Si tu ouvres la console d’un déploiement VCF 9 avec tes réflexes VCF 5.x, tu es perdu en trente secondes. SDDC Manager n’est plus le point d’entrée, les onze licences sont devenues deux, et plusieurs features considérées acquises ont disparu. Ce n’est pas un upgrade : c’est un reset architectural.
À qui s'adresse cet article
Pour des architectes cloud et ingénieurs VCF senior qui connaissent déjà vSphere, NSX et VCF 5.x. Objectif : cartographier le delta et les décisions de design avant tout projet d’adoption. Référence : VCF 9.0.2 (GA janvier 2026).
La rupture en trois points
Broadcom a appliqué sa méthode habituelle au portefeuille VMware : simplification radicale, consolidation des SKU, élagage des features héritées. VCF 9 est la traduction visible côté private cloud — une plateforme unifiée pour VM, Kubernetes et workloads IA, avec un modèle opérationnel cohérent.
La contrepartie est une rupture assumée avec plusieurs design patterns historiques :
- Hiérarchie refondée — Fleet / Instance / Private Cloud remplacent les workload domains
- Centre de gravité déplacé — VCF Operations orchestre, SDDC Manager exécute
- Features supprimées — vVols, SIOC, ELM, Host Profiles, IWA : documenter avant migration
La nouvelle hiérarchie à trois niveaux
| Niveau | Rôle | Équivalent VCF 5.x |
|---|---|---|
| Private Cloud | Unité logique de consommation | — |
| Fleet | Gouvernance, licensing, compliance, patching | Domaine de gestion |
| Instance | Déploiement physique (clusters + vCenter) | Workload Domain |
La première question en VCF 9 n’est plus « combien de workload domains » mais « combien de Fleets, selon quelle frontière » — géographique, réglementaire ou métier.
Fleet : blast radius vs isolation
Un Fleet global simplifie la gouvernance mais concentre le risque d’un incident de configuration. Un Fleet par région isole davantage mais multiplie les consoles et politiques à maintenir. Ce choix engage le modèle opérationnel pour plusieurs années — le documenter explicitement.
VCF Operations : le nouveau centre de gravité
VCF Operations orchestre désormais le cycle de vie complet de la flotte :
- Gestion des licences et soumission d’usage
- Renouvellement des certificats et identité
- Patch et lifecycle à l’échelle de la flotte
- Compliance continue, monitoring, analyse de logs
- Cost & capacity management natif (showback/chargeback, forecasting)
SDDC Manager conserve un rôle d’exécuteur — plus de chef d’orchestre. Pour les organisations qui s’appuyaient sur Aria Operations + extensions maison, la bascule représente à la fois une simplification et une perte de customisation.
La clause la moins connue de VCF 9
La soumission d’usage des licences est obligatoire tous les 180 jours. Dépassé = les hosts se déconnectent du vCenter, plus de nouveaux workloads possibles (l’existant continue). En mode air-gapped, c’est manuel. À intégrer dans le RACI opérationnel dès le design — ce n’est pas une option.
VCF Automation : la couche self-service unifiée
Le remplaçant d’Aria Automation, repensé pour s’intégrer au modèle Fleet. Deux portails structurent l’expérience :
Provider Portal
Administrateur plateforme : organisations, allocations capacité, politiques globales, gestion multi-tenant.
Organization Portal
Consommateur : projets, blueprints, catalog items, déploiements VM, VKS, VPC, volumes, secrets.
Le catalog couvre VM, Kubernetes (VKS), réseaux VPC, volumes persistants, secrets, databases (DSM), registres Harbor. Points d’entrée : UI, CLI, API REST, et une API Kubernetes IaaS qui expose les ressources via kubectl — clé pour les équipes GitOps.
VCF Automation est la couche obligatoire pour tout déploiement multi-tenant, et fortement recommandée dès qu’on veut industrialiser.
Virtual Private Cloud : networking accessible
Identity Broker : authentification unifiée au niveau Fleet
VCF 9 introduit un Identity Broker unifié, supportant SAML et OIDC, appliqué globalement à l’exception d’ESX et SDDC Manager qui conservent leur configuration locale. Source de vérité unique pour l’audit et la conformité.
