ProHoster > Blog > notícies d'internet > Hipervisor Xen versió 4.17

Hipervisor Xen versió 4.17

Després d'un any de desenvolupament, s'ha llançat l'hipervisor gratuït Xen 4.17. Empreses com Amazon, Arm, Bitdefender, Citrix, EPAM Systems i Xilinx (AMD) van participar en el desenvolupament de la nova versió. La generació d'actualitzacions per a la branca Xen 4.17 durarà fins al 12 de juny de 2024 i la publicació de solucions de vulnerabilitats fins al 12 de desembre de 2025.

Canvis clau a Xen 4.17:

  • Es proporciona el compliment parcial dels requisits per al desenvolupament de programes segurs i fiables en llenguatge C, formulats a les especificacions MISRA-C utilitzades en la creació de sistemes de missió crítica. Xen implementa oficialment 4 directives i 24 regles MISRA-C (de 143 regles i 16 directives), i també integra l'analitzador estàtic MISRA-C en els processos de muntatge, que verifica el compliment dels requisits de les especificacions.
  • Proporciona la possibilitat de definir una configuració Xen estàtica per als sistemes ARM, que codifica tots els recursos necessaris per arrencar els convidats amb antelació. Tots els recursos, com ara la memòria compartida, els canals de notificació d'esdeveniments i l'espai de pila de l'hipervisor, s'assignen prèviament a l'inici de l'hipervisor en lloc d'assignar-se dinàmicament, eliminant possibles errors a causa de l'escassetat de recursos durant el funcionament.
  • S'ha implementat suport experimental (vista prèvia tècnica) per a la virtualització d'E/S mitjançant protocols VirtIO per a sistemes integrats basats en l'arquitectura ARM. El transport virtio-mmio s'utilitza per a l'intercanvi de dades amb el dispositiu d'E/S virtual, garantint la compatibilitat amb una àmplia gamma de dispositius VirtIO. S'ha implementat suport frontend per a Linux, cadena d'eines (libxl/xl), mode dom0less i backends que s'executen a l'espai d'usuari (s'han provat els backends virtio-disk, virtio-net, i2c i gpio).
  • Suport millorat per al mode dom0less, que permet evitar implementar un entorn dom0 a l'inici. màquines virtuals En una fase inicial de l'arrencada del servidor. Ara està disponible la capacitat de definir agrupacions de CPU (CPUPOOLs) a l'arrencada (mitjançant l'arbre de dispositius), cosa que permet utilitzar agrupacions en configuracions sense dom0, per exemple, per vincular diferents tipus de nuclis de CPU en sistemes ARM basats en l'arquitectura big.LITTLE, que combinen nuclis potents però que consumeixen molta energia amb nuclis menys potents però més eficients energèticament en un sol xip. A més, dom0less proporciona la capacitat de vincular el frontend/backend de paravirtualització als sistemes convidats, permetent que els sistemes convidats arrenquin amb els dispositius paravirtualitzats necessaris.
  • Als sistemes ARM, les estructures de virtualització de memòria (P2M, Physical to Machine) s'assignen ara des de l'agrupació de memòria creada quan es crea el domini, la qual cosa permet un millor aïllament entre convidats quan es produeixen errors relacionats amb la memòria.
  • Per als sistemes ARM, s'ha afegit protecció contra la vulnerabilitat Spectre-BHB a les estructures microarquitectòniques del processador.
  • En sistemes ARM, és possible executar el sistema operatiu Zephyr a l'entorn arrel Dom0.
  • Es proporciona la possibilitat d'un conjunt d'hipervisor separat (fora de l'arbre).
  • Als sistemes x86, les pàgines IOMMU grans (superpàgina) són compatibles amb tot tipus de sistemes convidats, la qual cosa permet augmentar el rendiment en reenviar dispositius PCI. S'ha afegit suport per a amfitrions equipats amb fins a 12 TB de RAM. En l'etapa d'arrencada, s'ha implementat la capacitat d'establir paràmetres cpuid per a dom0. Per controlar les mesures de protecció implementades a nivell d'hipervisor contra atacs a la CPU en sistemes convidats, es proposen els paràmetres VIRT_SSBD i MSR_SPEC_CTRL.
  • El transport VirtIO-Grant s'està desenvolupant per separat. Es diferencia de VirtIO-MMIO en què ofereix un nivell de seguretat més alt i la capacitat d'executar controladors en un domini de controlador separat i aïllat. En lloc del mapatge directe de memòria, VirtIO-Grant utilitza la traducció de les adreces físiques del sistema convidat en enllaços de concessió, permetent l'ús de regions de memòria compartida preacordades per a l'intercanvi de dades entre el sistema convidat i el backend VirtIO, sense atorgar permís al backend per realitzar el mapatge de memòria. El suport per a VirtIO-Grant ja està implementat al nucli. Linux, però encara no està inclòs als backends de QEMU, virtio-vhost o la cadena d'eines (libxl/xl).
  • La iniciativa Hyperlaunch, destinada a proporcionar eines flexibles per configurar l'inici de màquines virtuals durant l'arrencada del sistema, continua evolucionant. El primer conjunt de pegats ja està a punt, permetent la detecció de dominis PV i la transferència de les seves imatges a l'hipervisor durant l'arrencada. També s'ha implementat tot el necessari per iniciar aquests sistemes paravirtualitzats. доменов, incloent-hi components de Xenstore per a controladors PV. Un cop aprovats els pegats, començarà a treballar per habilitar la compatibilitat amb dispositius PVH i HVM, així com per implementar un domB (domini del constructor) separat adequat per a l'arrencada mesurada, que verifica la validesa de tots els components carregats.
  • Es continua treballant per crear un port de Xen per a l'arquitectura RISC-V.

Font: opennet.ru

Compreu allotjament fiable per a llocs amb protecció DDoS, servidors VPS VDS 🔥 Compra allotjament web fiable amb protecció DDoS, servidors VPS VDS | ProHoster