QEMU, l’un des piliers silencieux de l’écosystème de virtualisation et d’émulation open source, a clôturé 2025 avec une mise à jour significative. La version 10.2.0, annoncée officiellement le 24 décembre (avec le tarball publié sur la page de téléchargement le 23 décembre), arrive avec un rythme de développement qui remet en perspective l’ampleur du projet : plus de 2 300 commits signés par 188 contributeurs pour une version qui impacte aussi bien les laboratoires d’architecture que les plateformes de cloud privé et les environnements d’entreprise.
Dans un marché où une grande partie de la conversation tourne autour de « hyperviseurs » de marque ou de suites complètes, QEMU joue une autre partition : celle du moteur permettant à de nombreuses couches supérieures — gestionnaires, orchestrateurs et tableaux de bord — d’exécuter des machines virtuelles avec efficacité et compatibilité. C’est pourquoi chaque avancée de QEMU se traduit souvent par des changements concrets pour les administrateurs système, les opérateurs d’infrastructure et les équipes de sécurité.
io_uring dans la boucle principale : performance tournée vers l’avenir
Le point technique le plus répété autour de QEMU 10.2 est l’adoption d’io_uring dans la boucle principale lorsque le système hôte le supporte. Concrètement, cette évolution vise à réduire les coûts d’E/S et à ouvrir la voie à des optimisations supplémentaires, notamment dans des scénarios avec des opérations asynchrones intensives.
Il ne s’agit pas d’un simple « truc » ou d’un changement cosmétique : c’est une décision architecturale. En virtualisation, où la performance se mesure en faibles latences et en files d’attente longues, améliorer l’efficacité de la boucle principale peut avoir des effets cumulatifs sur des charges mixtes, le stockage virtuel et les réseaux à fort volume d’événements. La communauté le présente comme un véritable facilitateur pour un « meilleur rendement » et de nouvelles capacités à moyen terme.
‘cpr-exec’ : mises à jour à chaud avec moins de surcoût
L’autre grande nouveauté de cette version est le nouveau mode de migration ‘cpr-exec’, conçu comme une base pour le « live update ». L’objectif est de réduire la consommation de ressources lors de la mise à jour des machines virtuelles et, potentiellement, de réutiliser l’état et les connexions existantes durant le processus.
Bien que le concept de migration en direct ne soit pas nouveau en virtualisation, la nuance réside dans l’intention : transformer l’actualisation des composants en une opération moins « lourde » et plus répétable. Pour les opérateurs intervenant entre des fenêtres de maintenance, des changements planifiés et des exigences de continuité, toute amélioration réduisant la friction et la consommation est une avancée notable, même avant que cela devienne la norme dans les plateformes de gestion.
FreeBSD et 9pfs : un clin d’œil aux environnements hybrides et aux besoins spécifiques
QEMU 10.2 intègre également un support pour 9pfs (système de fichiers partagé) sur des hôtes FreeBSD, une amélioration qui peut sembler niche, mais qui correspond à une réalité grandissante : des infrastructures hétérogènes, des équipes avec des exigences particulières et des laboratoires qui ne fonctionnent pas exclusivement sous Linux.
Par ailleurs, la version insiste sur le fait qu’il existe « de nombreuses corrections et améliorations » en ce qui concerne l’émulation en mode utilisateur (user-mode emulation), un domaine moins visible que la virtualisation classique, mais crucial pour la compatibilité des binaires, la portabilité, les environnements de développement et la compatibilité multiplateforme.
ARM, PowerPC, s390x et RISC-V : des avancées clés
La liste des « points forts » de QEMU 10.2 montre que le projet ne se limite pas à x86 :
- ARM bénéficie du support pour de nouvelles extensions CPU (comme FEAT_SCTLR2, FEAT_TCR2, FEAT_LSE128 ou FEAT_GCS, entre autres) et voit l’ajout d’un nouveau modèle de carte ‘amd-versal2-virt’, en plus d’améliorations sur des modèles existants.
- PowerPC inclut le support pour PowerNV11 et PPE42, ainsi que FADUMP pour pSeries, une capacité essentielle pour les scénarios où la mémoire volatile et la récupération après incident jouent un rôle crucial.
- s390x améliore la performance de virtio-pci via irqfd, un détail technique en adéquation avec l’orientation enterprise de IBM Z et de son écosystème.
- RISC-V apparaît avec « de nombreuses corrections et améliorations », témoignant de la maturité croissante de cette architecture en émulation, soutenue par son expansion dans la recherche et le développement.