La contrepartie : suppression d’Integrated Windows Authentication (IWA). Les environnements qui reposaient sur l’IWA doivent migrer vers LDAPS ou une fédération d’identité externe.
Migration IAM : anticiper
Si ton environnement utilise IWA pour vCenter, cadrer la migration vers Identity Federation — idéalement sur l’IdP d’entreprise (Entra ID, Okta, Ping) — est un prérequis au projet VCF 9, pas un livrable de fin de chantier.
Ce qui a disparu dans VCF 9
Ne supposer jamais qu’une feature VCF 5.x est présente en VCF 9 sans vérification explicite dans les release notes 9.0.
Ce qui est arrivé : les nouveautés qui comptent
FIPS 140-3 par défaut
Non désactivable. Tous composants (vCenter, ESX, NSX) en mode FIPS. À valider pour les intégrations tierces.
Memory tiering NVMe
Flash NVMe en 2e tier. Idéal pour JVM-heavy, analytics, HFT. Tier plus lent — pas de la RAM gratuite.
vMotion for AI
Migration live des workloads GPU-heavy avec downtime quasi nul. Changement significatif pour l’IA sur VCF.
Déduplication globale
Scope cluster entier vs disk-level. Gains capacité réels sans impact performance post-process traditionnel.
vTopology automatique
Détection et correction des vCPU/vNUMA mal configurés. Fin d’une source récurrente de tickets support.
1 GbE management (9.0.2)
Officiellement supporté pour les workflows d’import. Débloque les sites brownfield sans budget 10 GbE.
7 décisions de design à trancher avant d’adopter
1. Combien de Fleets ?
Géographique, réglementaire ou métier — un axe, assumé. Engage la gouvernance pour plusieurs années.
2. Connected ou air-gapped ?
Impacte le licensing (soumission auto vs manuelle), le patch management et l’observabilité.
3. VPC ou NSX direct ?
VPC par défaut, NSX direct pour les exceptions. Documenter les cas qui basculent en NSX direct.
4. VCF Automation dès J1 ?
Oui si multi-tenant ou besoin IaC fort. Après si démarrage single-tenant avec équipe non-automation.
5. Greenfield ou brownfield ?
9.0.2 a amélioré les workflows d’import y compris sur réseau 1 GbE. Option brownfield réellement viable.
6. Convergence ou rebuild ?
Chemin officiel depuis vSphere 8. Évaluer selon l’âge et la dette technique de l’environnement existant.
7. Identity Federation : quel IdP ?
Entra ID, Okta, Ping — décision avec l’équipe IAM, pas en silo plateforme.
Chacune mérite un chapitre dédié dans le document d’architecture. Sans arbitrage formel, c’est une installation, pas un projet d’architecture.
Conclusion : trois choses à retenir
Nouvelle hiérarchie
Fleet / Instance / Private Cloud — les workload domains VCF 5.x ne sont plus le bon cadre mental.
Hubs recentrés
VCF Operations orchestre, VCF Automation expose le self-service. SDDC Manager n’est plus le point d’entrée. Le RACI doit le refléter.
Suppressions non négligeables
vVols, SIOC, ELM, Host Profiles, IWA — cataloguer tôt pour éviter les mauvaises surprises en migration.
Suite de la série
Les prochains articles exploreront deux sujets concrets : déployer son premier cluster VKS sur VCF 9 et automatiser VCF Automation avec Terraform (guide GitOps complet avec les trois providers officiels).
VCF 9.1 — Nouveautés (mini-série)
VCF 9.1 est GA (mai 2026). Une mini-série de 4 articles couvre les grandes évolutions : Efficience d’infrastructure & TCO · Networking & scale · Kubernetes & self-service · Sécurité & résilience.
Pour aller plus loin : les Release Notes VCF 9.0 de Broadcom, le guide Paths to Adoption sur le VCF Blog, et côté communauté les deep-dives de William Lam et vrealize.it.