Después de ocho meses de desarrollo, se lanzó el hipervisor gratuito Xen 4.16. En el desarrollo de la nueva versión participaron empresas como Amazon, Arm, Bitdefender, Citrix y EPAM Systems. El lanzamiento de actualizaciones para la rama Xen 4.16 durará hasta el 2 de junio de 2023 y la publicación de correcciones de vulnerabilidades hasta el 2 de diciembre de 2024.
Cambios clave en Xen 4.16:
- El TPM Manager, que garantiza el funcionamiento de chips virtuales para almacenar claves criptográficas (vTPM), implementado sobre la base de un TPM (Trusted Platform Module) físico común, se ha corregido para implementar posteriormente soporte para la especificación TPM 2.0.
- Mayor dependencia de la capa PV Shim utilizada para ejecutar invitados paravirtualizados (PV) no modificados en entornos PVH y HVM. En el futuro, el uso de invitados paravirtualizados de 32 bits solo será posible en el modo PV Shim, lo que reducirá la cantidad de lugares en el hipervisor que podrían contener vulnerabilidades.
- Se agregó la capacidad de iniciar dispositivos Intel sin un temporizador programable (PIT, temporizador de intervalo programable).
- Se limpiaron componentes obsoletos, se dejó de crear el código predeterminado "qemu-xen-traditional" y PV-Grub (la necesidad de estas bifurcaciones específicas de Xen desapareció después de que los cambios con el soporte de Xen se transfirieron a la estructura principal de QEMU y Grub).
- Para los invitados con arquitectura ARM, se implementó soporte inicial para contadores de monitor de rendimiento virtualizados.
- Soporte mejorado para el modo dom0less, que le permite evitar implementar el entorno dom0 al iniciar máquinas virtuales en una etapa temprana del arranque del servidor. Los cambios realizados permitieron implementar soporte para sistemas ARM de 64 bits con firmware EFI.
- Soporte mejorado para sistemas ARM heterogéneos de 64 bits basados en la arquitectura big.LITTLE, que combinan núcleos potentes pero que consumen mucha energía y núcleos de menor rendimiento pero más eficientes energéticamente en un solo chip.
Al mismo tiempo, Intel publicó el lanzamiento del hipervisor Cloud Hypervisor 20.0, construido sobre la base de componentes del proyecto conjunto Rust-VMM, en el que, además de Intel, también participan Alibaba, Amazon, Google y Red Hat. Rust-VMM está escrito en lenguaje Rust y le permite crear hipervisores para tareas específicas. Cloud Hypervisor es uno de esos hipervisores que proporciona un monitor de máquina virtual (VMM) de alto nivel que se ejecuta sobre KVM y está optimizado para tareas nativas de la nube. El código del proyecto está disponible bajo la licencia Apache 2.0.
Cloud Hypervisor se centra en ejecutar distribuciones modernas de Linux utilizando dispositivos paravirtualizados basados en virtio. Entre los objetivos clave mencionados se encuentran: alta capacidad de respuesta, bajo consumo de memoria, alto rendimiento, configuración simplificada y reducción de posibles vectores de ataque. El soporte de emulación se mantiene al mínimo y la atención se centra en la paravirtualización. Actualmente solo se admiten sistemas x86_64, pero está previsto el soporte AArch64. Para los sistemas invitados, actualmente solo se admiten versiones de Linux de 64 bits. La CPU, la memoria, PCI y NVDIMM se configuran en la etapa de ensamblaje. Es posible migrar máquinas virtuales entre servidores.
Versículos nuevos:
- Para las arquitecturas x86_64 y aarch64, ahora se permiten hasta 16 segmentos PCI, lo que aumenta la cantidad total de dispositivos PCI permitidos de 31 a 496.
- Se ha implementado soporte para vincular CPU virtuales a núcleos de CPU físicos (fijación de CPU). Para cada vCPU, ahora es posible definir un conjunto limitado de CPU de host en las que se permite la ejecución, lo que puede resultar útil al asignar directamente (1:1) recursos de host e invitados o al ejecutar una máquina virtual en un nodo NUMA específico.
- Soporte mejorado para virtualización de E/S. Cada región VFIO ahora se puede asignar a la memoria, lo que reduce la cantidad de salidas de la máquina virtual y mejora el rendimiento del reenvío de dispositivos a la máquina virtual.
- En el código Rust se ha trabajado para reemplazar secciones inseguras con implementaciones alternativas ejecutadas en modo seguro. Para las secciones inseguras restantes, se agregaron comentarios detallados que explican por qué el código inseguro restante puede considerarse seguro.
Fuente: opennet.ru