AprÚs huit mois de développement, l'hyperviseur gratuit Xen 4.16 est sorti. Des sociétés telles qu'Amazon, Arm, Bitdefender, Citrix et EPAM Systems ont participé au développement de la nouvelle version. La sortie des mises à jour pour la branche Xen 4.16 durera jusqu'au 2 juin 2023, et la publication des correctifs de vulnérabilités jusqu'au 2 décembre 2024.
Principaux changements dans Xen 4.16 :
- Le TPM Manager, qui assure le fonctionnement des puces virtuelles de stockage des clés cryptographiques (vTPM), implémentées sur la base d'un TPM (Trusted Platform Module) physique commun, a été corrigé pour implémenter ultérieurement le support de la spécification TPM 2.0.
- Dépendance accrue à l'égard de la couche PV Shim utilisée pour exécuter des invités paravirtualisés (PV) non modifiés dans les environnements PVH et HVM. à l'avenir, l'utilisation d'invités paravirtualisés 32 bits ne sera possible qu'en mode PV Shim, ce qui réduira le nombre d'endroits dans l'hyperviseur pouvant potentiellement contenir des vulnérabilités.
- Ajout de la possibilité de démarrer sur des appareils Intel sans minuterie programmable (PIT, Programmable Interval Timer).
- Nettoyage des composants obsolĂštes, arrĂȘt de la construction du code par dĂ©faut "qemu-xen-traditional" et PV-Grub (le besoin de ces forks spĂ©cifiques Ă Xen a disparu aprĂšs que les modifications avec le support Xen ont Ă©tĂ© transfĂ©rĂ©es Ă la structure principale de QEMU et Grub).
- Pour les invitĂ©s dotĂ©s dâune architecture ARM, la prise en charge initiale des compteurs de moniteur de performances virtualisĂ©s a Ă©tĂ© implĂ©mentĂ©e.
- Amélioration de la prise en charge du mode sans dom0, permettant d'éviter le déploiement d'un environnement dom0 au démarrage. machines virtuelles au début du processus de démarrage du serveur. Les modifications apportées ont permis la prise en charge des systÚmes ARM 64 bits avec firmware EFI.
- Prise en charge amĂ©liorĂ©e des systĂšmes ARM 64 bits hĂ©tĂ©rogĂšnes basĂ©s sur l'architecture big.LITTLE, qui combine des cĆurs puissants mais gourmands en Ă©nergie et des cĆurs moins performants mais plus Ă©conomes en Ă©nergie dans une seule puce.
Dans le mĂȘme temps, Intel a publiĂ© la sortie de l'hyperviseur Cloud Hypervisor 20.0, construit sur la base des composants du projet commun Rust-VMM, auquel participent Ă©galement, outre Intel, Alibaba, Amazon, Google et Red Hat. Rust-VMM est Ă©crit en langage Rust et vous permet de crĂ©er des hyperviseurs spĂ©cifiques Ă des tĂąches. Cloud Hypervisor est l'un de ces hyperviseurs qui fournit un moniteur de machine virtuelle (VMM) de haut niveau fonctionnant sur KVM et optimisĂ© pour les tĂąches cloud natives. Le code du projet est disponible sous la licence Apache 2.0.
Cloud Hypervisor est axĂ© sur l'exĂ©cution de distributions modernes. Linux Utilisation de pĂ©riphĂ©riques paravirtualisĂ©s basĂ©s sur Virtio. Objectifs principaux : rĂ©activitĂ© Ă©levĂ©e, faible consommation de mĂ©moire, hautes performances, configuration simplifiĂ©e et rĂ©duction des vecteurs dâattaque. LâĂ©mulation est rĂ©duite au minimum, lâaccent Ă©tant mis sur la paravirtualisation. Actuellement, seuls les systĂšmes x86_64 sont pris en charge, mais la prise en charge des architectures AArch64 est prĂ©vue. Seules les versions 64 bits sont actuellement prises en charge pour les machines virtuelles invitĂ©es. LinuxLa configuration du processeur, de la mĂ©moire, des ports PCI et NVDIMM est effectuĂ©e lors du processus de compilation. Migration des machines virtuelles entre serveurs.
Dans la nouvelle version:
- Pour les architectures x86_64 et aarch64, jusqu'à 16 segments PCI sont désormais autorisés, ce qui augmente le nombre total de périphériques PCI autorisés de 31 à 496.
- La prise en charge de la liaison des processeurs virtuels aux cĆurs de processeur physiques (Ă©pinglage du processeur) a Ă©tĂ© implĂ©mentĂ©e. Pour chaque vCPU, il est dĂ©sormais possible de dĂ©finir un ensemble limitĂ© de processeurs hĂŽtes sur lesquels l'exĂ©cution est autorisĂ©e, ce qui peut ĂȘtre utile lors du mappage direct (1:1) des ressources hĂŽte et invitĂ© ou lors de l'exĂ©cution d'une machine virtuelle sur un nĆud NUMA spĂ©cifique.
- Prise en charge amĂ©liorĂ©e de la virtualisation des E/S. Chaque rĂ©gion VFIO peut dĂ©sormais ĂȘtre mappĂ©e sur la mĂ©moire, ce qui rĂ©duit le nombre de sorties de la machine virtuelle et amĂ©liore les performances de transfert des pĂ©riphĂ©riques vers la machine virtuelle.
- Dans le code Rust, un travail a Ă©tĂ© effectuĂ© pour remplacer les sections non sĂ©curisĂ©es par des implĂ©mentations alternatives exĂ©cutĂ©es en mode sans Ă©chec. Pour les sections non sĂ©curisĂ©es restantes, des commentaires dĂ©taillĂ©s ont Ă©tĂ© ajoutĂ©s expliquant pourquoi le code non sĂ©curisĂ© restant peut ĂȘtre considĂ©rĂ© comme sĂ»r.
Source: opennet.ru
