The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.07.2018 23:22  Релиз гипервизора Xen 4.11

После семи месяцев разработки состоялся релиз свободного гипервизора Xen 4.11. По сравнению с прошлым выпуском в Xen 4.11 внесено 1206 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, AMD, Intel, Amazon, Google, Oracle, EPAM Systems, Huawei, DornerWorks и Qualcomm.

Ключевые изменения в Xen 4.11:

  • Продолжена работа по усовершенствованию ABI-интерфейса PVH, комбинирующего элементы режимов паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти. Гостевые системы в режиме PVH содержат меньше критичного кода по сравнению с PV и HVM, а интерфейс между операционной системой и гипервизором значительно проще и менее подвержен атакам.

    В новом выпуске добавлена экспериментальная поддержка PVH Dom0, активируемая при вызове Xen c опцией "dom0=pvh". До сих пор запуск в качестве Dom0 был возможен только для гостевых систем в режиме PV. Гостевые системы в режиме HVM требуют выполнения компонентов QEMU на стороне Dom0 для эмуляции оборудования, что не позволяет использовать их как Dom0. Гостевые системы PVH не требуют для своего выполнения компонентов, помимо гипервизора, поэтому они как и гостевые системы PV могут загружаться в условиях, когда не запущено других гостевых систем, и могут выполнять функции базового окружения Dom0. Применение PVH Dom0 существенно повышает безопасность конфигураций Xen, так как по сравнению с PV позволяет исключить при работе примерно 1.5 млн строк кода QEMU. Работа PVH Dom0 пока доступна только в Linux и FreeBSD;

  • В гипервизор добавлена встроенная поддержка эмуляции конфигурации PCI, которая ранее предоставлялась через внешний обработчик из QEMU;
  • Добавлена прослойка для обеспечения запуска немодифицированных паравиртуализированных гостевых систем (PV) в окружении PVH, что позволяет обеспечить работу старых гостевых систем в более безопасных окружениях, ограниченных режимом PVH;
  • Производительность планировщиков Credit1 и Credit2 оптимизирована для работы в условиях эксклюзивной и мягкой (soft-affinity) привязки виртуальных CPU (vCPU) к физическим ядрам CPU (pCPU);
  • Добавлены новые вызовы DMOP (Device Model Operation Hypercall) для работы консоли VGA при использовании QEMU, запущенном в режиме изоляции, позволяющем защититься от атак на гипервизор в случае компрометации компонентов QEMU;
  • На системах с процессорами на базе архитектуры Skylake и новее включена поддержка расширения MBA (Memory Bandwidth Allocation), позволяющего снизить негативное влияние на систему перегруженных виртуальных машин за счёт применения системы урезания ресурсов на основе выделенного бюджета;
  • В эмулятор x86 добавлена поддержка наборов инструкций Intel AVX и AVX2, а также AMD F16C, FMA4, FMA, XOP и 3DNow;
  • В систему привязки ресурсов для гостевых систем добавлена возможность маппинга таблиц доступа к памяти (Grant table) и серверных страниц IOREQ;
  • Для систем на базе архитектуры ARM переработана поддержка VGIC и проведён рефакторинг обработчиков таблиц страниц памяти, подсистем работы с памятью и поддержки платформ big.LITTLE для упрощения сопровождения кода. Добавлена поддержка интерфейсов PSCI 1.1 (Power State Coordination Interface) и SMCCC 1.1 (Secure Monitor Call Calling Conventions);
  • Добавлены механизмы для блокирования уязвимостей в механизме спекулятивного выполнения инструкций в процессорах: для защиты от уязвиомости Meltdown добавлен механизм XPTI (эквивалент добавленной в ядро Linux техники KPTI (Kernel Page Table Isolation). Для защиты от Spectre задействованы инструции IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), а для систем без их поддержки предложена техника Retpoline. Также добавлены методы для защиты от атак Spectre 4 и Lazy FP. Для управления включением методов защиты предложена новая опция spec-ctrl;
  • В будущих выпусках ожидается стабилизация PVH Dom0, поддержка проброса PCI-устройств в гостевые системы PVH и возможность сборки PV- и HVM-версий Xen.


  1. Главная ссылка к новости (https://blog.xenproject.org/20...)
  2. OpenNews: Уязвимости в гипервизоре Xen
  3. OpenNews: Первый выпуск XCP-NG, свободного варианта Citrix XenServer
  4. OpenNews: Релиз гипервизора Xen 4.10
  5. OpenNews: Проект Xen представил Unikraft для выполнения приложений поверх гипервизора
  6. OpenNews: Релиз гипервизора Xen 4.9
Лицензия: CC-BY
Тип: Программы
Ключевые слова: xen, virtual
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 00:09, 14/07/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    >В будущих выпусках ожидается стабилизация PVH Dom0, поддержка проброса PCI-устройств в гостевые системы PVH

    Шёл 2018 год

     
     
  • 2.6, Аноним (6), 07:42, 14/07/2018 [^] [ответить]    [к модератору]
  • +2 +/
    PVH относительно новый режим, поэтому не всё сразу доступно.
     
  • 2.9, Старый одмин (?), 10:51, 14/07/2018 [^] [ответить]     [к модератору]
  • +/
    KVM Работает без всякой виртуализации в Dom0 а точнее вообще без Dom0 И план... весь текст скрыт [показать]
     
     
  • 3.13, Аноним (13), 12:01, 14/07/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    При KVM уязвимость в ядре Linux компрометирует всю виртуализацию, в Xen опасны только уязвимости в относительно компактном гипеовизоре.
     
