neprihlásený Streda, 4. decembra 2024, dnes má meniny Barbora
K dispozícii nový lepší a bezpečnejší Xen 4.11

Značky: virtualizáciaXen

DSL.sk, 11.7.2018


Tvorcovia populárneho a masovo používaného virtualizačného riešenia Xen vydali v utorok novú hlavnú verziu 4.11, ktorá prináša viaceré podstatné zlepšenia, zmenšuje priestor na bezpečnostné chyby a ich zneužívanie a rieši bezpečnostné zraniteľnosti v CPU typu Meltdown a Spectre.

V novej verzii sa rozširuje podpora režimu PVH na x86 architektúre. PVH je režim kombinujúci výhody plne hardvérovo akcelerovaného virtuálneho HVM stroja a paravirtualizovaného PV VM. Konkrétne pre virtualizáciu pamäte a privilegovaných inštrukcií využíva hardvérovú akceleráciu, pre prístup k zariadeniam ale nepotrebuje softvérovú emuláciu QEMU a využíva PV ovládače a režim.

Vďaka eliminácii QEMU sa oproti HVM výrazne zmenšil priestor na zneužívanie prípadných bezpečnostných chýb, PVH mód je zároveň bezpečnejší ako PV keď PVH nemá rovnaký prístup k hypervízoru.

Prvá podpora PVH bola prítomná už v Xene 4.4, v týchto starších verziách bola ale interne implementovaná inak ako v súčasnosti, v princípe ako PV s pridanou funkčnosťou HVM. Od verzie 4.9 sa prešlo na PVH implementovaný ako HVM s podporou zariadení cez PV, pričom nová verzia bola plne podporovaná až v predchádzajúcej verzii 4.10.

Teraz pribúda experimentálna podpora behu riadiaceho operačného systému v Dom0 VM v PVH režime, čo okrem iného vďaka eliminácii QEMU zvyšuje bezpečnosť. V PVH Dom0 môže byť použitý Linux alebo FreeBSD. Podpora Dom0 v PVH bola prítomná síce pôvodne na Intel CPU už v Xene 4.4, išlo ale o podporu v starom PVH režime.

V 4.11 zároveň pribudla podpora behu nemodifikovaných PV strojov v PVH kontajneri, PV VM je tak následne izolovaný od hypervízora a nemal byť umožňovať Meltdown útok. Tiež to umožňuje spúšťať všetky VM v jednotnom režime PVH bez potreby migrácie starších PV VM.

PVH režim podľa oznámenia stále nepodporuje ale priamy prístup k PCI hardvérovým komponentom, takáto podpora má prísť až v ďalších verziách.

Nový Xen 4.11 má aj ďalšiu ochranu proti Meltdown útoku označenú XPTI, ktorá je potrebná pre VM ponechané v klasickom PV režime a ktorá funguje podobne ako KPTI v jadre Linuxu prepínajúca tabuľky adresných priestorov pri prechode medzi kódom aplikácie a jadra. Xen tiež dostal ochrany proti útokom typu Spectre.

Ďalšími novými funkčnosťami sú napríklad podpora emulácie inštrukcií Intel AVX a AVX2, AMD FMA4, FMA, XOP a 3DNow! a možnosť kontrolovať a prideľovať pre jednotlivé VM množstvo dát prenášaných z a do pamäte a tým napríklad obmedziť VM neprimerane vyťažujúce zdroje. Funkčnosť je podporovaná len na platforme Intel Xeon Scalable a ďalších generáciách Xeonu.


      Zdieľaj na Twitteri



Najnovšie články:

Amazon predstavil nový akcelerátor AI pre trénovanie neurónových sietí
Telekom má nakoniec 100 GB balík pre všetkých zákazníkov predplatených kariet dlhšie
Musk ako budúci predstaviteľ administratívy navrhuje v USA zrušiť posúvanie času - aktualizácia 1
Skylink preladil dôležité stanice
CEO Intelu bol donútený odstúpiť správnou radou
UPC vo vianočnej akcii sprístupní všetkým TV zákazníkom 42 staníc
Rast podielu Windows 11 sa zastavil
CEO Intelu odstúpil
mBank spustila podporu okamžitých platieb, zatiaľ ich iba prijíma
Sprístupnená testovacia verzia LibreOffice 25.2, začína ukončovať podporu Windows 7


Diskusia:
                               
 

Skoda, ze Citrix svoj XenServer tak zmrzacil, ze free verzia je na serioznejsie nasadenie nepouzitelna :(
Inak vykonovo a stabilne je aj zakladna virtualizacia XEN, ktora je pristupna aj v balikoch Debian fakt paradna... :)
Odpovedať Známka: 6.7 Hodnotiť:
 

Ak chces free verziu XenServer-a, tak potom XCP-ng :
https://xcp-ng.org

Odpovedať Hodnotiť:
 

XEN je super aj ked nie zrovna užívateľsky priateľský

v článku podla mňa chýba laické vysvetlenie pojmov, najmä čo je hypervízor a porovnanie s bežnou virtualizáciou (typu virtualbox, ktorý je použiteľný aj začiatočníkom)

lebo pre niekoho kto s virtualizáciu nerobil je necitateľný a nepochopitený a bude mať dojem že si nainštaluje balík XEN a doňho potom nainštaluje windows a bude mu to fungovať ako keby to mal priamo na HW
Odpovedať Známka: 7.1 Hodnotiť:
 

Ake ako keby!? Keď rieši bezpečnostné zraniteľnosti v CPU typu Meltdown a Spectre, že nepodporuje priamy prístup k PCI hardvérovým komponentom sa akosi priekazne ani nedá veriť.
Odpovedať Známka: -5.0 Hodnotiť:
 

keby bola v clanku vysvetlovana kazda blbost, tak je na sest stran a nikto to necita
Odpovedať Známka: 2.0 Hodnotiť:
 

Ani takto som to necital. Skoncil som v polovici druheho odstavca. Na DSL.sk sa chodi aj tak kvoli diskusii.
Pod tymto clankom je ale nejako sucho.
Odpovedať Známka: 3.3 Hodnotiť:
 

A slovensko.sk je zasa mimo prevádzky. Prihlásenie nefunguje...
Odpovedať Hodnotiť:
 

Aktualizujeme na novy Xen. Skuste neskor prosim
Odpovedať Známka: 10.0 Hodnotiť:
 

roky pouzivam Virtualbox na linuxe aj na win, poradte co sa oplati teraz pouzivat, mam pocit ze virtualbox uz nie je pre mna to pravé. pouzivam to na testovacie ucely na beh aplikacii ktorymi si nechcem zasvinit hosta.
Odpovedať Hodnotiť:
 

Presne kolko rokov a ako velmi oplatit?
Odpovedať Známka: 0.0 Hodnotiť:
 

na beh aplikacii mas docker nie vmku
Odpovedať Známka: -6.7 Hodnotiť:
 

Zabudni na Virtualbox na Linuxe alebo na Windowse. Stiahni a nainstaluj priamo na masinu VMware ESXi Free Hypervisor, na jeden server Ti to bude postacovat. Je to zdarma uz niekolko rokov...
Odpovedať Hodnotiť:
 

Ja ti neviem. Na to co on robi je VirtualBox ale ze uuuuplne ideal.


Navyse ESXi sa sice fajne spravuje ale u mna konkretne na HP micro gen8 je vykon mozno tretinovy oproti free HyperV Serveru a taktiez oproti Xen-u (ten sa ale ze uplne na hovno adminuje)
Odpovedať Hodnotiť:
 

Tak vyskusaj XCP-ng , co je XenServer zdarma https://xcp-ng.org

a na spravu je potom utilitka "XCP-ng console"
Odpovedať Hodnotiť:
 

alebo vyskusaj KVM. Napr. penke predzute v podobe proxmox.com
Odpovedať Hodnotiť:

Pridať komentár