Microsoft OpenHCL-nin paravirtuallaşdırılması üçün təbəqənin açıq mənbəyini və OpenHCL işinin təşkili üçün xüsusi olaraq hazırlanmış virtual maşın monitoru OpenVMM-ni elan etdi. OpenVMM və OpenHCL kodu Rust-da yazılmışdır və MIT lisenziyası altında paylanmışdır. OpenVMM VirtualBox və VMware Workstation kimi məhsullara bənzər əməliyyat sisteminin nüvəsi ilə eyni təhlükəsizlik halqasında işləyən ikinci səviyyəli hipervizorlara aiddir. O, Linux (x86_64), Windows (x86_64, Aarch64) və macOS (x86_64, Aarch64) əsasında KVM, SHV (Microsoft Hypervisor), WHP (Windows Hypervisor Platform) və Hypervisor virtualizasiya API-lərindən istifadə edərək əsas sistemlərin üzərində əməliyyatı dəstəkləyir. OS məlumatları ilə.
OpenVMM-də dəstəklənən xüsusiyyətlər arasında:
- UEFI və BIOS rejimlərində yükləmə, Linux nüvəsinin birbaşa yüklənməsi;
- Virtio sürücülərinə əsaslanan paravirtuallaşdırma dəstəyi (virtio-fs, virtio-9p, virtio-net, virtio-pmem)
- VMBus əsaslı paravirtuallaşdırma dəstəyi (storvsp, netvsp, vpci, framebuffer);
- vTPM, NVMe, UART, i440BX + PIIX4 çipset, IDE HDD, PCI və VGA-nın emulyasiyası;
- Qrafiklərin, daxiletmə qurğularının, konsolların, yaddaşın və şəbəkəyə çıxışın yönləndirilməsi üçün arxa uçlar;
- Komanda xətti interfeysi, interaktiv konsol, gRPC və ttrpc vasitəsilə idarəetmə.
OpenHCL, OpenVMM hipervizorunun üstündə işləyən paravirtuallaşdırma komponentləri (paravisor) olan bir mühit kimi yerləşdirilib. OpenVMM və OpenHCL əsasında virtuallaşdırma sistemlərinin əsas xüsusiyyəti paravirtuallaşdırma üçün komponentlərin host sistem tərəfində deyil, qonaq sistemi ilə eyni virtual maşında icra edilməsidir. Paravirtuallaşdırma qatının qonaq əməliyyat sistemindən təcrid olunması ikinci səviyyəli hipervizor OpenVMM tərəfindən təmin edilir. Bu şəkildə istifadə edildikdə, OpenHCL qonaq mühitində işləyən əməliyyat sistemindən daha yüksək imtiyaz səviyyəsində işləyən virtual proqram təminatı kimi qəbul edilə bilər.
Qonaq sistemi və OpenHCL komponentlərinin ayrılması virtual güvən səviyyələri (VTL, Virtual Trust Level) konsepsiyasından istifadə etməklə həyata keçirilir ki, onların həyata keçirilməsi üçün Intel TDX (Trust Domain Extensions) kimi həm proqram mexanizmləri, həm də aparat texnologiyaları istifadə edilə bilər. ), AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) və ARM CCA (Confidential Compute Architecture). OpenHCL komponentlərini işə salmaq üçün Linux nüvəsinin soyulmuş quruluşundan istifadə olunur ki, bu da OpenVMM-i işə salmaq üçün lazım olan yalnız minimum komponentləri ehtiva edir.
OpenHCL x86-64 və ARM64 platformalarında işləyə bilər və əlavə izolyasiya üçün Intel TDX, AMD SEV-SNP və ARM CCA uzantılarını dəstəkləyir. OpenHCL-ə avadanlıqlara girişi təşkil etmək, qonaq sistem tərəfində virtual cihazların işləməsini təmin etmək və aparat cihazlarını (məsələn, kriptoqrafik açarların saxlanması üçün çip - vTPM) təqlid etmək üçün istifadə olunan xidmətlər, sürücülər və emulyatorlar daxildir.
Qonaq sistemi tərəfində aparat təminatına girişi çevirmək üçün mövcud paravirtualizasiyaya əsaslanan drayverlərdən istifadə olunur və ya cihazlar birbaşa virtual maşına qoşula bilər ki, bu da mövcud qonaq sistemlərinin dəyişdirilmədən OpenHCL əsaslı mühitə köçürülməsinə imkan verir. OpenHCL həmçinin diaqnostika və ayıklama komponentlərini də əhatə edir. virtual maşınlar, məxfi hesablamanı təmin etmək üçün genişləndirmələrdən istifadə etməklə yerinə yetirilir.
Məxfi rejimdə işləyən qonaq sistemləri üçün xidmətlər və emulyasiya edilmiş cihazlar təqdim edən mövcud açıq mənbəli COCONUT-SVSM (Təhlükəsiz VM Xidmət Modulu) layihəsindən fərqli olaraq virtual maşınlar (CVM, Məxfi Virtual Maşın), OpenHCL qonaq sistemlərində standart interfeyslərin istifadəsinə imkan verir, COCONUT-SVSM isə SVSM ilə xüsusi qarşılıqlı əlaqənin təşkilini, qonaq sistemində dəyişikliklər edilməsini və ayrıca drayverlərin istifadəsini tələb edir.
OpenHCL paravisorunun tətbiqləri arasında qonaq sisteminin disk imicinə dəyişiklik etməyə ehtiyac olmadan mövcud sistemlərin Azure Boost aparat sürətləndiricilərindən istifadəyə keçidi kimi ssenarilər qeyd olunur; Mövcud qonaqları məxfi hesablamaları təmin edən virtual maşınlarda işə salın (məsələn, Intel TDX və AMD SEV-SNP əsasında); UEFI Secure Boot və vTPM rejimindən istifadə edərək virtual maşınların təsdiqlənmiş yüklənməsinin təşkili.
Ayrıca qeyd olunur ki, OpenVMM layihəsi OpenHCL ilə istifadəyə yönəlib və son istifadəçilər tərəfindən istehsal tətbiqləri üçün host sistemlərində müstəqil istifadə üçün hələ hazır deyil. OpenVMM-in OpenHCL-dən kənar ənənəvi kontekstdə host mühitlərində istifadəsinə mane olan problemlər arasında aşağıdakılar qeyd olunur: idarəetmə interfeysinin zəif sənədləşdirilməsi; saxlama, şəbəkə və qrafika üçün backend performansının düzgün optimallaşdırılmasının olmaması; bəzi sürücülər üçün dəstəyin olmaması (məsələn, IDE sürücüləri və PS/2 siçanları); API sabitliyinə və funksionallığına zəmanət yoxdur. Eyni zamanda, OpenVMM və OpenHCL kombinasiyası artıq sənaye tətbiqi səviyyəsinə çatıb və Microsoft tərəfindən 1.5 milyondan çox virtual maşının işini dəstəkləmək üçün Azure platformasında (Azure Boost SKU) istifadə olunur.
Mənbə: opennet.ru
