Complément de cours sur la virtualisation

The Hypervisor
D'une manière générale, un hyperviseur est une couche logicielle qui alloue les ressources
matérielles d'un serveur bare-metal unique (un hôte) entre plusieurs systèmes d'exploitation
virtualisés (invités).
Cette architecture permet une utilisation beaucoup plus efficace des processeurs, de la RAM
et des lecteurs de stockage, mais présente un risque supplémentaire de «fuite» de données
entre les invités ou d'accès non autorisé à l'anneau «physique» 0 du noyau hôte).

Par conséquent, lorsque vous travaillez avec un hyperviseur, vous devez vous rappeler que
les conséquences d'une vulnérabilité affectant l'hôte sont bien plus importantes qu'elles ne
le seraient par rapport à un serveur autonome, car l'hôte a un accès complet à tous ses invités.

Vous devez également créer une sorte de mécanisme de contrôle pour empêcher
«l'étalement du serveur» - où la facilité de rotation de nouvelles machines virtuelles fait en
sorte que de plus en plus d'invités oubliés et non gérés finiront par encombrer les «couloirs
et placards» de vos machines hôtes. Chaque machine virtuelle oubliée conserve sa part de
ressources et expose davantage de failles de sécurité potentielles.

There have traditionally been two classes of hypervisor: Type-1 and Type-2.

• Les hyperviseurs Bare Metal (Type-1) sont démarrés en tant que système d'exploitation
d'une machine et parfois via une machine virtuelle privilégiée principale (VM) - gardez un
contrôle total sur le matériel hôte, en exécutant chaque OS invité en tant que processus
système. XenServer et VMWare ESXi sont des exemples modernes importants de Type-1.

Ces dernières années, le terme "hyperviseur" s'est répandu pour inclure toutes les
technologies de virtualisation d'hôte, mais il était une fois utilisé pour décrire uniquement
les systèmes de type 1.
Le terme plus général couvrant tous les types aurait été à l'origine "Moniteurs de machine
virtuelle". Dans la mesure où les gens utilisent le terme Moniteurs de machine virtuelle à
tous ces jours, je soupçonne qu'ils signifient «hyperviseur» dans toutes ses itérations.

1
Les hyperviseurs hébergés (type 2) sont eux-mêmes simplement des processus exécutés au-
dessus d'une pile de système d'exploitation normale. Les hyperviseurs de type 2 (qui
incluent VirtualBox et, à certains égards, KVM) résument les ressources du système hôte
pour les systèmes d'exploitation invités, offrant l'illusion d'un environnement matériel privé.

2
Container Virtualization
Comme nous l'avons vu, une machine virtuelle hyperviseur est un système d'exploitation
complet dont la relation avec les ressources matérielles Core Four est entièrement
virtualisée: elle pense qu'elle s'exécute sur son propre ordinateur.

Un hyperviseur installe une machine virtuelle à partir de la même image ISO que vous
téléchargez et utilisez pour installer un système d'exploitation directement sur un disque
dur physique vide.

Un conteneur (Container), d'autre part, est, en fait, une application, lancée à partir d'un
modèle de script (Template), qui pense que c'est un système d'exploitation.

Dans les technologies de conteneurs (comme LXC et Docker), les conteneurs ne sont rien de
plus que des abstractions de logiciels et de ressources (fichiers, processus, utilisateurs) qui
reposent sur le noyau hôte et une représentation des ressources matérielles des «quatre
principaux» (c.-à-d. CPU, RAM, réseau et stockage) pour tout ce qu’ils font.

Bien sûr, puisque les conteneurs sont, en fait, des extensions isolées du noyau hôte, la virtualisation de
Windows (ou même des versions Linux plus anciennes ou plus récentes exécutant des versions
incompatibles de libc) sur, disons, un hôte Ubuntu 16.04, est impossible.
Mais la technologie offre des possibilités de calcul incroyablement légères et polyvalentes.

3
Migration

Le modèle de virtualisation permet également une très large gamme d'opérations de migration, de
sauvegarde et de clonage - même à partir de systèmes en cours d'exécution (V2V). Étant donné que les
ressources logicielles qui définissent et pilotent une machine virtuelle sont si faciles à identifier, il ne
faut généralement pas trop d'efforts pour dupliquer des environnements de serveur entiers dans plusieurs
emplacements et à des fins multiples.

Parfois, ce n'est pas plus compliqué que de créer une archive d'un système de fichiers virtuel sur un
hôte, de le décompresser dans le même chemin sur un hôte différent, de vérifier les paramètres réseau
de base et de le lancer. La plupart des plates-formes proposent une seule opération en ligne de
commande pour déplacer les invités entre les hôtes. Nous en apprendrons plus à ce sujet plus tard dans
le livre.

La migration de déploiements de serveurs physiques vers des environnements virtualisés (P2V) peut
parfois être un peu plus délicate. Même la création d'une image clonée d'un simple serveur physique et
son importation dans une machine virtuelle vide peut impliquer une certaine complexité.

Et une fois cela fait, vous devrez peut-être encore apporter des ajustements considérables à la conception
pour tirer pleinement parti de toutes les fonctionnalités de la virtualisation. Selon le système
d'exploitation que vous migrez, vous devrez peut-être également incorporer des pilotes paravirtualisés
dans le processus pour permettre au système d'exploitation de fonctionner correctement dans sa
nouvelle maison. Comme pour tout le reste dans la gestion des serveurs: planifiez soigneusement à
l'avance.

Test Yourself
1. Which of the following most accurately describes a Type-1 hypervisor?
a) A software layer running distinct VM processes.
b) A software stack with direct control over the host hardware.
c) A kernel hypervisor with no need for a host OS at all.
d) A virtual machine (VM).
2. Which of the following is an example of a Type2 hypervisor?
a) LynxSecure
b) Xen
c) KVM
d) VMWare ESXi
3. Which VMs are more likely to be aware of the physical hardware resources on
their hosts?
a) Paravirtual (PV)
b) Hardware Virtual Machines (HVM)
c) LXC
d) Docker

4
4. How would you most accurately characterize a cloud service offering full
access to the operating systems of virtual machines?
a) IaaS
b) PaaS
c) Saas
d) Hypervisors
5. Which of the following CPU flags is particularly important for virtualization
considerations?
a) lm
b) aes
c) svm
d) apicid

KVM

What is KVM?

Comme Xen, KVM (Kernel-based Virtual Machine) est une technologie d'hyperviseur open source
pour virtualiser l'infrastructure de calcul fonctionnant sur du matériel compatible x86.

Un hôte KVM fonctionne en fait sur le noyau Linux avec deux modules du noyau KVM (le module
kvm.ko et soit kvm-intel.ko ou kvm-amd.ko).

Grâce à son intégration étroite du noyau - y compris la connectivité des E / S avec le bloc du noyau et
les pilotes réseau fournis par Virtio - KVM peuvent offrir à ses clients un accès plus transparent à tous
les profils matériels et réseau complexes qu'ils peuvent rencontrer.

Les extensions de virtualisation matérielle intégrées dans les conceptions de CPU modernes et requises
pour les déploiements KVM signifient que, dès la sortie de l'emballage, les invités KVM peuvent
accéder en toute sécurité uniquement aux ressources matérielles dont ils ont besoin sans avoir à se
soucier des fuites vers le système plus large.

Où se situe exactement QEMU dans tout cela?

En plus de pouvoir agir en tant qu'hyperviseur, la force de QEMU est en tant qu'émulateur. KVM, dans
son rôle de virtualisation d'hyperviseur, peut exploiter les pouvoirs d'émulation de QEMU pour
compléter ses propres fonctionnalités d'accélération matérielle, offrant à ses invités un chipset émulé et
un bus PCI.

5
Test Yourself
1. Which of these statements is most correct?
a) QEMU is an emulator that allows PV VMs while KVM's strength is hardware
acceleration
b) QEMU is an emulator that allows HVM VMs while KVM's strength is
hardware acceleration
c) KVM allows both PV and HVM VMs, while QEMU allows only HVM
d) The two cannot be used together
2. What does the -M flag point to when used with kvm?
a) Machine type
b) Maximum memory
c) Minimum memory
d) Media source drive