La solution Veeam Data Platform prend désormais en charge la sauvegarde et la restauration des machines virtuelles exécutées sur l’hyperviseur Linux KVM d’Oracle. Ce type de nouveautés pourrait inciter certains clients attachés à quitter VMware ! Faisons le point sur cette annonce.
Avec la prise en charge de l'hyperviseur Oracle Linux KVM et des environnements managés avec oVirt, Veeam continue d'étoffer la liste de plateformes de virtualisation et de Cloud prises en charge par sa solution Veeam Data Platform. Parmi les nombreuses plateformes prises en charge, nous avons : VMware vSphere, VMware Cloud Director, VMware Cloud on AWS, VMware Cloud on AWS Outposts, VMware Cloud on Dell Microsoft Hyper-V, Microsoft Azure Stack HCI, Microsoft Azure VMware Solution, Amazon AWS Nutanix AHV, Red Hat Virtualization, Google Cloud, Google Cloud VMware Engine, Oracle Cloud VMware Solution et IBM Cloud, et désormais Oracle Linux KVM.
Même si Veeam n'en parle de pas dans son communiqué de presse, cette nouveauté pourrait être un signe de la prise en charge imminente d'autres hyperviseurs tels que Proxmox et XCP-ng, qui sont deux alternatives à VMware ESXi. En janvier dernier, Veeam avait d'ailleurs laissé entendre que des travaux était en cours pour ajouter la prise en charge de Proxmox.
La volonté de Veeam est d'offrir de la liberté aux entreprises afin de prendre en charge toutes les plateformes et les systèmes qu'ils utilisent. « Avec la prise en charge d’Oracle Linux Virtualization Manager, nous offrons aux entreprises une liberté de choix sans équivalent sur le marché de la virtualisation en leur permettant notamment de sélectionner et de migrer vers les plateformes qui répondent le mieux à leurs besoins, tout en maintenant une gestion, une sécurité et une protection transparente des données. »
Désormais, les utilisateurs d'Oracle Linux KVM peuvent sauvegarder leur environnement et bénéficier de la restauration complète ou granulaire de leurs machines virtuelles, ainsi que la gestion sécurisée et conforme du cycle de vie des sauvegardes. L'occasion de rappeler la possibilité de créer des sauvegardes immuables pour lutter contre certaines menaces, dont les ransomwares.
VMware by Broadcom a publié des mises à jour de sécurité pour ses hyperviseurs VMware ESXi, Workstation et Fusion. L'objectif : corriger plusieurs vulnérabilités pouvant permettre d'accéder à l'hôte physique à partir d'une VM. Faisons le point.
Un nouveau bulletin de sécurité a été publié sur le site de VMware. Il fait référence à quatre failles de sécurité : CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255, présentes dans VMware ESXi, VMware Workstation Pro / Player, VMware Fusion Pro / Fusion et VMware Cloud Foundation.
Les failles CVE-2024-22252 et CVE-2024-22253 permettent à un attaquant, avec des droits administrateurs sur une machine virtuelle, de pouvoir exécuter du code sur l'hôte physique, c'est-à-dire sur l'hyperviseur, en agissant au nom du processus VMX. Il s'agit de faiblesses de type "Use-after free" présentes dans les contrôleurs XHCI et UHCI USB.
Par ailleurs, la faille CVE-2024-22254 présente dans VMware ESXi permet à un attaquant ayant les privilèges du processus VMX d'écrire en dehors de la région mémoire prédéterminée (donc en dehors des limites). Résultat, il peut s'échapper de la sandbox. Enfin, la vulnérabilité CVE-2024-22255 permet à un attaquant de déclencher une fuite des données en mémoire du processus VMX.
Les versions affectées
Le tableau ci-dessous, issu du site de l'éditeur, montre que VMware ESXi 7.0 et 8.0 sont dans la liste des produits affectés par ces vulnérabilités. En regardant plus attentivement le bulletin de sécurité, nous pouvons constater que ces failles affectent aussi les versions plus anciennes de VMware ESXi. VMware a fait l'effort de proposer des correctifs pour toutes les versions car ces vulnérabilités sont critiques.
Comment se protéger ?
La meilleure solution de se protéger, c'est d'installer le nouveau patch de sécurité mis en ligne par VMware pour chaque produit que vous utilisez. Voici un récapitulatif des versions à installer pour VMware ESXi :
Si vous ne pouvez pas installer la mise à jour dans l'immédiat, sachez qu'il y a une solution d'atténuation qui consiste à retirer le contrôleur USB des VM. Attention, ceci peut avoir un impact et doit être fait en ayant conscience que ceci empêche l'utilisation des ports USB virtuels de la VM. Ainsi, il n'est plus possible de connecter une clé USB, par exemple.
Suite à son rachat par Broadcom, VMware a subi de nombreux changements qui sont impactants pour les clients, les utilisateurs et les distributeurs des solutions VMware. Dernière annonce en date : la fin de la version gratuite de VMware ESXi Free, pourtant très répandue. En effet, elle pouvait être utilisée pour évaluer la solution sans limite de temps, bénéficier d'un environnement de test, déployer un serveur dédié dans le Cloud ou encore en production par certaines petites et moyennes entreprises.