     
  • 4.18, ананим.orig (?), 20:36, 14/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    И не особо компактном dom-0.
    Так что..
     
  • 4.23, Vitaliy Blats (?), 12:00, 15/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Уязвимость в ядре Linux компрометирует ЛЮБОЙ софт который в нем запускается, вкл... весь текст скрыт [показать]
     
     
  • 5.25, Ph0zzy (ok), 12:15, 15/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Это линукс запускается в зен, а не зен в линукс.
     
     
  • 6.26, ананим.orig (?), 13:40, 15/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Вот только "зен" управляется/устанавливается/обновляется из того самого линукса.
     
     
  • 7.35, тигар (ok), 21:39, 16/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    не правда.
     
     
  • 8.38, ананим.orig (?), 23:39, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Бздишных маргиналов просьба не беспокоится.
     
     
  • 9.39, тигар (ok), 15:02, 17/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Бздишных маргиналов просьба не беспокоится.

    крaсноглазых убунтоводов - тоже.

     
  • 4.31, Вася Пупкин (?), 10:50, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Хорошо что Зен не зависим от дыр в ядре и имеет свои собственные, которых на два порядка больше.
     
     
  • 5.40, Аноним (40), 16:48, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Огласите весь список, пжссств. Я имею в виду - незакрытые.
     
  • 4.41, Старый одмин (?), 20:04, 30/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Здравая мысль. Спасибо.
     
  • 3.28, Аноним (-), 17:53, 15/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Он нужен для прикольных штук, а торгаши и их покупатели способны только линуксы и виндусы в нём запускать.
     
  • 3.34, нах (?), 12:44, 16/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    тем и плох Ни bare hypervisor, ни чорту кочерга и в этом тоже ничего хорошего ... весь текст скрыт [показать]
     
     
  • 4.36, тигар (ok), 21:41, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    а где написано, что dom0 помер на фре? я как-то давно коммит-логи не читал, но пару месяцев назад видел коммиты от пацанов из цитрикса, в head.
     
     
  • 5.37, пох (?), 21:52, 16/07/2018 [^] [ответить]     [к модератору]  
  • +/
    да везде, включая сайт самого цитрикса со сто лет не обновлявшимися ссылками на ... весь текст скрыт [показать]
     
  • 1.2, Аноним (2), 00:16, 14/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Пользуюсь Xen для проброса видеокарты в гостевую винду У меня всё давно настр... весь текст скрыт [показать]
     
     
  • 2.4, your mom (?), 02:46, 14/07/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    молодец, возьми с полки пирожок.

    > Были слухи, что некоторые MMORPG ..., и не дают из них поиграть. Напишите какие?

    спроси там, где были слухи. Возможно ты ММО с троянами путаешь.

     
     
  • 3.10, corvuscor (ok), 11:04, 14/07/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    > Возможно ты ММО с троянами путаешь.

    Я давно догадывался, что дрова нвидии - это троян.

     
  • 2.5, Kott (??), 02:57, 14/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >>Были слухи, что некоторые MMORPG научились определять "виртуалки", и не дают из них поиграть. Напишите какие?

    слышал такое про Eve Online

     
  • 2.19, Q (??), 00:33, 15/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Спасибо за развёрнутое описание и обмен реальным опытом использования. Я далёк от игр, но с тяжёлыми графическими редакторами иногда, хоть и редко, приходится иметь дело. Поэтому любой опыт может оказаться полезным.
     
  • 2.30, Аноним (30), 08:19, 16/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    вот только есть один нюанс: windows в xen это hvm, а hvm это все-таки qemu (+kvm), а значит все что вы настроили в xen можно было настроить и в qemu(+kvm), в теории по крайней мере.
     
  • 2.32, Аноним (32), 11:05, 16/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Большинство мморпг, у которых есть хоть какое-нибудь жалкое подобие античита В... весь текст скрыт [показать]
     
  • 1.3, Аноним (3), 00:19, 14/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >а также AMD F16C, FMA4, FMA, XOP и 3DNow;

    там не было 3DNow?

     
     
  • 2.7, Аноним (6), 07:46, 14/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Эмуляция 3DNow вещь далеко не первой необходимости и весьма сомнительная Произ... весь текст скрыт [показать]
     
     
  • 3.14, Аноним (-), 12:14, 14/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > чем с вызовом инструкций 3DNow

    уже и инструкции вызываются..

     
     
  • 4.24, Vitaliy Blats (?), 12:12, 15/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > уже и инструкции вызываются..

    А что тебя удивило ?
    3DNow! это аппаратная поддержка очень популярных математических операций. Для того чтобы посчитать ближайшие вещественные числа (а при декодировании это весьма часто происходит), ты можешь выполнить условно говоря 20 итераций софтово по старинке, или использовать вызов всего одной инструкции.

    Человек пишет о том, что если 3DNow! нету, то дешевле это определить и просто выполнить 20 итераций софтово, чем отлавливать вызов такой инструкции, и производить все те же 20 итераций софтово, но добавив туда обертку для имитации функции.

     
  • 1.17, Аноним (17), 16:36, 14/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    С dom0=pvh надо хост-систему грузить?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor