Après huit mois de développement, l'hyperviseur gratuit Xen 4.16 est sorti. Des sociétés telles qu'Amazon, Arm, Bitdefender, Citrix et EPAM Systems ont participé au développement de la nouvelle version. La sortie des mises à jour pour la branche Xen 4.16 durera jusqu'au 2 juin 2023, et la publication des correctifs de vulnérabilités jusqu'au 2 décembre 2024.
Principaux changements dans Xen 4.16 :
- Le TPM Manager, qui assure le fonctionnement des puces virtuelles de stockage des clés cryptographiques (vTPM), implémentées sur la base d'un TPM (Trusted Platform Module) physique commun, a été corrigé pour implémenter ultérieurement le support de la spécification TPM 2.0.
- Dépendance accrue à l'égard de la couche PV Shim utilisée pour exécuter des invités paravirtualisés (PV) non modifiés dans les environnements PVH et HVM. À l'avenir, l'utilisation d'invités paravirtualisés 32 bits ne sera possible qu'en mode PV Shim, ce qui réduira le nombre d'endroits dans l'hyperviseur pouvant potentiellement contenir des vulnérabilités.
- Ajout de la possibilité de démarrer sur des appareils Intel sans minuterie programmable (PIT, Programmable Interval Timer).
- Nettoyage des composants obsolètes, arrêt de la construction du code par défaut "qemu-xen-traditional" et PV-Grub (le besoin de ces forks spécifiques à Xen a disparu après que les modifications avec le support Xen ont été transférées à la structure principale de QEMU et Grub).
- Pour les invités dotés d’une architecture ARM, la prise en charge initiale des compteurs de moniteur de performances virtualisés a été implémentée.
- Prise en charge améliorée du mode dom0less, qui vous permet d'éviter de déployer l'environnement dom0 lors du démarrage des machines virtuelles à un stade précoce du démarrage du serveur. Les modifications apportées ont permis de mettre en œuvre la prise en charge des systèmes ARM 64 bits avec le firmware EFI.
- Prise en charge améliorée des systèmes ARM 64 bits hétérogènes basés sur l'architecture big.LITTLE, qui combine des cœurs puissants mais gourmands en énergie et des cœurs moins performants mais plus économes en énergie dans une seule puce.
Dans le même temps, Intel a publié la sortie de l'hyperviseur Cloud Hypervisor 20.0, construit sur la base des composants du projet commun Rust-VMM, auquel participent également, outre Intel, Alibaba, Amazon, Google et Red Hat. Rust-VMM est écrit en langage Rust et vous permet de créer des hyperviseurs spécifiques à des tâches. Cloud Hypervisor est l'un de ces hyperviseurs qui fournit un moniteur de machine virtuelle (VMM) de haut niveau fonctionnant sur KVM et optimisé pour les tâches cloud natives. Le code du projet est disponible sous la licence Apache 2.0.
Cloud Hypervisor se concentre sur l'exécution de distributions Linux modernes à l'aide de périphériques paravirtualisés basés sur virtio. Parmi les objectifs clés évoqués figurent : une réactivité élevée, une faible consommation mémoire, des performances élevées, une configuration simplifiée et une réduction des vecteurs d'attaque possibles. La prise en charge de l'émulation est réduite au minimum et l'accent est mis sur la paravirtualisation. Actuellement, seuls les systèmes x86_64 sont pris en charge, mais la prise en charge d'AArch64 est prévue. Pour les systèmes invités, seules les versions 64 bits de Linux sont actuellement prises en charge. Le CPU, la mémoire, le PCI et le NVDIMM sont configurés au stade de l'assemblage. Il est possible de migrer des machines virtuelles entre serveurs.
Dans la nouvelle version:
- Pour les architectures x86_64 et aarch64, jusqu'à 16 segments PCI sont désormais autorisés, ce qui augmente le nombre total de périphériques PCI autorisés de 31 à 496.
- La prise en charge de la liaison des processeurs virtuels aux cœurs de processeur physiques (épinglage du processeur) a été implémentée. Pour chaque vCPU, il est désormais possible de définir un ensemble limité de processeurs hôtes sur lesquels l'exécution est autorisée, ce qui peut être utile lors du mappage direct (1:1) des ressources hôte et invité ou lors de l'exécution d'une machine virtuelle sur un nœud NUMA spécifique.
- Prise en charge améliorée de la virtualisation des E/S. Chaque région VFIO peut désormais être mappée sur la mémoire, ce qui réduit le nombre de sorties de la machine virtuelle et améliore les performances de transfert des périphériques vers la machine virtuelle.
- Dans le code Rust, un travail a été effectué pour remplacer les sections non sécurisées par des implémentations alternatives exécutées en mode sans échec. Pour les sections non sécurisées restantes, des commentaires détaillés ont été ajoutés expliquant pourquoi le code non sécurisé restant peut être considéré comme sûr.
Source: opennet.ru