The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск гипервизора Xen 4.12

03.04.2019 23:25

После восьми месяцев разработки опубликован релиз свободного гипервизора Xen 4.12. По сравнению с прошлым выпуском в Xen 4.12 внесено 1466 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, Xilinx, Oracle и Amazon.

Ключевые изменения в Xen 4.12:

  • Добавлена возможность сборки Xen только с поддержкой режимов HVM/PVH (полная и комбинированная виртуализация) или PV (паравиртуализация). Код с реализацией данных режимов теперь отделён и может выборочно включаться через опции KCONFIG при сборке. Указанная возможность позволяет собрать минимально необходимый вариант Xen, что положительно сказывается на безопасности за счёт сокращения векторов для атаки, а также приводит к снижению потребления памяти;
  • Существенно улучшен режим DM_RESTRICT для снижения привилегий компонентов QEMU, применяемых для эмуляции оборудования. Сброс привилегий позволяет минимизировать негативные последствия в случае эксплуатации уязвимостей в QEMU. Кроме снижения привилегий реализована поддержка дополнительных техник изоляции, таких как chroot, RLIMIT и пространства имён. Также добавлен сброс привилегий при live-миграции;
  • Представлен Argo, новый механизм для безопасного обмена данными между виртуальными машинами, реализованный на уровне гипервизора и отвечающий требованиям к высоконадёжным системам. Для обеспечения должного уровня изоляции в Argo применяется копирование данных в кольцевые буферы, регистрируемые виртуальными машинами, без совместного использования одной области памяти несколькими VM, без обращения к Xenstore и без предоставления доступа к памяти VM (Table Grant_Table). Кроме того, Argo обеспечивает изоляцию на уровне производительности, т.е. не позволяет вредоносной активности в одной виртуальной машине повлиять на производительность другой;
  • Внесены многочисленные улучшения производительности и расширена функциональность интерфейса интроспекции виртуальных машин (VMI, Virtual Machine Introspection), позволяющий задействовать аппаратные механизмы виртуализации Intel EPT и AMD RVI для контроля обращения к критичным с точки зрения безопасности областям памяти и блокирования возможных атак, в том числе проводимых с использованием ранее неизвестных уязвимостей (0-day). В VMI задействована поддержка Altp2m и Intel #VE/VMFUNC, которая позволила снизить накладные расходы в процессе интроспекции на 5-20%;
  • По умолчанию задействован планировщик Credit2. По сравнению с ранее поставлявшимся планировщиком Credit1, Credit2 хорошо масштабируется и лучше справляется с нагрузками, чувствительными к задержкам, такими как работа с видео и звуком, а также более оптимален для систем с unikernel, применяемых для обособленного выполнения поверх гипервизора отдельных приложений. При этом, в отличие от специализированных планировщиков RTDS и ARINC653, Credit2 использует прежний универсальный алгоритм справедливого распределения ресурсов, подходящий для решения задач общего назначения;
  • Добавлена поддержка загрузки с использованием загрузчика GRUB2. Пользователи теперь могут использовать GRUB2 для загрузки гостевых систем в режиме PVH с выбором любых доступных ядер через загрузочное меню;
  • Реализация PVH Dom0 ("dom0=pvh") переведена из разряда экспериментальных на уровень готовых для ознакомления ("tech preview"). Гостевые системы PVH не требуют для своего выполнения компонентов помимо гипервизора, поэтому они как и гостевые системы PV могут загружаться в условиях, когда не запущено других гостевых систем, и могут выполнять функции базового окружения Dom0 (ранее запуск в качестве Dom0 был возможен только для гостевых систем в режиме PV, так как гостевые системы в режиме HVM требуют выполнения компонентов QEMU на стороне Dom0 для эмуляции оборудования, что не позволяет использовать их как Dom0). Применение PVH Dom0 существенно повышает безопасность конфигураций Xen, так как по сравнению с PV позволяет исключить при работе примерно 1.5 млн строк кода QEMU. Из изменений в PVH Dom0 отмечается добавление опции "dom0-iommu=map-reserved" и поддержка переноса domU из PVH dom0;
  • Для встраиваемых систем, в которых виртуальные машины размещены в отдельных дисковых разделах, добавлен режим Dom0less, позволяющий создать и загрузить ARM VM из Device Tree сразу после запуска Xen без использования Dom0 (в традиционных окружениях Xen вначале загружается ядро и инструментарий Dom0). Применение Dom0less позволяет более чем на 90% сократить время запуска и упрощает сертификацию виртуализированных систем на предмет соответствия требованиям к системам повышенной надёжности (Safety-Critical Systems);
  • Добавлена возможность сборки урезанной конфигурации для ARM, которая включает минимальны набор компонентов (примерно на 50 тысяч строк кода меньше, чем в обычном режиме). Например, Xen может быть собран для специфичного оборудования, такого как Renesas RCar 3 и Xilinx Ultrascale+ MPSoC, включая только необходимые драйверы и возможности;
  • Улучшен код для маппинга IOMMU, что позволило существенно сократить время запуска на системах с процессорами AMD EPYC;
  • Добавлена поддержка автоматической установки размера памяти для Dom0. Выделяемая для Dom0 память может задаваться как процент от всей памяти в системе (например, 10%) или как базовый размер + смещение (например, 1ГБ + 10%).


