ProHoster > Blog > internetové správy > Vydanie hypervízora Xen 4.17

Vydanie hypervízora Xen 4.17

Po roku vývoja bol vydaný bezplatný hypervízor Xen 4.17. Na vývoji nového vydania sa podieľali spoločnosti ako Amazon, Arm, Bitdefender, Citrix, EPAM Systems a Xilinx (AMD). Generovanie aktualizácií pre vetvu Xen 4.17 potrvá do 12. júna 2024 a zverejnenie opráv zraniteľností do 12. decembra 2025.

Kľúčové zmeny v Xen 4.17:

  • Čiastočná zhoda je zabezpečená požiadavkami na vývoj bezpečných a spoľahlivých programov v jazyku C, formulovaných v špecifikáciách MISRA-C používaných pri tvorbe kritických systémov. Xen oficiálne implementuje 4 smernice a 24 pravidiel MISRA-C (zo 143 pravidiel a 16 smerníc) a tiež integruje statický analyzátor MISRA-C do procesov montáže, ktorý overuje súlad s požiadavkami špecifikácie.
  • Poskytuje možnosť definovať statickú konfiguráciu Xen pre systémy ARM, ktorá vopred pevne zakóduje všetky prostriedky potrebné na zavedenie hostí. Všetky prostriedky, ako napríklad zdieľaná pamäť, kanály na oznamovanie udalostí a priestor haldy hypervízora, sú skôr pridelené pri spustení hypervízora ako dynamicky, čím sa eliminujú možné zlyhania v dôsledku nedostatku zdrojov počas prevádzky.
  • Pre vstavané systémy založené na architektúre ARM bola implementovaná experimentálna (technická ukážka) podpora virtualizácie I/O pomocou protokolov VirtIO. Na výmenu dát s virtuálnym I/O zariadením sa používa transport virtio-mmio, čím sa zabezpečuje kompatibilita so širokou škálou zariadení VirtIO. Bola implementovaná podpora frontendu pre... Linux, toolchain (libxl/xl), režim dom0less a backendy bežiace v používateľskom priestore (boli testované backendy virtio-disk, virtio-net, i2c a gpio).
  • Vylepšená podpora pre režim dom0less, ktorý umožňuje vyhnúť sa nasadeniu prostredia dom0 pri spustení virtuálne stroje V počiatočnej fáze bootovania servera. Teraz je k dispozícii možnosť definovať CPU pooly (CPUPOOL) pri bootovaní (prostredníctvom stromu zariadení), čo umožňuje použitie poolov v konfiguráciách bez dom0, napríklad na prepojenie rôznych typov jadier CPU na systémoch ARM založených na architektúre big.LITTLE, ktoré kombinujú výkonné, ale energeticky náročné jadrá s menej výkonnými, ale energeticky úspornejšími jadrami v jednom čipe. Okrem toho dom0less poskytuje možnosť prepojiť paravirtualizačný frontend/backend s hosťujúcimi systémami, čo umožňuje hosťujúcim systémom bootovať s potrebnými paravirtualizovanými zariadeniami.
  • V systémoch ARM sú teraz štruktúry virtualizácie pamäte (P2M, Physical to Machine) alokované z pamäťovej oblasti vytvorenej pri vytváraní domény, čo umožňuje lepšiu izoláciu medzi hosťami, keď sa vyskytnú zlyhania súvisiace s pamäťou.
  • Pre ARM systémy bola pridaná ochrana proti zraniteľnosti Spectre-BHB v mikroarchitektonických štruktúrach procesorov.
  • Na systémoch ARM je možné spustiť operačný systém Zephyr v koreňovom prostredí Dom0.
  • Poskytuje sa možnosť samostatnej (mimo stromovej) zostavy hypervízora.
  • Na systémoch x86 sú podporované veľké stránky IOMMU (superpage) pre všetky typy hosťujúcich systémov, čo umožňuje zvýšiť priepustnosť pri preposielaní zariadení PCI. Pridaná podpora pre hostiteľov vybavených až 12 TB RAM. Vo fáze zavádzania bola implementovaná možnosť nastaviť parametre cpuid pre dom0. Na riadenie ochranných opatrení implementovaných na úrovni hypervízora proti útokom na CPU v hosťovaných systémoch sú navrhnuté parametre VIRT_SSBD a MSR_SPEC_CTRL.
  • Transport VirtIO-Grant sa vyvíja samostatne. Od VirtIO-MMIO sa líši tým, že ponúka vyššiu úroveň zabezpečenia a možnosť spúšťať obslužné programy v samostatnej, izolovanej doméne ovládačov. Namiesto priameho mapovania pamäte VirtIO-Grant používa preklad fyzických adries hosťujúceho systému do grantových odkazov, čo umožňuje použitie vopred dohodnutých zdieľaných pamäťových oblastí na výmenu údajov medzi hosťujúcim systémom a backendom VirtIO bez udelenia povolenia backendu na vykonávanie mapovania pamäte. Podpora pre VirtIO-Grant je už implementovaná v jadre. Linux, ale zatiaľ nie je zahrnutý v backendoch QEMU, virtio-vhost ani v balíku nástrojov (libxl/xl).
  • Iniciatíva Hyperlaunch, zameraná na poskytovanie flexibilných nástrojov na konfiguráciu spúšťania virtuálnych strojov počas bootovania systému, sa neustále vyvíja. Prvá sada záplat je už pripravená a umožňuje detekciu PV domén a prenos ich obrazov do hypervízora počas bootovania. Implementované bolo aj všetko potrebné na spustenie takýchto paravirtualizovaných systémov. доменов, vrátane komponentov Xenstore pre ovládače PV. Po schválení záplat sa začne s prácami na povolení podpory pre zariadenia PVH a HVM, ako aj s implementáciou samostatnej domény domB (builder domain) vhodnej pre merané zavádzanie, ktorá overuje platnosť všetkých načítaných komponentov.
  • Pokračujú práce na vytvorení portu Xen pre architektúru RISC-V.

Zdroj: opennet.ru

Kúpte si spoľahlivý hosting pre stránky s DDoS ochranou, VPS VDS servery 🔥 Kúpte si spoľahlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster