The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз гипервизора Xen 4.11

13.07.2018 23:22

После семи месяцев разработки состоялся релиз свободного гипервизора Xen 4.11. По сравнению с прошлым выпуском в Xen 4.11 внесено 1206 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, AMD, Intel, Amazon, Google, Oracle, EPAM Systems, Huawei, DornerWorks и Qualcomm.

Ключевые изменения в Xen 4.11:

  • Продолжена работа по усовершенствованию ABI-интерфейса PVH, комбинирующего элементы режимов паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти. Гостевые системы в режиме PVH содержат меньше критичного кода по сравнению с PV и HVM, а интерфейс между операционной системой и гипервизором значительно проще и менее подвержен атакам.

    В новом выпуске добавлена экспериментальная поддержка PVH Dom0, активируемая при вызове Xen c опцией "dom0=pvh". До сих пор запуск в качестве Dom0 был возможен только для гостевых систем в режиме PV. Гостевые системы в режиме HVM требуют выполнения компонентов QEMU на стороне Dom0 для эмуляции оборудования, что не позволяет использовать их как Dom0. Гостевые системы PVH не требуют для своего выполнения компонентов, помимо гипервизора, поэтому они как и гостевые системы PV могут загружаться в условиях, когда не запущено других гостевых систем, и могут выполнять функции базового окружения Dom0. Применение PVH Dom0 существенно повышает безопасность конфигураций Xen, так как по сравнению с PV позволяет исключить при работе примерно 1.5 млн строк кода QEMU. Работа PVH Dom0 пока доступна только в Linux и FreeBSD;

  • В гипервизор добавлена встроенная поддержка эмуляции конфигурации PCI, которая ранее предоставлялась через внешний обработчик из QEMU;
  • Добавлена прослойка для обеспечения запуска немодифицированных паравиртуализированных гостевых систем (PV) в окружении PVH, что позволяет обеспечить работу старых гостевых систем в более безопасных окружениях, ограниченных режимом PVH;
  • Производительность планировщиков Credit1 и Credit2 оптимизирована для работы в условиях эксклюзивной и мягкой (soft-affinity) привязки виртуальных CPU (vCPU) к физическим ядрам CPU (pCPU);
  • Добавлены новые вызовы DMOP (Device Model Operation Hypercall) для работы консоли VGA при использовании QEMU, запущенном в режиме изоляции, позволяющем защититься от атак на гипервизор в случае компрометации компонентов QEMU;
  • На системах с процессорами на базе архитектуры Skylake и новее включена поддержка расширения MBA (Memory Bandwidth Allocation), позволяющего снизить негативное влияние на систему перегруженных виртуальных машин за счёт применения системы урезания ресурсов на основе выделенного бюджета;
  • В эмулятор x86 добавлена поддержка наборов инструкций Intel AVX и AVX2, а также AMD F16C, FMA4, FMA, XOP и 3DNow;
  • В систему привязки ресурсов для гостевых систем добавлена возможность маппинга таблиц доступа к памяти (Grant table) и серверных страниц IOREQ;
  • Для систем на базе архитектуры ARM переработана поддержка VGIC и проведён рефакторинг обработчиков таблиц страниц памяти, подсистем работы с памятью и поддержки платформ big.LITTLE для упрощения сопровождения кода. Добавлена поддержка интерфейсов PSCI 1.1 (Power State Coordination Interface) и SMCCC 1.1 (Secure Monitor Call Calling Conventions);
  • Добавлены механизмы для блокирования уязвимостей в механизме спекулятивного выполнения инструкций в процессорах: для защиты от уязвиомости Meltdown добавлен механизм XPTI (эквивалент добавленной в ядро Linux техники KPTI (Kernel Page Table Isolation). Для защиты от Spectre задействованы инструции IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), а для систем без их поддержки предложена техника Retpoline. Также добавлены методы для защиты от атак Spectre 4 и Lazy FP. Для управления включением методов защиты предложена новая опция spec-ctrl;
  • В будущих выпусках ожидается стабилизация PVH Dom0, поддержка проброса PCI-устройств в гостевые системы PVH и возможность сборки PV- и HVM-версий Xen.


  1. Главная ссылка к новости (https://blog.xenproject.org/20...)
  2. OpenNews: Уязвимости в гипервизоре Xen
  3. OpenNews: Первый выпуск XCP-NG, свободного варианта Citrix XenServer
  4. OpenNews: Релиз гипервизора Xen 4.10
  5. OpenNews: Проект Xen представил Unikraft для выполнения приложений поверх гипервизора
  6. OpenNews: Релиз гипервизора Xen 4.9
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48953-xen
Ключевые слова: xen, virtual
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:09, 14/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >В будущих выпусках ожидается стабилизация PVH Dom0, поддержка проброса PCI-устройств в гостевые системы PVH

    Шёл 2018 год

     
     
  • 2.6, Аноним (6), 07:42, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    PVH относительно новый режим, поэтому не всё сразу доступно.
     
