Después de ocho meses de desarrollo se dio a conocer el lanzamiento de la nueva version de Xen 4.14, el cual en el desarrollo participaron en empresas como Alibaba, Amazon, AMD, Arm, Bitdefender, Citrix, EPAM Systems, Huawei e Intel.
Para quienes desconocen de Xen, deben saber que es un monitor de máquina virtual de código abierto desarrollado por la Universidad de Cambridge. La meta del diseño es poder ejecutar instancias de sistemas operativos con todas sus características, de forma completamente funcional en un equipo sencillo.
Xen proporciona aislamiento seguro, control de recursos, garantías de calidad de servicio y migración de máquinas virtuales en caliente. Los sistemas operativos pueden ser modificados explícitamente para correr Xen (aunque manteniendo la compatibilidad con aplicaciones de usuario).
Esto permite a Xen alcanzar virtualización de alto rendimiento sin un soporte especial de hardware. Intel ha realizado diversas contribuciones a Xen que han permitido añadir soporte para sus extensiones de arquitectura VT-X Vanderpool.
Esta tecnología permite que sistemas operativos sin modificar actúen como hosts dentro de las máquinas virtuales de Xen, siempre y cuando el servidor físico soporte las extensiones VT de Intel o Pacifica de AMD.
Principales novedades de Xen 1.14
En esta nueva entrega una de las principales novedades es el nuevo soporte para el nuevo modelo de dispositivo stubdomain Linux, que permite organizar la ejecución bajo un usuario separado sin privilegios, separando los componentes para la emulación del dispositivo de Dom0.
Anteriormente, solo el modelo de dispositivo «qemu-tradicional» podía usarse en modo stubdomain, lo que limitaba el rango de hardware emulado. El nuevo modelo de stubomains de Linux fue desarrollado por el proyecto QUBES OS y admite el uso de controladores de emulación de las versiones más recientes de QEMU, así como las capacidades de invitados relacionadas disponibles en QEMU.
Para los sistemas con soporte Intel EPT, se ha implementado el soporte para crear Lightweights de máquina virtual livianas para una introspección rápida, por ejemplo, para análisis de malware o pruebas fuzzing. Las bifurcaciones como esta usan memoria compartida y no clonan el modelo del dispositivo.
El sistema de parches en vivo agregó enlaces a los identificadores de los ensambles de hypervisor y tuvo en cuenta el orden de aplicación de parches para evitar la superposición de parches para el ensamblaje incorrecto o en el orden incorrecto.
Otro cambio importante es en el soporte para extensiones CET (Intel Control-flow Enforcement Technology) para proteger contra la ejecución de exploits construidos usando técnicas de Programación Orientada al Retorno (ROP).
Se agregó la configuración CONFIG_PV32 para deshabilitar el soporte del hypervisor para invitados para-virtualizados (PV) de 32 bits mientras se mantiene el soporte de 64 bits.
Se agregó soporte para Hypervisor FS, un pseudo-FS de estilo sysfs para acceso estructurado a datos internos y configuraciones de hypervisor que no requieren analizar registros o escribir hipercalls.
También se añadió la capacidad de ejecutar Xen como invitado que ejecuta el hipervisor Hyper-V utilizado en la plataforma en la nube de Microsoft Azure. Ejecutar Xen dentro de Hyper-V le permite usar la familiar pila de virtualización en entornos de nube de Azure y hace posible mover máquinas virtuales entre diferentes sistemas de nube.
De los demás cambios:
- Se agregó la capacidad de generar un identificador de sistema de invitado aleatorio (los identificadores anteriores se generaron secuencialmente).
- Las identificaciones ahora también pueden persistir entre las migraciones de estado de guardar, restaurar y VM.
- Generación automática de enlaces Go basada en estructuras libxl.
- Para Windows 7, 8.xy 10 se agregó soporte para KDD, una utilidad para interactuar con el depurador WinDbg (Windows Debugger), que le permite depurar entornos Windows sin habilitar la depuración en el sistema operativo invitado.
- Soporte agregado para todas las variantes de placa Raspberry Pi 4 que vienen con 4GB y 8GB de RAM.
- Se agregó soporte para procesadores AMD EPYC con nombre en código «Milán».
- Se mejoró el rendimiento de la virtualización anidada donde Xen se ejecuta dentro de invitados basados en Xen o Viridian.
- En modo de emulación, se implementa el soporte para instrucciones AVX512_BF16.
Si quieres conocer mas la respecto, puedes consultar los detalles en el siguiente enlace.
El lanzamiento de actualizaciones para la rama Xen 4.14 durará hasta el 24 de enero de 2022, y la publicación de soluciones de vulnerabilidad hasta el 24 de julio de 2023.