C'est une assez bonne question si vous êtes nouveau dans la virtualisation avec des hôtes «bare metal». Faire les choses de cette façon nécessite une mentalité différente de l'approche que vous pourriez adopter avec des hyperviseurs qui s'exécutent en tant que service / application au-dessus d'un système d'exploitation conventionnel.
D'après mon expérience, il est probablement juste de dire que ESX et HyperV nécessitent globalement moins de correctifs que les systèmes d'exploitation conventionnels. Cela ne signifie pas qu'ils n'ont pas besoin de correctifs du tout, ou que l'application de certains correctifs ne serait pas bénéfique indépendamment du «besoin», mais cela signifie que les interruptions de vos services pour corriger l'hôte devraient être moins fréquentes et plus sous votre contrôle. Il existe un risque de sécurité potentiel pour les systèmes d'exploitation de l'hyperviseur, comme pour tout autre, et bien que vous puissiez minimiser l'exposition à ce risque (par exemple, exposer uniquement la gestion de l'hyperviseur sur un VLAN isolé qui ne peut logiquement pas être atteint à partir d'un serveur compromis) il serait stupide de prétendre qu'il n'y a aucun risque.
Donc, si vous avez 4 serveurs non virtuels, par exemple, et que vous les déplacez tous vers le même hôte virtualisé individuel, alors oui, vous augmentez le nombre de perturbations qui pourraient être causées par un besoin de patcher le système hôte (ou de gérer un problème de matériel, etc., d'ailleurs).
Bien que je suggère que le risque que ce risque se produise est relativement faible (je parle de la différence entre l'application d'un correctif à un hôte virtuel et le type de correctif qui nécessite un redémarrage que vous auriez à faire de toute façon sur un système autonome ), on ne peut pas échapper au fait que l'impact est élevé.
Alors pourquoi le faisons-nous alors?
Le véritable avantage de la virtualisation vient de la possibilité d'installer plusieurs hôtes et de configurer les hôtes pour qu'ils fonctionnent ensemble, permettant aux invités d'être déplacés d'un hôte à l'autre en cas de défaillance d'un hôte ou de planifier des correctifs sur les systèmes hôtes.
En utilisant cette approche, j'ai réussi à patcher 5 hôtes ESX à tour de rôle sans aucune interruption du tout sur les 40 serveurs virtuels exécutés au-dessus d'eux. C'est simplement une question d'économies d'échelle - une fois que vous avez suffisamment de machines virtuelles invitées potentielles pour qu'il soit utile de construire ce type de configuration complexe et de le gérer avec le genre d'outils que @ewwhite mentionne dans sa réponse, le retour sur investissement pour réduire les risques vous vous inquiétez d'arriver très rapidement.