Xen Project Hypervisor 4.11 привносит более чистую архитектуру в базовые технологии гипервизора

  1. Дополнительные ресурсы

Последний выпуск добавляет функциональность PVH для лучшей безопасности и производительности   САН-ФРАНЦИСКО, 10 июля 2018 г
Последний выпуск добавляет функциональность PVH для лучшей безопасности и производительности

САН-ФРАНЦИСКО, 10 июля 2018 г. - Xen Project Сегодня компания Linux Foundation объявила о выпуске Xen Project Hypervisor 4.11. В последнем выпуске добавлены новые функции, связанные с PVH, для упрощения интерфейса между Xen Project Hypervisor / Support и операционными системами, обеспечивающие дополнительную безопасность и производительность. Релиз также содержит меры по устранению уязвимостей Meltdown и Spectre.

Xen Project Hypervisor используется более чем 10 миллионами пользователей и обеспечивает работу одних из самых больших облаков в мире, включая Amazon Web Services, Tencent, Alibaba Cloud, Oracle Cloud и IBM SoftLayer. Это база для коммерческих продуктов виртуализации от Citrix, Huawei, Inspur и Oracle, а также решений для обеспечения безопасности от Qubes OS, Bromium vSentry, A1Logic, Bitdefender, Crucible Hypervisor Star Lab, Zentific и Dornerwork Virtuosity.

Долгосрочные цели разработки проекта Xen продолжают фокусироваться на меньшем количестве кода, меньшей базе доверенных вычислений (TCB), меньшей сложности, простоте обслуживания, лучшей производительности и масштабируемости. Для достижения этих целей в проекте Xen была проведена реструктуризация основных технологий гипервизора, которые охватывают все основные функции, такие как поддержка x86, эмуляция устройства и последовательность загрузки. Последняя функциональность, связанная с PVH в Xen Project 4.11, является проявлением этой перестройки.

«Сообщество Xen Project работало быстро, чтобы удовлетворить потребности в безопасности Spectre и Meltdown, и продолжало соответствовать своим целям, добавляя важные функции в этот выпуск», - сказал Ларс Курт, председатель Консультативного совета по проекту Xen. «Последние функции в этом выпуске, касающиеся функциональности PVH, повышают безопасность, производительность и управление гипервизора».

PVH Dom0 уменьшает поверхность атаки систем на базе проектов Xen
PVH сочетает в себе лучшее из режимов PV и HVM, чтобы упростить интерфейс между операционными системами с поддержкой Xen Project Support и гипервизором Xen Project, а также уменьшить поверхность атаки программного обеспечения Xen Project. Гости PVH - это легкие гости HVM, которые используют аппаратную поддержку виртуализации для памяти и привилегированных инструкций. ПВХ не требует QEMU.

Xen Project 4.11 добавляет экспериментальную поддержку PVH Dom0, вызывая Xen через dom0 = pvh в командной строке. Запуск PVH Dom0 удаляет приблизительно 1 миллион строк кода QEMU из вычислительных баз Xen Project, сокращая поверхность атаки систем на основе Xen Project.

Для включения PVH Dom0 требуется Linux или FreeBSD с поддержкой PVH Dom0. Патчи для каждой операционной системы в настоящее время обновляются и должны быть доступны в следующих версиях Linux и FreeBSD.

PV в контейнере ПВХ (ПВХ Шим) упрощает управление
Xen Project Hypervisor 4.11 поддерживает неизмененную прежнюю гостевую версию, предназначенную только для PV, для работы в режиме PVH. Это позволяет облачным провайдерам поддерживать старые дистрибутивы только для PV, в то же время обеспечивая поддержку только одного типа гостя (PVH), упрощая управление, значительно уменьшая поверхность атаки и в конечном итоге позволяя конечным пользователям создавать конфигурацию гипервизора Xen Project без «Классическая» поддержка PV вообще.

Эмуляция пространства конфигурации PCI в Xen
Поддержка пространства конфигурации PCI перенесена из QEMU в гипервизор. Помимо включения поддержки PVH Dom0, этот код в конечном итоге будет доступен гостям HVM и гостям PVH. Перед раскрытием этой функции для поддерживаемых типов гостевых систем безопасности, таких как гости из PVH или HVM, необходимо выполнить дополнительное усиление безопасности.

