No aacht Méint Entwécklung ass de gratis Hypervisor Xen 4.16 verëffentlecht ginn. Firmen wéi Amazon, Arm, Bitdefender, Citrix an EPAM Systems hunn un der Entwécklung vun der neier Verëffentlechung deelgeholl. D'Verëffentlechung vun Updates fir den Xen 4.16 Branche wäert bis den 2. Juni 2023 daueren, an d'Publikatioun vu Schwachstelle Fixen bis den 2. Dezember 2024.
Schlëssel Ännerungen am Xen 4.16:
- Den TPM Manager, deen d'Operatioun vu virtuelle Chips garantéiert fir kryptografesch Schlësselen (vTPM) ze späicheren, implementéiert op Basis vun engem gemeinsame kierperlechen TPM (Trusted Platform Module), gouf korrigéiert fir spéider Ënnerstëtzung fir d'TPM 2.0 Spezifizéierung ëmzesetzen.
- Erhéicht Ofhängegkeet vun der PV Shim Layer benotzt fir onmodifizéiert paravirtualiséiert (PV) Gäscht an PVH an HVM Ëmfeld ze lafen. An der Zukunft wäert d'Benotzung vun 32-Bit paravirtualiséierte Gäscht nëmmen am PV Shim Modus méiglech sinn, wat d'Zuel vun de Plazen am Hypervisor reduzéiert, déi potenziell Schwachstelle kéinte enthalen.
- D'Fäegkeet bäigefüügt fir op Intel-Geräter ouni programméierbaren Timer ze booten (PIT, Programméierbar Intervall Timer).
- Gebotzt obsolete Komponenten, gestoppt de Standardcode "qemu-xen-traditionell" a PV-Grub ze bauen (de Besoin fir dës Xen-spezifesch Gabel verschwonnen nodeems d'Ännerunge mat Xen-Ënnerstëtzung an d'Haaptstruktur vu QEMU a Grub transferéiert goufen).
- Fir Gäscht mat ARM Architektur, initial Ënnerstëtzung fir virtualiséiert Leeschtung Monitor counters ëmgesat gouf.
- Verbesserte Ënnerstëtzung fir den dom0less Modus, wat Iech erlaabt Iech d'dom0 Ëmfeld z'installéieren wann Dir virtuell Maschinnen op eng fréi Stuf vum Serverboot starten. D'Ännerunge gemaach hunn et méiglech gemaach Ënnerstëtzung fir 64-Bit ARM Systemer mat EFI Firmware ëmzesetzen.
- Verbessert Ënnerstëtzung fir heterogen 64-bëssen ARM Systemer baséiert op der grousser.LITTLE Architektur, déi mächteg, mee power-hongereg Kären a manner performant awer méi Muecht-efficace Kären an engem eenzege Chip kombinéieren.
Zur selwechter Zäit huet Intel d'Verëffentlechung vum Cloud Hypervisor 20.0 Hypervisor verëffentlecht, gebaut op Basis vu Komponenten vum gemeinsame Rust-VMM-Projet, an deem, nieft Intel, Alibaba, Amazon, Google a Red Hat och matmaachen. Rust-VMM ass an der Rust Sprooch geschriwwen an erlaabt Iech Aufgab-spezifesch Hypervisoren ze kreéieren. Cloud Hypervisor ass een esou Hypervisor deen en héijen Niveau virtuelle Maschinnmonitor (VMM) ubitt, deen uewen op KVM leeft an optiméiert fir Cloud-native Aufgaben. De Projet Code ass verfügbar ënner der Apache 2.0 Lizenz.
Cloud Hypervisor konzentréiert sech op modern Linux Verdeelunge mat virtio-baséiert paravirtualiséierter Geräter. Ënnert de ernimmte Schlësselziler sinn: héich Reaktiounsfäegkeet, niddereg Erënnerungsverbrauch, héich Leeschtung, vereinfacht Konfiguratioun a Reduktioun vu méiglechen Attackvektoren. Emulatiounssupport gëtt op e Minimum gehal an de Fokus ass op Paravirtualiséierung. De Moment ginn nëmmen x86_64 Systemer ënnerstëtzt, awer AArch64 Support ass geplangt. Fir Gaaschtsystemer ginn am Moment nëmmen 64-Bit Builds vu Linux ënnerstëtzt. D'CPU, d'Erënnerung, PCI an NVDIMM sinn op der Montagestadium konfiguréiert. Et ass méiglech virtuell Maschinnen tëscht Serveren ze migréieren.
An der neier Versioun:
- Fir x86_64 an aarch64 Architekturen sinn elo bis zu 16 PCI Segmenter erlaabt, wat d'total Zuel vun erlaabt PCI Geräter vun 31 op 496 erhéicht.
- Ënnerstëtzung fir virtuell CPUs un physesch CPU Cores ze binden (CPU Pinning) gouf implementéiert. Fir all vCPU ass et elo méiglech e limitéierten Set vu Host-CPUs ze definéieren, op deenen d'Ausféierung erlaabt ass, wat nëtzlech ka sinn wann Dir direkt (1:1) Host- a Gaaschtressourcen kartéiert oder wann Dir eng virtuell Maschinn op engem spezifesche NUMA Node leeft.
- Verbesserte Ënnerstëtzung fir I/O Virtualiséierung. All VFIO Regioun kann elo op d'Erënnerung kartéiert ginn, wat d'Zuel vun de virtuelle Maschinnausgäng reduzéiert an d'Performance vum Apparat Forwarding op déi virtuell Maschinn verbessert.
- Am Rust Code gouf geschafft fir onsécher Sektiounen ze ersetzen mat alternativen Implementatiounen, déi am séchere Modus ausgefouert ginn. Fir déi verbleiwen onsécher Rubriken, detailléiert Kommentaren goufen dobäi erkläert firwat de Rescht onsécher Code sécher considéréiert ginn kann.
Source: opennet.ru