După opt luni de dezvoltare, hypervisorul gratuit Xen 4.16 a fost lansat. Companii precum Amazon, Arm, Bitdefender, Citrix și EPAM Systems au participat la dezvoltarea noii versiuni. Lansarea actualizărilor pentru ramura Xen 4.16 va dura până pe 2 iunie 2023, iar publicarea remedierii vulnerabilităților până la 2 decembrie 2024.
Schimbări cheie în Xen 4.16:
- Managerul TPM, care asigură funcționarea cipurilor virtuale pentru stocarea cheilor criptografice (vTPM), implementate pe baza unui TPM fizic comun (Trusted Platform Module), a fost corectat pentru a implementa ulterior suport pentru specificația TPM 2.0.
- Dependență crescută de stratul PV Shim utilizat pentru a rula oaspeți paravirtualizați (PV) nemodificați în mediile PVH și HVM. În continuare, utilizarea oaspeților paravirtualizați pe 32 de biți va fi posibilă doar în modul PV Shim, ceea ce va reduce numărul de locuri din hypervisor care ar putea conține vulnerabilități.
- S-a adăugat posibilitatea de a porni pe dispozitive Intel fără un temporizator programabil (PIT, Temporizator cu interval programabil).
- S-au curățat componentele învechite, s-a oprit construirea codului implicit „qemu-xen-traditional” și PV-Grub (necesitatea acestor furci specifice Xen a dispărut după ce modificările cu suport Xen au fost transferate în structura principală a QEMU și Grub).
- Pentru oaspeții cu arhitectură ARM, a fost implementat suport inițial pentru contoarele virtualizate de monitorizare a performanței.
- Suport îmbunătățit pentru modul dom0less, care vă permite să evitați implementarea mediului dom0 atunci când porniți mașinile virtuale într-un stadiu incipient al pornirii serverului. Modificările făcute au făcut posibilă implementarea suportului pentru sistemele ARM pe 64 de biți cu firmware EFI.
- Suport îmbunătățit pentru sisteme ARM eterogene pe 64 de biți, bazate pe arhitectura big.LITTLE, care combină nuclee puternice, dar care consumă energie și nuclee cu performanță mai scăzută, dar mai eficiente din punct de vedere energetic, într-un singur cip.
În același timp, Intel a publicat lansarea hipervizorului Cloud Hypervisor 20.0, construit pe baza componentelor proiectului comun Rust-VMM, la care participă, pe lângă Intel, Alibaba, Amazon, Google și Red Hat. Rust-VMM este scris în limbajul Rust și vă permite să creați hipervizoare specifice sarcinilor. Cloud Hypervisor este un astfel de hipervizor care oferă un monitor de mașină virtuală (VMM) de nivel înalt care rulează pe KVM și este optimizat pentru sarcini native din cloud. Codul proiectului este disponibil sub licența Apache 2.0.
Cloud Hypervisor se concentrează pe rularea distribuțiilor Linux moderne folosind dispozitive paravirtualizate bazate pe virtio. Printre obiectivele cheie menționate se numără: capacitate de răspuns ridicată, consum redus de memorie, performanță ridicată, configurație simplificată și reducerea posibililor vectori de atac. Suportul pentru emulare este redus la minimum și accentul este pus pe paravirtualizare. În prezent sunt acceptate doar sistemele x86_64, dar este planificat suportul AArch64. Pentru sistemele oaspeți, sunt acceptate în prezent doar versiunile Linux pe 64 de biți. CPU, memoria, PCI și NVDIMM sunt configurate în etapa de asamblare. Este posibilă migrarea mașinilor virtuale între servere.
În noua versiune:
- Pentru arhitecturile x86_64 și aarch64, sunt acum permise până la 16 segmente PCI, ceea ce crește numărul total de dispozitive PCI permise de la 31 la 496.
- A fost implementat suportul pentru legarea CPU-urilor virtuale la nucleele CPU fizice (CPU pinning). Pentru fiecare vCPU, este acum posibil să se definească un set limitat de procesoare gazdă pe care este permisă execuția, ceea ce poate fi util la maparea directă (1:1) a resurselor gazdă și oaspete sau când rulează o mașină virtuală pe un anumit nod NUMA.
- Suport îmbunătățit pentru virtualizarea I/O. Fiecare regiune VFIO poate fi acum mapată în memorie, ceea ce reduce numărul de ieșiri ale mașinii virtuale și îmbunătățește performanța redirecționării dispozitivului către mașina virtuală.
- În codul Rust, s-a lucrat pentru a înlocui secțiunile nesigure cu implementări alternative executate în modul sigur. Pentru secțiunile nesigure rămase, au fost adăugate comentarii detaliate care explică de ce codul nesigur rămas poate fi considerat sigur.
Sursa: opennet.ru