  1. Главная ссылка к новости (https://www.linuxfoundation.or...)
  2. OpenNews: Для гипервизора KVM реализована возможность запуска гостевых систем Xen
  3. OpenNews: Релиз гипервизора Xen 4.11
  4. OpenNews: Первый выпуск XCP-NG, свободного варианта Citrix XenServer
  5. OpenNews: Проект Xen представил Unikraft для выполнения приложений поверх гипервизора
  6. OpenNews: Выпуск платформы виртуализации XenServer 7
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50452-xen
Ключевые слова: xen, virtual
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Dkg (?), 00:31, 04/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ждем обновления Xcp-ng!
     
  • 1.2, Xen (??), 01:23, 04/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Кому-нибудь встречались более-менее свежие бенчмарки Xen vs KVM?
     
     
  • 2.3, Чёртик (?), 01:31, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Linode писали, что с радостью перешли с Xen на KVM, видимо, у них хост системы Linux и крутят в них тоже Linux, и т.к. KVM разрабатывается разработчиками ядра линукс, то и проблем минимум.
    Xen хорош, когда нужно крутить Win под старыми машинами на базе Linux (читай когда денег на железо мало), но и настроить Xen очень не просто.
     
     
  • 3.12, пох (?), 07:04, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –12 +/
    э... а можно по пунктам - что вы там настраиваете-настраиваете, такое непростое?

    особенно по сравнению с заклинаниями для kvm (впрочем, за вас их, поди, интуитивно-приятная оболочка давно кашляет)

    А у linode скорее всего дело не в линуксе в линуксе, а в обезьянках, которые вызубрили стопиццот ключей командной строки для kvm, и считают это очень ценным и полезным знанием.
    А других админов для вас уже нет.

     
  • 3.19, Аноним (19), 12:59, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Amazon же наоборот радостно убежали на XEN, рапортуя об увеличении производительности. Кому верить?
     
     
  • 4.23, Anonimus (??), 14:03, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так они вроде на kvm недавно с xen спрыгивали по той же причине. есть пруф об обратном переезде?
     
  • 4.24, btrfs (?), 14:07, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, убежали
    https://www.opennet.me/opennews/art.shtml?num=47556

     
  • 4.29, Аноним (29), 15:49, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Fake news
     
  • 2.25, Anonimus (??), 14:38, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мы проводили собственные, перед переездом с первого на 2. Именно отчета sysbench не осталось, но в целом после тюнинга kvm он выиграл все тесты. Проц минимально, сеть и диск значительный буст был. Но есть и минусы:
    1) нету удобной и не менее функциональной альтернативы xen-tools (писали свои скрипты для тех же целей)
    2) нужно правильно готовить диск - дефолтно существующие инструменты создают кучу прослоек по типу если б делали внучную:
    - сначала сделали на хосте lvm -> создали партицию -> опционально еще lvm, если инсталятор дистрибутива его создает -> форматируем
    - либо поделки по типу qcow2, что еще хуже
    решили тем что с помощью скриптов создаем на хосте lvm, потом сразу форматируем и через debootstrap вручную готовим ОС. бутерброд становится значительно тоньше с меньшим количеством прослоек и с намного более удобным ресайзом существующих дисков
    3) нету удобной и адекватной альтернативы pygrub. Для загрузки используем маленький раздел с бутербродом выше так как без партиции на чистом lvm нельзя создать загрузочную запись. На этот раздел маунтим /boot

    Из плюсов кроме хорошего буста производительности - все работает с ванильным ядром из коробки и ситуации что патченое ядро конфликтует с истемными либоми - практически исключены - вседены к минимуму. Также квм сейчас намного активнее развивается.