  • 2.9, Старый одмин (?), 10:51, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    KVM. Работает без всякой виртуализации в Dom0 (а точнее вообще без Dom0). И планировщик задач заново изобретать не потребовалось.
    Зачем XEN вообще нужен? Чтобы позволить пользователям не зависеть от Linux?!!
     
     
  • 3.13, Аноним (13), 12:01, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    При KVM уязвимость в ядре Linux компрометирует всю виртуализацию, в Xen опасны только уязвимости в относительно компактном гипеовизоре.
     
     
  • 4.18, ананим.orig (?), 20:36, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И не особо компактном dom-0.
    Так что..
     
  • 4.23, Vitaliy Blats (?), 12:00, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > При KVM уязвимость в ядре Linux компрометирует всю виртуализацию, в Xen опасны только уязвимости в относительно компактном гипеовизоре.

    Уязвимость в ядре Linux компрометирует ЛЮБОЙ софт который в нем запускается, включая Xen.
    И сдается мне, что уязвимости в ядре находятся и локализуются быстрее чем в Xen по причине огромного количества пользователей и мейнтейнеров.

     
     
  • 5.25, Ph0zzy (ok), 12:15, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это линукс запускается в зен, а не зен в линукс.
     
     
  • 6.26, ананим.orig (?), 13:40, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот только "зен" управляется/устанавливается/обновляется из того самого линукса.
     
     
  • 7.35, тигар (ok), 21:39, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не правда.
     
     
  • 8.38, ананим.orig (?), 23:39, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Бздишных маргиналов просьба не беспокоится ... текст свёрнут, показать
     
     
  • 9.39, тигар (ok), 15:02, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    крaсноглазых убунтоводов - тоже ... текст свёрнут, показать
     
  • 4.31, Вася Пупкин (?), 10:50, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо что Зен не зависим от дыр в ядре и имеет свои собственные, которых на два порядка больше.
     
     
  • 5.40, Аноним (40), 16:48, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Огласите весь список, пжссств. Я имею в виду - незакрытые.
     
  • 4.41, Старый одмин (?), 20:04, 30/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Здравая мысль. Спасибо.
     
  • 3.28, Аноним (-), 17:53, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он нужен для прикольных штук, а торгаши и их покупатели способны только линуксы и виндусы в нём запускать.
     
  • 3.34, нах (?), 12:44, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > KVM. Работает без всякой виртуализации в Dom0 (а точнее вообще без Dom0).

    тем и плох. Ни bare hypervisor, ни чорту кочерга.
    > И планировщик задач заново изобретать не потребовалось.

    и в этом тоже ничего хорошего - потому что существующий не предназначался для планирования виртуалок (и хуже того - его долго старательно портили еще более немного совсем неготовыми для десктопа руками)

    добавим к этому уже полную невозмжоность отделить kvm от qemu (поди сегодня разбери, кто на ком стоял) без фатальных последствий, проблемы совместимости миллиона недоделанных версий всего этого плюс ядра (в результате либо "жрите что дают" из дистрибутива, не факт что собранного людьми, хорошо владеющими именно этой темой, либо добро пожаловать в прекрасный мир жизни на bleeding edge)

    vs достаточно минималистичную систему, которая нужна для dom0, причем без особых претензий к версиям того и другого.

    > Зачем XEN вообще нужен? Чтобы позволить пользователям не зависеть от Linux?!!

    а вот тут засада, нет тут никакой независимости. dom0 на freebsd умер от недокорма почти сразу после рождения (хотя по многим соображениям выглядел явно лучше линуксного), pv драйвера есть далеко не для всего и далеко не всеми хочется пользоваться, новые модные pvh и вовсе в состоянии "пишуть!" про остальное вообще лучше не вспоминать.

    увы, цитриксовая коммерческая поделка и так неплохо продаетсо.

    А квм продается плохо - как в силу недостатка бабла у продающих (prox) так в силу ориентации на запуск линукса в линуксе под линуксом (rh)
    (мысленное упражнение - сравнить спрос на первое со вторым и третьим. Ну или вспомнить, сколько на вашем жизненном пути встречалось грамотных специалистов по первому, второму и третьему. Не в виде "в принципе знаю как оно выглядит", а "знаю что у проксы или редгада в конкретных версиях конкретно криво, чем можно пользоваться, чем нельзя и как это обойти")

     
     
  • 4.36, тигар (ok), 21:41, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а где написано, что dom0 помер на фре? я как-то давно коммит-логи не читал, но пару месяцев назад видел коммиты от пацанов из цитрикса, в head.
     
     
  • 5.37, пох (?), 21:52, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > а где написано, что dom0 помер на фре?

    да везде, включая сайт самого цитрикса со сто лет не обновлявшимися ссылками на какие-то бородатые версии 10что-то. Пол-года назад оно вообще не собиралось.

    коммиты в head точно были для dom0, а не domU? С ним-то, по слухам, все нормально, жаль нафиг не нужен.

     

  • 1.2, Аноним (2), 00:16, 14/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Пользуюсь Xen для проброса видеокарты в гостевую "винду". У меня всё давно настроено, поэтому не перевожу на KVM (да и зачем, если нет разницы). Ради возможности так делать, я и приобретал "материнку" с поддержкой IOMMU при одном из апгрейдов. Интересно, что порядок инициализации видеокарт в этом UEFI BIOS находится именно во вкладке включения/выключения IOMMU. Удобно: "включил IOMMU - не забудь сделать вторую карту - Primary, чтобы освободить первую" (для этого у меня есть старая PCI-ная карта от S3).

    Были слухи, что некоторые MMORPG научились определять "виртуалки", и не дают из них поиграть. Напишите какие?

    Уверен, что те, кто использует Xen и KVM в промышленных компах, смотрят на мою "гостевую винду" со смехом. "Виртуалки не для того созданы, дурак!", - как бы говорят мне они.

    P.S. Придумал. Кто не любит Xen - ксенофобы! Вот

     
     
  • 2.4, your mom (?), 02:46, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    молодец, возьми с полки пирожок.

    > Были слухи, что некоторые MMORPG ..., и не дают из них поиграть. Напишите какие?

    спроси там, где были слухи. Возможно ты ММО с троянами путаешь.

     
     
  • 3.10, corvuscor (ok), 11:04, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Возможно ты ММО с троянами путаешь.

    Я давно догадывался, что дрова нвидии - это троян.

     
  • 2.5, Kott (??), 02:57, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Были слухи, что некоторые MMORPG научились определять "виртуалки", и не дают из них поиграть. Напишите какие?

    слышал такое про Eve Online

     
  • 2.19, Q (??), 00:33, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо за развёрнутое описание и обмен реальным опытом использования. Я далёк от игр, но с тяжёлыми графическими редакторами иногда, хоть и редко, приходится иметь дело. Поэтому любой опыт может оказаться полезным.
     
  • 2.30, Аноним (30), 08:19, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот только есть один нюанс: windows в xen это hvm, а hvm это все-таки qemu (+kvm), а значит все что вы настроили в xen можно было настроить и в qemu(+kvm), в теории по крайней мере.
     
  • 2.32, Аноним (32), 11:05, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Были слухи, что некоторые MMORPG научились определять "виртуалки", и не дают из них поиграть. Напишите какие?

    Большинство мморпг, у которых есть хоть какое-нибудь жалкое подобие античита.
    В большинстве случаев всё это решается патчингом dmi таблицы, правильной настройкой конфигурации cpu, уходом от использования паравиртуализированных драйверов (только реальное железо или его полная эмуляция). Еще желательно внимательно смотреть, какие дополнительные девайсы пробрасывает виртуалка. Qemu, насколько я знаю, всегда подключает виртуальный cdrom, в котором нахардкодили слов "qemu" в vendor id/device id устройства, приходится пересобирать qemu из-за этого.

     

  • 1.3, Аноним (3), 00:19, 14/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >а также AMD F16C, FMA4, FMA, XOP и 3DNow;

    там не было 3DNow?

     
     
  • 2.7, Аноним (6), 07:46, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эмуляция 3DNow! вещь далеко не первой необходимости и весьма сомнительная. Производительность тех же кодеков без использования  3DNow! в программном режиме скорее всего будет выше, чем с вызовом инструкций 3DNow!, когда эти инструкции эмулируются программно.
     
     
  • 3.14, Аноним (-), 12:14, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > чем с вызовом инструкций 3DNow

    уже и инструкции вызываются..

     
     
  • 4.24, Vitaliy Blats (?), 12:12, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > уже и инструкции вызываются..

    А что тебя удивило ?
    3DNow! это аппаратная поддержка очень популярных математических операций. Для того чтобы посчитать ближайшие вещественные числа (а при декодировании это весьма часто происходит), ты можешь выполнить условно говоря 20 итераций софтово по старинке, или использовать вызов всего одной инструкции.

    Человек пишет о том, что если 3DNow! нету, то дешевле это определить и просто выполнить 20 итераций софтово, чем отлавливать вызов такой инструкции, и производить все те же 20 итераций софтово, но добавив туда обертку для имитации функции.

     

  • 1.17, Аноним (17), 16:36, 14/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    С dom0=pvh надо хост-систему грузить?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру