Реліз гіпервізора Xen 4.11

Після семи місяців розробки відбувся випуск вільного гіпервізора Xen 4.11. Порівняно з минулим випуском до Xen 4.11 внесено 1206 змін. У розробці нового випуску взяли участь такі компанії як Citrix, SUSE, ARM, AMD, Intel, Amazon, Google, Oracle, EPAM Systems, Huawei, DornerWorks та Qualcomm.

Ключові зміни в Xen 4.11:

• Продовжено роботу з удосконалення ABI-інтерфейсу PVH, що комбінує елементи режимів паравіртуалізації (PV) для введення/виведення, обробки переривань, організації завантаження та взаємодії з обладнанням, із застосуванням повної віртуалізації (HVM) для обмеження привілейованих інструкцій, ізоляції систем віртуалізації таблиць сторінок пам'яті. Гостьові системи в режимі PVH містять менше критичного коду в порівнянні з PV і HVM, а інтерфейс між операційною системою та гіпервізор значно простіше і менш схильний до атак.

  У новому випуску додано експериментальну підтримку PVH Dom0, що активується при виклику Xen c опцією "dom0=pvh". До цього часу запуск як Dom0 був можливий лише для гостьових систем у режимі PV. Гостьові системи в режимі HVM вимагають виконання компонентів QEMU на стороні Dom0 для емуляції обладнання, що не дозволяє їх використовувати як Dom0. Гостьові системи PVH не вимагають для виконання компонентів, крім гіпервізора, тому вони як і гостьові системи PV можуть завантажуватися в умовах, коли не запущено інших гостьових систем, і можуть виконувати функції базового оточення Dom0. Застосування PVH Dom0 істотно підвищує безпеку конфігурацій Xen, оскільки в порівнянні з PV дозволяє виключити при роботі приблизно 1.5 млн. рядків коду QEMU. Робота PVH Dom0 поки доступна тільки в Linux та FreeBSD;

• У гіпервізор додано вбудовану підтримку емуляції конфігурації PCI, яка раніше надавалася через зовнішній обробник з QEMU;
• Додано прошарок для забезпечення запуску немодифікованих паравіртуалізованих гостьових систем (PV) в оточенні PVH, що дозволяє забезпечити роботу старих гостьових систем у більш безпечних оточеннях, обмежених режимом PVH;
• Продуктивність планувальників Credit1 та Credit2 оптимізована для роботи в умовах ексклюзивної та м'якої (soft-affinity) прив'язки віртуальних CPU (vCPU) до фізичних ядр CPU (pCPU);
• Додано нові виклики DMOP (Device Model Operation Hypercall) для роботи консолі VGA при використанні QEMU, запущеному в режимі ізоляції, що дозволяє захиститися від атак на гіпервізор у разі компрометації компонентів QEMU;
• На системах з процесорами на базі архітектури Skylake і новіше включено підтримка розширення MBA (Memory Bandwidth Allocation), що дозволяє знизити негативний вплив на систему перевантажених віртуальних машин за рахунок застосування системи урізування ресурсів на основі виділеного бюджету;
• У емулятор x86 додано підтримку наборів інструкцій Intel AVX та AVX2, а також AMD F16C, FMA4, FMA, XOP та 3DNow;
• У систему прив'язки ресурсів для гостьових систем додано можливість мапінгу таблиць доступу до пам'яті (Grant table) та серверних сторінок IOREQ;
• Для систем на базі архітектури ARM перероблено підтримку VGIC та проведено рефакторинг обробників таблиць сторінок пам'яті, підсистем роботи з пам'яттю та підтримки платформ big.LITTLE для спрощення супроводу коду. Додано підтримку інтерфейсів PSCI 1.1 (Power State Coordination Interface) та SMCCC 1.1 (Secure Monitor Call Calling Conventions);
• Додано механізми для блокування уразливостей у механізмі спекулятивного виконання інструкцій у процесорах: для захисту від уразливості Meltdown доданий механізм XPTI (еквівалент доданої в ядро ​​Linux техніки KPTI (Kernel Page Table Isolation). Для захисту від Spectre задіяні інструкції IBRS (Indirect Branch Restricted Speculation) Prediction Barriers), а для систем без їх підтримки запропонована техніка Retpoline, також додані методи захисту від атак Spectre 4 і Lazy FP.Для управління включенням методів захисту запропонована нова опція spec-ctrl;
• У майбутніх випусках очікується стабілізація PVH Dom0, підтримка прокидання PCI-пристроїв у гостьові системи PVH та можливість складання PV- та HVM-версій Xen.

Інші новини