FAQ — Hardpipe

Pourquoi pas simplement utiliser VMware ou Nutanix ?

Les référentiels STIG DISA existent pour les deux : Nutanix Acropolis STIG (NCP #1325, 03/2026) et plusieurs versions VMware vSphere. C'est la liste des règles à appliquer. Mais ni Nutanix ni VMware ne publient leur rapport de scan effectif contre ce STIG : les scores annoncés (90 %, 95 %) restent des chiffres marketing non auditables. Hardpipe publie son rapport HTML OpenSCAP complet — chaque règle, chaque PASS, chaque FAIL est inspectable. Vous pouvez rejouer le scan sur votre propre ISO et confirmer.

Par ailleurs, VMware Government / DoD est une édition US. Les bannières, la documentation et les mappings réglementaires sont alignés sur les exigences fédérales américaines — pas sur le cadre UE (RGPD, NIS2, RGS, HDS).

Pourquoi Harvester et pas oVirt, Proxmox, ou un stack custom ?

Harvester v1.8 combine en un produit unique :

• Kubernetes natif (RKE2) — même plan de contrôle pour VMs et conteneurs
• SL Micro 6.2 — OS immutable avec rootfs signé, idéal pour la compliance
• SUSE upstream — éditeur européen (allemand), souveraineté
• KubeVirt + Longhorn — stack CNCF éprouvée, pas de lock-in

oVirt est en mode maintenance. Proxmox n'est pas K8s-natif. Un stack custom coûte des années de développement et n'a pas de support commercial UE.

Comment qualifier pour ANSSI (RGS / SecNumCloud) ?

Hardpipe fournit la base technique (OS durci, K8s durci, scan reproductible). La qualification RGS demande en plus :

• Audit tiers par un CESTI
• Documentation de sécurité formelle (cible de sécurité, profil de protection)
• Tests de pénétration
• Processus de réponse à incident

Nous prévoyons de soumettre Hardpipe pour qualification ANSSI « Standard » en 2027, avec visée « Renforcé » à moyen terme.

Comment contribuer ?

• Upstream SUSE SSG : nos recettes OVAL-strict peuvent être backportées. Issue tracker : https://github.com/ComplianceAsCode/content
• Harvester upstream : les fixes SELinux sur KubeVirt / Longhorn sont pertinents pour toute la communauté Harvester. Issues en cours : https://github.com/harvester/harvester/issues
• Notre repo : accès sur demande via Gitea.

Quelle différence avec Talos Linux ou Flatcar ?

Talos et Flatcar sont des OS Kubernetes immutables, mais ne fournissent pas de stack HCI (pas de KubeVirt + Longhorn intégrés, pas d'orchestrateur de VMs). Hardpipe vise le cas « VM + conteneur » sur la même infra — remplacement drop-in pour vSphere.

Puis-je l'utiliser en production aujourd'hui ?

Hardpipe v29 est beta. Pour une production critique, valider :

1. Tests de charge sur votre matériel
2. Validation de vos workloads (drivers GPU, vGPU, SR-IOV, etc.)
3. Procédure d'upgrade éprouvée sur votre cible

Pour PoC, tests de conformité ou labs : prêt à l'emploi.

Quels coûts ?

• Logiciel : open-source (SUSE Virtualization sous EULA SUSE, le layer Hardpipe sera MIT/Apache)
• Support : optionnel via SUSE (support Harvester)
• Matériel : serveurs x86_64 standard (32+ threads, 128+ GB de RAM, SSD/NVMe). Pas de licence par socket ou par VM comme VMware.

Quel impact sur les performances ?

Le durcissement OS ajoute < 2 % d'overhead (mesuré sur benchmarks synthétiques). SELinux enforcing ajoute 1-3 % selon la charge. L'audit kernel (auditd) peut ajouter 3-8 % selon le nombre de règles.

Pour les workloads typiques (web, base de données, ML), l'impact est négligeable. Pour du trading HFT, privilégier une stack non-durcie.

Comment fait-on pour les mises à jour ?

Harvester utilise Fleet + Elemental pour les upgrades atomiques (OS + K8s + opérateurs en une transaction). Les bundles signés sont distribués via registry OCI. Rollback automatique si échec.

Côté conformité, chaque upgrade re-déclenche un scan OpenSCAP pour confirmer que le score reste ≥ 95 %.

Y a-t-il un support commercial ?

Pas encore. Hardpipe est un projet de recherche / démonstration. Si vous êtes intéressé par un partenariat (hébergeur, intégrateur, cabinet de conseil sécurité), contactez-nous via Gitea.