Dopu ottu mesi di sviluppu, l'ipervisore gratuitu Xen 4.16 hè statu liberatu. Cumpagnia cum'è Amazon, Arm, Bitdefender, Citrix è EPAM Systems anu participatu à u sviluppu di a nova versione. A liberazione di l'aghjurnamenti per a filiera Xen 4.16 durà finu à u 2 di ghjugnu 2023, è a publicazione di correzioni di vulnerabilità finu à u 2 di dicembre di u 2024.
Cambiamenti chjave in Xen 4.16:
- U Manager TPM, chì assicura u funziunamentu di chips virtuali per almacenà e chjavi criptografiche (vTPM), implementatu nantu à a basa di un TPM fisicu cumuni (Modulu di Piattaforma Trusted), hè stata corretta per implementà in seguitu supportu per a specificazione TPM 2.0.
- Dipendenza aumentata da a strata PV Shim utilizata per eseguisce ospiti paravirtualizzati (PV) senza modificazioni in ambienti PVH è HVM. In u futuru, l'usu di l'ospiti paravirtualizzati 32-bit serà pussibule solu in u modu PV Shim, chì riducerà u numeru di posti in l'ipervisore chì puderia cuntene vulnerabili.
- Aggiunta l'abilità di avvià nantu à i dispositi Intel senza un timer programabile (PIT, Programmable Interval Timer).
- Pulite cumpunenti obsoleti, cessatu di custruisce u codice predeterminatu "qemu-xen-traditional" è PV-Grub (a necessità di sti forchetti specifichi di Xen sparì dopu chì i cambiamenti cù u supportu Xen sò stati trasferiti à a struttura principale di QEMU è Grub).
- Per l'ospiti cù l'architettura ARM, u supportu iniziale per i contatori di monitor di rendiment virtualizatu hè statu implementatu.
- Supportu migliuratu per u modu dom0less, chì vi permette di evità di implementà l'ambiente dom0 quandu cumincianu e macchine virtuali in una prima fase di boot di u servitore. I cambiamenti fatti permettenu di implementà u supportu per i sistemi ARM 64-bit cù firmware EFI.
- Supportu migliuratu per i sistemi ARM eterogenei di 64-bit basati nantu à l'architettura big.LITTLE, chì combina nuclei putenti ma affamati di putenza è nuclei di prestazione più bassa, ma più efficienti in energia in un solu chip.
À u stessu tempu, Intel hà publicatu a liberazione di l'hypervisor Cloud Hypervisor 20.0, custruitu nantu à a basa di cumpunenti di u prughjettu cumuni Rust-VMM, in quale, in più di Intel, Alibaba, Amazon, Google è Red Hat participanu ancu. Rust-VMM hè scrittu in a lingua Rust è permette di creà ipervisori specifichi per u travagliu. Cloud Hypervisor hè unu di tali ipervisori chì furnisce un monitoru di macchina virtuale d'altu livellu (VMM) in esecuzione nantu à KVM è ottimizzatu per i travaglii nativi di nuvola. U codice di u prughjettu hè dispunibule sottu a licenza Apache 2.0.
Cloud Hypervisor hè focu annantu à l'esecuzione di distribuzioni Linux muderne chì utilizanu dispositi paravirtualizati basati in virtio. Trà l'ugettivi chjave mintuati sò: alta reattività, pocu cunsumu di memoria, altu rendiment, cunfigurazione simplificata è riduzzione di pussibuli vettori di attaccu. U supportu di emulazione hè mantinutu à u minimu è l'enfasi hè nantu à a paravirtualizazione. Attualmente solu i sistemi x86_64 sò supportati, ma u supportu AArch64 hè pianificatu. Per i sistemi d'ospiti, solu i build 64-bit di Linux sò attualmente supportati. U CPU, memoria, PCI è NVDIMM sò cunfigurati in u stadiu di l'assemblea. Hè pussibule migrà e macchine virtuali trà i servitori.
In a nova versione:
- Per l'architetture x86_64 è aarch64, finu à 16 segmenti PCI sò avà permessi, chì aumenta u numeru tutale di dispositivi PCI permessi da 31 à 496.
- U supportu per l'associazione di CPU virtuali à i core fisici di CPU (CPU pinning) hè statu implementatu. Per ogni vCPU, hè avà pussibule di definisce un inseme limitatu di CPU d'ospiti nantu à quale l'esekzione hè permessa, chì pò esse utile quandu mapping direttamente (1: 1) risorse d'ospiti è ospiti o quandu eseguite una macchina virtuale in un node NUMA specificu.
- Supportu migliuratu per a virtualizazione I/O. Ogni regione VFIO pò avà esse mappata à a memoria, chì riduce u numeru di uscite di a macchina virtuale è migliurà a prestazione di trasmissioni di u dispositivu à a macchina virtuale.
- In u codice Rust, u travagliu hè statu fattu per rimpiazzà e rùbbriche insicure cù implementazioni alternative eseguite in modu sicuru. Per e rùbbriche insicure restante, cumenti detallati sò stati aghjuntu chì spieghendu perchè u codice inseguru restante pò esse cunsideratu sicuru.
Source: opennet.ru