Post jaro da evoluo, la senpaga hiperviziero Xen 4.17 estis liberigita. Firmaoj kiel Amazon, Arm, Bitdefender, Citrix, EPAM Systems kaj Xilinx (AMD) partoprenis en la evoluo de la nova eldono. La generacio de ĝisdatigoj por la branĉo Xen 4.17 daŭros ĝis la 12-a de junio 2024, kaj la publikigo de korektoj pri vundeblecoj ĝis la 12-a de decembro 2025.
Ŝanĝoj en Xen 4.17:
- Parta observo estas provizita per la postuloj por la evoluo de sekuraj kaj fidindaj programoj en la C-lingvo, formulita en la MISRA-C-specifoj uzitaj en la kreado de misi-kritikaj sistemoj. Xen oficiale efektivigas 4 direktivojn kaj 24 MISRA-C-regulojn (el 143 reguloj kaj 16 direktivoj), kaj ankaŭ integras la MISRA-C senmovan analizilon en kunigprocezojn, kiu kontrolas konformecon al la specifpostuloj.
- Provizas la kapablon difini senmovan Xen-agordon por ARM-sistemoj, kiu malmola kodigo anticipe ĉiujn rimedojn necesajn por lanĉi gastojn. Ĉiuj resursoj, kiel ekzemple komuna memoro, okazaĵaj sciigkanaloj, kaj hipervizora amasspaco, estas antaŭ-asignitaj ĉe hipervizila ekfunkciigo prefere ol dinamike asignitaj, eliminante eblajn fiaskojn pro rimedmalabundoj dum operacio.
- Por enkonstruitaj sistemoj bazitaj sur ARM-arkitekturo, eksperimenta (teknika antaŭprezento) subteno por I/O-virtualigo uzanta VirtIO-protokolojn estis efektivigita. La virtio-mmio-transporto estas uzata por interŝanĝi datumojn kun virtuala I/O-aparato, kiu certigas kongruon kun larĝa gamo de VirtIO-aparatoj. Subteno por Linuksa fasado, ilaro (libxl/xl), dom0less-reĝimo kaj backends kurantaj en uzantspaco estis efektivigita (virtio-disk, virtio-net, i2c kaj gpio backends estis provitaj).
- Plibonigita subteno por la reĝimo dom0less, kiu ebligas al vi eviti disfaldi la medion dom0 kiam vi ekfunkciigas virtualajn maŝinojn en frua etapo de servila lanĉo. Eblas difini CPU-poolojn (CPUPOOL) ĉe la startstadio (per aparatarbo), kio ebligas al vi uzi poolojn en agordoj sen dom0, ekzemple, por ligi malsamajn specojn de CPU-kernoj sur ARM-sistemoj bazitaj sur la granda.LITTLE arkitekturo, kombinante potencajn, sed energikonsumantajn kernojn, kaj malpli produktivajn sed pli energi-efikajn kernojn. Krome, dom0less provizas la kapablon ligi paravirtualigan fasadon/backend al gastsistemoj, kio ebligas al vi startigi gastsistemojn per la necesaj paravirtualigitaj aparatoj.
- Sur ARM-sistemoj, memorvirtualigaj strukturoj (P2M, Physical to Machine) nun estas asignitaj de la memorgrupo kreita kiam la domajno estas kreita, kio enkalkulas pli bonan izolitecon inter gastoj kiam memor-rilataj fiaskoj okazas.
- Por ARM-sistemoj, protekto kontraŭ la Spectre-BHB-vundebleco en procesoraj mikroarkitekturaj strukturoj estis aldonita.
- Sur ARM-sistemoj, eblas ruli la operaciumon Zephyr en la radika medio Dom0.
- La ebleco de aparta (ekster-arba) hiperviziero-asembleo estas disponigita.
- Sur x86-sistemoj, grandaj IOMMU-paĝoj (superpaĝo) estas subtenataj por ĉiuj specoj de gastsistemoj, kio permesas pliigi trairon dum plusendado de PCI-aparatoj. Aldonita subteno por gastigantoj ekipitaj per ĝis 12 TB da RAM. En la startstadio, la kapablo agordi cpuid-parametrojn por dom0 estis efektivigita. Por kontroli la protektajn mezurojn efektivigitajn ĉe la hipervizora nivelo kontraŭ atakoj sur la CPU en gastsistemoj, la parametroj VIRT_SSBD kaj MSR_SPEC_CTRL estas proponitaj.
- La transporto VirtIO-Grant estas evoluigita aparte, diferencante de VirtIO-MMIO per pli alta nivelo de sekureco kaj la kapablo prizorgi prizorgantojn en aparta izolita domajno por ŝoforoj. VirtIO-Grant, anstataŭe de rekta memormapado, uzas la tradukon de fizikaj adresoj de la gastsistemo en stipendioligilojn, kio permesas la uzon de antaŭinterkonsentitaj areoj de komuna memoro por datumŝanĝo inter la gastsistemo kaj la VirtIO-backend, sen donado. la malantaŭaj rajtoj por fari memormapadon. VirtIO-Grant-subteno jam estas efektivigita en la Linukso-kerno, sed ankoraŭ ne estas inkluzivita en la QEMU-backends, en virtio-vhost kaj en la ilaro (libxl/xl).
- La Hyperlaunch-iniciato daŭre disvolviĝas, celante provizi flekseblajn ilojn por agordi la lanĉon de virtualaj maŝinoj dum sistema ekfunkciigo. Nuntempe, la unua aro da diakiloj jam estis preta, kiu ebligas al vi difini PV-domajnojn kaj transdoni iliajn bildojn al la hiperviziero dum ŝarĝo. Ĉio necesa por funkcii tiajn paravirtualigitajn domajnojn ankaŭ estis efektivigita, inkluzive de Xenstore-komponentoj por PV-ŝoforoj. Post kiam la diakiloj estas akceptitaj, laboro komenciĝos por ebligi subtenon por PVH kaj HVM-aparatoj, same kiel la efektivigon de aparta domB-domajno (konstrua domajno), taŭga por organizi mezurita lanĉo, konfirmante la validecon de ĉiuj ŝarĝitaj komponantoj.
- Laboro daŭras pri kreado de haveno de Xen por la RISC-V-arkitekturo.
fonto: opennet.ru