Проектът NetBSD разработва нов NVMM хипервизор

Разработчици на NetBSD проекти съобщи за създаването на нов хипервизор и свързания стек за виртуализация, които вече са включени в експерименталния NetBSD-текущ клон и ще бъдат предложени в стабилната версия на NetBSD 9. NVMM в момента е ограничен до поддръжка на архитектурата x86_64 и предоставя два бекенда за активиране на хардуерни механизми за виртуализация: x86-SVM с поддръжка за AMD и x86-VMX CPU виртуализационни разширения за Intel CPU. В сегашната си форма е възможно да се изпълняват до 128 виртуални машини на един хост, на всяка от които могат да бъдат разпределени до 256 виртуални процесорни ядра (VCPU) и 128 GB RAM.

NVMM включва драйвер, който работи на ниво системно ядро ​​и координира достъпа до хардуерни механизми за виртуализация, и стек Libnvmm, който работи в потребителско пространство. Взаимодействието между компонентите на ядрото и потребителското пространство се осъществява чрез IOCTL. Характеристика на NVMM, която го отличава от хипервайзори като KVM, е HAXM и Bhyve, е, че на ниво ядро ​​се изпълнява само минимално необходимият набор от свързвания около механизмите за хардуерна виртуализация и целият код за хардуерна емулация се премества извън ядрото в потребителското пространство. Този подход ви позволява да намалите количеството код, изпълняван с повишени привилегии, и да намалите риска от компрометиране на цялата система в случай на атаки срещу уязвимости в хипервайзора. В допълнение, отстраняването на грешки и тестването на fuzzing на проекта е значително опростено.

Самият Libnvmm обаче не съдържа функции за емулатор, а само предоставя API, който ви позволява да интегрирате поддръжката на NVMM в съществуващи емулатори, например QEMU. API покрива функции като създаване и стартиране на виртуална машина, разпределяне на памет към системата за гости и разпределяне на VCPU. За да подобри сигурността и да намали възможните вектори на атака, libnvmm предоставя само функции, които са изрично поискани – по подразбиране сложните манипулатори не се извикват автоматично и може изобщо да не се използват, ако могат да бъдат избегнати. NVMM се опитва да поддържа нещата прости, без да става твърде сложно и ви позволява да контролирате възможно най-много аспекти от вашата работа.

Частта на ниво ядро ​​на NVMM е доста тясно интегрирана с ядрото на NetBSD и позволява подобрена производителност чрез намаляване на броя на контекстните превключвания между гост OS и хост средата. От страна на потребителското пространство, libnvmm се опитва да агрегира общи I/O операции и да избягва ненужните системни извиквания. Системата за разпределение на паметта се основава на подсистемата pmap, която ви позволява да изгонвате страниците с памет за гости в суап дяла в случай на недостиг на памет в системата. NVMM е без глобални заключвания и се мащабира добре, което ви позволява едновременно да използвате различни CPU ядра, за да стартирате различни виртуални машини за гости.

Подготвено е базирано на QEMU решение, което използва NVMM за активиране на механизми за хардуерна виртуализация. Работи се по включването на подготвените пачове в основната структура на QEMU. Комбинацията QEMU+NVMM е вече Тя позволява на успешно стартирайте системи за гости с FreeBSD, OpenBSD, Linux, Windows XP/7/8.1/10 и други ОС на x86_64 системи с процесори AMD и Intel (самият NVMM не е обвързан с конкретна архитектура, например, ако е създаден подходящият бекенд , ще може да работи на ARM64 системи ). Сред областите на по-нататъшно приложение на NVMM се отбелязва и изолацията на индивидуалните приложения в пясъчната среда.

Източник: opennet.ru