Nach acht Monaten Entwicklungszeit ist der kostenlose Hypervisor Xen 4.15 erschienen. An der Entwicklung des neuen Release waren Unternehmen wie Amazon, Arm, Bitdefender, Citrix und EPAM Systems beteiligt. Die Veröffentlichung von Updates für den Xen 4.15-Zweig dauert bis zum 8. Oktober 2022 und die Veröffentlichung von Schwachstellenkorrekturen bis zum 8. April 2024.
Wichtige Änderungen in Xen 4.15:
- Die Xenstored- und Oxenstored-Prozesse bieten experimentelle Unterstützung für Live-Updates und ermöglichen die Bereitstellung und Anwendung von Schwachstellenkorrekturen ohne Neustart der Hostumgebung.
- Unterstützung für einheitliche Boot-Images hinzugefügt, wodurch es möglich ist, System-Images zu erstellen, die Xen-Komponenten enthalten. Diese Images sind als einzelne EFI-Binärdatei verpackt, die zum Booten eines laufenden Xen-Systems direkt vom EFI-Bootmanager ohne zwischengeschaltete Bootloader wie GRUB verwendet werden kann. Das Image umfasst Xen-Komponenten wie den Hypervisor, den Kernel für die Host-Umgebung (dom0), initrd, Xen KConfig, XSM-Einstellungen und den Gerätebaum.
- Für die ARM-Plattform wurde eine experimentelle Möglichkeit zur Ausführung von Gerätemodellen auf der Seite des Hostsystems dom0 implementiert, die es ermöglicht, beliebige Hardwaregeräte für Gastsysteme auf Basis der ARM-Architektur zu emulieren. Für ARM wurde außerdem die Unterstützung von SMMUv3 (System Memory Management Unit) implementiert, wodurch die Sicherheit und Zuverlässigkeit der Geräteweiterleitung auf ARM-Systemen erhöht werden kann.
- Es wurde die Möglichkeit hinzugefügt, den IPT-Hardware-Tracing-Mechanismus (Intel Processor Trace) zu verwenden, der ab der Intel Broadwell-CPU eingeführt wurde, um Daten von Gastsystemen in Debugging-Dienstprogramme zu exportieren, die auf der Seite des Hostsystems ausgeführt werden. Sie können beispielsweise VMI Kernel Fuzzer oder DRAKVUF Sandbox verwenden.
- Unterstützung für Viridian-Umgebungen (Hyper-V) für die Ausführung von Windows-Gästen mit mehr als 64 VCPUs hinzugefügt.
- Die PV Shim-Schicht wurde aktualisiert und dient zum Ausführen unveränderter paravirtualisierter Gastsysteme (PV) in PVH- und HVM-Umgebungen (ermöglicht die Ausführung älterer Gastsysteme in sichereren Umgebungen, die eine strengere Isolierung bieten). Die neue Version bietet eine verbesserte Unterstützung für den Betrieb von PV-Gastsystemen in Umgebungen, die nur den HVM-Modus unterstützen. Die Größe der Zwischenschicht wurde aufgrund der Reduzierung des HVM-spezifischen Codes reduziert.
- Die Fähigkeiten der VirtIO-Treiber auf ARM-Systemen wurden erweitert. Für ARM-Systeme wurde eine Implementierung des IOREQ-Servers vorgeschlagen, der in Zukunft zur Verbesserung der I/O-Virtualisierung mithilfe von VirtIO-Protokollen eingesetzt werden soll. Eine Referenzimplementierung eines VirtIO-Blockgeräts für ARM hinzugefügt und die Möglichkeit bereitgestellt, VirtIO-Blockgeräte basierend auf der ARM-Architektur an Gäste zu übertragen. Die Aktivierung der PCIe-Virtualisierungsunterstützung für ARM hat begonnen.
- Die Arbeiten an der Implementierung einer Xen-Portierung für RISC-V-Prozessoren werden fortgesetzt. Derzeit wird Code zur Verwaltung des virtuellen Speichers auf der Host- und Gastseite sowie zur Erstellung von Code speziell für die RISC-V-Architektur entwickelt.
- Gemeinsam mit dem Zephyr-Projekt wird auf Basis des MISRA_C-Standards eine Reihe von Anforderungen und Code-Design-Richtlinien entwickelt, die das Risiko von Sicherheitsproblemen reduzieren. Statische Analysatoren werden verwendet, um Abweichungen von den erstellten Regeln zu identifizieren.
- Die Hyperlaunch-Initiative wird eingeführt, die darauf abzielt, flexible Tools zum Konfigurieren des Starts eines statischen Satzes virtueller Maschinen beim Systemstart bereitzustellen. Die Initiative schlug das Konzept von domB (Boot Domain, dom0less) vor, das es Ihnen ermöglicht, beim Starten virtueller Maschinen in einem frühen Stadium des Serverstarts auf die Bereitstellung der dom0-Umgebung zu verzichten.
- Das kontinuierliche Integrationssystem unterstützt Xen-Tests unter Alpine Linux und Ubuntu 20.04. CentOS 6-Tests wurden eingestellt. QEMU-basierte dom0/domU-Tests wurden zur kontinuierlichen Integrationsumgebung für ARM hinzugefügt.
Source: opennet.ru