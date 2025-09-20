|
Аноним (5), 17:01, 20/09/2025
–3
Везде, где нужно запускать больше одного ядра параллельно. Для локалхоста, очевидно, не нужно.
Аноним (21), 17:56, 20/09/2025
|+/–
Позволить?!
Если хостеры на этом смогут *продавать* больше виртуалок т.е. больше заработать денег на том же железе, то им это нужно.
Аноним (22), 18:12, 20/09/2025
|+/–
Если своей фантазии не хватает, в новости можно пройти по ссылкам и почитать и чем мотивировались авторы, и сравнение с виртуалками, и даже предполагаемые юзкейсы.
Аноним (17), 17:47, 20/09/2025
+2
> Везде, где нужно запускать больше одного ядра параллельно. Для локалхоста, очевидно, не
> нужно.
Эээ, у меня локалхост, а мне вот нужно. Вы, батенька путаете понятие локалхост и локалхост хомяка-нормиса, которому там только фурей смотреть и арч обновлять. И нет, неочевидно!
Аноним (22), 18:14, 20/09/2025
–1
Я как раз ничего не путаю, в отличие от тебя. То, что ты дома по вечерам косплеишь сисадмина не добавляет нужности твоему локалхосту.
Аноним (4), 16:55, 20/09/2025
+1
|
Надо развернуть сравнение "Attack Surface" с VM, сдаётся мне, фуфло они втирают. "Kernel Customization" тоже, в виртуалке любое ядро можно запускать
08497 (?), 17:09, 20/09/2025
–1
|
Отличное изобретение для хакиров. Все уязвимости одного кернела умножаем ни количество запущенных кернелов. А если еще на каждом кернеле запустить еще по несколько виртуалок, в каждой по несколько кернелов, ну вы поняли, да?
мамины какиры самые забавные (?), 17:51, 20/09/2025
|+/–
> Отличное изобретение для хакиров. Все уязвимости одного кернела умножаем ни количество
> запущенных кернелов. А если еще на каждом кернеле запустить еще по
> несколько виртуалок, в каждой по несколько кернелов, ну вы поняли, да?
Чисто гипотетически, в вакууме, но к этим всем ядрам ваш вакуумный какир должен ещё пробраться и как-то понять, что соседнее ядро это соседнее ядро в пачке мультиядер, как-то сдетектить каким уязвимостям оно подвержено и т.п.
Но по факту чем оно отличается от необходимости щупать подсеть с несколькими машинами на предмет наличия уязвимостей в каждой, например?
Сдаётся мне, вы на очень толстый глобус пытаетесь натянуть очень тощую и ни разу не эластичную сову.
Аноним (7), 17:09, 20/09/2025
–2
|
Не понимаю что здесь нового. Разные ядра linux и так выполняются в разных VM.
Аноним (7), 17:12, 20/09/2025
|+/–
|
> Производительность при использовании Multikernel оценивается как близкая к производительности выполнения на отдельном оборудовании.
Ну так паравиртуализация тоже близка по производительности к нативной.
Аноним (7), 17:24, 20/09/2025
+1
|
Гипервизор не зря ел свой "хлеб". Это гибкость, функциональность, контроль, безопасность. Обработчик SMP будет "обрастать ракушками" по мере плавания и будет тем же гипервизором.
Еще один Аноним (?), 17:52, 20/09/2025
|+/–
Ну дак это классическая (Н. Винера) кибернетическая система (хоть и виртуальная), состоящей из управляющего (в данном случае гипервизор) и управляемого (сама ВМ) элемента. Мне кажется, что если покопаться детально в этом Multikernel, может тоже выясниться, что там тоже есть разделение на управляющую и управляемую подсистемы.
Аноним (14), 17:28, 20/09/2025
+2
|
Скрестили ужа с ежом, получилось непонятно что. С процессорами еще можно отдаленно понять как они между ядрами расшариваются. А память как делить? А ввод-вывод? Без гипервизора, ага
Аноним (14), 17:30, 20/09/2025
+1
Напоминает добровольную мультизадачность под досом. Все хорошо пока хорошо
Аноним (16), 17:42, 20/09/2025
|+/–
На уровне ведра этим можно рулить (если патчи сделать), это не проблема. Непонятно только, почему они утверждают будто изоляция на уровне ядер дает меньшую поверхность атаки, чем виртуализация. Ну и в целом юзкейсы неясны. Виртуализация нужна для эмуляции оборудования, а контейнеризация для простой и быстрой доставки приложений. Какие профиты дает мультикернел непонятно.
Аноним (31), 18:42, 20/09/2025
|+/–
При атаке на гипервизор у малвари права ring -2, а так только ring 0.
пох. (?), 18:13, 20/09/2025
|+/–
Ну так и делить - тебе половина, и мине одна вторая.
В принципе, для этого и в обычном ведре почти все есть.
Диски очевидно привязаны к экземпляру. Консоль достанется кому-то одному.
Про "эффективность" при таком разделении топором, понятно, можно забыть.
Аноним (30), 18:21, 20/09/2025
|+/–
Наконец будет нормальное 3d ускорение в гостевой системе без virgl/virtio и sriov?
Аноним (27), 18:27, 20/09/2025
|+/–
>Multikernel преподносится как новая архитектура изоляции, занимающая нишу между виртуализацией при помощи гипервизора и контейнерной изоляцией на базе общего ядра
Не понятно, зачем. Главная претензия к контейнерам - из них можно достать до главного ядра, ломануть его, а как его ломанули - так машина взломана по полной. Для решения этой проблемы используют гипервизоры. Ядру выделяется виртуальная машина, оно в ней полностью крутится, а из виртуальной машины до хоста - гипервизор с очень ограниченной поверхностью атаки. Тут же предлагают выполнять дочерние ядра поверх хостового без всякого гипервизора, то есть ничего не меняется с точки зрения взлома контейнеров: ломаем дочернее ядро, и сразу же ломаем хостовое, PROFIT.
Аноним (27), 18:33, 20/09/2025
+1
Кстати, дочерние ядра прямо в юзерспейсных процессах, а под ними - своя ФС, свои контейнеры ... можно запускать было очень давно, с начала нулевых в ядре опция его собирать так, чтобы оно работало как обычная линуксовая программа. Только единственный профит - это просто упрощение разработки самого ядра линукс и дров к нему, чтобы с виртуалками не париться. Кому для изоляции - тем полноценная виртуалка. Кому не нужны такие требования к изоляции - тем и контейнеры и песочницы сойдут.
|