Объявлено (https://marc.info/?l=openbsd-tech&m=144104398132541&w=2) о работе над новым гипервизором, специально развиваемым для использования в операционной системе OpenBSD. Первый выпуск гипервизора OpenBSD планируется представить в конце октября, но, в конечном счёте, сроки будут зависеть от успешности написания бэкендов для virtio.Гипервизор будет поддерживать запуск виртуальных окружений с любыми операционными системами для которых имеются драйверы virtio (http://www.linux-kvm.org/page/Virtio), т.е. все системы, которые поддерживаются в KVM. В дальнейшем на базе кода эмуляции оборудовния от проекта QEMU планируется реализовать прослойку для выполнения немодифицированных операционных систем в режиме полной виртуализации, в том числе устаревших ОС и систем, требующих для загрузки BIOS/UEFI.
Для работы гипервизора потребуется система с любым процессором AMD или Intel, поддерживающим расширения аппаратной виртуализации AMD-V/SVM (https://en.wikipedia.org/wiki/X86_virtualization#AMD_virtual... (Secure Virtual Machine) или VT-x/VMX (https://en.wikipedia.org/wiki/X86_virtualization#Intel_virtu... (Virtual Machine eXtensions). В том числе будут поддерживаться процессоры без поддержки расширений (https://en.wikipedia.org/wiki/Second_Level_Address_Translation) RVI (Rapid Virtualization Indexing) или EPT (Extended Page Table), вместо которых будет применяться специальная программная техника изоляции страниц памяти виртуальных окружений. Гипервизор (vmm), virtio-бэкенд (vmd) и управляющий инструментарий (vmmctl) планируется интегрировать в OpenBSD, что позволит запускать гостевые системы из коробки. Гипервизор будет доступен не только для архитектуры amd64, но и для 32-разрядных систем i386.
В частности, возможность работы на устаревших системах i386 является одним из основных мотивов разработки нового гипервизора вместо портирования в OpenBSD уже существующих решений. В качестве причин также упоминаются технические особенности OpenBSD и желание уделить первоочередное внимание вещам, которые в других системах рассматриваются как второстепенные, например, поддержка i386, механизм теневых страниц (shadow paging (https://ru.wikipedia.org/wiki/%D0%9C%D0%... вложенная виртуализация и поддержка устаревших периферийных устройств. Реализация задуманных возможностей в другом гипервизоре оценена по трудозатратам как сопоставимая с созданием нового решения с нуля.
URL: http://undeadly.org/cgi?action=article&sid=20150831183826
Новость: http://www.opennet.me/opennews/art.shtml?num=42889
https://marc.info/?l=openbsd-misc&m=119318909016582From: Theo de Raadt
> Virtualization seems to have a lot of security benefits.
You've been smoking something really mind altering, and I think you should share it. x86 virtualization is about basically placing another nearly full kernel, full of new bugs, on top of a nasty x86 architecture which barely has correct page protection. Then running your operating system on the other side of this brand new pile of shit.
You are absolutely deluded, if not stupid, if you think that a worldwide collection of software engineers who can't write operating systems or applications without security holes, can then turn around and suddenly write virtualization layers without security holes.
You've seen something on the shelf, and it has all sorts of pretty colours, and you've bought it.
That's all x86 virtualization is.
Последние уязвимости в коде эмуляции оборудования QEMU отлично подтверждают его слова.
http://www.opennet.me/opennews/art.shtml?num=42676
http://www.opennet.me/opennews/art.shtml?num=42400
http://www.opennet.me/opennews/art.shtml?num=42223
А людям вообще свойственно ошибаться. Некоторые ошибки оказываются проблемой безопасности. Тео хочет сказать что он не вешает ошибок в коде? Это возможно только в 1 случае: если пи...ть языком вместо того чтобы код писать.
Людям свойственно ошибаться. Тео - человек. Тео свойственно ошибаться.
>[оверквотинг удален]
> nasty x86 architecture which barely has correct page protection. Then running
> your operating system on the other side of this brand new
> pile of shit.
> You are absolutely deluded, if not stupid, if you think
> that a worldwide collection of software engineers who can't write operating
> systems or applications without security holes, can then turn around and
> suddenly write virtualization layers without security holes.
> You've seen something on the shelf, and it has all
> sorts of pretty colours, and you've bought it.
> That's all x86 virtualization is.Ты на год посмотри. 2007й. Сейчас практически вся виртуализация в процессоре. Софтовая часть нужна лишь по стольку поскольку. Единственный, кому сегодня НЕ нужны VT-x/AMD-V - это Virtualbox. Всё остальное просто не запустится без этих расширений. Он же, кстати, и отстающий в плане использования этих расширений в сравнении с KVM, Xen.
Написание гипервизора сегодня и в 2007 году - две большие разницы. Как по количеству кода, так и по возможностям предоставляемым современными архитектурами.
И не нужно путать гипервизор с управляющим инструментарием типа qemu, в котором в большинстве случаев и находят дыры. В случае с OpenBSD это будет vmmctl. Код, которого, разумеется будет более читабелен и более безопасен, как и всё остальное рождённое в недрах проекта OpenBSD. Архитектурная связь гипервизор vmm c vmmctl разумеется не допустит такой лажи, когда ошибка в коде эмуляции флопповода даёт доступ ко всей хостовой системе от рута.
"Сейчас практически вся виртуализация в процессоре" правда в новости идёт ссылка на приоритет поддержки i386, а AMD-V это вроде как i686++ ;)
> "Сейчас практически вся виртуализация в процессоре" правда в новости идёт ссылка на
> приоритет поддержки i386, а AMD-V это вроде как i686++ ;)Не нужно читать новости, они часто врут или как минимум неточны. Читайте первоисточник https://marc.info/?l=openbsd-tech&m=144104398132541&w=2 Ни о каком приоритете i386 речи не идёт.
Под i386 в новости имеется ввиду 32-х разрядность, а не набор команд процессора.
> И не нужно путать гипервизор с управляющим инструментарием типа qemu, в котором в
> большинстве случаев и находят дыры. В случае с OpenBSD это будет vmmctl.
> Код, которого, разумеется будет более читабелен и более безопасен, как и всё
> остальное рождённое в недрах проекта OpenBSD.Циплят по осени считают.
> Архитектурная связь гипервизор
> vmm c vmmctl разумеется не допустит такой лажи, когда ошибка в коде эмуляции
> флопповода даёт доступ ко всей хостовой системе от рута.Разумеется, куда уж остальным-то до прогрессивной команды OpenBSD, где
в 2015 осознали, что виртуализация нужна.
русский выучи "циплят" или включи спел чекер, а потом комментируй.
> русский выучи
> включи спел чекеррука-лицо.жпг
Предложения с заглавной буквы не забывай начинать,
потом мне будешь про русский язык и включение
проверки орфографии вещать.
p.S: Редактировать не дает, сразу пытался исправить.
>> И не нужно путать гипервизор с управляющим инструментарием типа qemu, в котором в
>> большинстве случаев и находят дыры. В случае с OpenBSD это будет vmmctl.
>> Код, которого, разумеется будет более читабелен и более безопасен, как и всё
>> остальное рождённое в недрах проекта OpenBSD.
> Циплят по осени считают.Да, выше ссылки на дыры в кему привели. Можешь начинать считать.
>> Архитектурная связь гипервизор
>> vmm c vmmctl разумеется не допустит такой лажи, когда ошибка в коде эмуляции
>> флопповода даёт доступ ко всей хостовой системе от рута.
> Разумеется, куда уж остальным-то до прогрессивной команды OpenBSD, где
> в 2015 осознали, что виртуализация нужна.Да, вы правы, все остальные идут сильно позади OpenBSD в отношении безопасности. Но положение постепенно меняется к лучшему. Во многом благодаря той же команде OpenBSD.
