Xen je hypervizor, který poskytuje bezpečnou izolaci, kontrolu zdrojů, záruky kvality služeb a migraci virtuálních strojů.
Po roce vývoje zahájení novou verzi bezplatného hypervizoru xen 4.17, verze, ve které tvorba aktualizací pro větev Xen 4.17 potrvá do 12. června 2024 a vydání oprav zranitelnosti do 12. prosince 2025.
Za zmínku stojí, že na vývoji nové verze se podílely společnosti jako Amazon, Arm, Bitdefender, Citrix, EPAM Systems a Xilinx (AMD).
Xen 4.17 Hlavní nové funkce
V této nové verzi, která je prezentována, je zdůrazněno, že schopnost definovat statickou konfiguraci Xen pro systémy ARM který předem zakóduje všechny prostředky potřebné ke spuštění hostujících systémů. všechny zdrojejako je sdílená paměť, kanály pro oznamování událostí a prostor haldy hypervizoru, jsou předem přiděleny při spuštění hypervizoru místo dynamického přidělování, což eliminuje možnost selhání z důvodu nedostatku zdrojů.
pro vestavěné systémy založené na architektuře ARM, byla implementována experimentální podpora (technický náhled) Pro I/O virtualizaci pomocí protokolů VirtIO se pro komunikaci s virtuálním I/O zařízením používá virtio-mmio, což nám umožnilo zajistit kompatibilitu s širokou škálou zařízení VirtIO. Můžeme také najít kompatibilitu implementovanou pro frontend Linuxu s libxl/xl, režimem dom0less a backendy uživatelského prostoru.
Další ze změn, které vynikají, je vylepšená podpora pro režim dom0lessŽe umožňuje vyhnout se implementaci prostředí dom0 při spouštění virtuálních strojů v rané fázi spouštění serveru.
The schopnost definovat skupiny CPU (CPUPOOL) ve fázi bootování (prostřednictvím stromu zařízení), který umožňuje používat skupiny v konfiguracích bez dom0, například pro propojení různých typů jader CPU v systémech ARM založených na architektuře big.LITTLE, která kombinuje výkonná, ale energeticky náročná jádra a méně produktivní, ale energeticky úspornější jádra. Dom0less navíc poskytuje možnost svázat paravirtualizační frontend/backend s hosty, což vám umožní zavést hostům potřebná paravirtualizovaná zařízení.
V systémech ARM, struktury virtualizace paměti (P2M, fyzický do stroje) nyní jsou alokovány z vytvořeného paměťového fondu při vytvoření domény, což umožňuje lepší izolaci mezi hosty, když dojde k selhání souvisejícím s pamětí.
V systémech x86, stránky IOMMU jsou podporovány (superpage) pro všechny typy hostujících systémů, umožňující zvýšený výkon při přesměrování zařízení, PCI, plus přidána podpora pro hostitele s až 12 TB RAM. Ve fázi bootování je implementována možnost nastavit parametry cpuid pro dom0. Parametry VIRT_SSBD a MSR_SPEC_CTRL jsou navrženy pro řízení ochrany na úrovni hypervizoru proti útokům CPU na hostované systémy.
Z další změny které vynikají:
- Přidána ochrana proti zranitelnosti Spectre-BHB ve strukturách mikroarchitektury procesorů pro systémy ARM.
- Na systémech ARM je poskytována možnost spouštět operační systém Zephyr v kořenovém prostředí Dom0.
Je zajištěna možnost samostatného sestavení hypervizoru (mimo strom).
Samostatně je vyvíjen transport VirtIO-Grant, který se od VirtIO-MMIO liší vyšší úrovní zabezpečení a možností provozovat řadiče v samostatné izolované doméně pro řadiče.
Namísto přímého mapování paměti používá VirtIO-Grant překlad fyzických adres hosta do pronajatých odkazů, což umožňuje použití předem dohodnutých oblastí sdílené paměti pro výměnu dat mezi hostem a backendem VirtIO. , aniž by backendu udělil právo na provádět mapování paměti. Podpora VirtIO-Grant je již implementována v linuxovém jádře, ale ještě není zahrnuta v backendech QEMU, virtio-vhost a toolkit (libxl/xl).
Iniciativa Hyperlaunch se nadále vyvíjí, aby poskytovala flexibilní nástroje pro přizpůsobení spouštění virtuálních strojů při spouštění systému. V současné době je připravena první sada patchů, která umožňuje definovat PV domény a přenášet jejich obrázky do hypervizoru při zatížení. vy
Konečně pokud máte zájem dozvědět se o tom více, můžete se poradit podrobnosti v následujícím odkazu.