Po metų kūrimo buvo išleistas nemokamas hipervizorius Xen 4.17. Kuriant naują leidimą dalyvavo tokios kompanijos kaip „Amazon“, „Arm“, „Bitdefender“, „Citrix“, „EPAM Systems“ ir „Xilinx“ (AMD). „Xen 4.17“ šakos naujinimų generavimas truks iki 12 m. birželio 2024 d., o pažeidžiamumo pataisymai bus paskelbti iki 12 m. gruodžio 2025 d.
Pagrindiniai Xen 4.17 pakeitimai:
- Numatytas dalinis atitikimas saugių ir patikimų programų kūrimo C kalba reikalavimams, suformuluotiems MISRA-C specifikacijose, naudojamose kuriant itin svarbias sistemas. „Xen“ oficialiai įgyvendina 4 direktyvas ir 24 MISRA-C taisykles (iš 143 taisyklių ir 16 direktyvų), taip pat integruoja MISRA-C statinį analizatorių į surinkimo procesus, kurie patikrina atitiktį specifikacijos reikalavimams.
- Suteikia galimybę apibrėžti statinę ARM sistemų Xen konfigūraciją, kuri iš anksto užkoduoja visus išteklius, reikalingus svečiams paleisti. Visi ištekliai, pvz., bendra atmintis, pranešimų apie įvykius kanalai ir hipervizoriaus krūvos vieta, yra iš anksto paskirstomi paleidžiant hipervizorių, o ne dinamiškai, pašalinant galimus gedimus dėl išteklių trūkumo veikimo metu.
- Įterptosiose sistemose, pagrįstose ARM architektūra, buvo įdiegtas eksperimentinis (techninės peržiūros) įvesties / išvesties virtualizacijos palaikymas naudojant VirtIO protokolus. Virtio-mmio transportas naudojamas keistis duomenimis su virtualiu I/O įrenginiu, kuris užtikrina suderinamumą su daugybe VirtIO įrenginių. Įdiegtas Linux frontend, įrankių rinkinio (libxl/xl), dom0less režimo ir vartotojo erdvėje veikiančių backendų palaikymas (išbandytos virtio-disk, virtio-net, i2c ir gpio backends).
- Patobulintas dom0less režimo palaikymas, kuris leidžia išvengti dom0 aplinkos diegimo paleidžiant virtualias mašinas ankstyvame serverio įkrovos etape. Galima apibrėžti procesoriaus telkinius (CPUPOOL) įkrovos etape (per įrenginių medį), o tai leidžia naudoti telkinius konfigūracijose be dom0, pavyzdžiui, susieti įvairių tipų CPU branduolius ARM sistemose, remiantis big.LITTLE. architektūra, jungianti galingus, bet energiją vartojančius branduolius ir mažiau produktyvius, bet energiją taupančius branduolius. Be to, dom0less suteikia galimybę susieti paravirtualizacijos frontend/backend su svečių sistemomis, o tai leidžia paleisti svečių sistemas su reikalingais paravirtualizuotais įrenginiais.
- ARM sistemose atminties virtualizavimo struktūros (P2M, Physical to Machine) dabar yra priskiriamos iš atminties telkinio, sukurto kuriant domeną, o tai leidžia geriau atskirti svečius, kai atsiranda su atmintimi susijusių gedimų.
- ARM sistemoms buvo pridėta apsauga nuo Spectre-BHB pažeidžiamumo procesoriaus mikroarchitektūrinėse struktūrose.
- ARM sistemose galima paleisti Zephyr operacinę sistemą Dom0 šakninėje aplinkoje.
- Numatyta atskiro (ne medžio) hipervizoriaus surinkimo galimybė.
- X86 sistemose dideli IOMMU puslapiai (superpuslapis) palaikomi visų tipų svečių sistemoms, o tai leidžia padidinti pralaidumą persiunčiant PCI įrenginius. Pridėtas palaikymas pagrindiniams kompiuteriams, turintiems iki 12 TB RAM. Įkrovos etape buvo įdiegta galimybė nustatyti dom0 cpuid parametrus. Hipervizoriaus lygiu įdiegtoms apsaugos priemonėms nuo atakų prieš CPU svečių sistemose valdyti siūlomi parametrai VIRT_SSBD ir MSR_SPEC_CTRL.
- VirtIO-Grant transportas kuriamas atskirai, nuo VirtIO-MMIO skiriasi aukštesniu saugumo lygiu ir galimybe paleisti tvarkykles atskirame vairuotojams atskirame domene. VirtIO-Grant vietoj tiesioginio atminties susiejimo naudoja svečio sistemos fizinių adresų vertimą į suteikimo nuorodas, o tai leidžia naudoti iš anksto sutartas bendros atminties sritis duomenų mainams tarp svečių sistemos ir VirtIO užpakalinės programos, nesuteikiant suteikimo. užpakalinės programos teisės atlikti atminties susiejimą. „VirtIO-Grant“ palaikymas jau įdiegtas „Linux“ branduolyje, bet dar neįtrauktas į QEMU pagrindines programas, „virtio-vhost“ ir įrankių rinkinį (libxl/xl).
- Iniciatyva „Hyperlaunch“ toliau plėtojama, siekiant suteikti lanksčius įrankius, leidžiančius konfigūruoti virtualių mašinų paleidimą sistemos įkrovos metu. Šiuo metu jau yra paruoštas pirmasis pataisų rinkinys, leidžiantis aptikti PV domenus ir kraunant perkelti jų vaizdus į hipervizorių. Taip pat įdiegta viskas, ko reikia tokiems paravirtualizuotoms domenams paleisti, įskaitant „Xenstore“ komponentus PV tvarkyklėms. Priėmus pataisas, bus pradėtas darbas, leidžiantis įgalinti PVH ir HVM įrenginių palaikymą, taip pat įdiegti atskirą domB domeną (builder domeną), tinkantį išmatuotai įkrovai organizuoti, patvirtinant visų įkeltų komponentų galiojimą.
- Tęsiamas darbas kuriant Xen prievadą RISC-V architektūrai.
Šaltinis: opennet.ru