Последний выпуск добавляет функциональность PVH для лучшей безопасности и производительности
САН-ФРАНЦИСКО, 10 июля 2018 г. - Xen Project Сегодня компания Linux Foundation объявила о выпуске Xen Project Hypervisor 4.11. В последнем выпуске добавлены новые функции, связанные с PVH, для упрощения интерфейса между Xen Project Hypervisor / Support и операционными системами, обеспечивающие дополнительную безопасность и производительность. Релиз также содержит меры по устранению уязвимостей Meltdown и Spectre.
Xen Project Hypervisor используется более чем 10 миллионами пользователей и обеспечивает работу одних из самых больших облаков в мире, включая Amazon Web Services, Tencent, Alibaba Cloud, Oracle Cloud и IBM SoftLayer. Это база для коммерческих продуктов виртуализации от Citrix, Huawei, Inspur и Oracle, а также решений для обеспечения безопасности от Qubes OS, Bromium vSentry, A1Logic, Bitdefender, Crucible Hypervisor Star Lab, Zentific и Dornerwork Virtuosity.
Долгосрочные цели разработки проекта Xen продолжают фокусироваться на меньшем количестве кода, меньшей базе доверенных вычислений (TCB), меньшей сложности, простоте обслуживания, лучшей производительности и масштабируемости. Для достижения этих целей в проекте Xen была проведена реструктуризация основных технологий гипервизора, которые охватывают все основные функции, такие как поддержка x86, эмуляция устройства и последовательность загрузки. Последняя функциональность, связанная с PVH в Xen Project 4.11, является проявлением этой перестройки.
«Сообщество Xen Project работало быстро, чтобы удовлетворить потребности в безопасности Spectre и Meltdown, и продолжало соответствовать своим целям, добавляя важные функции в этот выпуск», - сказал Ларс Курт, председатель Консультативного совета по проекту Xen. «Последние функции в этом выпуске, касающиеся функциональности PVH, повышают безопасность, производительность и управление гипервизора».
PVH Dom0 уменьшает поверхность атаки систем на базе проектов Xen
PVH сочетает в себе лучшее из режимов PV и HVM, чтобы упростить интерфейс между операционными системами с поддержкой Xen Project Support и гипервизором Xen Project, а также уменьшить поверхность атаки программного обеспечения Xen Project. Гости PVH - это легкие гости HVM, которые используют аппаратную поддержку виртуализации для памяти и привилегированных инструкций. ПВХ не требует QEMU.
Xen Project 4.11 добавляет экспериментальную поддержку PVH Dom0, вызывая Xen через dom0 = pvh в командной строке. Запуск PVH Dom0 удаляет приблизительно 1 миллион строк кода QEMU из вычислительных баз Xen Project, сокращая поверхность атаки систем на основе Xen Project.
Для включения PVH Dom0 требуется Linux или FreeBSD с поддержкой PVH Dom0. Патчи для каждой операционной системы в настоящее время обновляются и должны быть доступны в следующих версиях Linux и FreeBSD.
PV в контейнере ПВХ (ПВХ Шим) упрощает управление
Xen Project Hypervisor 4.11 поддерживает неизмененную прежнюю гостевую версию, предназначенную только для PV, для работы в режиме PVH. Это позволяет облачным провайдерам поддерживать старые дистрибутивы только для PV, в то же время обеспечивая поддержку только одного типа гостя (PVH), упрощая управление, значительно уменьшая поверхность атаки и в конечном итоге позволяя конечным пользователям создавать конфигурацию гипервизора Xen Project без «Классическая» поддержка PV вообще.
Эмуляция пространства конфигурации PCI в Xen
Поддержка пространства конфигурации PCI перенесена из QEMU в гипервизор. Помимо включения поддержки PVH Dom0, этот код в конечном итоге будет доступен гостям HVM и гостям PVH. Перед раскрытием этой функции для поддерживаемых типов гостевых систем безопасности, таких как гости из PVH или HVM, необходимо выполнить дополнительное усиление безопасности.
Смягчающие меры против атак на кэш-каналы в боковых каналах от Meltdown и Spectre
Этот выпуск содержит меры по устранению уязвимостей Meltdown и Spectre, в том числе:
- XPTI оптимизирован по производительности : Xen Project эквивалентен изоляции таблицы страниц ядра (KPTI). Только «классические PV» гости нуждаются в XPTI, тогда как HVM и PVH не могут атаковать гипервизор через Meltdown.