De plus, dans un chapitre moins médiatisé mais tout aussi significatif, QEMU 10.2 propose une émulation pour une station HP 715/64 (HPPA) ainsi que le support pour des composants spécifiques comme la controlleur SCSI NCR 53c710 et le circuit multi-I/O HP LASI, des avancées souvent portées par la communauté ou via des programmes comme Google Summer of Code.
Sécurité : QEMU clarifie sa position sur ce qu’est une virtualisation « sûre »
Une des modifications majeures — et moins « virales » — ne concerne pas une nouvelle fonctionnalité, mais un message : QEMU renforce sa documentation sur les exigences en matière de sécurité et précise davantage ce qu’il considère comme couvert par sa politique de support, notamment sous l’angle de l’isolation.
Dans sa documentation, le projet distingue entre le cas d’usage de la virtualisation (cloud, VPS, centres de données classiques ou virtualisation de bureau) et le non virtualisation (émulation avec TCG). En premier lieu, QEMU indique que, pour bénéficier des garanties de sécurité, il faut utiliser un accélérateur de virtualisation (par exemple, KVM ou HVF) et certains types de machines spécifiques selon l’architecture (par exemple, q35/pc en x86_64 ou virt sur aarch64 et riscv). En dehors de ces configurations, le projet avertit qu’il ne faut pas espérer bénéficier d’un niveau garanti d’isolation.
Concrètement, cette approche a des implications opérationnelles : elle oblige à revoir certains « paramètres par défaut », les modèles de machines virtuelles, ainsi que le choix du type d’architecture quand on souhaite un haut niveau de sécurité. Elle s’inscrit dans un débat croissant en infrastructure moderne : il ne suffit pas de virtualiser, il faut le faire avec des paramètres et choix compatibles avec le support et la sécurité attendus.
Simplicité et maintenabilité : moins de legacy, plus de clarté
Comme dans tout projet mature, QEMU 10.2 élimine les éléments devenus obsolètes. Parmi les modifications techniques notables figurent la suppression des drivers VFIO dépréciés et l’abandon du support de la vieille famille CPU Arm PXA. Même si ces choix concernent des usages peu nombreux, ils contribuent à rendre le projet plus maniable et à concentrer les efforts sur ce qui est réellement utilisé aujourd’hui.
Par ailleurs, des améliorations touchent le sous-système cryptographique (avec des contrôles de cohérence) et l’introduction de l’émulation RPMB (Replay Protected Memory Block) pour le modèle de stockage eMMC, une avancée significative pour les scénarios où l’intégrité et la sécurité du stockage sont critiques.
Un lancement à un moment stratégique pour la virtualisation open source
QEMU n’est pas en compétition avec les titres ; il joue un rôle essentiel en étant intégré en arrière-plan de nombreux stacks de virtualisation et clouds privés. Par conséquent, une version comme 10.2 est importante, même si elle ne fait pas de bruit : le support de io_uring, la possibilité de « live update », la compatibilité multi-plateforme (notamment FreeBSD) et un cadre de sécurité clarifié sont autant de signaux d’un projet qui avance tout en cherchant à réduire ses zones d’ombre.
Et dans un contexte où de nombreuses organisations réévaluent coûts, contrôles et stratégies d’infrastructure — y compris la migration vers des solutions basées sur KVM — l’évolution du moteur de virtualisation est aussi déterminante que celle de l’hyperviseur ou de la plateforme de gestion visible à l’écran.
Questions fréquentes
Que apporte io_uring dans QEMU 10.2 pour la virtualisation sous Linux ?
Il peut améliorer l’efficacité de la boucle principale sur les systèmes compatibles, avec un impact potentiel sur la performance et la latence lors de la gestion d’E/S asynchrones et d’événements de façon plus moderne.
Qu’est-ce que le mode ‘cpr-exec’ et pourquoi est-il associé à la « mise à jour en direct » des machines virtuelles ?
Il s’agit d’un nouveau mode de migration conçu pour réduire l’utilisation des ressources lors de la mise à jour des VMs, avec, selon le projet, la capacité de réutiliser l’état et les connexions durant le processus.
Quelle est la politique de sécurité de QEMU concernant les « types de machines supportés » ?
QEMU précise que, pour garantir l’isolement lors de la virtualisation, il faut utiliser un accélérateur (comme KVM ou HVF) et certains types de machine selon l’architecture, comme q35 ou virt. En dehors de ces configurations, aucune garantie de sécurité ne peut être assurée.
Quelles architectures bénéficient le plus de QEMU 10.2 dans un environnement professionnel ?
Au-delà de x86_64, cette version apporte des améliorations importantes pour ARM, s390x et PowerPC, tout en renforçant le support et les corrections pour RISC-V, avec un impact pour les centres de données, la recherche et les plateformes spécialisées.
Source :