"Ты на год посмотри. 2007й. Сейчас практически вся виртуализация в процессоре."
Вот поэтому все еще страшнее, а зная паранойю OpenBSD шников, стоит ожидать что на аппаратные средства проца они будут полагаться очень слабо.
Был уже прецендент с аппаратным рандомом, или чето такое.
прецедент
спс. Учту
> Единственный, кому сегодня НЕ нужны VT-x/AMD-V - это VirtualboxСразу видно кукаретика. Я даже дальше не читал. Xen запускается без всяких расширений вообще.
>> Единственный, кому сегодня НЕ нужны VT-x/AMD-V - это Virtualbox
> Сразу видно кукаретика. Я даже дальше не читал. Xen запускается без всяких
> расширений вообще.В режиме паравиртуализации. Полную виртуализацию без VT-x/AMD-V xen не умеет
Все верно. Но полная виртуализация не обязательна для запуска линуксов. А HVM режим особых преимуществ перед KVM не имеет. Давненько не следил за этим. Возможно они уже и часть устройств с KVM унифицировали.
> практически вся виртуализация в процессореНу и какая разница, будут security holes в софте или микрокоде процессора?
В софте их хотя бы попатчить можно более-менее оперативно.
>Возможность работы на устаревших системах i386 является одним из основных мотивовХм, такие системы разве ещё выпускают? Вроде 486 ещё делают (делали до недавнего времени?) для всякого рода мелочёвки a la коммутаторы. Мотив звучит надуманно.
речь идет об 32х разрядной архитектуре, а не конкретно о процессоре Intel 386.
Ваш кэп.
> речь идет об 32х разрядной архитектуре, а не конкретно о процессоре Intel
> 386.
> Ваш кэп.Архитектура называется x86.
Ваш майор.
Архитектура называется IA-32.
Ваш генерал.
> Ваш генерал.А где ваш Урфин Джюс, дуболомы?
> i386Нахрена?
Зачем заниматься виртуализацией для 32битных решений, когда остальные участники начинают отправлять её на свалку истории?
Для выявления багов, которые могут долго оставаться не замеченными на amd64.
> Для выявления багов, которые могут долго оставаться не замеченными на amd64.Бред.
>> Для выявления багов, которые могут долго оставаться не замеченными на amd64.
> Бред.Нет.
Василий, а вы прикиньте общее количество самого различного оборудования на 32-разрядных i386 и получите ответ на свой вопрос.
1. Почему это оборудование нельзя использовать с 64-разрядными x86 процессорами?
2. Каким образом это относится к виртуализации?
1. сравните цены на 32-х и 64-х разрядные процессоры х86 для промышленного производства, их энергопотребление, конструктивные особенности.
2. виртуализация очень полезна во многих случаях.
Как этим можно будет пользоваться? Поддержка всего 1 год.
КО передаёт, что можно обновляЦЦо иногда...
Зачем?
>>т.е. все системы, которые поддерживаются в KVM.
>>В дальнейшем на базе кода эмуляции оборудовния от проекта QEMU
>>планируется реализовать прослойку для выполнения немодифицированных операционных систем
>>в режиме полной виртуализациискажите пожалуйста, а сейчас получается что kvm не работает с немодифицированные операционками??
>>>т.е. все системы, которые поддерживаются в KVM.
>>>В дальнейшем на базе кода эмуляции оборудовния от проекта QEMU
>>>планируется реализовать прослойку для выполнения немодифицированных операционных систем
>>>в режиме полной виртуализации
> скажите пожалуйста, а сейчас получается что kvm не работает с немодифицированные операционками??Ты путаешь два разных понятия. Гипервизор (код в ядре, называется kvm) и команду kvm (переименованный бинарник qemu, которым ты обычно запускаешь саму вирт.машину). Если гостевая ОС умеет паравиртуализацию, т.е. грубо говоря знает о том, что она виртуализированна посредством драйверов virtio - то будет задействован гипервизор ядра kvm. Если не умеет то работать будет, но жутко медленно.
