Пускане на хипервайзори Xen 4.16 и Intel Cloud Hypervisor 20.0

След осем месеца разработка, безплатният хипервизор Xen 4.16 беше пуснат. Компании като Amazon, Arm, Bitdefender, Citrix и EPAM Systems взеха участие в разработването на новата версия. Пускането на актуализации за клона Xen 4.16 ще продължи до 2 юни 2023 г., а публикуването на корекции на уязвимости до 2 декември 2024 г.

Ключови промени в Xen 4.16:

• TPM Manager, който осигурява работата на виртуални чипове за съхранение на криптографски ключове (vTPM), реализиран на базата на общ физически TPM (Trusted Platform Module), е коригиран, за да реализира впоследствие поддръжка за спецификацията TPM 2.0.
• Повишена зависимост от слоя PV Shim, използван за изпълнение на немодифицирани паравиртуализирани (PV) гости в PVH и HVM среди. Занапред използването на 32-битови паравиртуализирани гости ще бъде възможно само в режим PV Shim, което ще намали броя на местата в хипервайзора, които потенциално биха могли да съдържат уязвимости.
• Добавена е възможност за зареждане на устройства на Intel без програмируем таймер (PIT, Programmable Interval Timer).
• Почистени остарели компоненти, спря изграждането на кода по подразбиране "qemu-xen-traditional" и PV-Grub (нуждата от тези специфични за Xen разклонения изчезна, след като промените с поддръжката на Xen бяха прехвърлени към основната структура на QEMU и Grub).
• За гости с ARM архитектура е въведена първоначална поддръжка за виртуализирани броячи за наблюдение на производителността.
• Подобрена поддръжка за режим dom0less, който ви позволява да избегнете внедряването на средата dom0 при стартиране на виртуални машини на ранен етап от зареждане на сървъра. Промените направиха възможно реализирането на поддръжка за 64-битови ARM системи с EFI фърмуер.
• Подобрена поддръжка за хетерогенни 64-битови ARM системи, базирани на архитектурата big.LITTLE, която съчетава мощни, но енергоемки ядра и по-нископроизводителни, но по-енергийно ефективни ядра в един чип.

В същото време Intel публикува пускането на хипервайзора Cloud Hypervisor 20.0, изграден на базата на компоненти на съвместния проект Rust-VMM, в който освен Intel участват още Alibaba, Amazon, Google и Red Hat. Rust-VMM е написан на езика Rust и ви позволява да създавате хипервайзори за специфични задачи. Cloud Hypervisor е един такъв хипервайзор, който осигурява монитор на виртуална машина на високо ниво (VMM), работещ върху KVM и оптимизиран за задачи, базирани на облак. Кодът на проекта е достъпен под лиценз Apache 2.0.

Cloud Hypervisor е фокусиран върху стартирането на съвременни дистрибуции на Linux, използващи паравиртуализирани устройства, базирани на virtio. Сред споменатите ключови цели са: висока отзивчивост, ниска консумация на памет, висока производителност, опростена конфигурация и намаляване на възможните вектори на атака. Поддръжката на емулация е сведена до минимум и фокусът е върху паравиртуализацията. В момента се поддържат само x86_64 системи, но се планира поддръжка на AArch64. За системите за гости в момента се поддържат само 64-битови версии на Linux. Процесорът, паметта, PCI и NVDIMM се конфигурират на етапа на сглобяване. Възможно е да мигрирате виртуални машини между сървъри.

В новата версия:

• За архитектурите x86_64 и aarch64 вече са разрешени до 16 PCI сегмента, което увеличава общия брой разрешени PCI устройства от 31 на 496.
• Реализирана е поддръжка за свързване на виртуални процесори с физически процесорни ядра (закрепване на процесора). За всеки vCPU вече е възможно да се дефинира ограничен набор от хост процесори, на които е разрешено изпълнение, което може да бъде полезно при директно картографиране (1:1) на хост и гост ресурси или когато се изпълнява виртуална машина на конкретен NUMA възел.
• Подобрена поддръжка за I/O виртуализация. Всеки VFIO регион вече може да бъде картографиран към паметта, което намалява броя на изходите на виртуалната машина и подобрява производителността на препращането на устройство към виртуалната машина.
• В кода на Rust е извършена работа за замяна на опасните секции с алтернативни реализации, изпълнявани в безопасен режим. За останалите опасни секции са добавени подробни коментари, обясняващи защо останалият опасен код може да се счита за безопасен.

Източник: opennet.ru