Смягчающие меры против атак на кэш-каналы в боковых каналах от Meltdown и Spectre
Этот выпуск содержит меры по устранению уязвимостей Meltdown и Spectre, в том числе:

  • XPTI оптимизирован по производительности : Xen Project эквивалентен изоляции таблицы страниц ядра (KPTI). Только «классические PV» гости нуждаются в XPTI, тогда как HVM и PVH не могут атаковать гипервизор через Meltdown.
  • Укрепление прогнозирования ветвлений: для процессоров x86 была добавлена ​​новая инфраструктура для микрокода Intel и AMD, связанная с уменьшением спектра, а также с поддержкой Retpoline ,

В этом выпуске проекта Xen участвовали представители веб-сервисов Amazon, AMD, Arm, Citrix, DornerWorks, EPAM Systems, Gentoo Linux, Google, Huawei, Intel Corporation, Лаборатории невидимых вещей, Oracle, Qualcomm, SUSE и ряда университетов. и отдельные лица. Посмотреть полный список участников в этом выпуске Вот ,

Дополнительные технические характеристики

Оптимизация планировщика: решения по планированию Credit1 и Credit2, когда vCPU исключительно прикреплен к pCPU или когда используется soft-affinity, оптимизируются по производительности.

Добавьте DMOP, чтобы разрешить использование VGA с ограниченным QEMU (x86): в Xen Project Hypervisor 4.9 введен Hypercall модели устройств (DMOP), который значительно ограничивает возможности взломанного QEMU для атаки на гипервизор. В Xen 4.11 мы добавили DMOP, которые позволяют использовать консоль VGA, которая ранее была ограничена.

Включить распределение пропускной способности памяти в Xen ((платформа Intel® Xeon® Scalable или новее): поддержка выделения пропускной способности памяти (MBA) позволяет Xen Project Hypervisor 4.11 замедлять некорректно работающие виртуальные машины с помощью механизма регулирования на основе кредитов.

Усовершенствования эмулятора (x86): поддержка ранее не поддерживаемых расширений Intel® Advanced Vector Extensions (Intel® AVX и AVX2), а также AMD F16C, FMA4, FMA, XOP и 3DNow! инструкции были добавлены в эмулятор x86.

Гостевое сопоставление ресурсов (x86): Поддержка прямого сопоставления таблиц Grant и страниц сервера IOREQ была введена в Xen Project Hypervisor 4.11 для повышения производительности.

Очистка и проверка на будущее (Arm): поддержка Xen VGIC была повторно реализована. Кроме того, обработка таблицы страниц этапа 2, подсистемы памяти и поддержка big.LITTLE были реорганизованы, чтобы упростить поддержку и обновление кода в будущем.

Поддержка соответствия PSCI 1.1 и SMCCC 1.1 (Arm): Xen Project обновлен для соответствия последним версиям Arm® Power State Координационный интерфейс и Соглашения о вызовах Secure Monitor, которые обеспечивают оптимизированное соглашение о вызовах и дополнительную обнаруживаемую поддержку для смягчения Варианта 2 Призрака.

Комментарии от пользователей и участников проекта Xen:

«Xen Project Hypervisor 4.11 опирается на свою зрелость и гибкость как надежный, безопасный гипервизор 1-го типа. Поддержка Xen Project 4.11 для PVH dom0, добавленная к его существующим возможностям PVH domU, позволяет использовать преимущества паравиртуализации в отношении производительности и масштабируемости, одновременно снижая сложность и размер кода, упрощая его поддержку, расширение и защиту ». сказал Джеймс Балпин, старший директор по технологиям в Citrix. «Благодаря ряду других улучшений производительности, безопасности и удобства обслуживания Xen Project 4.11 демонстрирует стремление сообщества сделать Xen лучшим гипервизором для широкого спектра вариантов использования - от огромных частных облаков до встраиваемых систем».

