The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Для гипервизора KVM реализована возможность запуска гостевых систем Xen

22.02.2019 10:55

Жуан Мартинс (Joao Martins) из компании Oracle предложил для обсуждения разработчиками ядра Linux набор патчей, добавляющий в гипервизор KVM возможности запуска немодифицированных гостевых систем Xen в режиме HVM c использованием всех уже имеющиеся бэкендов (драйверы на стороне хост-окружения (Dom0), применяемые для обеспечения работы гостевой ОС) и фронтэндов (драйверы на стороне гостевой ОС (DomU) для взаимодействия с бэкенд-драйверами хост-окружения, например драйверы сетевой, графической и дисковых подсистем).

В KVM поддержка гостевых систем Xen может оказаться полезной для переноса существующих образов гостевых систем из инфраструктур на базе Xen или для создания полигонов для тестирования и разработки гостевых систем для Xen, а также для использования имеющихся паравиртуальных драйверов (PV) Xen. На стороне гипервизора реализация напоминает подход, применённый в KVM для запуска вложенных виртуальных машин HyperV. На стороне бэкенда предлагается использовать штатные драйверы Xen.

В отличие от развивавшегося около 10 лет назад модуля xenner, обеспечивающего эмуляцию Xen Dom0 через KVM, в предложенном наборе патчей обеспечена возможность применения существующих паравиртуальных драйверов Xen (вместо полной эмуляции оборудования, для ввода/вывода, обработки прерываний и взаимодействия с оборудованием на стороне гостевой системы применяются специальные драйверы, работающие через бэкенд-драйверы хост-системы). Более того, кроме бэкенд и фронтэнд драйверов Xen для управления можно использовать штатный инструментарий Xen, так как в предложенных для KVM патчах воплощён необходимый для их работы UABI. Например, можно запускать немодифицированные версии xenstored, xenstore-list и xenstore-read.

Патчи разбиты на две основные части:

  • Код для поддержки Xen HVM ABI, позволяющий загружать гостевые системы в режиме HVM без применения на стороне гостевой системы паравиртуализированных драйверов.
  • Код для поддержки паравиртуальных (PV) драйверов, обеспечивающий перенаправление гипервызовов, эмулируя поведение PV бэкендов Xen, и реализующий специфичные для Xen механизмы для работы с разделяемой памятью и каналами для уведомления о наступлении различных событий.

Дополнительно можно отметить выявление трёх уязвимостей в KVM, которые были исправлены в обновлениях ядра Linux 4.20.8, 4.19.21, 4.14.99 и 4.9.156:

  • CVE-2019-7222 - утечка памяти, позволяющая в гостевой системе, запущенной с использованием вложенной виртуализации, получить доступ к отрывкам памяти ядра хост-системы. Проблема вызвана отсутствием очистки памяти перед использованием в структуре kvm_inject_page_fault;
  • CVE-2019-7221 - возможность обращения к уже освобождённой области памяти (use-after-free) в коде эмуляции таймера vmx. Уязвимость может быть эксплуатирована из гостевой системы, запущенной с использованием вложенной виртуализации, и потенциально может привести к выполнению своего кода на стороне хост-системы;
  • CVE-2019-6974 - установка файлового дескриптора устройства до создания ссылки на него может применяться для создания условий use-after-free и повышения своих привилегий в системе. Проблему можно эксплуатировать на стороне хоста, при наличии у пользователя доступа к /dev/kvm.


  1. Главная ссылка к новости (https://lkml.org/lkml/2019/2/2...)
  2. OpenNews: Уязвимость в гипервизоре KVM
  3. OpenNews: Amazon начинает использование гипервизора KVM вместо Xen
  4. OpenNews: Компания Intel представила KVMGT, механизм виртуализации GPU для KVM
  5. OpenNews: Уязвимость в KVM, потенциально позволяющая поднять привилегии в гостевой системе
  6. OpenNews: Релиз гипервизора Xen 4.11
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: hvm, xen, kvm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Zenitur (ok), 11:47, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –8 +/
    Xen в KVM? Звучит как "VMware в VirtualBox"
     
     
  • 2.2, Аноним (2), 12:10, 22/02/2019 [^] [ответить]    [к модератору]
  • +15 +/
    Звучит как образ для VMware исполнить в VirtualBox.
     
     
  • 3.5, Аноним (5), 13:09, 22/02/2019 [^] [ответить]     [к модератору]
  • –8 +/
    ага Только не понятно зачем ЭТО нужно, ведь проще же конвертнуть А вообще техн... весь текст скрыт [показать]
     
     
  • 4.8, Аноним (8), 14:03, 22/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Конвертнуть это не энтерпрайзно. Как ты докажешь то что ты подал на входе соответствует тому что ты получил на выходе. СБ такого не одобрит.
     
     
  • 5.35, Онаним (?), 23:23, 22/02/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Когда то, что ты подал на входе, соответствует тому, что ты получил на выходе - самое время записаться к гастроэнтеролуху
     
  • 4.10, пох (?), 15:32, 22/02/2019 [^] [ответить]     [к модератору]  
  • –11 +/
    помимо твоего васян-сайта, там в образе еще что-то полезное могло быть И оно ра... весь текст скрыт [показать]
     
     
  • 5.15, niemi (?), 19:51, 22/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    кроме того могут отвалится роутинги ...
     
  • 5.19, нах (?), 20:48, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Откуда ты только вылез на наши головы! Ведь не было тебя еще 2 года назад...
     
     
  • 6.38, Led (ok), 00:02, 23/02/2019 [^] [ответить]    [к модератору]  
  • +8 +/
    Он здесь работает. Как и ты. И не забывай: он - это ты.
     
  • 5.22, anonymous (??), 21:06, 22/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    А если от вашего запуск ХЕН внутри КВМ что то отвалится ВЫ куда побежите В про... весь текст скрыт [показать]
     
     
  • 6.26, пох (?), 22:34, 22/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    а зачем я буду пользовать такую дрянь, от запуска в которой где что-то отваливае... весь текст скрыт [показать]
     
     
  • 7.37, Аноним (37), 23:26, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    А зачем патчить ядро, вы из 2008 года к нам прямиком прилетели?
     
  • 7.43, anonymous (??), 09:58, 23/02/2019 [^] [ответить]     [к модератору]  
  • +/
    А что для Вас конвертация Для меня это бекап системы, установка на новую вирту... весь текст скрыт [показать]
     
     
  • 8.44, пох (?), 12:21, 23/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    вот классно, а производство еще постоит кстати, некоторые производственные си... весь текст скрыт [показать]
     
     
  • 9.46, anonymous (??), 19:26, 23/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Ось что стоит внутри этой машины в студию Или вам чихать на все секурити холе ... весь текст скрыт [показать]
     
     
  • 10.50, пох (?), 08:58, 24/02/2019 [^] [ответить]     [к модератору]  
  • +/
    2008R2 - вру, конечно - 2008 у меня помоложе на пару лет, 12-го года, скорее ... весь текст скрыт [показать]
     
  • 6.27, Crazy Alex (ok), 22:35, 22/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Какая милая наивность
     
  • 6.54, КО (?), 17:03, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    >А если от вашего запуск ХЕН внутри КВМ что то отвалится

    По крайней мере, можно будет запустить на XEN, в отличии от "переконвертированной".

     
  • 4.21, Онаним (?), 20:56, 22/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Xen заменили на LXC? Мсье шутник. Впрочем, в докеромирках таких шутников хоть отбавляй.
     
     
  • 5.23, anonymous (??), 21:07, 22/02/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    Для начала советую прочитать что такое паравиртуализация.
     
     
  • 6.30, Онаним (?), 23:15, 22/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Для начала советую научиться отличать контейнеры от виртуализации.
     
     
  • 7.41, мое правило (?), 00:35, 23/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Господа, вы оба в чем то правы. Но для начала стоит заметить, что xen может и в паравиртуализацию и в аппаратную виртуализацию. Половину xen заменили на контейнеры, другая половина - аналог kvm.
     
