Μετά από οκτώ μήνες ανάπτυξης, κυκλοφόρησε ο δωρεάν hypervisor Xen 4.16. Στην ανάπτυξη της νέας έκδοσης συμμετείχαν εταιρείες όπως η Amazon, η Arm, η Bitdefender, η Citrix και η EPAM Systems. Η κυκλοφορία των ενημερώσεων για τον κλάδο Xen 4.16 θα διαρκέσει έως τις 2 Ιουνίου 2023 και η δημοσίευση επιδιορθώσεων ευπάθειας έως τις 2 Δεκεμβρίου 2024.
Βασικές αλλαγές στο Xen 4.16:
- Το TPM Manager, το οποίο διασφαλίζει τη λειτουργία εικονικών τσιπ για την αποθήκευση κρυπτογραφικών κλειδιών (vTPM), που υλοποιείται με βάση ένα κοινό φυσικό TPM (Trusted Platform Module), έχει διορθωθεί για να υλοποιήσει στη συνέχεια υποστήριξη για την προδιαγραφή TPM 2.0.
- Αυξημένη εξάρτηση από το επίπεδο PV Shim που χρησιμοποιείται για την εκτέλεση μη τροποποιημένων παραεικονικών προσκεκλημένων (PV) σε περιβάλλοντα PVH και HVM. Στο εξής, η χρήση παραεικονικών προσκεκλημένων 32 bit θα είναι δυνατή μόνο σε λειτουργία PV Shim, γεγονός που θα μειώσει τον αριθμό των θέσεων στον υπερεπόπτη που θα μπορούσαν ενδεχομένως να περιέχουν ευπάθειες.
- Προστέθηκε η δυνατότητα εκκίνησης σε συσκευές Intel χωρίς προγραμματιζόμενο χρονόμετρο (PIT, Programmable Interval Timer).
- Καθαρίστηκαν παρωχημένα εξαρτήματα, διακόπηκε η δημιουργία του προεπιλεγμένου κωδικού "qemu-xen-traditional" και PV-Grub (η ανάγκη για αυτά τα ειδικά για το Xen πιρούνια εξαφανίστηκε αφού οι αλλαγές με υποστήριξη Xen μεταφέρθηκαν στην κύρια δομή των QEMU και Grub).
- Για επισκέπτες με αρχιτεκτονική ARM, έχει εφαρμοστεί αρχική υποστήριξη για εικονικούς μετρητές παρακολούθησης απόδοσης.
- Βελτιωμένη υποστήριξη για τη λειτουργία dom0less, η οποία σας επιτρέπει να αποφύγετε την ανάπτυξη του περιβάλλοντος dom0 κατά την εκκίνηση εικονικών μηχανών σε πρώιμο στάδιο εκκίνησης διακομιστή. Οι αλλαγές που έγιναν κατέστησαν δυνατή την υλοποίηση υποστήριξης για συστήματα ARM 64-bit με υλικολογισμικό EFI.
- Βελτιωμένη υποστήριξη για ετερογενή συστήματα ARM 64 bit που βασίζονται στην αρχιτεκτονική big.LITTLE, τα οποία συνδυάζουν ισχυρούς αλλά απαιτητικούς πυρήνες και πυρήνες χαμηλότερης απόδοσης, αλλά πιο αποδοτικούς σε ενέργεια σε ένα μόνο τσιπ.
Ταυτόχρονα, η Intel δημοσίευσε την κυκλοφορία του hypervisor Cloud Hypervisor 20.0, που δημιουργήθηκε με βάση στοιχεία του κοινού έργου Rust-VMM, στο οποίο, εκτός από την Intel, συμμετέχουν και η Alibaba, η Amazon, η Google και η Red Hat. Το Rust-VMM είναι γραμμένο στη γλώσσα Rust και σας επιτρέπει να δημιουργείτε hypervisors για συγκεκριμένες εργασίες. Το Cloud Hypervisor είναι ένας τέτοιος hypervisor που παρέχει μια οθόνη εικονικής μηχανής υψηλού επιπέδου (VMM) που τρέχει πάνω από το KVM και είναι βελτιστοποιημένη για εγγενείς εργασίες στο cloud. Ο κώδικας του έργου είναι διαθέσιμος με την άδεια Apache 2.0.
Το Cloud Hypervisor επικεντρώνεται στην εκτέλεση σύγχρονων διανομών Linux χρησιμοποιώντας παραεικονικές συσκευές βασισμένες σε virtio. Μεταξύ των βασικών στόχων που αναφέρονται είναι: υψηλή ανταπόκριση, χαμηλή κατανάλωση μνήμης, υψηλή απόδοση, απλοποιημένη διαμόρφωση και μείωση πιθανών διανυσμάτων επίθεσης. Η υποστήριξη εξομοίωσης περιορίζεται στο ελάχιστο και η εστίαση είναι στην παραεικονικοποίηση. Προς το παρόν υποστηρίζονται μόνο συστήματα x86_64, αλλά σχεδιάζεται υποστήριξη AArch64. Για φιλοξενούμενα συστήματα, υποστηρίζονται επί του παρόντος μόνο εκδόσεις Linux 64-bit. Η CPU, η μνήμη, το PCI και το NVDIMM διαμορφώνονται στο στάδιο της συναρμολόγησης. Είναι δυνατή η μετεγκατάσταση εικονικών μηχανών μεταξύ διακομιστών.
Στη νέα έκδοση:
- Για τις αρχιτεκτονικές x86_64 και aarch64, επιτρέπονται πλέον έως και 16 τμήματα PCI, γεγονός που αυξάνει τον συνολικό αριθμό των επιτρεπόμενων συσκευών PCI από 31 σε 496.
- Έχει υλοποιηθεί υποστήριξη για σύνδεση εικονικών CPU σε φυσικούς πυρήνες CPU (CPU pinning). Για κάθε vCPU, είναι πλέον δυνατό να οριστεί ένα περιορισμένο σύνολο από CPU κεντρικού υπολογιστή στις οποίες επιτρέπεται η εκτέλεση, το οποίο μπορεί να είναι χρήσιμο κατά την απευθείας αντιστοίχιση (1:1) πόρων κεντρικού υπολογιστή και επισκέπτη ή κατά την εκτέλεση μιας εικονικής μηχανής σε έναν συγκεκριμένο κόμβο NUMA.
- Βελτιωμένη υποστήριξη για εικονικοποίηση I/O. Κάθε περιοχή VFIO μπορεί τώρα να αντιστοιχιστεί στη μνήμη, γεγονός που μειώνει τον αριθμό των εξόδων εικονικής μηχανής και βελτιώνει την απόδοση της προώθησης συσκευών στην εικονική μηχανή.
- Στον κώδικα Rust, έχει γίνει δουλειά για την αντικατάσταση μη ασφαλών τμημάτων με εναλλακτικές υλοποιήσεις που εκτελούνται σε ασφαλή λειτουργία. Για τις υπόλοιπες μη ασφαλείς ενότητες, έχουν προστεθεί λεπτομερή σχόλια που εξηγούν γιατί ο υπόλοιπος μη ασφαλής κωδικός μπορεί να θεωρηθεί ασφαλής.
Πηγή: opennet.ru