Contexte et besoins
Cet atelier fait partie de mon TP de virtualisation à ScholaNova. La consigne donnée par le formateur tient en une phrase : créer une machine virtuelle Debian 12 sur l’hyperviseur VMware ESXi de la salle, depuis le Host Client web, et la rendre fonctionnelle (réseau, outils invités, accès SSH).
Au-delà du « comment cliquer dans l’interface », l’objectif pédagogique est de comprendre le rôle d’un hyperviseur de type 1 dans une infrastructure : comment on découpe les ressources d’un serveur physique en plusieurs VM isolées, comment on choisit un datastore et un format de disque, et pourquoi on installe open-vm-tools côté invité. C’est la première brique du bloc Administration des systèmes et des réseaux du référentiel BTS SIO SISR.
Rappel théorique sur ESXi
VMware ESXi est un hyperviseur de type 1, dit bare metal : il s’installe directement sur le serveur physique, sans système d’exploitation hôte en dessous. Il pilote lui-même le CPU, la RAM, les disques et les cartes réseau, puis distribue ces ressources aux machines virtuelles invitées.
À l’inverse, un hyperviseur de type 2 (VirtualBox, VMware Workstation) tourne comme une application au-dessus d’un OS classique. Pratique pour un poste de travail, mais coûteux en performances : chaque accès au matériel doit traverser l’OS hôte. ESXi, lui, vise les serveurs de production.
L’administration d’un hôte ESXi unique passe par le VMware Host Client, l’interface web livrée nativement avec ESXi 8 (pas de client lourd à installer). Pour piloter plusieurs hôtes en parallèle, on déploie en plus un vCenter Server, ce qui dépasse le cadre de ce TP.
Stockage : thin vs thick provisioning
Quand on crée le disque de la VM, ESXi propose trois formats :
| Format | Espace réservé sur le datastore | Avantage | Inconvénient |
|---|---|---|---|
| Thin Provision | Alloué au fur et à mesure des écritures | Économise de la place. | Risque de saturer le datastore si on ne surveille pas. |
| Thick Provision Lazy Zeroed | Réservé immédiatement, mis à zéro au premier accès | Compromis simple. | Performances un peu plus faibles au premier accès. |
| Thick Provision Eager Zeroed | Réservé et mis à zéro à la création | Performance constante (utile pour les bases de données et le clustering). | Création longue, espace bloqué tout de suite. |
Pour un serveur de test, thin provisioning suffit largement. C’est ce que je retiens pour ce TP.
Topologie de laboratoire
Le poste d’administration vit sur le réseau Wi-Fi de la salle, le serveur ESXi sur un sous-réseau filaire dédié à l’infrastructure. Le routeur Wi-Fi assure le passage entre les deux.
| Équipement | Rôle | Réseau | Adresse | Masque |
|---|---|---|---|---|
| Poste d’administration | Navigateur Host Client | Wi-Fi | DHCP (172.29.1.0/24) | /24 |
| Routeur Wi-Fi | Passerelle Wi-Fi ↔ infra | Wi-Fi + infra | 172.29.1.254 / 192.168.1.254 | /24 |
| Switch L2 | Commutation côté infra | Infra | — | — |
| Serveur ESXi (vmnic0) | Hyperviseur | Infra | 192.168.1.100 | /24 |
| VM Debian (ens192) | Service à livrer | Infra | 192.168.1.232 | /24 |
Prérequis
- Un serveur compatible ESXi 8 (CPU 64 bits avec virtualisation matérielle Intel VT-x / AMD-V activée dans le BIOS).
- ESXi 8.0 déjà installé sur l’hôte par le formateur, avec une licence d’évaluation 60 jours.
- Une image ISO de Debian 12 déposée dans le datastore local
datastore1. - Un poste d’administration avec un navigateur récent (Firefox ou Chrome) sur le réseau Wi-Fi de la salle.
- Mes identifiants
root/ mot de passe sur l’hôte.