- Укрепление прогнозирования ветвлений: для процессоров x86 была добавлена новая инфраструктура для микрокода Intel и AMD, связанная с уменьшением спектра, а также с поддержкой Retpoline ,
В этом выпуске проекта Xen участвовали представители веб-сервисов Amazon, AMD, Arm, Citrix, DornerWorks, EPAM Systems, Gentoo Linux, Google, Huawei, Intel Corporation, Лаборатории невидимых вещей, Oracle, Qualcomm, SUSE и ряда университетов. и отдельные лица. Посмотреть полный список участников в этом выпуске Вот ,
Дополнительные технические характеристики
Оптимизация планировщика: решения по планированию Credit1 и Credit2, когда vCPU исключительно прикреплен к pCPU или когда используется soft-affinity, оптимизируются по производительности.
Добавьте DMOP, чтобы разрешить использование VGA с ограниченным QEMU (x86): в Xen Project Hypervisor 4.9 введен Hypercall модели устройств (DMOP), который значительно ограничивает возможности взломанного QEMU для атаки на гипервизор. В Xen 4.11 мы добавили DMOP, которые позволяют использовать консоль VGA, которая ранее была ограничена.
Включить распределение пропускной способности памяти в Xen ((платформа Intel® Xeon® Scalable или новее): поддержка выделения пропускной способности памяти (MBA) позволяет Xen Project Hypervisor 4.11 замедлять некорректно работающие виртуальные машины с помощью механизма регулирования на основе кредитов.
Усовершенствования эмулятора (x86): поддержка ранее не поддерживаемых расширений Intel® Advanced Vector Extensions (Intel® AVX и AVX2), а также AMD F16C, FMA4, FMA, XOP и 3DNow! инструкции были добавлены в эмулятор x86.
Гостевое сопоставление ресурсов (x86): Поддержка прямого сопоставления таблиц Grant и страниц сервера IOREQ была введена в Xen Project Hypervisor 4.11 для повышения производительности.
Очистка и проверка на будущее (Arm): поддержка Xen VGIC была повторно реализована. Кроме того, обработка таблицы страниц этапа 2, подсистемы памяти и поддержка big.LITTLE были реорганизованы, чтобы упростить поддержку и обновление кода в будущем.
Поддержка соответствия PSCI 1.1 и SMCCC 1.1 (Arm): Xen Project обновлен для соответствия последним версиям Arm® Power State Координационный интерфейс и Соглашения о вызовах Secure Monitor, которые обеспечивают оптимизированное соглашение о вызовах и дополнительную обнаруживаемую поддержку для смягчения Варианта 2 Призрака.
Комментарии от пользователей и участников проекта Xen:
«Xen Project Hypervisor 4.11 опирается на свою зрелость и гибкость как надежный, безопасный гипервизор 1-го типа. Поддержка Xen Project 4.11 для PVH dom0, добавленная к его существующим возможностям PVH domU, позволяет использовать преимущества паравиртуализации в отношении производительности и масштабируемости, одновременно снижая сложность и размер кода, упрощая его поддержку, расширение и защиту ». сказал Джеймс Балпин, старший директор по технологиям в Citrix. «Благодаря ряду других улучшений производительности, безопасности и удобства обслуживания Xen Project 4.11 демонстрирует стремление сообщества сделать Xen лучшим гипервизором для широкого спектра вариантов использования - от огромных частных облаков до встраиваемых систем».
«Корпорация Intel рада видеть выпуск Xen Project 4.11 с новейшими функциями платформы на базе Intel», - сказал Арьян Ван Де Вен, научный сотрудник Intel и директор по системным системам и Linux Pathfinding Engineering в Центре открытых технологий Intel. «Мы по-прежнему нацелены на использование лучшей архитектуры Intel, чтобы клиенты могли воспользоваться новейшими функциями». «Гипервизор Xen Project является важной частью решений виртуализации, которые SUSE предоставляет нашим клиентам. Этот новейший выпуск Xen 4.11 предлагает некоторые важные преимущества, такие как повышение производительности и повышение надежности, которые имеют решающее значение в корпоративных средах », - сказал Майк Латимер, старший инженер-менеджер SUSE. «Проект Xen является отличным примером нашего стремления предоставить нашим клиентам программное обеспечение самого высокого качества. Мы с нетерпением ждем продолжения нашего вклада в это процветающее сообщество и будем частью захватывающего будущего виртуализации ».
