Zortzi hilabeteko garapenaren ondoren, doako hipervisor Xen 4.16 kaleratu da. Amazon, Arm, Bitdefender, Citrix eta EPAM Systems bezalako enpresek parte hartu dute bertsio berriaren garapenean. Xen 4.16 adarraren eguneratzeak kaleratzeak 2ko ekainaren 2023ra arte iraungo du eta ahultasunen konponketak argitaratzea 2ko abenduaren 2024ra arte.
Xen 4.16-n funtsezko aldaketak:
- TPM kudeatzailea, gako kriptografikoak (vTPM) gordetzeko txip birtualen funtzionamendua bermatzen duena, TPM fisiko komun batean (Trusted Platform Module) oinarrituta ezarrita, zuzendu egin da gero TPM 2.0 zehaztapenerako euskarria ezartzeko.
- PVH eta HVM inguruneetan aldatu gabeko parabirtualizatu (PV) gonbidatuak exekutatzeko erabiltzen den PV Shim geruzaren mendekotasuna areagotu da. Aurrerantzean, 32 biteko gonbidatu parabirtualizatuen erabilera PV Shim moduan bakarrik izango da posible, eta horrek ahultasunak izan ditzakeen hipervisorearen leku kopurua murriztuko du.
- Intel gailuetan tenporizadore programagarririk gabe abiarazteko gaitasuna gehitu da (PIT, Interval Timer programagarria).
- Osagai zaharkituak garbitu, lehenetsitako "qemu-xen-traditional" eta PV-Grub kodea eraikitzeari utzi zion (Xen-en berariazko sardexka horien beharra desagertu egin zen Xen euskarriaren aldaketak QEMU eta Grub-en egitura nagusira transferitu ondoren).
- ARM arkitektura duten gonbidatuentzat, errendimendu-monitore birtualizatuen kontagailuen hasierako laguntza ezarri da.
- Dom0less modurako euskarria hobetu da, eta horrek dom0 ingurunea zabaltzea saihesteko aukera ematen du makina birtualak zerbitzariaren abiaraztearen hasierako fasean abiaraztean. Egindako aldaketek EFI firmwarearekin 64 biteko ARM sistemetarako euskarria ezartzea ahalbidetu zuten.
- Big.LITTLE arkitekturan oinarritutako 64 biteko ARM sistema heterogeneoentzako euskarria hobetu da, nukleo indartsuak baina potentzia-goseak eta errendimendu baxuko baina potentzia eraginkorragoak diren nukleoak txip bakar batean konbinatzen dituztenak.
Aldi berean, Intel-ek Cloud Hypervisor 20.0 hipervisorearen oharra argitaratu zuen, Rust-VMM proiektu bateratuaren osagaietan oinarrituta eraikia, eta bertan, Intelez gain, Alibaba, Amazon, Google eta Red Hat-ek ere parte hartzen dute. Rust-VMM Rust hizkuntzan idatzita dago eta ataza espezifikoko hipervisorak sortzeko aukera ematen du. Cloud Hypervisor KVMren gainean exekutatzen den goi-mailako makina birtualeko monitorea (VMM) eskaintzen duen hiperbissore bat da eta hodeiko jatorrizko zereginetarako optimizatuta dago. Proiektuaren kodea Apache 2.0 lizentziapean dago eskuragarri.
Cloud Hypervisor Linux banaketa modernoak exekutatzen ditu virtioan oinarritutako gailu parabirtualizatuak erabiliz. Aipatutako funtsezko helburuen artean honako hauek daude: erantzun handia, memoria-kontsumo txikia, errendimendu handia, konfigurazio sinplifikatua eta balizko eraso-bektoreak murriztea. Emulazio euskarria gutxienekoa da eta parabirtualizazioan jartzen da arreta. Gaur egun x86_64 sistemak bakarrik onartzen dira, baina AArch64 laguntza aurreikusten da. Sistema gonbidatuetarako, Linux-en 64 biteko eraikitzeak soilik onartzen dira gaur egun. CPU, memoria, PCI eta NVDIMM muntaketa fasean konfiguratzen dira. Zerbitzarien artean makina birtualak migratzeko aukera dago.
Bertsio berrian:
- x86_64 eta aarch64 arkitekturarako, 16 PCI segmentu arte onartzen dira orain, eta horrek baimendutako PCI gailuen kopurua 31tik 496ra handitzen du.
- PUZ birtualak PUZaren nukleo fisikoekin lotzeko laguntza (CPU pinning) ezarri da. vCPU bakoitzerako, orain posible da exekuzioa onartzen den ostalari-PUZ multzo mugatu bat definitzea, eta hori erabilgarria izan daiteke ostalariaren eta gonbidatuaren baliabideak zuzenean mapatzean (1:1) edo makina birtual bat NUMA nodo jakin batean exekutatzen denean.
- I/O birtualizaziorako laguntza hobetua. VFIO eskualde bakoitza memoriara mapatu daiteke orain, eta horrek makina birtualen irteera kopurua murrizten du eta gailuak makina birtualera birbidaltzearen errendimendua hobetzen du.
- Rust kodean, seguruak ez diren atalak modu seguruan exekutatutako inplementazio alternatiboekin ordezkatzeko lana egin da. Gainontzeko atal ez-seguruetarako, iruzkin zehatzak gehitu dira, gainerako kode segurua zergatik segurutzat jo daitekeen azaltzeko.
Iturria: opennet.ru