Després de vuit mesos de desenvolupament, s'ha llançat l'hipervisor gratuït Xen 4.16. Empreses com Amazon, Arm, Bitdefender, Citrix i EPAM Systems van participar en el desenvolupament de la nova versió. El llançament d'actualitzacions per a la branca Xen 4.16 durarà fins al 2 de juny de 2023 i la publicació de solucions de vulnerabilitats fins al 2 de desembre de 2024.
Canvis clau a Xen 4.16:
- El Gestor de TPM, que assegura el funcionament dels xips virtuals per emmagatzemar claus criptogràfiques (vTPM), implementats sobre la base d'un TPM físic comú (Mòdul de plataforma de confiança), s'ha corregit per implementar posteriorment el suport per a l'especificació TPM 2.0.
- Augment de la dependència de la capa PV Shim que s'utilitza per executar convidats paravirtualitzats (PV) no modificats en entorns PVH i HVM. En el futur, l'ús de convidats paravirtualitzats de 32 bits només serà possible en el mode PV Shim, que reduirà el nombre de llocs a l'hipervisor que podrien contenir vulnerabilitats.
- S'ha afegit la possibilitat d'arrencar en dispositius Intel sense temporitzador programable (PIT, temporitzador d'interval programable).
- Es van netejar els components obsolets, es va deixar de construir el codi predeterminat "qemu-xen-traditional" i PV-Grub (la necessitat d'aquestes forquilles específiques de Xen va desaparèixer després que els canvis amb el suport de Xen es van transferir a l'estructura principal de QEMU i Grub).
- Per als hostes amb arquitectura ARM, s'ha implementat el suport inicial per als comptadors de monitors de rendiment virtualitzats.
- Suport millorat per al mode dom0less, que us permet evitar desplegar l'entorn dom0 quan inicieu màquines virtuals en una fase inicial de l'arrencada del servidor. Els canvis realitzats van permetre implementar suport per a sistemes ARM de 64 bits amb firmware EFI.
- Suport millorat per a sistemes ARM heterogenis de 64 bits basats en l'arquitectura big.LITTLE, que combinen nuclis potents però consumits d'energia i nuclis de baix rendiment però més eficients energèticament en un sol xip.
Paral·lelament, Intel va publicar el llançament de l'hipervisor Cloud Hypervisor 20.0, construït sobre la base de components del projecte conjunt Rust-VMM, en el qual també participen, a més d'Intel, Alibaba, Amazon, Google i Red Hat. Rust-VMM està escrit en el llenguatge Rust i us permet crear hipervisors específics per a tasques. Cloud Hypervisor és un d'aquests hipervisors que proporciona un monitor de màquina virtual (VMM) d'alt nivell que s'executa sobre KVM i optimitzat per a tasques natives del núvol. El codi del projecte està disponible sota la llicència Apache 2.0.
Cloud Hypervisor se centra a executar distribucions de Linux modernes mitjançant dispositius paravirtualitzats basats en virtio. Entre els objectius clau esmentats es troben: alta capacitat de resposta, baix consum de memòria, alt rendiment, configuració simplificada i reducció de possibles vectors d'atac. El suport d'emulació es redueix al mínim i el focus es centra en la paravirtualització. Actualment només s'admeten els sistemes x86_64, però està previst el suport AArch64. Per als sistemes convidats, actualment només s'admeten les compilacions de 64 bits de Linux. La CPU, la memòria, el PCI i el NVDIMM es configuren en l'etapa de muntatge. És possible migrar màquines virtuals entre servidors.
En la nova versió:
- Per a les arquitectures x86_64 i aarch64, ara es permeten fins a 16 segments PCI, cosa que augmenta el nombre total de dispositius PCI permesos de 31 a 496.
- S'ha implementat el suport per vincular CPU virtuals a nuclis físics de CPU (fixació de CPU). Per a cada vCPU, ara és possible definir un conjunt limitat de CPU d'amfitrió on es permet l'execució, cosa que pot ser útil quan es mapegen directament (1:1) recursos host i host o quan s'executa una màquina virtual en un node NUMA específic.
- Suport millorat per a la virtualització d'E/S. Ara cada regió VFIO es pot mapar a la memòria, la qual cosa redueix el nombre de sortides de màquines virtuals i millora el rendiment del reenviament del dispositiu a la màquina virtual.
- Al codi Rust, s'ha treballat per substituir les seccions insegures per implementacions alternatives executades en mode segur. Per a les seccions insegures restants, s'han afegit comentaris detallats que expliquen per què el codi insegur restant es pot considerar segur.
Font: opennet.ru