Désormais, si vous utilisez VMware ESXi Free, vous avez deux options : passer sur une version payante de VMware ESXi ou se tourner vers une alternative. Dans cet article, nous allons évoquer ces fameuses alternatives (y compris certaines payantes), sans faire la promotion d'une solution plus qu'une autre. Libre à vous de les évaluer, même si nous essaierons de publier du contenu sur ces solutions dans les semaines et mois à venir...
II. Les alternatives à VMware ESXi
A. Hyper-V
Hyper-V, c'est le nom de l'hyperviseur de Microsoft, disponible à la fois sur Windows Server et Windows (notamment sur Windows 10 et Windows 11), mais également en tant qu'Hyper-V Server, une version autonome, mais en fin de vie.
Le rôle Hyper-V est gratuit, cependant il a un impact sur le coût de la licence Windows Server. En effet, vous devez disposer d'une licence valide pour le système d'exploitation, mais en plus, votre licence Windows Server doit tenir compte du nombre de machines virtuelles que vous comptez déployer (une seule licence Windows Server Standard autorise 2 VM).
Hyper-V est une solution mature, avec de nombreuses fonctionnalités, et il est capable de faire tourner des machines sous Windows ou Linux. La gestion des machines virtuelles s'effectue avec la console Hyper-V, qui est une sorte de client lourd, mais aussi via Windows Admin Center et PowerShell. Lorsqu'un cluster Hyper-V est déployé, une seconde console dédiée est accessible à l'administrateur système.
Ces derniers temps, nous entendons beaucoup parler de Proxmox VE car cette solution pourrait profiter de la situation actuelle pour récupérer quelques utilisateurs de VMware. Lancée en 2008, Proxmox VE (Virtual Environment) est une plateforme de virtualisation open source adaptée pour la production et les entreprises. Elle prend en charge la création et la gestion de machines virtuelles, mais aussi de conteneurs.
Proxmox VE est basé sur un noyau Linux et cette solution intègre deux technologies : KVM (Kernel-based Virtual Machine - En soit, c'est aussi une alternative) pour les machines virtuelles et LXC (Linux Containers) pour les conteneurs. La gestion s'effectue en ligne de commande ou à partir d'une interface web. En plus de ses fonctionnalités de virtualisation, Proxmox VE intègre également des fonctionnalités avancées telles que le clustering et la réplication.
Proxmox VE est largement utilisé dans le monde entier et bénéficie d'une communauté importante et active qui contribue à son développement. Aujourd'hui, c'est une solution de virtualisation à considérer au moment de faire son choix !
Né en 2018, le projet XCP-ng est une plateforme de virtualisation open source basée sur XenServer. Au même titre que VMware ESXi, c'est un hyperviseur capable de gérer et de déployer des machines virtuelles. Cette solution a été créée en réponse aux limitations et aux restrictions de Citrix XenServer, notamment en ce qui concerne certaines fonctionnalités "premium". En tant que projet open source, XCP-ng bénéficie des contributions de développeurs du monde entier et d'une communauté grandissante.
L'administration de XCP-ng s'effectue au travers d'une application cliente (un client lourd), tout en étant compatible avec Xen Orchestra, une interface web intuitive pour administrer votre infrastructure de virtualisation. Au-delà d'être une alternative à VMware ESXi, XCP-ng est devenue une sérieuse alternative à une autre solution open source : Proxmox VE.
Dans le catalogue de solutions de chez Nutanix, la véritable alternative à VMware ESXi s'appelle Nutanix AHV, un hyperviseur destiné aux entreprises. Bien que ce soit une réelle alternative à ce que propose VMware, c'est une solution payante, donc ce n'est pas forcément ce que vous allez rechercher dans le cas présent.
Nutanix propose bien une solution gratuite et communautaire nommée Nutanix Community Edition. Toutefois, il s'agit d'une solution d'hyperconvergence (HCI) proposée par Nutanix, le leader sur ce marché. Même si elle est très intéressante, elle ne sera pas adaptée à toutes les situations.
VergeIO se présente comme L'ALTERNATIVE à VMware, et c'est précisé dès que l'on arrive sur la page d'accueil du site officiel : "Quittez VMware dès maintenant : 50 % moins cher - Meilleures performances - Migration transparente".
VergeIO est une plateforme de virtualisation et d'infrastructure hyperconvergée qui vise à simplifier la gestion des centres de données et à réduire les coûts. Elle se présente sous la forme d'une solution tout-en-un qui combine les ressources de calcul, de stockage, de réseau et de virtualisation dans une seule plateforme. Il s'agit d'une solution propriétaire et payante, que vous pouvez essayer pendant 90 jours.
Terminons par oVirt, une solution open source basée sur l'hyperviseur KVM au même titre que Proxmox. En complément, oVirt s'appuie aussi sur plusieurs autres projets communautaires, notamment libvirt, Gluster, PatternFly et Ansible.
