La grande conférence annuelle de VMware s’est tenue la semaine dernière dans un format 100% en ligne et virtuel, pandémie de Covid-19 oblige. L’occasion pour VMware de poursuivre l’exécution de sa stratégie globale basée sur Pivotal, Tanzu, Kubernetes et le multicloud et de proposer de nouvelles solutions de sécurité pour mieux télétravailler dans « un monde imprévisible ».

Hybride, Sécurité, Multicloud, SASE, et VDI sont les mots-clés à retenir de ce VMWorld 2020 100% virtualisé qui fut l’occasion pour VMware d’ajuster à « un monde imprévisible » sa stratégie « Build – Run – Manage – Connect – Protect » introduite il y a 18 mois. Stratégie qui a mené au rachat de Pivotal (pour compléter l’aspect « Build ») et de Black Carbon (pour renforcer la thématique « Protect »). Et le moins que l’on puisse reconnaître, c’est que l’entreprise n’a pas chômé et a rapidement progressé dans l’exécution de cette stratégie. Le « Project Pacific » s’est concrétisé par vSphere 7 et l’intégration de Kubernetes au cœur même de la plateforme pour permettre aux entreprises de gérer avec les mêmes outils et la même facilité VMs et Containers. « Project Tanzu » s’est concrétisé par un vaste portfolio de solutions visant à unifier Pivoltal et VMware Cloud Fondation dans une chaîne d’outils hybride et multicloud.

Cette capacité à concrétiser rapidement les promesses faites l’an dernier permet aussi à VMware de lancer de nouvelles initiatives et de relancer l’innovation dans les fondations de sa plateforme d’infrastructure…

Voici ce que les DSI doivent retenir de cette édition 2020…

La modernisation des applications avec Tanzu

De modernisation des applications, il en a beaucoup été question sur ce VMWorld alors que la crise pandémique accélère la transformation numérique des entreprises et encourage à adapter ses processus et ses applications à une nouvelle normalité, à un monde nouveau, que VMware qualifie d’ « imprévisible ».

VMware en est convaincu, cette modernisation des applications passe par les Containers et par Kubernetes… Ou plutôt l’invisibilité de Kubernetes. Toute la stratégie de VMware consiste à faire de Kubernetes une couche plus invisible encore que ESXi (la couche hyperviseur). Ce n’est après tout que de la plomberie. L’idée est que les entreprises ne devraient pas avoir à disposer de, ou investir dans, la moindre compétence technique en interne sur une couche aussi basse et aussi complexe. De même que les entreprises ne se soucient que de leurs VMs, elles ne se soucieront plus à l’avenir que de leurs containers. Mais pour VMware, Kubernetes est une arme clé pour concrétiser sa vision « N’importe quelle App dans n’importe quelle Cloud ».

D’où l’intérêt porté par VMware à la façon dont ces derniers sont créés. Ce qui a mené à la création des briques Tanzu Spring Boot (le framework de développement de microservices en Java issu de Pivotal), Tanzu Application Catalog (marketplace de containers vérifiés prêts à l’emploi, issu de Bitnami), et Tanzu Application Service (la plateforme de création et d’exécution d’applications cloud native plus connue sous le nom de Pivotal Cloud Foundry).

Toutes ces briques cherchent à accélérer le développement d’applications « cloud native » reposant sur des containers en offrant un cadre cohérent et homogène. Des briques qui produisent des containers et qui ne sont attachées à aucun cloud en particulier, qu’il soit privé, public ou hybride.

À retenir : Avec Tanzu, VMware veut accentuer sa présence au-dessus des couches d’infrastructure et fluidifier les workflows de création de VMs et surtout de Containers avant leur déploiement sur l’infrastructure.

 

Une infrastructure multicloud via Tanzu et VMware Cloud Foundation

VMware Tanzu est une hydre à plusieurs têtes, un portfolio de solutions qui s’étend sur les 5 axes « Build, Run, Manage, Connect, Protect ». Ce qui rend la compréhension de l’offre complexe.
Son rôle est stratégique puisque grâce à Tanzu, VMware veut s’infiltrer partout où il y a et il y aura du Kubernetes, autrement dit vraiment partout.

