalité du noyau Linux qui permet l'isolation, afin de s'assurer qu'un container ne puisse pas en
affecter un autre.

Dockerfiles.
Fichier source qui contient les instructions, éléments à installer, c'est un fichier de configuration.

Hyperconvergence
définition de l'hyperconvergence :

L'hyperconvergence est une infrastructure informatique définie par logiciel qui dissocie les opérations
d'infrastructure du matériel système et les converge au niveau de l'hyperviseur dans un bloc de
construction unique.

Une solution d'hyperconvergence permet de gérer une infrastructure complexe en assurant fiabilité,
disponibilité,performance et capacité.

Dans une solution d'hyperconvergence :

 tous les composants sont dans le même boitier, ce qui permet de réaliser un maximum d'opérations
dans un minimum d'espace ;

 il est obtenu de meilleures performances du fait de la distribution des machines virtuelles dans un
système de fichiers dont la gestion et l'optimisation sont gérées par cluster ;
 les éléments serveurs, réseaux, et de stockage sont intégrés dans un même boitier permettant une
gestion simplifiée et une très grande modularité.