Xen er en hypervisor, der giver sikker isolering, ressourcekontrol, servicekvalitetsgarantier og virtuel maskinmigrering.
Efter et års udvikling, lanceringen af den nye version af den gratis hypervisor xen 4.17, version, hvor dannelsen af opdateringer til Xen 4.17-grenen vil vare indtil 12. juni 2024 og frigivelse af sårbarhedsrettelser indtil 12. december 2025.
Det er værd at nævne, at virksomheder som Amazon, Arm, Bitdefender, Citrix, EPAM Systems og Xilinx (AMD) har bidraget til udviklingen af den nye version.
De vigtigste nye funktioner i Xen 4.17
I denne nye version, der præsenteres, fremhæves det, at mulighed for at definere en statisk Xen-konfiguration til ARM-systemer som på forhånd koder alle de ressourcer, der er nødvendige for at starte gæstesystemerne. alle ressourcersåsom delt hukommelse, hændelsesmeddelelseskanaler og hypervisor-heap-plads, er forhåndstildelt ved opstart af hypervisor i stedet for at blive allokeret dynamisk, hvilket eliminerer muligheden for fejl på grund af manglende ressourcer.
for indlejrede systemer baseret på ARM-arkitektur, er blevet implementeret eksperimentel support (teknisk forhåndsvisning) Til I/O-virtualisering ved hjælp af VirtIO-protokollerne bruges virtio-mmio til at kommunikere med den virtuelle I/O-enhed, hvilket har muliggjort kompatibilitet med en lang række VirtIO-enheder. Vi kan også finde kompatibiliteten implementeret til Linux-frontend, med libxl/xl, den dom0less-tilstand og brugerspace-backends.
En anden af de ændringer, der skiller sig ud, er forbedret understøttelse af dom0less-tilstandDet gør det muligt at undgå implementering af et dom0-miljø når du starter virtuelle maskiner på et tidligt tidspunkt af serverstart.
Det mulighed for at definere CPU-grupper (CPUPOOL) ved opstartsstadiet (gennem enhedstræet), som giver mulighed for at bruge grupper i konfigurationer uden dom0, for eksempel at sammenkæde forskellige typer CPU-kerner i ARM-systemer baseret på den store.LITTLE-arkitektur, som kombinerer kraftfulde, men strømkrævende kerner, og mindre produktive, men mere energieffektive kerner. Derudover giver dom0less muligheden for at binde paravirtualiseringens frontend/backend til gæster, så du kan starte gæster med de nødvendige paravirtualiserede enheder.
I ARM-systemer, hukommelsesvirtualiseringsstrukturer (P2M, fysisk til maskine) nu allokeres fra den oprettede hukommelsespulje når et domæne oprettes, hvilket giver mulighed for bedre isolation mellem gæster, når hukommelsesrelaterede fejl opstår.
i systemer x86, IOMMU-sider understøttes (superside) til alle typer gæstesystemer, hvilket giver øget ydeevne ved videresendelse af enheder, PCI, plus tilføjet understøttelse af værter med op til 12 TB RAM. På opstartsstadiet er muligheden for at indstille cpuid-parametre for dom0 implementeret. Parametrene VIRT_SSBD og MSR_SPEC_CTRL er foreslået til at kontrollere hypervisor-niveaubeskyttelse mod CPU-angreb på gæstesystemer.
Af andre ændringer der skiller sig ud:
- Tilføjet beskyttelse mod Spectre-BHB-sårbarhed i processormikroarkitekturstrukturer til ARM-systemer.
- På ARM-systemer er muligheden for at køre Zephyr OS i Dom0-rodmiljøet.
Der er mulighed for en separat hypervisorsamling (uden for træet).
Separat udvikles VirtIO-Grant transporten, som adskiller sig fra VirtIO-MMIO i et højere sikkerhedsniveau og muligheden for at køre controllere i et separat isoleret domæne for controllere.
I stedet for direkte hukommelseskortlægning bruger VirtIO-Grant oversættelsen af gæstens fysiske adresser til leasinglinks, hvilket tillader brugen af forudaftalte delte hukommelsesområder til dataudveksling mellem gæsten og VirtIO-backend. , uden at give backend ret til at udføre hukommelseskortlægning. VirtIO-Grant-understøttelse er allerede implementeret i Linux-kernen, men er endnu ikke inkluderet i QEMU, virtio-vhost og toolkit (libxl/xl) backends.
Hyperlaunch-initiativet fortsætter med at blive udviklet for at give fleksible værktøjer til at tilpasse lanceringen af virtuelle maskiner ved systemstart. I øjeblikket er det første sæt patches klar, hvilket gør det muligt at definere PV-domæner og overføre deres billeder til hypervisoren ved indlæsning. du
Endelig Hvis du er interesseret i at lære mere om det, kan du konsultere detaljerne i følgende link.