Outre les briques évoquées ci-dessus, le cœur de l’offre Tanzu repose sur trois piliers : Tanzu Kubernetes Grid (TKG), Tanzu Mission Control (TMS) et Tanzu Observability (TOW, fruit du rachat de Wavefront en 2017).

TMS et TOW ont une nature véritablement multicloud.

TMS permet une gestion centralisée de tous vos clusters Kubernetes en offrant un portail de Self-Services aux développeurs pour déployer leurs containers où ils le veulent et un cadre de sécurité uniforme que les clusters Kubernetes soient hébergés sur VMware Cloud Foundation (en interne ou sur VMware on AWS/Azure/GCP/Oracle/IBM/OVHCloud) ou directement sur des clouds d’hyperscalers (EKS, AKS, …).

Un peu à la manière d’un Prometheus, mais en version plus graphique, complète et managée, TOW est une solution APM (Application Performance Monitoring) en mode SaaS pour suivre, contrôler et gérer la performance des applications en micro-services déployées à travers les clouds (particulièrement s’ils sont hybrides et multiples).

Autrement dit TMS et TOW, même s’ils prennent en charge « vSphere with Tanzu » et « VMware Cloud Foundation », ne sont pas restreints aux implémentations Kubernetes signées VMware.

TKG est lui différent. Un peu à la manière de Nutanix Karbon, Tanzu Kubernetes Grid est l’implémentation « maison » de Kubernetes par VMware optimisée pour vSphere et VCF (VMware Cloud Foundation). Il peut être perçu comme un concurrent direct d’OpenShift, Rancher, Stackpoint ou HPE Ezmeral. TKG doit reposer sur une infrastructure VMware mais, comme l’a annoncé VMware lors de VMWorld, il peut être déjà déployé sur « VMware on AWS » et très prochainement sur « VMware Azure Solution » et « VMware Oracle Cloud Solution ». Ce qui permet de conserver exactement la même cohérence d’API, de services, et de profils de sécurité entre le cloud interne et des ressources louées sur un hyperscaler.

Signalons qu’il existe une autre brique clé dans le portfolio Tanzu : Tanzu Service Mesh (TSM). Similaire à ISTIO, TSM permet de gérer l’interconnexion et les interactions des micro-services autrement dit le maillage de services, avec gestion des dépendances, du cycle de vie, etc. TSM s’appuie sur VMware NSX et peut être perçue comme une extension orientée micro-services de ce dernier.

Au-delà de la multiplicité des briques, Tanzu vient s’injecter un peu dans toutes les briques de VMware (vSphere, vSAN, NSX, VxRail) rajoutant une certaine complexité à la compréhension de l’offre. On peut résumer Tanzu à l’implémentation et la gestion de Kubernetes au travers des 5 piliers « Build – Run – Manage – Connect – Protect ».

VMware ne commercialise pas les briques Tanzu séparément. Elle les package en plusieurs éditions (seules les deux premières sont disponibles) : Tanzu Basic, Tanzu Standard, Tanzu Advanced et Tanzu Enterprise. Tanzu Basic est une offre pour les entreprises qui souhaitent simplement implémenter Kubernetes sur leur infrastructure interne. Tanzu Standard s’inscrit en revanche dans une approche plus hybride.

À retenir : VMware commence à assembler son portefeuille Tanzu de solutions multicloud au-dessus de Kubernetes en différentes offres comprenant toute ou partie des solutions Tanzu recalibrées pour des scénarios spécifiques. Tanzu Basic se limite au besoin de base sur vSphere 7 (avec TKS et TMC) et veut permettre aux entreprises d’implémenter une infrastructure Kubernetes en moins d’une heure. Tanzu Standard vise des besoins plus élaborés et hybrides. Les versions Advanced et Enterprise apparaîtront en 2021.