Important
En production, on n’utilise jamais le compte root au quotidien. Pour ce TP, c’est toléré, mais il faudra créer un compte d’administration nommé et activer l’authentification par AD avant tout passage en service.
Connexion au Host Client
J’ouvre Firefox sur le poste d’administration et je tape l’URL de l’hôte :
https://192.168.1.100/uiLe navigateur affiche un avertissement de certificat : ESXi est livré avec un certificat auto-signé. Je l’accepte pour la durée du TP, en gardant en tête qu’en production, il faut le remplacer par un certificat signé par l’AC interne.
Je me connecte avec root et le mot de passe défini lors de l’installation. La page d’accueil affiche :
- l’inventaire à gauche (Hôte, Machines virtuelles, Stockage, Mise en réseau) ;
- les caractéristiques matérielles au centre (CPU, mémoire, état de santé) ;
- le résumé des ressources consommées en bas.
Création de la VM
Dans le menu de gauche, je clique sur Machines virtuelles puis sur le bouton Créer/Enregistrer une VM. L’assistant en cinq étapes s’ouvre.
Choix du type de création
Je sélectionne Créer une nouvelle machine virtuelle. Les autres options servent à enregistrer une VM existante (à partir d’un .vmx déjà sur le datastore) ou à déployer une OVF, ce que je ne fais pas ici.
Nom et système d’exploitation invité
Je saisis ensuite le nom et choisis l’OS invité :
Nom : LAB-DEB12-01
Compatibilité : ESXi 8.0 et versions ultérieures
Famille du SE : Linux
Version du SE : Debian GNU/Linux 12 (64 bits)Explications :
LAB-DEB12-01suit la convention<USAGE>-<OS>-<NUM>; lisible dans la console et dans les exports.ESXi 8.0 et versions ultérieuresaligne la version matérielle de la VM (hardware version) sur l’hôte le plus récent dont je dispose. Cela me donne accès à toutes les fonctionnalités modernes (USB 3, vNVMe, etc.).Debian GNU/Linux 12 (64 bits)n’est pas qu’un libellé : ESXi s’en sert pour proposer la bonne version d’open-vm-tools, le bon contrôleur disque (LSI Logic SAS) et le bon adaptateur réseau (VMXNET3) par défaut.
Astuce
Choisir le bon OS invité dans la liste évite d’avoir à changer manuellement les contrôleurs après coup. C’est un gain de temps et ça évite des pannes silencieuses si on doit recréer la VM rapidement.
Sélection du datastore
L’assistant liste les datastores disponibles. Je choisis datastore1 (volume VMFS local de 500 Gio, utilisé à 30 %). Le local suffit pour un TP. En production, on irait sur un datastore partagé (NFS ou vSAN) pour pouvoir migrer la VM à chaud entre hôtes via vMotion.
Configuration matérielle
C’est l’étape la plus dense. Je règle les composants un par un avant de valider.
CPU : 2 vCPU, 1 cœur par socket
Mémoire : 4 Gio (sans réservation)
Disque dur : 40 Go, thin provision, contrôleur LSI Logic SAS
Lecteur CD/DVD : ISO [datastore1] iso/debian-12.5.0-amd64-netinst.iso
+ option « Connecter à la mise sous tension »
Carte réseau : VMXNET3, port group « VM Network » (vSwitch0)Explications ligne par ligne :
2 vCPU, 1 cœur par socketreste compatible avec une licence Windows à 1 socket si on veut migrer la VM plus tard. ESXi peut surengager les vCPU (overcommit), mais on évite de dépasser un ratio 4:1 par cœur physique.4 Gio sans réservationpermet à ESXi de récupérer la mémoire inutilisée via le ballooning. La réservation se justifie surtout pour les VM critiques (bases de données).40 Go thin provisionne consomme que ce qu’écrit réellement la VM. Sur un TP, c’est largement plus efficace que le thick.LSI Logic SASest le contrôleur par défaut sélectionné quand on choisit Debian 12. Il est compatible avec le noyau Debian sans pilote additionnel.Connecter à la mise sous tensionsur le lecteur CD garantit que la VM démarre sur l’ISO Debian au premier boot, sans avoir à passer par le menu boot manuel.VMXNET3est le pilote paravirtualisé recommandé par VMware : meilleures performances et latence plus basse que l’émulation E1000E.