     
     
  • 3.30, Александр Евгеньевич Патраков (?), 16:37, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > без партиции на чистом lvm нельзя создать загрузочную запись

    Можно. LILO поддерживает, другие загрузчики - нет.

     
     
  • 4.31, Anonimus (??), 18:01, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и каким образом это должно работать? Для того что б загрузчик начал работать на разделе на котором он находится должна быть boot метка для MBR и efi метка для efi. на чистый lvm нельзя поставить этих меток.
     

  • 1.4, Stax (ok), 02:17, 04/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Реализация PVH Dom0 ("dom0=pvh") переведена из разряда экспериментальных на уровень готовых для ознакомления ("tech preview"). Гостевые системы PVH не требуют для своего выполнения компонентов помимо гипервизора

    Блин, несколько раз прочел весь абзац и так и не понял, что же это такое. Я, конечно, Xen не щупал уже много лет но в свое время вроде понимал концепции. А тут - куча текста, слова умные, а в чем конкретно отличие от старой схемы со своим микроядром + модифицированным Linux-ядром в качестве dom0 + пачкой domU PV/HVM гостями - непонятно.

     
     
  • 2.5, leap42 (ok), 02:45, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    раньше было 2 режима, pv и hvm. pv считался боле лёгким (нет гипервизора, qemu), но после тестов оказался сильно медленнее (hvm может аппаратно ускорять многое, за счёт этого). так появилась идея взять лучше из pv и hvm и сделать нечно среднее - pvh. результат всех удивил (вышло нехуже kvm), у xen просто вторая жизнь началась. абзац о зпиливании поддержки pvh для dom0, который раньше мог быть только pv.
     
     
  • 3.8, Аноним (8), 05:23, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не загрузилось dom0=pvh
     
  • 3.22, Stax (ok), 13:54, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > так появилась идея взять лучше из pv и hvm и сделать нечно среднее - pvh

    Так этот pvh ближе к pv или hvm? В смысле он может запускать немодифицированные ОС (винду, линукс, который ничего не знает про Xen и тп) или только специально модифицированные под запуск в качестве domU ядра?

    > абзац о зпиливании поддержки pvh для dom0, который раньше мог быть только pv.

    А вот тут я совсем потерялся. Как это dom0 мог быть только pv? PV - это для того, что мы запускаем в domU. А dom0 это специальный режим, там же драйверы для железа все работают. Сетевухи, контроллеры дисков, видео - все работает нативно (ну или почти нативно). Например, я запускал Xen времен RHEL5 на ноутбуке и там работало все железо, кроме разве что коммерческий fglrx не хотел в dom0 работать (но свободный radeon вполне себе работал). А ноутбук это много хитростей с ACPI и прочим, и линукс в dom0 это нативно все видел и обрабатывал. А PV - это когда ядро виртуалки вместо реальных драйверов дергает через специальные API реализацию в вышестоящем dom0. И реального железа не видит. Ну, не совсем строго так, но примерно. Но dom0-то это явно не PV, он никого не дергает (ну, да, есть микро-гипервизор наверху, но и фиг с ним), в dom0 физически находятся драйверы всего железа на машине.

     
     
  • 4.34, izyk (ok), 08:15, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот тут я совсем потерялся. Как это dom0 мог быть только pv?

    В том смысле, что раньше xen в dom0 не использовал аппаратных плюшек.
    А ядро надо было модифицировать для работы в dom0 начиная c RHEL6. RHEL5 вроде xen без модификаций поддерживал, или поставлял ядро сам(RHEL) вроде.
    Теперь xen стал поддерживать PVH  в режиме dom0. Цель получить поддержки xen dom0 в штатном ядре, как модуль kvm.  ИМХО.

     
  • 2.6, leap42 (ok), 04:19, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    кстати где-то со времён 3-х кернелов ядро модифицировать не надо, всё в основной ветке
     
     
  • 3.7, Нуб (?), 04:40, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем модифицироввть ядро? Чтобы оно могло работать в виртуалке, или чтобы получить некие "плюшки"?
     
     
  • 4.9, commiethebeastie (ok), 05:57, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы не грузить эмуляционную прослойку.
     
