FAQ — Hardpipe

Pourquoi pas simplement utiliser VMware ou Nutanix ?

Les deux annoncent des scores élevés (95 %, 90 %) mais ne publient pas les rapports de scan. En tant qu'acheteur européen, vous devez faire confiance à l'éditeur. Hardpipe publie son rapport OpenSCAP complet — vous pouvez le rejouer sur votre propre ISO et vérifier.

Par ailleurs, VMware Government / DoD est une édition US. Les bannières, la documentation et les mappings réglementaires sont alignés sur les exigences fédérales américaines — pas sur le cadre UE (RGPD, NIS2, RGS, HDS).

Pourquoi Harvester et pas oVirt, Proxmox, ou un stack custom ?

Harvester v1.8 combine en un produit unique :

• Kubernetes natif (RKE2) — même plan de contrôle pour VMs et conteneurs
• SL Micro 6.2 — OS immutable avec rootfs signé, idéal pour la compliance
• SUSE upstream — éditeur européen (allemand), souveraineté
• KubeVirt + Longhorn — stack CNCF éprouvé, pas de lock-in

oVirt est en mode maintenance. Proxmox n'est pas K8s-natif. Un stack custom coûte des années de développement et n'a pas de support commercial UE.

Comment qualifier pour ANSSI (RGS / SecNumCloud) ?

Hardpipe fournit la base technique (OS durci, K8s durci, scan reproductible). La qualification RGS demande en plus :

• Audit tiers par un CESTI
• Documentation de sécurité formelle (cible de sécurité, profil de protection)
• Tests de pénétration
• Processus de réponse à incident

Nous prévoyons de soumettre Hardpipe pour qualification ANSSI "Standard" en 2027, avec visée "Renforcé" à moyen terme.

Comment contribuer ?

• Upstream SUSE SSG : nos recettes OVAL-strict peuvent être backportées. Issue tracker : https://github.com/ComplianceAsCode/content
• Harvester upstream : les fixes SELinux sur KubeVirt / Longhorn sont pertinents pour toute la communauté Harvester. Issue en cours : https://github.com/harvester/harvester/issues
• Notre repo : accès sur demande via Gitea.

Quelle différence avec Talos Linux ou Flatcar ?

Talos et Flatcar sont des OS Kubernetes immutables, mais ne fournissent pas de stack HCI (pas de KubeVirt + Longhorn intégrés, pas de VM orchestrator). Hardpipe vise le cas "VM + container" sur la même infra — remplacement drop-in pour vSphere.

Puis-je l'utiliser en production aujourd'hui ?

Hardpipe v23 est beta. La base Harvester v1.8 est elle-même RC5 (GA imminente avril 2026). Pour une production critique, attendez :

1. Harvester v1.8 GA (upstream)
2. Tests de charge sur votre matériel
3. Validation de vos workloads (drivers GPU, vGPU, SR-IOV, etc.)

Pour PoC, tests de compliance ou labs : prêt à l'emploi.

Quels coûts ?

• Logiciel : open-source (SUSE Virtualization est sous EULA SUSE, le layer Hardpipe sera MIT/Apache)
• Support : optionnel via SUSE (support Harvester)
• Matériel : serveurs x86_64 standard (32+ threads, 128+ GB RAM, SSD/NVMe). Pas de licence par socket ou par VM comme VMware.

Quel impact sur les performances ?

Le durcissement OS ajoute < 2 % d'overhead (mesuré sur benchmarks synthétiques). SELinux enforcing ajoute 1-3 % selon la charge. L'audit kernel (auditd) peut ajouter 3-8 % selon le nombre de règles.

Pour les workloads typiques (Web, base de données, ML), l'impact est négligeable. Pour du trading HFT, privilégier une stack non-durcie.

Comment fait-on pour les mises à jour ?

Harvester utilise Fleet + Elemental pour les upgrades atomiques (OS + K8s + opérateurs en une transaction). Les bundles signés sont distribués via registry OCI. Rollback automatique si échec.

Côté compliance, chaque upgrade re-déclenche un scan OpenSCAP pour confirmer que le score reste ≥ 95 %.

Y a-t-il un support commercial ?

Pas encore. Hardpipe est un projet de recherche / démonstration. Si vous êtes intéressé par un partenariat (hébergeur, intégrateur, cabinet de conseil sécurité), contactez-nous via Gitea.