Xen е хипервайзор, който осигурява сигурна изолация, контрол на ресурсите, гаранции за качество на услугата и миграция на виртуална машина.
След една година на развитие, стартирането на новата версия на безплатния хипервизор xen 4.17, версия, в която формирането на актуализации за клона Xen 4.17 ще продължи до 12 юни 2024 г., а пускането на корекции на уязвимости до 12 декември 2025 г.
Заслужава да се спомене, че компании като Amazon, Arm, Bitdefender, Citrix, EPAM Systems и Xilinx (AMD) са допринесли за разработването на новата версия.
Xen 4.17 Основни нови функции
В тази нова версия, която е представена, се подчертава, че възможност за дефиниране на статична Xen конфигурация за ARM системи който кодира предварително всички ресурси, необходими за стартиране на системите за гости. всички ресурсикато споделена памет, канали за уведомяване за събития и пространство на купчина на хипервайзор, са предварително разпределени при стартиране на хипервайзор вместо да се разпределят динамично, което елиминира възможността за провал поради липса на ресурси.
За вградени системи, базирани на ARM архитектура, е изпълнено експериментална поддръжка (технически преглед) За I/O виртуализация с помощта на протоколите VirtIO, virtio-mmio се използва за комуникация с виртуалното I/O устройство, което е активирало съвместимост с широк набор от VirtIO устройства. Можем също така да намерим съвместимостта, внедрена за интерфейса на Linux, с libxl/xl, режима dom0less и бекенда на потребителското пространство.
Друга от промените, която се откроява, е подобрена поддръжка за режим dom0lessЧе позволява да се избегне внедряването на среда dom0 при стартиране на виртуални машини на ранен етап от зареждане на сървъра.
The възможност за дефиниране на групи CPU (CPUPOOL) на етапа на зареждане (чрез дървото на устройствата), което позволява да се използват групи в конфигурации без dom0, например, за свързване на различни типове CPU ядра в ARM системи, базирани на архитектурата big.LITTLE, която съчетава мощни, но жадни за енергия ядра и по-малко продуктивни, но по-енергийно ефективни ядра. В допълнение, dom0less предоставя възможност за свързване на паравиртуализирания фронтенд/бекенд към гости, което ви позволява да стартирате гости с необходимите паравиртуализирани устройства.
В системите ARM, структури за виртуализация на паметта (P2M, физически към машина) сега се разпределят от създадения пул памет когато се създава домейн, което позволява по-добра изолация между гостите, когато възникнат повреди, свързани с паметта.
В системите Поддържат се x86, IOMMU страници (superpage) за всички видове системи за гости, позволяващи повишена производителност при пренасочване на устройства, PCI, плюс добавена поддръжка за хостове с до 12TB RAM. На етапа на зареждане е реализирана възможността за задаване на cpuid параметри за dom0. Параметрите VIRT_SSBD и MSR_SPEC_CTRL се предлагат за контролиране на защитата на ниво хипервизор срещу атаки на процесора на системи за гости.
От други промени които се открояват:
- Добавена защита срещу Spectre-BHB уязвимост в структурите на микроархитектурата на процесора за ARM системи.
- На ARM системи е осигурена възможност за стартиране на Zephyr OS в основна среда Dom0.
Предвидена е възможност за отделно сглобяване на хипервайзор (извън дървото).
Отделно се разработва транспортът VirtIO-Grant, който се различава от VirtIO-MMIO по по-високо ниво на сигурност и възможност за стартиране на контролери в отделен изолиран домейн за контролери.
Вместо директно картографиране на паметта, VirtIO-Grant използва преобразуването на физическите адреси на госта в наети връзки, позволявайки използването на предварително договорени споделени области на паметта за обмен на данни между госта и бекенда на VirtIO. , без да предоставя на бекенда правото да извършете картографиране на паметта. Поддръжката на VirtIO-Grant вече е внедрена в ядрото на Linux, но все още не е включена в задните части на QEMU, virtio-vhost и инструментариума (libxl/xl).
Инициативата Hyperlaunch продължава да се развива, за да предостави гъвкави инструменти за персонализиране на стартирането на виртуални машини по време на зареждане на системата. Понастоящем първият набор от пачове е готов, което прави възможно дефинирането на PV домейни и прехвърлянето на техните изображения към хипервайзора при качване. ти
Накрая ако се интересувате да научите повече за това, можете да се консултирате подробностите в следната връзка.