Xen — это гипервизор, обеспечивающий безопасную изоляцию, контроль ресурсов, гарантии качества обслуживания и миграцию виртуальных машин.
После года разработки запуск новая версия бесплатного гипервизора Xen 4.17, версия, в которой формирование обновлений для ветки Xen 4.17 продлится до 12 июня 2024 года, а выпуск исправлений уязвимостей до 12 декабря 2025 года.
Стоит отметить, что в разработку новой версии внесли свой вклад такие компании, как Amazon, Arm, Bitdefender, Citrix, EPAM Systems и Xilinx (AMD).
Xen 4.17 Основные новые функции
В представленной новой версии подчеркивается, что возможность определить статическую конфигурацию Xen для систем ARM который заранее кодирует все ресурсы, необходимые для запуска гостевых систем. все ресурсытакие как общая память, каналы уведомлений о событиях и пространство кучи гипервизора, предварительно выделяются при запуске гипервизора вместо динамического выделения, что исключает возможность сбоя из-за нехватки ресурсов.
Для встроенные системы на базе архитектуры ARM, был реализован экспериментальная поддержка (предварительная версия) Для виртуализации ввода-вывода с использованием протоколов VirtIO для связи с виртуальным устройством ввода-вывода используется virtio-mmio, что позволило нам обеспечить совместимость с широким спектром устройств VirtIO. Мы также можем найти совместимость, реализованную для внешнего интерфейса Linux, с libxl/xl, режимом dom0less и внутренними интерфейсами пользовательского пространства.
Еще одно из отличительных изменений - это улучшена поддержка режима dom0lessчто позволяет избежать реализации окружения dom0 при запуске виртуальных машин на ранней стадии загрузки сервера.
В возможность определять группы ЦП (CPUPOOL) на этапе загрузки (через дерево устройств), что позволяет использовать группы в конфигурациях без dom0, например, для связывания разных типов ядер ЦП в ARM-системах на основе архитектуры big.LITTLE, которая сочетает в себе мощные, но энергоемкие ядра, и менее производительные, но более энергоэффективные ядра. Кроме того, dom0less предоставляет возможность привязать интерфейс/сервер паравиртуализации к гостям, что позволяет загружать гостей с необходимыми паравиртуализированными устройствами.
В ARM-системах структуры виртуализации памяти (P2M, физически на машину) сейчас выделяются из созданного пула памяти при создании домена, что обеспечивает лучшую изоляцию между гостями при возникновении сбоев, связанных с памятью.
В системах x86, страницы IOMMU поддерживаются (суперстраница) для всех типов гостевых систем, позволяющая повысить производительность при переадресации устройств, PCI, плюс добавлена поддержка хостов с ОЗУ до 12 ТБ. На этапе загрузки реализована возможность установки параметров cpuid для dom0. Параметры VIRT_SSBD и MSR_SPEC_CTRL предлагаются для управления защитой на уровне гипервизора от атак ЦП на гостевые системы.
Из другие изменения которые выделяются:
- Добавлена защита от уязвимости Spectre-BHB в структурах микроархитектуры процессоров для систем ARM.
- В системах ARM предусмотрена возможность запуска ОС Zephyr в корневом окружении Dom0.
Предусмотрена возможность отдельной сборки гипервизора (вне дерева).
Отдельно разрабатывается транспорт VirtIO-Grant, который отличается от VirtIO-MMIO более высоким уровнем безопасности и возможностью запускать контроллеры в отдельном изолированном домене для контроллеров.
Вместо прямого сопоставления памяти VirtIO-Grant использует преобразование физических адресов гостя в каналы аренды, позволяя использовать предварительно согласованные области общей памяти для обмена данными между гостем и серверной частью VirtIO, не предоставляя серверной части права на выполнить отображение памяти. Поддержка VirtIO-Grant уже реализована в ядре Linux, но еще не включена в серверные части QEMU, virtio-vhost и toolkit (libxl/xl).
Инициатива Hyperlaunch продолжает развиваться, предоставляя гибкие инструменты для настройки запуска виртуальных машин во время загрузки системы. На данный момент готов первый набор патчей, позволяющий определять домены PV и передавать их образы в гипервизор под нагрузкой. ты
В конце концов Если вам интересно узнать об этом большевы можете проконсультироваться подробности по следующей ссылке.