Жилийн турш хөгжүүлсний дараа үнэгүй гипервизор Xen 4.17 гарсан. Шинэ хувилбарыг боловсруулахад Amazon, Arm, Bitdefender, Citrix, EPAM Systems, Xilinx (AMD) зэрэг компаниуд оролцсон. Xen 4.17 салбарын шинэчлэлтүүд 12 оны 2024-р сарын 12 хүртэл үргэлжлэх бөгөөд эмзэг байдлын засваруудыг нийтлэх нь 2025 оны XNUMX-р сарын XNUMX хүртэл үргэлжилнэ.
Xen 4.17 дээрх гол өөрчлөлтүүд:
- Чухал ач холбогдол бүхий системийг бий болгоход ашигладаг MISRA-C техникийн үзүүлэлтүүдэд тодорхойлсон Си хэл дээр аюулгүй, найдвартай програмуудыг боловсруулахад тавигдах шаардлагуудыг хэсэгчлэн дагаж мөрддөг. Xen албан ёсоор 4 заавар, 24 MISRA-C дүрмийг (143 дүрэм, 16 удирдамжаас) хэрэгжүүлдэг бөгөөд MISRA-C статик анализаторыг угсралтын процесст нэгтгэдэг бөгөөд энэ нь техникийн тодорхойлолтод нийцэж байгаа эсэхийг шалгадаг.
- Зочдыг урьдчилан ачаалахад шаардлагатай бүх нөөцийг хатуу кодлодог ARM системд зориулсан статик Xen тохиргоог тодорхойлох боломжийг олгодог. Хуваалцсан санах ой, үйл явдлын мэдэгдлийн суваг, гипервизорын овоолгын зай зэрэг бүх нөөцийг динамик байдлаар хуваарилахаас илүүтэйгээр гипервизорыг эхлүүлэх үед урьдчилан хуваарилж, ашиглалтын явцад нөөцийн хомсдолоос болж болзошгүй алдааг арилгадаг.
- ARM архитектур дээр суурилсан суулгагдсан системүүдийн хувьд VirtIO протоколуудыг ашиглан I/O виртуалчлалын туршилтын (техникийн урьдчилан харах) дэмжлэгийг хэрэгжүүлсэн. Virtio-mmio тээвэрлэлтийг виртуал оролт гаралтын төхөөрөмжтэй өгөгдөл солилцоход ашигладаг бөгөөд энэ нь өргөн хүрээний VirtIO төхөөрөмжүүдтэй нийцтэй байдлыг баталгаажуулдаг. Хэрэглэгчийн орон зайд ажиллаж байгаа Linux frontend, toolkit (libxl/xl), dom0less горим болон backends-ийн дэмжлэгийг хэрэгжүүлсэн (virtio-disk, virtio-net, i2c болон gpio backends-ийг туршиж үзсэн).
- dom0less горимын сайжруулсан дэмжлэг нь серверийг ачаалах эхний шатанд виртуал машинуудыг эхлүүлэхэд dom0 орчныг ашиглахаас зайлсхийх боломжийг олгодог. Ачаалах үе шатанд (төхөөрөмжийн модоор дамжуулан) CPU-ийн санг (CPUPOOL) тодорхойлох боломжтой бөгөөд энэ нь dom0-гүй тохиргоонд усан санг ашиглах, жишээлбэл, big.LITTLE дээр суурилсан ARM систем дээр өөр өөр төрлийн CPU цөмүүдийг холбох боломжийг олгодог. хүчирхэг боловч эрчим хүч зарцуулдаг цөм, бүтээмж багатай боловч эрчим хүчний хэмнэлттэй цөмүүдийг хослуулсан архитектур. Нэмж дурдахад dom0less нь paravirtualization frontend/backend-ийг зочны системд холбох боломжийг олгодог бөгөөд энэ нь зочны системийг шаардлагатай паравиртуалжуулсан төхөөрөмжөөр ачаалах боломжийг олгодог.
- ARM системүүд дээр санах ойн виртуалчлалын бүтцийг (P2M, Физикээс машинд) домэйн үүсгэх үед үүссэн санах ойн сангаас хуваарилдаг бөгөөд энэ нь санах ойтой холбоотой алдаа гарсан үед зочдыг илүү сайн тусгаарлах боломжийг олгодог.
- ARM системүүдийн хувьд процессорын бичил архитектурын бүтэц дэх Spectre-BHB эмзэг байдлаас хамгаалах хамгаалалт нэмэгдсэн.
- ARM системүүд дээр Zephyr үйлдлийн системийг Dom0 root орчинд ажиллуулах боломжтой.
- Тусдаа (модны гаднах) гипервизорыг угсрах боломжийг өгсөн.
- X86 системүүд дээр бүх төрлийн зочны системд зориулж том IOMMU хуудаснууд (супер хуудас) дэмжигддэг бөгөөд энэ нь PCI төхөөрөмжүүдийг дамжуулах үед дамжуулах чадварыг нэмэгдүүлэх боломжийг олгодог. 12 TB хүртэлх RAM-аар тоноглогдсон хостуудад зориулсан нэмэлт дэмжлэг. Ачаалах үе шатанд dom0-д cpuid параметрүүдийг тохируулах чадварыг хэрэгжүүлсэн. Зочин систем дэх CPU-ийн халдлагаас гипервизорын түвшинд хэрэгжүүлсэн хамгаалалтын арга хэмжээг хянахын тулд VIRT_SSBD болон MSR_SPEC_CTRL параметрүүдийг санал болгож байна.
- VirtIO-Grant тээврийг тусад нь боловсруулж байгаа бөгөөд VirtIO-MMIO-ээс илүү өндөр түвшний аюулгүй байдал, жолооч нарт зориулсан тусдаа тусгаарлагдсан домэйнд зохицуулагчийг ажиллуулах чадвараараа ялгаатай. VirtIO-Grant нь санах ойн шууд зураглалын оронд зочны системийн физик хаягуудыг буцалтгүй холбоос болгон хөрвүүлдэг бөгөөд энэ нь зочны систем болон VirtIO backend хооронд өгөгдөл солилцох зорилгоор хуваалцсан санах ойн урьдчилан тохиролцсон хэсгийг ашиглах боломжийг олгодог. санах ойн зураглал хийх backend эрх. VirtIO-Grant дэмжлэг нь Линуксийн цөмд аль хэдийн хэрэгжсэн боловч QEMU backends, virtio-vhost болон багаж хэрэгсэлд (libxl/xl) хараахан ороогүй байна.
- Системийг ачаалах үед виртуал машинуудыг ажиллуулах уян хатан хэрэгслээр хангахад чиглэсэн Hyperlaunch санаачилга үргэлжлэн хөгжиж байна. Одоогоор PV домэйнүүдийг илрүүлж, ачаалах үед зургийг гипервизор руу шилжүүлэх боломжийг олгодог анхны засваруудыг аль хэдийн бэлтгэсэн байна. Ийм паравиртуалжуулсан домэйныг ажиллуулахад шаардлагатай бүх зүйл, түүний дотор PV драйверуудад зориулсан Xenstore бүрэлдэхүүн хэсгүүдийг хэрэгжүүлсэн. Засваруудыг хүлээн авсны дараа PVH болон HVM төхөөрөмжүүдийн дэмжлэгийг идэвхжүүлэх, түүнчлэн хэмжсэн ачааллыг зохион байгуулахад тохиромжтой тусдаа domB домэйн (байгуулагч домэйн) -ийг хэрэгжүүлэх ажлыг эхлүүлж, ачаалагдсан бүх бүрэлдэхүүн хэсгүүдийн хүчинтэй эсэхийг баталгаажуулах болно.
- RISC-V архитектурт зориулсан Xen портыг бий болгох ажил үргэлжилж байна.
Эх сурвалж: opennet.ru