«Корпорация Intel рада видеть выпуск Xen Project 4.11 с новейшими функциями платформы на базе Intel», - сказал Арьян Ван Де Вен, научный сотрудник Intel и директор по системным системам и Linux Pathfinding Engineering в Центре открытых технологий Intel. «Мы по-прежнему нацелены на использование лучшей архитектуры Intel, чтобы клиенты могли воспользоваться новейшими функциями». «Гипервизор Xen Project является важной частью решений виртуализации, которые SUSE предоставляет нашим клиентам. Этот новейший выпуск Xen 4.11 предлагает некоторые важные преимущества, такие как повышение производительности и повышение надежности, которые имеют решающее значение в корпоративных средах », - сказал Майк Латимер, старший инженер-менеджер SUSE. «Проект Xen является отличным примером нашего стремления предоставить нашим клиентам программное обеспечение самого высокого качества. Мы с нетерпением ждем продолжения нашего вклада в это процветающее сообщество и будем частью захватывающего будущего виртуализации ».

Дополнительные ресурсы

Последние сообщения от Linux Foundation ( увидеть все )

Новости

Социальные сети в России, зима 2015-2016 Цифры, тренды, прогнозы | Блог Brand Analуtics — все о бренд мониторинге и социальной аналитике
Представляем данные регулярного исследования активной аудитории социальных сетей в России, зима 2015-2016. В исследовании представлены данные по аудитории, возрасту, полу и региональному распределению

SMM маркетинг от А до Я
Развитие социальных сетей породило новую огромную бизнес отрасль — СММ маркетинг. Это когда мы приходим с нашим продуктом в какую-нибудь соцсеть, находим там нашу целевую аудиторию, и предлагаем ей наш

Полезно знать
20.02.2014 Что такое Pinterest. Визуальный PR и маркетинг Pinterest или ПИНТЕРЕСТ – социальная сеть, использующая вместо текстов картинки и изображения, которые можно добавлять в аккаунт,

Фейсбук Моя страница: ВХОД на свою страницу Facebook
Фейсбук (Facebook) Моя страница — это личная страница каждого зарегистрированного пользователя самой большой в мире социальной сети.  Фейсбук даёт возможность людям с разных уголков Земли общаться между

Анализ социальных сетей
АНАЛИЗ СОЦИАЛЬНЫХ СЕТЕЙ (social network analysis) - новое направление структурного подхода, основными целями которого являются исследование взаимодействий между социальными объектами и выявление условий

Социальные сети для продвижения бизнеса: какие выбрать?
  Привет, друзья! Социальные сети занимают львиную часть времени в нашей жизни. Ежедневный просмотр новостей, любимых групп и переписка с друзьями – это любимое дело большинства молодых людей. Вот и

ВРЕДНОЕ ВЛИЯНИЕ СОЦИАЛЬНЫХ СЕТЕЙ НА ЗДОРОВЬЕ ЧЕЛОВЕКА - VI Студенческий научный форум (15 февраля - 31 марта 2014 года)
ВРЕДНОЕ ВЛИЯНИЕ СОЦИАЛЬНЫХ СЕТЕЙ НА ЗДОРОВЬЕ ЧЕЛОВЕКА Гущина Н. В., Люлина Н.В. С распространением всемирной паутины рост социальных сетей по всему миру стал глобальным явлением. С каждым

Влияние социальных сетей на подростков. Пропаганда суицида в сетях
Почему мы любим интернет? Почему молодым людям, подросткам сказать «Привет» стало проще, познакомившись в интернете, чем просто подойти в реальности? Почему все «сидят» в социальных сетях? Социальные сети

Маркетинг в социальных сетях (SMM) для продвижения компании
Деятельность в социальных сетях, на блогах и форумах по повышению лояльности клиентов получила название SMM — от аббревиатуры английского звучания этого термина – Social Media Marketing. Аудитория

Фейсбук (Facebook) - что это за сеть: как пользоваться ФБ
Фейсбук — это самая популярная и большая социальная сеть в мире. Если Вам интересно узнать больше о Facebook, про то как пользоваться сетью и о некоторых «фишках» ФБ — этот материал именно для вас!