После восьми месяцев разработки состоялся (https://blog.xenproject.org/2016/06/23/xen-470/) релиз свободного гипервизора Xen 4.7 (https://www.xenproject.org/). По сравнению с прошлым выпуском в Xen 4.7 внесено (http://wiki.xenproject.org/wiki/Xen_Project_4.7_Release_Notes) 1622 изменения. В разработке нового выпуска приняли участие такие компании, как AMD, ARM, Bitdefender, Bosch, Broadcom, Citrix, Fujitsu, Huawei, Intel, Linaro, Netflix, NSA, Oracle, Red Hat и SUSE.Ключевые изменения (http://wiki.xenproject.org/wiki/Xen_Project_4.7_Feature_List) в Xen 4.7:
- Возможность применения патчей на лету (Live Patching (http://wiki.xenproject.org/wiki/LivePatch)) без необходимости перезапуска гипервизора. Новая техника подходит для устранения примерно 90% уязвимостей в гипервизоре. Реализация включает в себя добавленный в гипервизор системный вызов LIVEPATCH_SYSCTL, утилиту xen-livepatch для загрузки патча и инструментарий для создания патчей (создается сборка гипервизора с исправлением и без, после чего на основе изменения создаёт я модуль, вносящий изменения в работающую систему);
- Поддержка удаления отдельных функций гипервизора через изменение настроек в KCONFIG (https://www.kernel.org/doc/Documentation/kbuild/kconfig-lang...), что позволяет создавать минималистичные сборки ядра с урезанным гипервизором для применения на встраиваемых системах и устройствах интернета вещей (IoT) или для отключения в гипервизоре потенциально уязвимых подсистем;
- Проведена оптимизация производительности и надёжности интерфейса интроспекции виртуальных машин (VMI (http://wiki.xenproject.org/wiki/Virtual_Machine_Introspection), Virtual Machine Introspection), позволяющий задействовать аппаратные механизмы виртуализации Intel EPT и AMD RVI для контроля обращения к критичным с точки зрения безопасности областям памяти и блокирования возможных атак. На базе VMI разработан новый инструмент обеспечения безопасности Bitdefender Hypervisor Introspection, который вошёл в состав XenServer 7 (https://www.opennet.ru/opennews/art.shtml?num=44485);
- Представлены наработки по обеспечению перезапуска частей Dom0, вынесенных в отдельные окружения для избавления от единой точки отказа. Если демон xenstored, отвечающий за управление настройками гипервизора, может выполняться в отдельной виртуальной машине "xenstored stub domain" начиная с Xen 4.2, то в 4.7 процесс создания подобной виртуальной машины существенно упрощён и обеспечена возможность перезапуска xenstored без нарушения работы Dom0;
- Добавлен новый интерфейс командной строки для управления устройствами PVUSB для гостевых систем. Поддерживается как бэкенд PVUSB, работающий на уровне ядра, так и вариант на базе QEMU;
- Поддержка горячего подключения дисковых бэкендов QEMU и устройств USB к гостевым системам, работающим в режиме HVM, что позволяет подключать и извлекать накопители без перезапуска гостевой системы. Для HVM также реализована функция мягкой перезагрузки (Soft-reset);
- Улучшена поддержка миграции виртуальных машин. Расширены возможности переноса окружений между хостами с разным аппаратным обеспечением. В состав интегрирован менеджер блокировок COLO (Coarse-grained Lock-stepping), позволяющий поднять производительность за счёт избавления от создания лишних слепков состояния (checkpoint). Отдельно развиваются дополнения COLO Block Replication и COLO Proxy, которые войдут в состав после их принятия проектом QEMU;
- Обеспечена адаптация Xen для новых типов нагрузок и приложений. Снято ограничение на размер памяти паравиртуализированной гостевой системы (512 Гб ОЗУ), что в сочетании с оставшимся ограничением на 512 vCPU на VM даёт возможность применения Xen для создания систем обработки больших объёмов данных и запуска СУБД, держащих данные в ОЗУ;
- Улучшена работа планировщика Credit2, который почти готов к промышленному применению. Добавлена возможность отправки команды для перегруппировки очередей выполняемых задач (runqueues) и балансировки нагрузки между ядрами CPU, отдельными процессорами и узлами NUMA. Возможности расширенной настройки позволяют реализовать более агрессивные схемы балансировки нагрузки, оптимальные для систем среднего размера (например, демонстрируется хорошая производительность при применении Hyper Threading). Для более крупных систем реализована поддержки закрепления CPU и vCPU (hard affinity);