     
  • 8.42, anonymous (??), 09:53, 23/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Я про это писал и то что хен сейчас рип. Смысл теперь в нем нет.
     
  • 8.52, Онаним (?), 13:04, 24/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Паравиртуализация - это разновидность виртуализации аппаратуры Контейнеры - это... весь текст скрыт [показать]
     
  • 4.25, EHLO (?), 21:54, 22/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Не зачем а кому Тем кто в Xen вляпался и кастомерские машины на нём облачит в с... весь текст скрыт [показать]
     
     
  • 5.48, Аноним (48), 19:32, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    У оракла есть Oracle VM, основанный как раз на Xen, и страшный как смертный грех.
     
     
  • 6.51, Аноним (51), 12:40, 24/02/2019 [^] [ответить]    [к модератору]  
  • +/
    ну вот и возрадуйся - хвосты макакам в очередной раз накручены, глобальная миграция на kvm - неизбежна, как приход коммунизма. Как только допилят. Или вместо - это уж как получится.


     
  • 1.4, IB (?), 12:53, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Матёрый энтерпрайз, но Жуан крут
     
     
  • 2.7, Аноним (8), 14:00, 22/02/2019 [^] [ответить]    [к модератору]  
  • –6 +/
    VMware вот кто настоящий энтерпрайз. А остальные так погулять вышли.
     
     
  • 3.9, Аномномномнимус (?), 14:36, 22/02/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Очень сложно признать, что то на что спустили дохреналион денег - пшик и можно б... весь текст скрыт [показать]
     
  • 2.13, Аноним (13), 16:06, 22/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Ты же не думаешь, что он это по ночам пилил по личной инициативе?
     
     
  • 3.17, пох (?), 20:34, 22/02/2019 [^] [ответить]     [к модератору]  
  • –5 +/
    там все еще смешнее - КарлМарксиФридрихЭнгельс это не один человек, а три правд... весь текст скрыт [показать]
     
  • 2.18, Хипстор (?), 20:47, 22/02/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    Энтерпрайз не для меня. Мы выбираем смузи и фриланс!
     
     
  • 3.28, пох (?), 22:39, 22/02/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    у меня для вас хреновая новость - vmware server у пришел eol десять лет назад А... весь текст скрыт [показать]
     
     
  • 4.32, Онаним (?), 23:20, 22/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    vmware server надо было пристрелить 15 с фигом лет назад, прямо в утробе, когда оно ещё gsx называлось
    xen вполне доступен, kvm тоже, но да, смузи с ними дерётся и просится на выход
     
  • 1.6, Аноним (6), 13:48, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    unikernel - даже это заведётся?
     
     
  • 2.12, kvm (??), 15:52, 22/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    это - закaпывайте. все равно оно взлетело недалеко и все больше вниз.
     
     
  • 3.24, Аноним (24), 21:27, 22/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Спланировало в могилу
     
     
  • 4.33, Онаним (?), 23:21, 22/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Смогиловало в планиру
     
  • 1.14, Аноним (14), 18:30, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Зачем это Oracle?
     
     
  • 2.16, пох (?), 20:21, 22/02/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    зачем ораклу удавить конкурента? Вы еще и спрашиваете?

     
  • 2.20, Аноним (20), 20:50, 22/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Оракакал мечтает о монополии.
     
     
  • 3.34, Онаним (?), 23:21, 22/02/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    У нас теперь три всадника аокалипсикалипсиса - орацл, ибм и мысы/цытрикс
     
     
  • 4.40, Аноним (40), 00:08, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    а гугёл?
     
     
  • 5.53, Онаним (?), 13:08, 24/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Ачо гугел, пока не начали свою недоос вместо ведра толкать - всё прилично. Начнут - будет четвёртый.
     
  • 2.55, КО (?), 17:06, 25/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Может свой виртуализатор хотят с Xen на KVM внутре переделать, так чтоб клиенты не заметили.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor