Définition : Hyperviseur
Un hyperviseur est une plateforme de virtualisation (un environnement d’exécution) permettant à plusieurs systèmes d’exploitation de fonctionner en parallèle sur une seule machine physique.
Typologie
On compte deux types d’hyperviseurs :
-
Type 1, dits natifs, ou bare-metal
Les hyperviseurs de type 1 s’exécutent directement sur le matériel hôte pour gérer les systèmes d’exploitation invités. En l’occurrence, KVM, Microsoft Hyper-V et VMware vSphere sont des hyperviseurs de type 1.
-
Type 2, dits hébergés
Les hyperviseurs de type 2 s’exécutent sur un système d’exploitation en tant que couche logicielle. Les ressources des machines virtuelles sont ordonnancées sur un système d’exploitation hôte. On compte parmi les solutions implémentant ce modèle : QEMU, CrosVM, VirtualBox, etc.
INFO
Il existe d’autres solutions au sein de cet écosystème de la virtualisation ; notamment les microsVMs telles que firecracker.
Usages et différenciation
Le type d’hyperviseur n’est pas seulement à considérer pour l’architecture induite, mais bien pour l’usage visé et les spécifités qui en sont inhérentes. De façon basique, on utilise des hyperviseurs hébergés sur un PC personnel, dans un cadre d’usage quotidien ou de test. À contrario, on utilise un hyperviseur bare-metal sur un serveur dédié, notamment pour de la production ou lorsque la performance est nécessaire.
| Fonctionnalité | Type 2 (Hébergé) | Type 1 (Bare-metal) | C’est quoi / Description ? |
|---|---|---|---|
| Live migration | :LiXCircle: Non | :LiCheckCircle2: Oui | Déplacer une VM en cours d’exécution vers un autre serveur physique sans coupure. |
| Haute disponibilité (HA) | :LiXCircle: Non | :LiCheckCircle2: Oui | Redémarrer automatiquement une VM sur un autre serveur si son hôte physique tombe en panne. |
| Clustering | :LiXCircle: Non | :LiCheckCircle2: Oui | Regrouper et gérer plusieurs serveurs physiques comme une seule ressource unifiée. |
| Passthrough matériel (GPU, réseau) | :LiCircleAlert: Émulé / Partiel | :LiCheckCircle2: Complet | Donner un accès direct (PCIe) à un composant physique (GPU, carte réseau) à une VM. |
| Performances & Latence | :LiCircleAlert: Moyennes | :LiCheckCircle2: Quasi-natives | Vitesse d’exécution. Le Type 2 souffre d’un “overhead” car il doit passer par l’OS hôte. |
| Sécurité & Isolation | :LiCircleAlert: Dépend de l’OS hôte | :LiCheckCircle2: Très forte | Réduction de la surface d’attaque : si l’OS hôte d’un Type 2 est compromis, les VMs le sont aussi. |
| Overprovisioning (CPU/RAM) | :LiCircleAlert: Limité | :LiCheckCircle2: Avancé | Capacité à allouer virtuellement plus de ressources aux VMs qu’il n’y en a physiquement. |
| Intégration stockage réseau | :LiXCircle: Basique | :LiCheckCircle2: Avancée | Connexion directe aux baies de stockage d’entreprise (SAN, iSCSI, Fibre Channel). |
| Cas d’usage principal | Tests, développement, labo local | Production, Datacenters, Cloud | L’environnement naturel pour lequel l’outil est conçu. |
| Exemples de logiciels | VirtualBox, VMware Workstation | VMware ESXi, Proxmox (KVM), Hyper-V | Exemples concrets des solutions sur le marché. |
Une précision sur le Passthrough GPU
Sur un Type 2, tu as souvent une accélération 3D matérielle, mais c’est le système hôte qui partage la carte graphique via des pilotes émulés. Sur un Type 1, tu fais du vrai PCIe Passthrough : la carte graphique est littéralement “détachée” du serveur physique et confiée exclusivement à la VM (très utilisé pour le Cloud Gaming ou l’IA).
gVisor
Container Security Platform Improve container security, deliver security-imperative apps, increase security productivity, and enforce compliance.
gVisor est un noyau d’application open-source développé en Go par Google. Il implémente l’API Linux afin d’isoler (sandboxer) les conteneurs, et d’agir comme un kernel indépendant. Notamment intéressant lorsqu’il s’agit d’exécuter du code non-sûr, ou lors de SaaS traitant des données sensibles ; gVisor reste malgré tout coûteux en termes d’overhead. En effet, les systèmes générant beaucoup de syscalls, d’opérations réseaux ou d’I/O disque, verront leurs performances chuter de façon significative comparativement à un conteneur classique ou une VM.
INFO
QubesOS est un système d’exploitation orienté sécurité basé sur l’hyperviseur bare-metal Xen.