Pas një viti zhvillimi, hipervizori falas Xen 4.17 është lëshuar. Kompani të tilla si Amazon, Arm, Bitdefender, Citrix, EPAM Systems dhe Xilinx (AMD) morën pjesë në zhvillimin e versionit të ri. Gjenerimi i përditësimeve për degën Xen 4.17 do të zgjasë deri më 12 qershor 2024 dhe publikimi i rregullimeve të cenueshmërisë deri më 12 dhjetor 2025.
Ndryshimet kryesore në Xen 4.17:
- Përputhshmëria e pjesshme sigurohet me kërkesat për zhvillimin e programeve të sigurta dhe të besueshme në gjuhën C, të formuluara në specifikimet MISRA-C të përdorura në krijimin e sistemeve kritike për misionin. Xen zbaton zyrtarisht 4 direktiva dhe 24 rregulla MISRA-C (nga 143 rregulla dhe 16 direktiva), dhe gjithashtu integron analizuesin statik MISRA-C në proceset e montimit, i cili verifikon përputhjen me kërkesat e specifikimeve.
- Ofron aftësinë për të përcaktuar një konfigurim statik Xen për sistemet ARM, i cili kodon të gjitha burimet e nevojshme për të nisur paraprakisht mysafirët. Të gjitha burimet, si memoria e përbashkët, kanalet e njoftimit të ngjarjeve dhe hapësira e grumbullit të hipervizorit, ndahen paraprakisht në fillimin e hipervizorit dhe jo në mënyrë dinamike, duke eliminuar dështimet e mundshme për shkak të mungesës së burimeve gjatë funksionimit.
- Për sistemet e integruara të bazuara në arkitekturën ARM, është zbatuar mbështetje eksperimentale (parapamje teknologjike) për virtualizimin I/O duke përdorur protokollet VirtIO. Transporti virtio-mmio përdoret për të shkëmbyer të dhëna me një pajisje virtuale I/O, e cila siguron përputhshmëri me një gamë të gjerë pajisjesh VirtIO. Mbështetja për frontendin e Linux-it, paketën e veglave (libxl/xl), modalitetin dom0less dhe backend-et që funksionojnë në hapësirën e përdoruesit është zbatuar (janë testuar mbështetësit virtio-disk, virtio-net, i2c dhe gpio).
- Mbështetje e përmirësuar për modalitetin dom0less, i cili ju lejon të shmangni vendosjen e mjedisit dom0 kur nisni makinat virtuale në një fazë të hershme të nisjes së serverit. Është e mundur të përcaktohen grupet e CPU-së (CPUPOOL) në fazën e nisjes (nëpërmjet pemës së pajisjes), e cila ju lejon të përdorni grupe në konfigurime pa dom0, për shembull, për të lidhur lloje të ndryshme të bërthamave të CPU-së në sistemet ARM bazuar në big.LITTLE arkitekturë, duke kombinuar bërthama të fuqishme, por që konsumojnë energji, dhe bërthama më pak produktive, por më efikase për energji. Për më tepër, dom0less ofron mundësinë për të lidhur frontin/backendin e paravirtualizimit me sistemet e vizitorëve, gjë që ju lejon të nisni sistemet e vizitorëve me pajisjet e nevojshme të paravirtualizuara.
- Në sistemet ARM, strukturat e virtualizimit të memories (P2M, Physical to Machine) ndahen tani nga grupi i memories i krijuar kur krijohet domeni, i cili lejon izolim më të mirë midis mysafirëve kur ndodhin dështime të lidhura me kujtesën.
- Për sistemet ARM, është shtuar mbrojtja kundër cenueshmërisë Spectre-BHB në strukturat mikroarkitekturore të procesorit.
- Në sistemet ARM, është e mundur të ekzekutohet sistemi operativ Zephyr në mjedisin rrënjësor Dom0.
- Ofrohet mundësia e një montimi të veçantë të hipervizorit (jashtë pemës).
- Në sistemet x86, faqet e mëdha IOMMU (superfaqe) mbështeten për të gjitha llojet e sistemeve të ftuar, gjë që lejon rritjen e xhiros gjatë përcjelljes së pajisjeve PCI. Mbështetje e shtuar për hostet e pajisur me deri në 12 TB RAM. Në fazën e nisjes, është zbatuar aftësia për të vendosur parametrat cpuid për dom0. Për të kontrolluar masat mbrojtëse të zbatuara në nivelin e hipervizorit kundër sulmeve në CPU në sistemet e ftuar, janë propozuar parametrat VIRT_SSBD dhe MSR_SPEC_CTRL.
- Transporti VirtIO-Grant po zhvillohet veçmas, duke u dalluar nga VirtIO-MMIO nga një nivel më i lartë sigurie dhe aftësia për të drejtuar mbajtësit në një domen të veçantë të izoluar për drejtuesit. VirtIO-Grant, në vend të hartës direkte të memories, përdor përkthimin e adresave fizike të sistemit të ftuar në lidhje granti, gjë që lejon përdorimin e zonave të parapajtuara të memories së përbashkët për shkëmbimin e të dhënave midis sistemit të ftuar dhe prapavijës VirtIO, pa dhënë të drejtat e backend-it për të kryer hartën e kujtesës. Mbështetja e VirtIO-Grant është implementuar tashmë në kernelin Linux, por nuk është përfshirë ende në backend-et QEMU, në virtio-vhost dhe në paketën e veglave (libxl/xl).
- Nisma Hyperlaunch vazhdon të zhvillohet, që synon ofrimin e mjeteve fleksibël për konfigurimin e nisjes së makinave virtuale gjatë nisjes së sistemit. Aktualisht, grupi i parë i arnimeve është përgatitur tashmë që ju lejon të zbuloni domenet PV dhe të transferoni imazhet e tyre te hipervizori kur ngarkoni. Gjithçka e nevojshme për të ekzekutuar domene të tilla të paravirtualizuara është zbatuar gjithashtu, duke përfshirë komponentët Xenstore për drejtuesit e PV. Pasi të pranohen arna, do të fillojë puna për të mundësuar mbështetjen për pajisjet PVH dhe HVM, si dhe zbatimin e një domeni të veçantë domB (domeni ndërtues), i përshtatshëm për organizimin e një boot të matur, duke konfirmuar vlefshmërinë e të gjithë komponentëve të ngarkuar.
- Puna vazhdon për krijimin e një porti Xen për arkitekturën RISC-V.
Burimi: opennet.ru