     
  • 5.20, Нуб (?), 13:08, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Объясните. Вот есть виртуалбокс. Я могу там загрузить дос, ос/2, виндовс любой версии, да хоть колибриос. А в Xen не смогу, потому что нужно модифицированное ядро системы? Какой же это тогда эмулятор?
     
     
  • 6.28, Anonimus (??), 14:48, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    также можешь, просто вместо установки virtualbox  ты ставишь патченое ядро.
     
  • 6.32, MirandaUser2 (?), 02:36, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в PV режиме требуется модификация ядра гостево
     
  • 6.33, MirandaUser2 (?), 02:39, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в PV режиме требуется модификация ядра гостевой ОС. Но зато не требуется поддержка виртуализации в железе (CPU).
     
     
  • 7.37, Нуб (?), 17:34, 06/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А такие ещё есть? Ну я там понимаю Alpha или SPARC. На x86 это с 2008 есть
     
     
  • 8.39, MirandaUser2 (?), 21:53, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Xen появился раньше А для работы с использованием hardware виртуалиции там ест... текст свёрнут, показать
     
  • 6.36, commiethebeastie (ok), 13:45, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Объясните. Вот есть виртуалбокс. Я могу там загрузить дос, ос/2, виндовс любой
    > версии, да хоть колибриос. А в Xen не смогу, потому что
    > нужно модифицированное ядро системы? Какой же это тогда эмулятор?

    Там для работы используются прослойка эмуляции, а драйверы данных ОС предназначены для работы на РЕАЛЬНОМ железе, а все остальное ты используешь на свой страх и риск. А вот в случае с модификацией ядра, используется родная паравиртуализация, а не подсовывание слоя эмуляции.

     
  • 3.26, Anonimus (??), 14:40, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы Xen давно ставили? При его установке вы устанавливает кастомное ядро, которое уже модифицированное.
     

  • 1.10, m (??), 06:02, 04/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://xenserver.org/

    Notice: XenServer.org has been decommissioned as of March 31, 2019. This new landing page provides links to Citrix Hypervisor content and resources available on citrix.com and developer.citrix.com.

    Теперь Xenserver стал "Citrix Hypervisor".
    Никогда не связывайтесь с Citrix :)

     
     
  • 2.11, leap42 (ok), 06:36, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а xen уже давно под крылом Linux Foundation, citrix - только контрибьютер

    если нравился xenserver - смотрите в сторону xcp-ng, функционал аналогичный старым версиям xenserver (ещё не урезанным) + всё через веб-морду (xo)

     
     
  • 3.13, пох (?), 07:08, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    очень надеюсь, что это как-то поможет ему от индусских разработчиков с деревянными индусами-менеджерами.

    хотя, конечно, зря. (просто мне когда-то нравился xen)
    "только контрибьютер" - единственные, кто собираются что-то там иногда улучшать (для своей собственной, понятен, пользы)

    А насчет не связываться с citrix - совет подтверждаю. Надысь узнал о них такое, что волосья на жопе дыбом стоят вторые сутки.


     
     
  • 4.14, Аноним (14), 07:20, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    /*
    - Знаешь как заинтересовать идиота?
    - Как?
    - Завтра расскажу.
    */

    давай, рассказывай

     
     
  • 5.15, Dum Dum (?), 09:48, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Пришёл. Ошпарил. И ушёл!"
     
  • 5.16, пох (?), 10:18, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да оно не в тему - в смысле, это про цитрикс, не про xen.

     

  • 1.17, Ддд (?), 11:43, 04/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Тормозная штука в которой хорошо раьотает только то что обходится без графики и звука
     
     
  • 2.18, Led (ok), 12:00, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Да, ты, вендузоед, должен страдать.
     
     
  • 3.21, вендузоед (?), 13:50, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    ну да, у вас-то в линухе графики нет, я вот в понедельник на сайте дебиана видел, как вы работаете!

    пойду дальше страдать в своем XenApp - к счастью, он позволяет источники страдания (в основном уродливые продукты 1эса, но и не только) хотя бы не устанавливать себе на машину.

     
  • 2.27, Anonimus (??), 14:41, 04/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пробрасывете графический ускоритель и работайте с графикой...
     
     
  • 3.35, нах (?), 09:59, 05/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а если вам нужны две виртуалки - то либо запускайте их по одной, либо пробрасывайте два разных "графических ускорителя".
    А если два десятка - то убейтесь об стену, вы не нужны сообществу xen'одpoчеров.

    А за xenap'пу надо платить денежков правильным ребятам.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру