Pärast aastast arendustööd on välja antud tasuta hüperviisor Xen 4.17. Uue versiooni väljatöötamisel osalesid sellised ettevõtted nagu Amazon, Arm, Bitdefender, Citrix, EPAM Systems ja Xilinx (AMD). Xen 4.17 haru värskenduste genereerimine kestab 12. juunini 2024 ja haavatavuse paranduste avaldamine kuni 12. detsembrini 2025.
Peamised muudatused versioonis Xen 4.17:
- Osaline vastavus tagatakse C-keeles ohutute ja töökindlate programmide arendamise nõuetele, mis on sõnastatud missioonikriitiliste süsteemide loomisel kasutatavates MISRA-C spetsifikatsioonides. Xen rakendab ametlikult 4 direktiivi ja 24 MISRA-C reeglit (143 reeglist ja 16 direktiivist) ning integreerib koosteprotsessidesse ka staatilise analüsaatori MISRA-C, mis kontrollib vastavust spetsifikatsiooni nõuetele.
- Võimaldab määratleda ARM-süsteemide jaoks staatilise Xeni konfiguratsiooni, mis kodeerib kõik külaliste eelkäivitamiseks vajalikud ressursid. Kõik ressursid, nagu ühismälu, sündmuste teavituskanalid ja hüperviisori kuhja ruum, jaotatakse pigem hüperviisori käivitamisel kui dünaamiliselt, välistades võimalikud tõrked, mis on tingitud ressursipuudusest töö ajal.
- ARM-i arhitektuuril põhinevate manustatud süsteemide jaoks on rakendatud eksperimentaalset (tehniline eelvaade) I/O virtualiseerimise tugi VirtIO-protokolle. Virtuaalse I/O seadmega andmete vahetamiseks kasutatakse virtio-mmio transporti, mis tagab ühilduvuse laia valiku VirtIO seadmetega. Rakendatud on Linuxi kasutajaliidese, tööriistakomplekti (libxl/xl), dom0less režiimi ja kasutajaruumis töötavate taustaprogrammide tugi (testitud on virtio-disk, virtio-net, i2c ja gpio taustaprogramme).
- Täiustatud tugi dom0less režiimile, mis võimaldab vältida dom0 keskkonna juurutamist virtuaalmasinate käivitamisel serveri alglaadimise varases staadiumis. Alglaadimise etapis (seadmepuu kaudu) on võimalik defineerida protsessorikogumeid (CPUPOOL), mis võimaldab kasutada basseine ilma dom0-ta konfiguratsioonides, näiteks siduda ARM-süsteemides erinevat tüüpi CPU-tuumasid suure.LITTLE alusel. arhitektuur, mis ühendab võimsad, kuid energiat tarbivad südamikud ja vähem tootlikud, kuid energiatõhusamad südamikud. Lisaks pakub dom0less võimalust siduda paravirtualiseerimise ees-/tagaprogramm külalissüsteemidega, mis võimaldab külaliste süsteeme vajalike paravirtualiseeritud seadmetega käivitada.
- ARM-süsteemides eraldatakse mälu virtualiseerimise struktuurid (P2M, Physical to Machine) nüüd domeeni loomisel loodud mälukogust, mis võimaldab külaliste vahel paremat isolatsiooni mäluga seotud tõrgete ilmnemisel.
- ARM-süsteemide jaoks on lisatud kaitse Spectre-BHB haavatavuse eest protsessori mikroarhitektuuristruktuurides.
- ARM-süsteemides on võimalik käivitada Zephyri operatsioonisüsteem Dom0 juurkeskkonnas.
- Pakutakse eraldi (puuvälise) hüpervisori koostu võimalus.
- x86 süsteemides toetatakse igat tüüpi külalissüsteemide jaoks suuri IOMMU lehti (superleht), mis võimaldab suurendada läbilaskevõimet PCI-seadmete edastamisel. Lisatud tugi kuni 12 TB RAM-iga hostidele. Alglaadimisetapis on rakendatud dom0 jaoks cpuid parameetrite määramise võimalus. Hüperviisori tasemel rakendatud kaitsemeetmete juhtimiseks külalissüsteemides CPU rünnakute vastu on välja pakutud parameetrid VIRT_SSBD ja MSR_SPEC_CTRL.
- VirtIO-Granti transporti arendatakse eraldi, mis erineb VirtIO-MMIO-st kõrgema turvalisuse taseme ja võimalusega käivitada töötlejaid juhtide jaoks eraldi isoleeritud domeenis. VirtIO-Grant kasutab otsese mälukaardistamise asemel külalissüsteemi füüsiliste aadresside tõlkimist lubade linkideks, mis võimaldab ilma luba andmata kasutada ühismälu eelnevalt kokkulepitud alasid andmevahetuseks külalissüsteemi ja VirtIO taustaprogrammi vahel. taustaprogrammi õigused mälu vastendamiseks. VirtIO-Granti tugi on juba Linuxi tuumas juurutatud, kuid see pole veel kaasatud QEMU taustaprogrammidesse, virtio-vhostisse ega tööriistakomplekti (libxl/xl).
- Algatus Hyperlaunch areneb jätkuvalt, mille eesmärk on pakkuda paindlikke tööriistu virtuaalmasinate käivitamise konfigureerimiseks süsteemi alglaadimise ajal. Praegu on juba valmis esimene komplekt plaastreid, mis võimaldavad tuvastada PV domeene ja laadida nende pilte hüperviisorisse. Samuti on rakendatud kõik vajalik selliste paravirtualiseeritud domeenide käitamiseks, sealhulgas Xenstore komponendid PV draiveritele. Kui paigad on aktsepteeritud, algab töö PVH- ja HVM-seadmete toe võimaldamiseks ning eraldi domB domeeni (builder domain) juurutamine, mis sobib mõõdetud alglaadimise korraldamiseks, mis kinnitab kõigi laetud komponentide kehtivust.
- Jätkub töö Xeni pordi loomisega RISC-V arhitektuuri jaoks.
Allikas: opennet.ru