Na acht maanden ontwikkeling is de gratis hypervisor Xen 4.16 uitgebracht. Bedrijven als Amazon, Arm, Bitdefender, Citrix en EPAM Systems namen deel aan de ontwikkeling van de nieuwe release. De release van updates voor de Xen 4.16-tak duurt tot 2 juni 2023, en de publicatie van oplossingen voor kwetsbaarheden tot 2 december 2024.
Belangrijkste wijzigingen in Xen 4.16:
- De TPM Manager, die zorgt voor de werking van virtuele chips voor het opslaan van cryptografische sleutels (vTPM), geïmplementeerd op basis van een gemeenschappelijke fysieke TPM (Trusted Platform Module), is gecorrigeerd om vervolgens ondersteuning voor de TPM 2.0-specificatie te implementeren.
- Grotere afhankelijkheid van de PV Shim-laag die wordt gebruikt om ongemodificeerde paravirtualized (PV) gasten uit te voeren in PVH- en HVM-omgevingen. In de toekomst zal het gebruik van 32-bits geparavirtualiseerde gasten alleen mogelijk zijn in de PV Shim-modus, waardoor het aantal plaatsen in de hypervisor die mogelijk kwetsbaarheden kunnen bevatten, zal worden verminderd.
- De mogelijkheid toegevoegd om op Intel-apparaten op te starten zonder een programmeerbare timer (PIT, Programmable Interval Timer).
- Verouderde componenten opgeruimd, gestopt met het bouwen van de standaardcode "qemu-xen-traditional" en PV-Grub (de behoefte aan deze Xen-specifieke vorken verdween nadat de wijzigingen met Xen-ondersteuning waren overgebracht naar de hoofdstructuur van QEMU en Grub).
- Voor gasten met een ARM-architectuur is initiële ondersteuning voor gevirtualiseerde prestatiemonitortellers geïmplementeerd.
- Verbeterde ondersteuning voor de dom0less-modus, waardoor u de implementatie van de dom0-omgeving kunt vermijden bij het starten van virtuele machines in een vroeg stadium van het opstarten van de server. De aangebrachte wijzigingen maakten het mogelijk om ondersteuning voor 64-bits ARM-systemen met EFI-firmware te implementeren.
- Verbeterde ondersteuning voor heterogene 64-bits ARM-systemen gebaseerd op de big.LITTLE-architectuur, die krachtige maar energievretende cores combineert met minder presterende maar energiezuinigere cores in één chip.
Tegelijkertijd publiceerde Intel de release van de Cloud Hypervisor 20.0-hypervisor, gebouwd op basis van componenten van het gezamenlijke Rust-VMM-project, waaraan naast Intel ook Alibaba, Amazon, Google en Red Hat deelnemen. Rust-VMM is geschreven in de Rust-taal en stelt u in staat taakspecifieke hypervisors te maken. Cloud Hypervisor is zo'n hypervisor die een virtuele machinemonitor (VMM) op hoog niveau biedt die bovenop KVM draait en is geoptimaliseerd voor cloud-native taken. De projectcode is beschikbaar onder de Apache 2.0-licentie.
Cloud Hypervisor is gericht op het uitvoeren van moderne Linux-distributies met behulp van op virtio gebaseerde paravirtuele apparaten. Tot de genoemde belangrijkste doelstellingen behoren: hoge responsiviteit, laag geheugengebruik, hoge prestaties, vereenvoudigde configuratie en vermindering van mogelijke aanvalsvectoren. Emulatieondersteuning wordt tot een minimum beperkt en de focus ligt op paravirtualisatie. Momenteel worden alleen x86_64-systemen ondersteund, maar ondersteuning voor AArch64 is gepland. Voor gastsystemen worden momenteel alleen 64-bits builds van Linux ondersteund. De CPU, het geheugen, PCI en NVDIMM worden tijdens de assemblagefase geconfigureerd. Het is mogelijk om virtuele machines tussen servers te migreren.
In de nieuwe versie:
- Voor x86_64- en aarch64-architecturen zijn nu maximaal 16 PCI-segmenten toegestaan, waardoor het totale aantal toegestane PCI-apparaten toeneemt van 31 naar 496.
- Ondersteuning voor het binden van virtuele CPU's aan fysieke CPU-kernen (CPU-pinning) is geïmplementeerd. Voor elke vCPU is het nu mogelijk om een beperkte set host-CPU's te definiëren waarop uitvoering is toegestaan, wat handig kan zijn bij het rechtstreeks in kaart brengen (1:1) van host- en gastbronnen of bij het uitvoeren van een virtuele machine op een specifiek NUMA-knooppunt.
- Verbeterde ondersteuning voor I/O-virtualisatie. Elke VFIO-regio kan nu aan het geheugen worden toegewezen, waardoor het aantal uitgangen van de virtuele machine wordt verminderd en de prestaties van het doorsturen van apparaten naar de virtuele machine worden verbeterd.
- In de Rust-code is gewerkt aan het vervangen van onveilige secties door alternatieve implementaties die in de veilige modus worden uitgevoerd. Voor de resterende onveilige secties zijn gedetailleerde opmerkingen toegevoegd waarin wordt uitgelegd waarom de resterende onveilige code als veilig kan worden beschouwd.
Bron: opennet.ru