Xen 是一种管理程序,可提供安全隔离、资源控制、服务质量保证和虚拟机迁移。
经过一年的发展, 发射 新版本的免费管理程序 氙4.17,Xen 4.17 分支更新的形成将持续到 12 年 2024 月 12 日,漏洞修复的发布将持续到 2025 年 XNUMX 月 XNUMX 日。
值得一提的是,亚马逊、Arm、Bitdefender、Citrix、EPAM Systems 和 Xilinx(AMD)等公司都为新版本的开发做出了贡献。
Xen 4.17主要新功能
在呈现的这个新版本中,强调了 为 ARM 系统定义静态 Xen 配置的能力 它预先编码启动客户系统所需的所有资源。 所有资源例如共享内存、事件通知通道和管理程序堆空间, 在管理程序启动时预先分配 而不是动态分配,从而消除了由于资源不足而失败的可能性。
为 基于ARM架构的嵌入式系统, 已实施 实验支持(技术预览) 对于使用 VirtIO 协议的 I/O 虚拟化,virtio-mmio 用于与虚拟 I/O 设备通信,这使我们能够确保与广泛的 VirtIO 设备兼容。 我们还可以找到为 Linux 前端实现的兼容性,与 libxl/xl、dom0less 模式和用户空间后端。
另一个突出的变化是 改进了对 dom0less 模式的支持该 允许避免实现 dom0 环境 在服务器启动的早期阶段启动虚拟机时。
的 定义 CPU 组的能力 (CPUPOOL) 在启动阶段(通过设备树),它 允许在没有 dom0 的配置中使用组, 例如,在基于 big.LITTLE 架构的 ARM 系统中链接不同类型的 CPU 内核,该架构结合了强大但耗电的内核和效率较低但能效更高的内核。 此外,dom0less 提供了将半虚拟化前端/后端绑定到来宾的能力,允许您使用必要的半虚拟化设备启动来宾。
在 ARM 系统中, 内存虚拟化结构 (P2M,物理到机器)现在 从创建的内存池中分配 当创建域时,允许在发生内存相关故障时更好地隔离来宾。
在系统中 x86,支持 IOMMU 页面 (superpage) 适用于所有类型的客户系统,允许在转发设备、PCI 时提高性能,另外 添加了对内存高达 12TB 的主机的支持. 在boot阶段,实现了为dom0设置cpuid参数的能力。 建议使用 VIRT_SSBD 和 MSR_SPEC_CTRL 参数来控制管理程序级别的保护,以防止对来宾系统的 CPU 攻击。
, 其他变化 脱颖而出:
- 在 ARM 系统的处理器微体系结构中添加了针对 Spectre-BHB 漏洞的保护。
- 在 ARM 系统上,提供了在 Dom0 根环境中运行 Zephyr OS 的能力。
提供了单独的管理程序程序集(在树之外)的可能性。
另外,正在开发 VirtIO-Grant 传输,它与 VirtIO-MMIO 的不同之处在于更高级别的安全性和在控制器的单独隔离域中运行控制器的能力。
VirtIO-Grant 不是直接内存映射,而是使用将 guest 的物理地址翻译成租用链接,允许使用预先约定的共享内存区域在 guest 和 VirtIO 后端之间进行数据交换,而无需授予后端权限执行内存映射。 VirtIO-Grant 支持已在 Linux 内核中实现,但尚未包含在 QEMU、virtio-vhost 和工具包 (libxl/xl) 后端中。
Hyperlaunch 计划继续发展以提供灵活的工具,用于在系统启动时自定义启动虚拟机。 目前,第一组补丁已经准备就绪,可以定义 PV 域并将它们的图像传输到加载的虚拟机管理程序。 你
最后 如果你有兴趣了解更多,你可以咨询 以下链接中的详细信息。