Puisque nous parlons de multicloud, nous avons profité de VMWorld 2020, pour demander à Pat Gelsinger ce qu’il pensait du métacloud européen Gaia-X et s’il voyait ça comme une éventuelle menace ou une opportunité pour VMware. La réponse est plus proche de la seconde hypothèse : « Les objectifs de Gaia-X sont finalement alignés avec la vision de VMware et notre proposition de valeur qui contribue à la souveraineté numérique. Nombre de nos partenaires font d’ailleurs partie des membres fondateurs de Gaia-X. Nous suivons le développement du métacloud européen avec intérêt et nous avons postulé à en devenir membre ».

 

Améliorer les fondations pour des Workloads de plus en plus exigeants

À l’occasion de VMWorld 2020, VMware a introduit « vSphere 7 Update 1 ». Outre le support de TKG, cette version introduit le support des « Monster VM », des machines virtuelles qui peuvent désormais intégrer jusqu’à 768 vCPU et jusqu’à 24 To de RAM !
Ces VMs sont destinées à des Workloads ultra-gourmands comme SAP HANA mais aussi les traitements d’entraînement d’IA massive.

Car force est de constater que parallèlement aux mouvements de modernisation des applications par micro-services, on assiste également à une explosion des demandes de traitements HPC principalement portées par les besoins en Intelligence Artificielle.

Et VMware réfléchit désormais à un moyen de déstructurer l’infrastructure virtualisée pour éviter qu’il ne se crée des silos entre les applications parce que certaines ont besoin de CPU, d’autres de GPU, d’autres de FPGA et d’autres de DPU (Data Processing Unit, le processeur qui anime la nouvelle génération de cartes réseau SmartNIC). L’idée est de permettre aux applications d’allouer des vCPU, des vGPU, des vFPGA et des vDPU en fonction de leurs besoins en considérant que les vGPU ou les vFGPA réclamés ne seront pas nécessairement physiquement présents sur le serveur qui anime la VM (ou le container) mais sur d’autres machines du cluster.

Pour y arriver, VMware a lancé une profonde réécriture de ESXi dénommée « Project Monterey ». L’an dernier « Project Pacific » était présenté comme la mise à jour la plus importante de vSphere depuis une décennie, parce qu’elle permettait de rendre Kubernetes transparent et d’insuffler une véritable modernisation des applications au sein de l’entreprise.

« Project Monterey » est sans doute la plus importante mise à jour de la couche d’hypervision (ESXi) de vSphere depuis une décennie. La première phase du projet consiste à implémenter un support natif des SmartNIC afin de décharger les CPU du serveur des tâches de gestion des I/Os et de sécurisation des flux. Autrement dit, toutes les couches ESXi qui gèrent les entrées/sorties des VMs et de vSAN et celles qui gèrent les tâches de gestion de virtualisation des réseaux, de routage, de filtrage et de contrôle des flux réseau ne seraient plus exécutées sur les CPU des serveurs mais sur les DPU au cœur de leurs cartes réseau (SmartNIC). Un moyen d’optimiser les transferts tout en libérant les CPU pour qu’ils puissent s’adonner à des tâches propres aux workloads (et non à ESXi). VMware estime que Project Monterey pourrait ainsi libérer jusqu’à 30% de puissance de calcul sur des serveurs multi-sockets.
Par ailleurs, Project Monterey permettra désormais d’intégrer dans vSphere la gestion des machines « bare metal » sous Linux et Windows en plus des machines virtualisées sous ESXi.

Le projet ne pourra cependant pas se concrétiser sans des partenariats forts avec les fabricants de SmartNIC (NVidia qui a racheté Mellanox, Pensando, Intel) et les fabricants de serveurs (Dell, Lenovo, HPE).