- Улучшена работа realtime-планировщика RTDS, предоставляющего гостевой системе гарантированные ресурсы CPU. В новом выпуске планировщик RTDS переведён с модели распределения квантов времени на событийно-ориентированную архитектуру, что снизило накладные расходы от работы планировщика, улучшило производительность на встраиваемых системах и повысило качество выполнения realtime-задач. Добавлена возможность определения настроек для отдельных vCPU;
- Добавлена инфраструктура для организации блокировок чтения/записи в привязке к CPU, позволяющая повысить скорость выполнения интенсивных операций чтения. Например, переход на новые блокировки позволил увеличить пропускную способность передачи данных между виртуальными машинами с 15 до 48 gbit/s на двухпроцессорном сервере Haswell-EP;
- Расширена поддержка систем на базе архитектуры ARM: Добавлена возможность загрузки на ARM-хостах с ACPI 6.0. Обеспечена совместимость с интерфейсом PSCI 1.0 (Power State Co-ordination Interface). Реализация vGIC-v3 (Virtual Generic Interrupt Controller version 3) приведена в соответствие с требованиями спецификации. Добавлена поддержка прямого получения данных о времени Wallclock через совместно используемую страницу памяти;- Задействованы новые возможности процессоров Intel Xeon: Добавлена поддержка механизма VT-d Posted Interrupts, предоставляющего средства аппаратного ускорения для виртуализации обработки прерываний. Добавлена поддержка технологии CDP (Code and Data Prioritization), позволяющей изолировать код и данные в совместно используемом кэше L3 для увеличения эффективности использования кэша в многопользовательских системах. Добавлена поддержка технологии VMX TSC Scaling, которая позволяет упростить миграцию между машинами с CPU, работающими на разной частоте. Добавлена поддержка механизма изоляции сетка Memory Protection Keys.
URL: http://www.linuxfoundation.org/news-media/announcements/2016...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44658
Жаль, что хен и паравиртуализация не стали мейнстримом, всем подавай вантуз и поделия для его обслуживания
Xen не мейнстрим, потому что Novell малость потерял репутацию после договора с Mcrosoft и раздела компании. Если бы не это, у Xen были бы все шансы стать дефолт-виртуалкой! А щас у SUSE 0,5% рынка серверов, у Red Hat 30%.В 2006 Novell сделал ставку на Xen, и SLES10 его поддерживал. Red Hat сказал что Xen не нужен, а нужен KVM. Вдруг RHEL5 в 2007 выходит с Xen. Неожиданно! А просто допилить KVM не успевали: в RHEL6 - KVM, и рекомендуется использовать именно его.
> Xen не мейнстрим, потому что Novell малость потерял репутацию после договора с
> Mcrosoft и раздела компании. Если бы не это, у Xen были
> бы все шансы стать дефолт-виртуалкой! А щас у SUSE 0,5% рынка
> серверов, у Red Hat 30%.
> В 2006 Novell сделал ставку на Xen, и SLES10 его поддерживал. Red
> Hat сказал что Xen не нужен, а нужен KVM. Вдруг RHEL5
> в 2007 выходит с Xen. Неожиданно! А просто допилить KVM не
> успевали: в RHEL6 - KVM, и рекомендуется использовать именно его.так я о чём и говорю, всем нужен вантуз и приблуды для обслуживания вантуза и зарабатывания денег для микрософта, а сузе, редхет и цитрик — надёжные бизнес-партнёры микрософта
Назови другой продакшн линукс.
Оракл. Там есть и то и другое (в зависимости от ядра).
амазон ? не, не слышал
И шо ты там слышал про halvm, например?
> Жаль, что хен и паравиртуализация не стали мейнстримом
> амазон
> что хен .. не стали мейнстримом
> не стали мейнстримом
> амазон
> .. не стали мейнстримом
некоторых хлебом не корми, подавай менее известные названия как показатель крутости
У них кастомная версия Xen.
Один фиг там небось xen и hvm для qemu, чтобы вантузы и линуксы единообразно запускать
В абмазоне есть XEN PV образы для Линукса. Ну, а вантуз - как обычно, в HVM
Я бы не сказал что так уж они и не стали мэйнстримом. Есть мнение что Amazon EC2 крутится на Xen чуть менее чем весь, да и Citrix делает очень неплохой продукт, с достаточно стабильным спросом. KVM это конечно прекрасно, но с VMWare его сравнивать глуппо потому что VMWare - это огромное количество инструментария уровня Ынтерпрайз, а KVM - это просто гипервизор. Опять же и Docker сейчас горяч как никогда, что отбирает часть пользователей у любителей виртуализации.
> Я бы не сказал что так уж они и не стали мэйнстримом.
