Bir yıllık geliştirmenin ardından ücretsiz hipervizör Xen 4.17 yayınlandı. Yeni sürümün geliştirilmesine Amazon, Arm, Bitdefender, Citrix, EPAM Systems ve Xilinx (AMD) gibi şirketler katkıda bulundu. Xen 4.17 şubesi için güncellemelerin oluşturulması 12 Haziran 2024'e kadar, güvenlik açığı düzeltmelerinin yayınlanması ise 12 Aralık 2025'e kadar sürecek.
Xen 4.17'deki önemli değişiklikler:
- Kritik sistemlerin oluşturulmasında kullanılan MISRA-C spesifikasyonlarında formüle edilmiş, C dilinde güvenli ve güvenilir programların geliştirilmesi için gerekliliklere kısmi uyum sağlanmıştır. Xen, 4 yönergeyi ve 24 MISRA-C kuralını (143 kural ve 16 yönergeden) ve ayrıca MISRA-C statik analiz cihazının spesifikasyon gerekliliklerine uygunluğu kontrol eden montaj süreçlerine entegrasyonunu resmi olarak uygular.
- Konuk sistemleri başlatmak için gereken tüm kaynakları önceden sabit kodlayan ARM sistemleri için statik bir Xen yapılandırması tanımlama yeteneği sağlandı. Paylaşılan bellek, olay bildirim kanalları ve hipervizör yığın alanı gibi tüm kaynaklar, dinamik olarak tahsis edilmek yerine hipervizör başlangıcında önceden tahsis edilir ve böylece kaynakların tükenmesinden kaynaklanan hata olasılığı ortadan kaldırılır.
- ARM mimarisine dayalı gömülü sistemler için, VirtIO protokollerini kullanan G/Ç sanallaştırması için deneysel (teknik ön izleme) desteği uygulanmıştır. Virtio-mmio aktarımı, çok çeşitli VirtIO aygıtları ile uyumluluk sağlamayı mümkün kılan sanal G/Ç aygıtıyla iletişim kurmak için kullanılır. Linux ön ucu, araç takımı (libxl/xl), dom0less modu ve kullanıcı alanı arka uçları (virtio-disk, virtio-net, i2c ve gpio arka uçları test edildi) için uygulanan destek.
- Sunucu önyüklemesinin erken bir aşamasında sanal makineler başlatılırken bir dom0 ortamı dağıtmaktan kaçınmayı mümkün kılan dom0less modu için geliştirilmiş destek. Önyükleme aşamasında (cihaz ağacı aracılığıyla) CPU havuzlarını (CPUPOOL) tanımlama yeteneği sağlanır; bu, örneğin, big.LITTLE mimarisine dayalı ARM sistemlerinde farklı CPU çekirdeği türlerini bağlamak için dom0 olmayan yapılandırmalarda havuzların kullanılmasına izin verir. , güçlü ancak güç tüketen çekirdekler ile daha az üretken ancak enerji açısından daha verimli çekirdekleri birleştirir. Ek olarak, dom0less konuklara paravirtualization ön ucunu / arka ucunu bağlama yeteneği sağlar, bu da konukları gerekli sanallaştırılmış cihazlarla başlatmanıza olanak tanır.
- ARM sistemlerinde, bellek sanallaştırma yapıları (P2M, Fizikselden Makineye) artık bir etki alanı oluşturulduğunda oluşturulan bellek havuzundan ayrılarak, bellekle ilgili arızalar meydana geldiğinde konuklar arasında daha iyi izolasyona olanak tanır.
- ARM sistemleri için işlemci mikromimari yapılarında Spectre-BHB güvenlik açığına karşı koruma eklendi.
- ARM sistemlerde Zephyr işletim sisteminin Dom0 root ortamında çalıştırılabilmesi sağlanmaktadır.
- Ayrı (ağaç dışı) hipervizör montajı imkanı sağlanır.
- x86 sistemlerinde, PCI aygıtlarını iletirken verimi artırmanıza olanak tanıyan her tür konuk sistemi için büyük IOMMU (süper sayfa) sayfaları desteği sağlanır. 12 TB'a kadar RAM'e sahip ana bilgisayarlar için destek eklendi. Önyükleme aşamasında, dom0 için cpuid parametrelerini ayarlama yeteneği uygulanır. VIRT_SSBD ve MSR_SPEC_CTRL parametreleri, konuk sistemlerde CPU'ya yönelik saldırılara karşı hipervizör seviyesindeki koruma önlemlerini kontrol etmek için önerilmiştir.
- Ayrı olarak, VirtIO-MMIO'dan daha yüksek bir güvenlik düzeyi ve sürücüler için ayrı bir yalıtılmış etki alanında işleyicileri çalıştırma yeteneği açısından farklılık gösteren VirtIO-Grant aktarımı geliştirilmektedir. VirtIO-Grant'ta, doğrudan bellek eşleme yerine, konuk sistemin fiziksel adreslerinin grant bağlantılarına çevrilmesi kullanılır; bu, konuk sistemi ile VirtIO arka ucu arasında veri alışverişi için önceden kararlaştırılmış paylaşılan bellek alanlarının kullanılmasına izin verir. arka uca bellek eşleme gerçekleştirme haklarının verilmesi. VirtIO-Grant desteği zaten Linux çekirdeğinde uygulanmaktadır, ancak henüz QEMU arka uçlarına, virtio-vhost'a ve araç setine (libxl/xl) dahil edilmemiştir.
- Hyperlaunch girişimi, sistem önyükleme sırasında sanal makinelerin başlatılmasını özelleştirmek için esnek araçlar sağlamak üzere geliştirilmeye devam ediyor. Şu anda, PV alanlarını tanımlamanıza ve yükleme sırasında görüntülerini hipervizöre aktarmanıza izin veren ilk yama seti zaten hazır. PV sürücüleri için Xenstore bileşenleri de dahil olmak üzere bu tür yarı sanallaştırılmış etki alanlarını çalıştırmak için gereken her şey de uygulanmaktadır. Yamalar kabul edildikten sonra, PVH ve HVM cihazları için desteğin yanı sıra ölçülen bir önyüklemeyi (ölçülen önyükleme) organize etmeye uygun ayrı bir domB etki alanının (oluşturucu etki alanı) uygulanmasına yönelik çalışmalar başlayacak ve tüm yüklenenlerin geçerliliğini doğrulayacaktır. bileşenler.
- RISC-V mimarisi için bir Xen portu üzerinde çalışmalar devam ediyor.
Kaynak: opennet.ru