Par ailleurs, et toujours dans cette idée de permettre à de larges projets IA de se déployer plus facilement sur l’infrastructure, VMware et NVidia ont signé un partenariat autour de NVidia GPU Cloud (NGC) et de son intégration sans vSphere, VCF, et Tanzu. Pat Gelsinger, PDG de VMware explique que l’objectif de ce partenariat avec NVIDIA « est d’apporter l’IA à chaque entreprise et de permettre une véritable démocratisation de l’une des technologies les plus puissantes.  Nous collaborons à la définition d’une nouvelle architecture pour le cloud hybride, un objectif conçu pour répondre aux besoins et aux exigences de la prochaine génération d’applications ».

À retenir : VMware veut démocratiser les applications de Machine Learning dans toutes les entreprises. L’entreprise veut repenser son hyperviseur pour en faire le socle d’architectures réparties exploitant machines virtuelles et machines bare-metal, redistribuant les allocations de vCPU et vGPU à travers cette architecture. Dénommée Project Monterey, la première phase de cette réinvention d’ESXi et de vSphere cherche à décharger les CPUs des tâches de routage, de filtrage, de firewall, et d’I/O de l’hyperviseur pour les déporter sur les SmartNIC.

La sécurité, nouveau Business phare de VMware.

La cybersécurité est désormais un marché à plus d’un milliard de dollars par an pour VMware. « La sécurité intrinsèque est architecturée dans tout ce que nous faisons » explique Pat Gelsinger.
Plusieurs annonces viennent illustrer ce propos.

VMware a ainsi lancé « VMware Carbon Black Cloud Workload », une nouvelle couche de sécurité au cœur de vSphere pour sécuriser les workloads virtuels sans ajouter d’agents. Permettant automatiquement de diminuer la surface d’attaque, de détecter des comportements anormaux et de bloquer l’exploitation de vulnérabilités connues, cette nouvelle fonctionnalité sera offerte gratuitement pendant 6 mois à tous les clients vSphere.

Toujours en matière de cybersécurité, VMware lance sa propre plateforme SASE (Secure Access Service Edge), un concept inventé par Gartner pour décrire les plateformes SD-Wan intégrant une sécurité managée via le cloud qui combine une passerelle web sécurisée, un CASB (Cloud Access Service Broker) pour l’accès au cloud, des fonctions de pare-feu as-a-service et du zero-trust. VMware a pris la définition du Gartner et l’applique à la lettre : VMware Secure Access assemble, au-dessus de VMware SD-WAN by Velocloud, le Firewall niveau 7 de VMware NSX, la Web Gateway de Zscaler, le CASB de Menlo, et la sécurisation « Zero Trust » des utilisateurs et de leurs terminaux via Workspace One.

 

Des solutions pour un monde imprévisible

Surfant sur la crise pandémique et les besoins en matière de télétravail, VMware a lancé deux nouvelles offres pour aider les entreprises à sécuriser le travail à distance :
VMware Workspace Security Remote regroupe des fonctionnalités UEM (Unified Enterprise Mobility), la sécurité des endpoints (avec Carbon Black) et les outils d’administration et de support IT à distance.
VMware Workspace Security VDI regroupe la solution VDI « VMware Horizon 8 » et la solution de sécurité « VMware Carbon Black Cloud » qui permet notamment la sécurisation des accès.

À ces solutions s’ajoute une autre offre spécialement imaginée pour ce monde imprévisible que nous décrit VMware : VMware Cloud Disaster Recovery. Directement issue du rachat de Datrium en début d’année, cette offre DRaaS propose de protéger vos workloads vSphere directement dans VMware Cloud on AWS (en attendant un support sur les autres hyperscalers) avec un système de licence « Pay-When-You-Need-Failover ».

Au final, ce VMWorld 2020 s’est révélé extrêmement riche. La crise pandémique et le confinement des équipes n’ont pas vraiment affecté la feuille de route de l’éditeur qui continue d’innover tout en proposant une plateforme de plus en plus aboutie pour héberger toutes vos applications dans n’importe quel cloud.