Дополнительные ресурсы
Последние сообщения от Linux Foundation ( увидеть все )
Похожие
Пять бесплатных инструментов Chrome для более быстрого и удобного поиска... в из интернет-магазина Chrome работают с браузером Chrome, чтобы упростить поиск или помочь настроить поисковые запросы, чтобы свести к минимуму нежелательные результаты. Если вы хотите углубиться только в Википедию или игнорировать определенные сайты, особенно подозрительные, вы можете сделать это с одним из этих помощников. Выделите для поиска Мне лень. Я признаю это. Иногда, идея ввести запрос в поисковую систему достаточно, чтобы отговорить меня от запуска веб-поиска в Настольный компьютер для офиса - рекомендуемые комплекты
Офисный настольный компьютер должен отличаться прежде всего надежностью и эффективностью. Это должно быть устройство, которое можно использовать для комфортного выполнения текущих задач в офисе, в том числе графических и мультимедийных. Важно, чтобы оборудование справлялось с многопоточной поддержкой, эффективно переключалось между несколькими открытыми приложениями и эффективно работало, например, с поддержкой нескольких мониторов. Каковы рекомендуемые компьютерные комплекты? Прочитайте Laser Mouse Player - советуем как правильно выбрать и купить смарт
Лазерная мышь - мечта практически каждого игрока. Они недешевы, но они обеспечивают максимальную точность датчиков и могут работать с огромными разрешениями, что делает их идеальным оружием на виртуальном поле боя. В этом руководстве мы представим вам дюжину наших предложений и предложим, на что обратить внимание при покупке лазерной мыши для игрока. В предыдущем руководстве ОБНОВЛЕНИЕ: две новые функции Gmail - одну вы будете любить, а другую вы будете ненавидеть
У меня есть два сообщения: одно хорошее, а другое плохое. К сожалению, даже этот товар не может улучшить мое настроение после того, что Google сделал с моей электронной почтой. Обновление: оказывается, что проблема не распространяется на всех пользователей и не знает об изменениях, внесенных Google. Начнем с изменений в лучшую сторону. Google годами боролся со спамом, и вы должны честно признать, что он работает хорошо. Я помню, что Мультимедиа - что они есть в интернете, электронный маркетинг, электронное обучение
Распространение Интернета, развитие мультимедийных машин и появление мобильных технологий сделали революцию мультимедиа. Сегодня это сообщение не только упрощено, но даже необходимо для использования в электронном маркетинге, создании веб-сайтов
Комментарии
Мы заботимся о мнениях и критике других (в основном более опытных) фотографов, или, может быть, мы рассчитываем на те же лайки и «лапы»?Мы заботимся о мнениях и критике других (в основном более опытных) фотографов, или, может быть, мы рассчитываем на те же лайки и «лапы»? А может мы вообще не хотим комментировать? Второй фундаментальный вопрос: как часто я буду обновлять мою галерею? Я предпочитаю статичное портфолио с моими абсолютно лучшими фотографиями, или мой формат блога более подходящий? В последнем случае, возможно, не все фотографии будут отличными, но для следующих фотографий будут появляться регулярно. Что делает некоторые альбомы более дорогими, чем другие?
Что делает некоторые альбомы более дорогими, чем другие? Стоит ли доплачивать за лучший альбом? Для материнских плат несколько важных факторов влияют на цену. Наиболее важным является тип чипсета и тип сокета процессор (розетка, подставка). Чипсет оказывает существенное влияние на общую производительность компьютера. Его задача - организовать обмен информацией между подключенными компьютерными компонентами. Или это были основные карты, которые снижают существующую производительность по более низким ценам?
Или это были основные карты, которые снижают существующую производительность по более низким ценам? Это был вопрос, который я, по общему признанию, должен был остановиться и задуматься. Но, в конце концов, настолько же увлекательным, как и высококлассные карты - и таким же увлекательным, как покупки в витринах, - мой ответ на этот вопрос заключался в том, что основные карты были более важными. Это основные карты, которые могут позволить себе больше игроков, и, судя по тенденциям продаж мониторов, Низкая подписка около 30 злотых и телефон из среднего или более высокого ценового диапазона примерно за 100 злотых при единовременной или ежемесячной рассрочке?