Раньше всё это дело ускорялось ядрёным модулем kqemu (и в линуксах, и в бсд, но его выкинула школота, которая пришла в проект qemu и сказала, что корпорациям это не нужно, значит не нужно никому - удаляем!
Для использования ядерного модуля kvm (+kvm_intel/kvm_amd) не нужна модификация или поддержка со стороны гостевой ОС (но нужна поддержка со стороны железа).
virtio - это паравиртуализация сети и блочных устройств - для них нужен драйвер в гостевой ОС.
Больше гипервизоров, хороших и разных!Тренд прошлого сезона – контейнеры. Тренд этого сезона – гипервизоры. Что дальше?
> Больше гипервизоров, хороших и разных!
> Тренд прошлого сезона – контейнеры. Тренд этого сезона – гипервизоры. Что дальше?Ну дальше только systemd но это сарказм, у руля проекта OpenBSD стоят адекватные люди
> у руля проекта OpenBSD стоят адекватные людиТеперь уже в это слабо верится. Где сейчас OpenBSDе? В [напрашивающаяся рифма].
Ну если у вас не хватает ума куда еще засунуть OpenBSD кроме как в [напрашивающаяся рифму], то может вам сменить профессию и не работать в ИТ? И обществу лучше будет и вы при деле, идите в грузчики.
> Где сейчас OpenBSDе? В [напрашивающаяся рифма].Тео де Раадт переехал в Караганду?
Не перестаю удивляться, хороший подход. У меня возник вопрос который я давно хотел задать да вот повода не было, какая или какие видео карты поддерживаются в OpenBSD с поддержкой 3D если такие вообще есть?
> Не перестаю удивляться, хороший подход. У меня возник вопрос который я давно
> хотел задать да вот повода не было, какая или какие видео
> карты поддерживаются в OpenBSD с поддержкой 3D если такие вообще есть?Всё тоже самое, что и в линуксах с поправкой, что DRI (DRM? не разбираюсь я в этих сущностях) - эмулирует на данный момент поведение ядра линукс версии 3.8, если память не изменяет (при чём это во всех бсд так). Т.е. с опозданием от ядра линукс графика развивается.
Проприетарных драйверов нвидиа нету. Вообще закрытые дрова отсутствуют, как класс.
всё, что есть в linux из свободных, кроме nouveau. nvidia не поддерживается вообще. ati и intel у меня что в debian, что в openbsd работают примерно одинаково
Использую Proxmox. Другого не нужно.
> Использую Proxmox. Другого не нужно.Пользуйтесь, если вам что то не нужно то это не значит что это не нужно всем остальным, мир многогранен.)))
> Использую Proxmox. Другого не нужно.Вам не нужно, не пилите. Если разрабам нужно пусть пилят.
Просто так затраченные человеко-часы на продление жизни умирающих технологий.... Кто покупает новое оборудование для установки старых технологий? Если системы до сих пор живы, кто в здравом уме будет переводить их на BSD с этим "НОВЫМ" гипервизором? Зачем вообще поднимать х86 на новом железе? сейчас одной только памяти на систему в десятки раз больше чем раньше.Это предложение скорее для одиночек энтузиастов, чем для бизнес решений.
x86 много в промышленных системах и будет еще очень долго так как производится и будет производиться.
Дык, коллеги! Вот только вчера налаживал работу досовской зарплатной программы 1993 года. Не заменяют её потому, что бухгалтеры
1)боятся нового; 2) считают алгоритмы расчёта этой проги единственно верными.
> Дык, коллеги! Вот только вчера налаживал работу досовской зарплатной программы 1993 года.