Avertissement
Le thin provisioning ne dispense pas de surveiller le datastore. Si la somme des disques thin dépasse la capacité réelle, une VM peut s’arrêter brutalement quand le datastore se remplit. À configurer : alerte à 80 % d’utilisation.
Validation et création
L’assistant affiche un récapitulatif final. Je relis nom, OS, ressources, ISO et carte réseau, puis je clique sur Terminer. La VM apparaît dans l’inventaire en quelques secondes.
Installation du système invité
Je sélectionne LAB-DEB12-01 dans l’inventaire et je clique sur Mettre sous tension. La console web s’ouvre et l’installeur Debian démarre directement sur l’ISO.
Je suis l’installation en mode texte :
- langue : français ;
- nom de la machine :
lab-deb12-01; - domaine :
lab.scholanova.local; - partitionnement guidé sur tout le disque, un seul système de fichiers ;
- pas d’environnement de bureau, juste serveur SSH et utilitaires standards du système.
GRUB s’installe sur le disque virtuel et la VM redémarre.
Installation d’open-vm-tools
open-vm-tools est la version libre des VMware Tools, maintenue dans les dépôts officiels Debian. C’est l’option recommandée par VMware sur les distributions Linux modernes.
Je me connecte en SSH depuis le poste d’administration :
# Mise à jour de l'index des paquets
sudo apt update
# Installation des outils invités VMware (version libre maintenue par Debian)
sudo apt install -y open-vm-tools
# Vérification que le service est actif
systemctl status open-vm-toolsExplications ligne par ligne :
sudo apt updaterafraîchit la liste des paquets disponibles avant toute installation, sinon on risque de tirer une vieille version.sudo apt install -y open-vm-toolsinstalle le paquet et ses dépendances sans confirmation interactive. La varianteopen-vm-tools-desktopn’est utile que sur une VM avec interface graphique.systemctl status open-vm-toolsdoit afficheractive (running). Pas besoin de redémarrer : le service démarre tout seul à la fin de l’installation et publie immédiatement l’IP de la VM dans la console ESXi.
Vérifications
Sur la VM Debian, je vérifie que les outils invités fonctionnent :
# Version d'open-vm-tools détectée par l'hyperviseur
vmware-toolbox-cmd -v
# Statut du service
systemctl is-active open-vm-toolsJe dois voir une version (ex. 12.x.y) et active. À ce moment-là, la console Host Client affiche aussi l’IP 192.168.1.232 de la VM dans la colonne Adresse IP invitée, ce qui prouve que le canal de communication ESXi ↔ invité fonctionne.
Tests
Pour valider la livraison au « client », je rejoue trois scénarios.
- Connectivité réseau : depuis le poste d’administration,
ping 192.168.1.232puisssh user@192.168.1.232. Réponse correcte, latence inférieure à 1 ms. - Persistance après redémarrage :
sudo rebootsur la VM. Elle revient en ligne en environ 25 secondes, l’adresse IP est conservée,open-vm-toolsredémarre tout seul. - Arrêt propre depuis l’hyperviseur : dans le Host Client, Actions → Mise hors tension → Arrêt invité. Grâce à open-vm-tools, ESXi envoie un signal au système qui s’éteint proprement, sans corruption du système de fichiers. Sans les tools, seul un Power off brutal serait possible.
Astuce
La présence d’open-vm-tools change tout côté exploitation : arrêt invité propre, snapshot quiescé, remontée de l’IP et du nom DNS dans la console. Ne jamais oublier cette étape sur une VM Linux.