Низкая подписка около 30 злотых и телефон из среднего или более высокого ценового диапазона примерно за 100 злотых при единовременной или ежемесячной рассрочке? Можно ли приобрести подписку с телефона за приличные деньги? Давайте посмотрим. В качестве критерия я принял выбор самых дешевых тарифных планов, доступных у операторов на 24 месяца. Это будут подписки, колеблющиеся около 30 злотых, иногда даже выше, но с аналогичным набором услуг. Кроме того, мы выберем телефон, сумма ACT более прост и, как и тест на достижения, в основном спрашивает: «Что вы узнали в старших классах?
ACT более прост и, как и тест на достижения, в основном спрашивает: «Что вы узнали в старших классах?». Это более доброжелательно для студентов с сильными сторонами в математике и естествознании. Английский: этот раздел есть только в ACT, и все дело в грамматике. У студентов есть 45 минут, чтобы ответить на 75 вопросов, и этот раздел напрямую отражает грамматику, которую вы изучаете в классе английского языка. (На SAT грамматика включена в раздел Письмо.) Какие офисные компьютеры рекомендуются для более продвинутой работы?
Какие офисные компьютеры рекомендуются для более продвинутой работы? СОВЕТ ЭКСПЕРТА Выбирайте настольные компьютеры, предназначенные для более продвинутой работы, чтобы в будущем их можно было расширить, например, более эффективной видеокартой с дополнительным охлаждением. Такие компьютеры должны иметь большие корпуса, обеспечивающие свободный доступ и, что немаловажно, пространство, обеспечивающее воздушный поток и охлаждение компонентов. Чуть более 4500 баллов - это хороший результат?
Чуть более 4500 баллов - это хороший результат? ;) В конце концов, после недельного романа с Nokia 101 пришло время расстаться Но это не значит переключиться обратно на смартфон. По крайней мере, не тот, который мы используем в настоящее время. Прежде чем мой телефон вернется с сайта, это, вероятно, займет некоторое время, и хотя Nokia 101 действительно красивый телефон, он ... но нет. Это немного похоже на вечеринку, где вы не пьете алкоголь. Можно, но зачем рисковать? Не будете ли вы более довольны продолжением серии "Миллениум" или с недавно выпущенная биография Сванте Пяэбо ?
Чуть более 4500 баллов - это хороший результат? ;) В конце концов, после недельного романа с Nokia 101 пришло время расстаться Но это не значит переключиться обратно на смартфон. По крайней мере, не тот, который мы используем в настоящее время. Прежде чем мой телефон вернется с сайта, это, вероятно, займет некоторое время, и хотя Nokia 101 действительно красивый телефон, он ... но нет. Это немного похоже на вечеринку, где вы не пьете алкоголь. Можно, но зачем рисковать? Более хотите узнать об этом формат передачи данных?
Более хотите узнать об этом формат передачи данных? - традиционно обратитесь к Википедии. Простой пример: и JSON - несложный, легкий, а значит и более быстрый формат, который выглядит следующим образом: по ссылкам Как рассказать интересные истории, используя технологии?
Как рассказать интересные истории, используя технологии? Примером является реализация Rimini Protokoll. Мы разговариваем с членом коллектива Стефаном Кайми о прогулке по Берлину с аудиогидом «Remote X». Во время спектакля он танцует на Александерплац и посещает психиатрическую больницу. Хотя в пьесе нет актера, непосредственный опыт общения с другим человеком остается центральным опытом.
Каковы рекомендуемые компьютерные комплекты?
Мы заботимся о мнениях и критике других (в основном более опытных) фотографов, или, может быть, мы рассчитываем на те же лайки и «лапы»?
А может мы вообще не хотим комментировать?
Второй фундаментальный вопрос: как часто я буду обновлять мою галерею?
Я предпочитаю статичное портфолио с моими абсолютно лучшими фотографиями, или мой формат блога более подходящий?
Что делает некоторые альбомы более дорогими, чем другие?
Что делает некоторые альбомы более дорогими, чем другие?
Стоит ли доплачивать за лучший альбом?
Или это были основные карты, которые снижают существующую производительность по более низким ценам?
Или это были основные карты, которые снижают существующую производительность по более низким ценам?