Xen je hypervízor, ktorý poskytuje bezpečnú izoláciu, kontrolu zdrojov, záruky kvality služieb a migráciu virtuálnych strojov.
Po roku vývoja spustenie novú verziu bezplatného hypervízora Xen 4.17, verzia, v ktorej tvorba aktualizácií pre vetvu Xen 4.17 potrvá do 12. júna 2024 a vydanie opráv zraniteľností do 12. decembra 2025.
Za zmienku stojí, že na vývoji novej verzie sa podieľali spoločnosti ako Amazon, Arm, Bitdefender, Citrix, EPAM Systems a Xilinx (AMD).
Xen 4.17 Hlavné nové funkcie
V tejto novej verzii, ktorá je prezentovaná, sa zdôrazňuje, že schopnosť definovať statickú konfiguráciu Xen pre systémy ARM ktorý vopred zakóduje všetky prostriedky potrebné na spustenie hosťujúcich systémov. všetky zdrojeako zdieľaná pamäť, kanály oznamovania udalostí a priestor haldy hypervízora, sú vopred pridelené pri spustení hypervízora namiesto dynamickej alokácie, čo eliminuje možnosť zlyhania v dôsledku nedostatku zdrojov.
pre vstavané systémy založené na architektúre ARM, bol implementovaný experimentálna podpora (technická ukážka) Pre I/O virtualizáciu pomocou protokolov VirtIO sa na komunikáciu s virtuálnym I/O zariadením používa virtio-mmio, čo nám umožnilo zabezpečiť kompatibilitu so širokou škálou zariadení VirtIO. Môžeme tiež nájsť kompatibilitu implementovanú pre frontend Linuxu s libxl/xl, režimom dom0less a backendmi používateľského priestoru.
Ďalšou zo zmien, ktorá vyniká, je vylepšená podpora pre režim dom0lessŽe umožňuje vyhnúť sa implementácii prostredia dom0 pri spúšťaní virtuálnych strojov v počiatočnej fáze zavádzania servera.
The schopnosť definovať skupiny CPU (CPUPOOL) vo fáze zavádzania (cez strom zariadení), ktorý umožňuje používať skupiny v konfiguráciách bez dom0, napríklad na prepojenie rôznych typov jadier CPU v systémoch ARM založených na architektúre big.LITTLE, ktorá kombinuje výkonné, ale energeticky náročné jadrá a menej produktívne, no energeticky efektívnejšie jadrá. Dom0less navyše poskytuje možnosť prepojiť paravirtualizačný frontend/backend s hosťami, čo vám umožní spustiť hosťom potrebné paravirtualizované zariadenia.
V systémoch ARM, štruktúry virtualizácie pamäte (P2M, fyzicky na stroj) teraz sú alokované z vytvorenej pamäťovej oblasti keď je vytvorená doména, čo umožňuje lepšiu izoláciu medzi hosťami, keď sa vyskytnú zlyhania súvisiace s pamäťou.
V systémoch x86, stránky IOMMU sú podporované (superpage) pre všetky typy hosťujúcich systémov, čo umožňuje zvýšený výkon pri preposielaní zariadení, PCI, plus pridaná podpora pre hostiteľov s až 12 TB RAM. Vo fáze zavádzania je implementovaná možnosť nastavenia parametrov cpuid pre dom0. Parametre VIRT_SSBD a MSR_SPEC_CTRL sú navrhnuté na riadenie ochrany na úrovni hypervízora proti útokom CPU na hosťované systémy.
Z ďalšie zmeny ktoré vynikajú:
- Pridaná ochrana proti zraniteľnosti Spectre-BHB v štruktúrach mikroarchitektúry procesorov pre systémy ARM.
- Na systémoch ARM je poskytovaná možnosť spúšťať OS Zephyr v koreňovom prostredí Dom0.
Poskytuje sa možnosť samostatnej zostavy hypervízora (mimo stromu).
Samostatne sa vyvíja transport VirtIO-Grant, ktorý sa od VirtIO-MMIO líši vyššou úrovňou zabezpečenia a možnosťou prevádzkovať radiče v samostatnej izolovanej doméne pre radiče.
Namiesto priameho mapovania pamäte používa VirtIO-Grant preklad fyzických adries hosťa na linky prenájmu, čo umožňuje použitie vopred dohodnutých oblastí zdieľanej pamäte na výmenu údajov medzi hosťom a backendom VirtIO. , bez udelenia práva na backend. vykonať mapovanie pamäte. Podpora VirtIO-Grant je už implementovaná v jadre Linuxu, ale ešte nie je zahrnutá v backendoch QEMU, virtio-vhost a toolkit (libxl/xl).
Iniciatíva Hyperlaunch sa naďalej vyvíja, aby poskytovala flexibilné nástroje na prispôsobenie spúšťania virtuálnych strojov pri zavádzaní systému. V súčasnosti je hotová prvá sada záplat, ktorá umožňuje definovať PV domény a preniesť ich obrázky do hypervízora pri nahrávaní. vy
Konečne Ak máte záujem dozvedieť sa o tom viac, môžete sa poradiť podrobnosti v nasledujúcom odkaze.