L'interface web d'administration d'oVirt permet de gérer les machines virtuelles, mais également le stockage et le réseau virtuel. Cet hyperviseur prend en charge nativement des fonctionnalités avancées intéressantes : la migration en live des machines virtuelles et des disques entre les hôtes et le stockage, ainsi que la haute disponibilité entre plusieurs hyperviseurs.
Voilà, vous connaissez les noms des principales solutions qui peuvent prendre la place de VMware ESXi Free, même si vous pouvez aussi prendre la décision de rester sur VMware ESXi, en passant sur l'offre payante. Soyons honnête : c'est probablement le choix que feront certaines entreprises, mais sachez que des alternatives existent.
Si vous souhaitez donner votre avis sur une ou plusieurs de ces solutions, n'hésitez pas à commenter cet article. Si vous connaissez d'autres solutions viables pour remplacer VMware ESXi Free, c'est pareil, n'hésitez pas à partager l'information avec un commentaire.
J'aime pouvoir démarrer mes machines à distance par Internet, particulièrement Proxmox car c'est sur cette machine que je fais mes tests, maquettes, etc.
Voyons comment activer le Wake on LAN dans Proxmox (ou Wake on WAN). J'ai suivi quelques tutos qui ne fonctionnaient pas / plus, voici donc ma contribution.
Pré-requis
Au moment ou j'écris ce post Proxmox s'appuie sur Debian, cela ne s'adresse donc pas uniquement à Proxmox.
Vous devez avoir un routeur / box capable de laisser passer les trames WOL (wake on lan). C'est possible avec FreshTomato, Freebox, etc. Je vous laisse vérifier cette possibilité avant tout, sans elle inutile d'aller plus loin.
Si vous ne pouvez pas relayer un paquet depuis internet, alors vous pourrez peut-être vous connecter en SSH sur une machine afin d'y installer etherwake :
etherwake 11:22:33:44:55:66
11:22:33:44:55:66 étant l'adresse mac de la machine cible.
1. Activer l'option dans le BIOS
Pour pouvoir démarrer votre machine Proxmox par le réseau il est nécessaire d'activer l'option de réveil PCI-E dans le BIOS/UEFI :
En effet la carte réseau est vu comme un périphérique PCI Express.
Le nom et l'emplacement de l'option dépend de votre carte mère et chipset.
Sur ma carte ASUS AM5 (Ryzen 7700x) il faut aller dans :
Advanced > APM Configuration > Power On by PCI-E / PCI
Consultez le manuel de votre carte mère si besoin, cette option est présente depuis longtemps dans la plupart des machines.
2. Activer l'option dans Proxmox
Pour que Promox puisse démarrer tout seul il est nécessaire que la carte réseau reste en veille profonde lorsque vous éteindrez la machine. L'option du BIOS est un pré-requis non suffisant, il est impératif de configurer également la carte réseau.
D'abord installer le paquet ethtool :
# apt install ethtool
Ajouter 2 lignes à la fin du fichier /etc/network/interfaces :
post-up /usr/sbin/ethtool -s enp3s0 wol g
post-down /usr/sbin/ethtool -s enp3s0 wol g
Ce qui donne :
enp3s0 correspond à ma carte ethernet d'administration de Proxmox, ce nom peut varier (à adapter en conséquence).
Ces 2 lignes vont basculer la carte dans un mode de veille profonde à l'arrêt de la machine. La carte réseau sera en capacité de répondre aux paquets magiques et de démarrer l'ordinateur quand le paquet magique contient son adresse mac. Cela fonctionnera également si vous coupez le réseau (ifdown) grâce à post-down.
3. Testons
Pour la prise en compte du fichier de configuration modifié :
relancez le service réseau (systemctl restart networking)
ou faites un reboot
puis éteignez votre Proxmox comme vous le faites habituellement par l'interface web ou en SSH.
Pour vérifier que ça fonctionne lancez un paquet magique : tadaaaa ! Proxmox doit démarrer tout seul
En cas de problème
Si la machine ne démarrer pas, vérifiez votre fichier de configuration /etc/network/interfaces. La carte réseau doit avoir un témoin lumineux qui témoigne qu'elle est en veille et toujours sous tension quand Proxmox est éteint.
Pour vérifier que votre carte est en mode "wake on lan" vous devez avoir la lettre "g" après "Wake-on" (cf documentation) :
ethtool enp3s0 | grep -i wake
Supports Wake-on: pumbg
Wake-on: g
Si le paquet magique ne fonctionne par via internet essayez d'abord depuis votre réseau local (sous Android j'utilise l'application wake on lan).
Si cela fonctionne en local mais pas depuis internet vérifiez le port utilisé (7 ou 9 en général) ainsi que le flux / option Wake On LAN activée.
Un paquet magique arrive en broadcast donc vous pouvez faire une capture de trame pour vérifier qu'il arrive bien dans votre réseau local.
Connexion