Problèmes rencontrés et solutions
| Symptôme | Cause probable | Correction |
|---|---|---|
| Le navigateur refuse l’accès au Host Client (« connexion non sécurisée ») | Certificat auto-signé d’ESXi non reconnu | Ajouter une exception navigateur pour le TP, prévoir un certificat signé par l’AC interne en production |
| L’ISO Debian n’apparaît pas dans la liste | Mauvais datastore sélectionné dans le sélecteur | Vérifier dans Stockage → datastore1 → Parcourir que l’ISO est bien dans [datastore1] iso/ |
| La VM démarre sur le réseau (PXE) au lieu de l’ISO | Option Connecter à la mise sous tension du lecteur CD non cochée | Modifier les paramètres de la VM, cocher l’option, redémarrer |
| L’adresse IP de la VM ne s’affiche pas dans le Host Client | open-vm-tools pas encore installé | apt install open-vm-tools puis attendre quelques secondes que ESXi rafraîchisse les infos invitées |
| L’assistant impose une compatibilité ESXi inférieure à 8 | Hôte non à jour ou licence limitée | Vérifier la version (vmware -v en SSH) et la licence dans Hôte → Gérer → Licences |
Compétences du bloc 1 mobilisées
| Compétence officielle | Mobilisation concrète |
|---|---|
| Recenser et identifier les ressources numériques | VM LAB-DEB12-01 documentée : ressources allouées (vCPU, RAM, disque thin/thick), datastore d’accueil, version de compatibilité, adresse IP, version d’open-vm-tools. Inventaire prêt à être ajouté à la fiche d’actifs. |
| Exploiter des référentiels, normes et standards | Suivi de la documentation Broadcom vSphere 8.0 Single Host Management pour la création de VM et le provisionnement du stockage, installation d’open-vm-tools depuis le dépôt Debian comme recommandé par le Debian Wiki. |
| Déployer un service | Mise à disposition d’un serveur Debian opérationnel : VM créée, OS installé, accès SSH testé, redémarrage propre validé, intégration à l’hyperviseur confirmée par les informations invitées remontées dans le Host Client. |
| Vérifier les conditions de la continuité d’un service informatique | Activation d’open-vm-tools pour permettre les redémarrages propres et les snapshots cohérents pilotés depuis ESXi, et préparation des conditions d’un éventuel vMotion ou snapshot de sauvegarde. |
Bilan
À l’issue de l’atelier, la VM Debian LAB-DEB12-01 est en service : elle répond au ping, accepte SSH, redémarre proprement et fait remonter ses informations à l’hyperviseur. Le « client » peut s’en servir tout de suite pour son test de service.
Ce TP m’a fait passer de l’autre côté du miroir : jusqu’ici, je consommais des VM. Là, j’en fournis une, en respectant la consigne et en documentant chaque étape pour qu’un collègue puisse la rejouer. Tout le cycle y passe : recueil du besoin, conversion en spécifications techniques, livraison, tests de validation, documentation.
Trois pistes que je veux approfondir ensuite :
- mettre en place vCenter pour piloter plusieurs hôtes ESXi de façon centralisée et tester la migration à chaud (vMotion) ;
- industrialiser la création de VM via un modèle (template) plutôt que de relancer l’assistant à chaque fois ;
- travailler la sécurité de l’hôte : certificat AC interne, comptes nominatifs, désactivation du SSH après usage, journalisation centralisée.
Sources
- VMware vSphere 8.0 — Create a Virtual Machine in the VMware Host Client , Broadcom, 2024.
- VMware vSphere 8.0 — Storage Thin Provisioning in the VMware Host Client , Broadcom, 2024.
- VMware vSphere 8.0 — Create a VMFS Datastore , Broadcom, 2024.
- Projet open-vm-tools , VMware / Broadcom, dépôt officiel.
- Debian Wiki — open-vm-tools .
- ANSSI — Fondamentaux de la sécurisation d’une infrastructure VMware , ANSSI, v1.0.