> Не заменяют её потому, что бухгалтеры
> 1)боятся нового; 2) считают алгоритмы расчёта этой проги единственно верными.Если поставить первым пунктом "считают алгоритмы расчёта этой проги единственно верными.", и принять это за базис (плюс будет бодьшим плюсом (изиняюсь за тавтологию) то, что люди разбираются в бухгалтерии до такой степени, что могут сравнить несколько алгоритмов расчетов), то пункт "боятся нового;" выглядит не так юж и вопиюще.
"Боятся нового", это в общем то нормально (до определенного предела), особенно для людей в возрасте (прошу прощения за капитанство).
Не заменяют её по другим причинам:
- стоимость внедрения, доработок и поддержки
- стоимость переобучения
- стоимость обновления парка ПКТы даже не догадываешься, но эти пункты объединяет одно - БАБЛО - это прямые расходы, которые понесёт компания, не получив никаких ощутимых преимуществ.
А для тебя, тупого админа, придумали сказочку про боязнь нового. Я тоже такие своим детям рассказываю. Малы они ещё слушать про KPI, личную эффективность и маржинальность.
Клован хорошо продемонстрировал как их Ынерпрайз работает, "руссиан бусинес" мля :)
Пошли по пунктам:
- стоимость внедрения, доработок и поддержки
Да, СССР кончился, за работу нынче принято платить. Но не факт что это будут какие то нереальные деньги.- стоимость переобучения
Перепелите из под доса в чо там у вас 64-бит, но оставьте интерфейс тем же. Переобучения нет, пункт расходов - обнуляется.- стоимость обновления парка ПК
А вот это самый смак! :) Сколько новых ноутбуков ты отдашь за реальный 386-ой, если прога работает только на нём? (приснопямятный TurboPascal) :-)))Вобщем наш клвоан - реальный клован, а не какой там фейк дешОвый :)))))
Только явисты, питонисты и клоуны строят свой цирк с нуля, остальные берут 1С Зарплата и что-то там (Зарплата и Кадры, Зарплата и Управление персоналом) и тратят пару дней на её настройку.При столь серьёзном изменении платформы, придётся заниматься переобучением персонала.
Ты будешь безумно удивлён, но формы регламентированной отчётности по кадрам и зар.плате в старых программах сами по себе не обновляются. Если стоит DOS-программа, значит рядом стоит ещё одна, куда данные сливают чтобы подготовить. Переход на новую версию позволил бы сократить этого никчёмного работника, но иногда его зар.плата настолько низка по сравнению со стоимостью перехода, что пусть он лучше каждый день ноет как плоха его жизнь и переносит данные вручную.
И да, переход на современные версии офисного ПО (коим является 1С) потребует обновления парка ПК.
Но у вас, я посмотрю, есть альтернативная точка зрения: нанять непонятных программеров (видимо, недоученных студентов), которые по дешёвке сляпают такой же интерфейс и повторят логику.
> сляпают такой же интерфейси повторят логику.
Как будто что-то плохое.
> вчера налаживал работу досовской зарплатной программы 1993 года.я то думаю, почему зарплата не подымается, а там все еще от 1993 года в ценах не меняется )))
а хен им чем не люб?
Клон bhyve, сейчас гипервизоры не делают только ленивые.
Всю виртуализацию уже реализуют x86 процессоры последнего поколения
в линуксе делают обои, в bsd гипервизоры
> в линуксе делают обои, в bsd гипервизорыГодные там обои скопировали из ядра 3.8 :)
>> в линуксе делают обои, в bsd гипервизоры
> Годные там обои скопировали из ядра 3.8 :)Вставив попутно и втихаря © Intel Corporation :)
> Вставив попутно и втихаря © Intel Corporation :)Боевые анонимы опеннета негодуэ
вот это мощное заявлениеда, наш город процветает
но в Одессе не хватает
самой малости - театра варьетенадеюсь, в 6.0 уже будет... и будет такой же "в духе openbsd", как и другие новинки последних релизов: opensmtpd, openhttpd и т.п.