PÄc gada izstrÄdes ir izlaists bezmaksas hipervizors Xen 4.17. JaunÄ laidiena izstrÄdÄ piedalÄ«jÄs tÄdi uzÅÄmumi kÄ Amazon, Arm, Bitdefender, Citrix, EPAM Systems un Xilinx (AMD). Xen 4.17 filiÄles atjauninÄjumu Ä£enerÄÅ”ana ilgs lÄ«dz 12. gada 2024. jÅ«nijam, bet ievainojamÄ«bas labojumu publicÄÅ”ana ā lÄ«dz 12. gada 2025. decembrim.
GalvenÄs izmaiÅas Xen 4.17:
- DaļÄja atbilstÄ«ba tiek nodroÅ”inÄta droÅ”u un uzticamu programmu izstrÄdes prasÄ«bÄm C valodÄ, kas formulÄtas MISRA-C specifikÄcijÄs, kas izmantotas misijai kritisko sistÄmu izveidÄ. Xen oficiÄli ievieÅ” 4 direktÄ«vas un 24 MISRA-C noteikumus (no 143 noteikumiem un 16 direktÄ«vÄm), kÄ arÄ« integrÄ MISRA-C statisko analizatoru montÄžas procesos, kas pÄrbauda atbilstÄ«bu specifikÄcijas prasÄ«bÄm.
- NodroÅ”ina iespÄju definÄt statisku Xen konfigurÄciju ARM sistÄmÄm, kas cietÄ kodÄ visus resursus, kas nepiecieÅ”ami viesu palaiÅ”anai iepriekÅ”. Visi resursi, piemÄram, koplietojamÄ atmiÅa, notikumu paziÅojumu kanÄli un hipervizora kaudzes vieta, tiek iepriekÅ” pieŔķirti hipervizora startÄÅ”anas laikÄ, nevis dinamiski pieŔķirti, tÄdÄjÄdi novÄrÅ”ot iespÄjamÄs kļūmes, kas rodas resursu trÅ«kuma dÄļ darbÄ«bas laikÄ.
- IegultajÄm sistÄmÄm, kuru pamatÄ ir ARM arhitektÅ«ra, ir ieviests eksperimentÄls (tehniskais priekÅ”skatÄ«jums) atbalsts I/O virtualizÄcijai, izmantojot VirtIO protokolus. Virtio-mmio transports tiek izmantots datu apmaiÅai ar virtuÄlo I/O ierÄ«ci, kas nodroÅ”ina savietojamÄ«bu ar plaÅ”u VirtIO ierÄ«Äu klÄstu. Ir ieviests atbalsts Linux priekÅ”galam, rÄ«kkopai (libxl/xl), dom0less režīmam un aizmugursistÄmai, kas darbojas lietotÄja telpÄ (pÄrbaudÄ«tas virtio-disk, virtio-net, i2c un gpio aizmugursistÄmas).
- Uzlabots dom0less režīma atbalsts, kas ļauj izvairÄ«ties no dom0 vides izvietoÅ”anas, startÄjot virtuÄlÄs maŔīnas agrÄ«nÄ servera sÄknÄÅ”anas stadijÄ. Ir iespÄjams definÄt CPU pÅ«lus (CPUPOOL) sÄknÄÅ”anas stadijÄ (izmantojot ierÄ«Äu koku), kas ļauj izmantot pÅ«lus konfigurÄcijÄs bez dom0, piemÄram, lai saistÄ«tu dažÄda veida CPU kodolus ARM sistÄmÄs, pamatojoties uz big.LITTLE. arhitektÅ«ra, apvienojot jaudÄ«gus, bet enerÄ£iju patÄrÄjoÅ”us kodolus un mazÄk produktÄ«vus, bet energoefektÄ«vÄkus kodolus. TurklÄt dom0less nodroÅ”ina iespÄju saistÄ«t paravirtualizÄcijas frontend/backend ar viesu sistÄmÄm, kas ļauj palaist viesu sistÄmas ar nepiecieÅ”amajÄm paravirtualizÄtajÄm ierÄ«cÄm.
- ARM sistÄmÄs atmiÅas virtualizÄcijas struktÅ«ras (P2M, Physical to Machine) tagad tiek pieŔķirtas no atmiÅas pÅ«la, kas izveidots, izveidojot domÄnu, kas ļauj labÄk izolÄt viesus, ja rodas ar atmiÅu saistÄ«tas kļūmes.
- ARM sistÄmÄm ir pievienota aizsardzÄ«ba pret Spectre-BHB ievainojamÄ«bu procesoru mikroarhitektÅ«ras struktÅ«rÄs.
- ARM sistÄmÄs ir iespÄjams darbinÄt Zephyr operÄtÄjsistÄmu Dom0 saknes vidÄ.
- Tiek nodroÅ”inÄta atseviŔķa (Ärpus koka) hipervizora montÄžas iespÄja.
- X86 sistÄmÄs lielas IOMMU lapas (superlapa) tiek atbalstÄ«tas visu veidu viesu sistÄmÄm, kas ļauj palielinÄt caurlaidspÄju, pÄrsÅ«tot PCI ierÄ«ces. Pievienots atbalsts saimniekiem, kas aprÄ«koti ar lÄ«dz 12 TB RAM. SÄknÄÅ”anas stadijÄ ir ieviesta iespÄja iestatÄ«t cpuid parametrus dom0. Lai kontrolÄtu hipervizora lÄ«menÄ« ieviestos aizsardzÄ«bas pasÄkumus pret uzbrukumiem centrÄlajam procesoram viesu sistÄmÄs, tiek piedÄvÄti parametri VIRT_SSBD un MSR_SPEC_CTRL.
- VirtIO-Grant transports tiek izstrÄdÄts atseviŔķi, kas atŔķiras no VirtIO-MMIO ar augstÄku droŔības lÄ«meni un spÄju vadÄ«t apstrÄdÄtÄjus atseviÅ”Ä·Ä izolÄtÄ domÄnÄ vadÄ«tÄjiem. VirtIO-Grant tieÅ”Äs atmiÅas kartÄÅ”anas vietÄ izmanto viesu sistÄmas fizisko adreÅ”u tulkoÅ”anu pieŔķirÅ”anas saitÄs, kas ļauj izmantot iepriekÅ” saskaÅotas koplietojamÄs atmiÅas apgabalus datu apmaiÅai starp viesu sistÄmu un VirtIO aizmugursistÄmu, nepieŔķirot to. aizmugursistÄmas tiesÄ«bas veikt atmiÅas kartÄÅ”anu. VirtIO-Grant atbalsts jau ir ieviests Linux kodolÄ, taÄu vÄl nav iekļauts QEMU aizmugursistÄmÄs, virtio-vhost un rÄ«kkopÄ (libxl/xl).
- IniciatÄ«va Hyperlaunch turpina attÄ«stÄ«ties, kuras mÄrÄ·is ir nodroÅ”inÄt elastÄ«gus rÄ«kus virtuÄlo maŔīnu palaiÅ”anas konfigurÄÅ”anai sistÄmas sÄknÄÅ”anas laikÄ. Å obrÄ«d jau ir sagatavots pirmais ielÄpu komplekts, kas ļauj noteikt PV domÄnus un ielÄdes laikÄ pÄrsÅ«tÄ«t to attÄlus uz hipervizoru. Ir ieviests arÄ« viss nepiecieÅ”amais Å”Ädu paravirtualizÄtu domÄnu darbinÄÅ”anai, tostarp Xenstore komponenti PV draiveriem. Kad ielÄpi tiks pieÅemti, tiks uzsÄkts darbs pie PVH un HVM ierÄ«Äu atbalsta iespÄjoÅ”ana, kÄ arÄ« atseviŔķa domB domÄna (builder domain) ievieÅ”anas, kas piemÄrots izmÄrÄ«tas sÄknÄÅ”anas organizÄÅ”anai, apliecinot visu ielÄdÄto komponentu derÄ«gumu.
- TurpinÄs darbs pie Xen porta izveides RISC-V arhitektÅ«rai.
Avots: opennet.ru