> Есть мнение что Amazon EC2 крутится на Xen чуть менее чем
> весь, да и Citrix делает очень неплохой продукт, с достаточно стабильным
> спросом. KVM это конечно прекрасно, но с VMWare его сравнивать глуппо
> потому что VMWare - это огромное количество инструментария уровня Ынтерпрайз, а
> KVM - это просто гипервизор. Опять же и Docker сейчас горяч
> как никогда, что отбирает часть пользователей у любителей виртуализации.Разработчики Докер не рекомендуют юзать его на голом железе из-за потенциальных проблем с безопасностью. Так что прослойка в виде ВМ остаётся. А над ней уже контейнеризированные приложения бегают.
О проблемах с безопасностью говорят те, кто сами запускают свои поделия из-под рута?
И не говорят о них только админы локалхост?
Win
https://www.opennet.ru/opennews/art.shtml?num=44669
> Опять же и Docker сейчас горяч как никогда, что отбирает часть пользователей у любителей виртуализации.http://xenserver.org/partners/docker.html
> Docker support for XenServer is a feature of XenServer 6.5 SP1 and can be downloaded from the XenServer download page. The support is delivered as a supplimental pack named "xs-container" which also includes support for CoreOS and cloud-drives.В xenserver не отбирает, а даже наоборот. Два по цене одного.
Хорошая компания NSA!
Когда ожидается поддержка драйверов Nvidia?
рак на горе тоже ждет. как сразу, так свистнет.
QEMU начиная с XEN 4 жрет проц при использовании usb tablet в качестве мыши, примерно по 5% ядра на каждую VM. Т.е. 100 VM тупо сжирают 5 ядер. Собственно, это в QEMU проблема, и в KVM я вижу то же самое. Вот что с этим делать?
обновить прод? удалить USB tablet устройства? перейти на vmware/hyper-v?
> обновить прод?Начиная с Xen 4 и далее, а также современные KVM.
>удалить USB tablet устройства?
Ага. Пробовал пользоваться мышью в VNC без tablet?
>перейти на vmware/hyper-v?
Т.е. вы признаете что QEMU непригодна к серьезному продакшну?
> Пробовал пользоваться мышью в VNC без tablet?Я пробовал. Именно так и решал проблему вплоть до миграции QEMU+KVM -> Hyper-V.
>Т.е. вы признаете что QEMU непригодна к серьезному продакшну?
QEMU вместе с XEN/KVM вполне годится для продакшена, но не как enterprise виртуализация, где требуется работа из коробки, с настройкой "далее-далее-готово", а как движок для крутейших облачных ферм, 24*7 обслуживаемых командой джедаев, готовых к трудностям.
> enterprise виртуализация, где требуется работа из коробки, с настройкой "далее-далее-готово"enterprise - "работа из коробки", "далее-далее-готово"?
Вы, кажется, забыли про обучение специалистов, услуги по внедрению, сопровождение/допиливание, ну и конечно-же танцы с бубном при обновлении.
Хм, не знаю... Может вы никогда не сталкивались с массовым внедрением? )) Когда десятки, сотни внедрений по всей стране. В итоге грамотных людей не хватает, а за работу берутся чуть ли не монтажники, которые только что подготовили эти серверные. Оно, кстати, примерно так зачастую и бывает. Только после 3-5-го объекта более мене втягивается народ. В этом плане вмваря хороша. Ынтырпрайз именно такой обычно и есть. Реже, когда один, но большой ЦОД, где малая группа спецов творит чудеса )
Изначально разговор шел про виртуализацию. Тут скорее ситуация "все в одном цоде", чем "массово по всей стране")
Я лично разворачивал виртуализацию по стране. В каждой области, крае, республике своё отделение известной гос структуры с огромным кол-вом пользователей в БД. Серверные там вполне себе, особенно в больших областях. Областей у нас много, всё это в 2-3 этапа надо делать практически одновременно. По неделе-полторы на объект. Столько квалифицированных специалистов попросту нет. Это очень дорого. Поэтому в регионах работают, кто получится, некст, некст, некст по мануалу, а центр уже подключается и фигачит дальше. Я насмотрелся во время работы. Таких, бывает, к технике подпускают... И всё равно в итоге всё получается. По крайней мере, с вмварей. С более сложными продуктами труба, конечно )
> Столько квалифицированныхВатсон, может быть, я такой один.
нужно совсем не работать в данной области, чтобы строить такие предположения.
Джедаев, готовых переписывать QEMU ?
>Я пробовал. Именно так и решал проблему вплоть до миграции QEMU+KVM -> Hyper-V.Ну лично я тоже умею без мыши обходиться. А как ваши клиенты относились к "мышь в VNC без tablet"? Или "у нас нет клиентов, мы только сами пользуемся, поэтому vnc+tablet никому не нужно" ?