Macos Brawte nfaq 0 Comments

Xen 4.12はコードを縮小し、セキュリティを強化し、x86サポートを再考しました

Table of Contents

Xen 4.12はコードを縮小し、セキュリティを強化し、x86サポートを再考しました

オープンソース ハイパーバイザー Xen はバージョン 4.12 に到達し、リソース フットプリントとセキュリティが大幅に改善され、x86 アーキテクチャ サポートが刷新されました。

Xen プロジェクト チームは、構成に応じてコード サイズを 5 ~ 22 パーセント削減し、新しい VM 間通信プロトコルを導入し、QEMU での権限昇格から Xen を保護する機能と、ハイパーバイザーの PV のみのバージョンまたは HVM/PVH のみのバージョンをコンパイルする機能を追加しました。

Xen はもともとケンブリッジ大学で開発され、2003 年に初めて公開されました。現在、このプロジェクトは Linux Foundation によって管理されており、1,000 万人を超えるユーザーがいます。

AWSはかつてKVMをデフォルトオプションとして採用していましたが、2017年にAWSがKVMへの移行をデフォルトオプションとするまでは、Xenが主要なハイパーバイザーでした。この移行は、Xenコミュニティの開発活動を拡大し、組み込みコンピューティングや自動車コンピューティングといった分野への進出を促すきっかけとなったようです。その結果、Xen 4.12には、クラウド事業者から自動車メーカー、IoT愛好家まで、あらゆるユーザーを魅了する様々な新機能が搭載されています。

「Xen プロジェクト ハイパーバイザー 4.12 は、刷新されたアーキテクチャに対するプロジェクトの約束を明確に実現した例であり、セキュリティ製品や組み込み、自動車などの市場セグメントを開拓するための大きな一歩です」と、Xen プロジェクト諮問委員会の議長である Lars Kurth 氏は述べています。

最新リリースでは、Xenの従来のPV仮想化モードと、より新しいHVM/PVH仮想化モードのコードパスが分離され、ユーザーはPVのみ、またはHVM/PVHのみのハイパーバイザーを構築できるようになりました。これを実現するために、Xenはモジュール構造を採用し、ユーザーは不要な機能の大部分をコンパイルから除外できます。これにより、Xenベースのセキュリティ製品のメモリ使用量が「大幅に削減」され、結果として攻撃対象領域が縮小されるなど、様々なメリットが期待されます。

このリリースでは、バージョン 4.9 で導入された権限のない QEMU 機能が改善されているため、人気のハードウェア エミュレーターに起因するセキュリティ上の脆弱性の脅威は軽減されています。

また、ゼロデイ脆弱性の検出を可能にする仮想マシン イントロスペクション (VMI) サブシステムに「多くの機能とパフォーマンスの改善」が加えられています。

バージョン4.12では、高度な分離特性を備えた新しいドメイン間通信メカニズムであるArgoが導入され、セキュリティの向上を目指しています。また、悪意のあるVMや動作不良のVCPUによるパフォーマンスへの悪影響も防止します。

「Argoは、ドメインに登録された受信メモリリングへのデータコピーを実行することで、VM間でデータを転送するためのXenハイパーバイザープリミティブを提供します。VM間のメモリ共有を必要とせず、グラントテーブルやXenstoreも使用しません」とKurth氏は説明した。

Xenプロジェクトチームは、x86アーキテクチャの処理方法にもいくつかの調整を加えました。これは、数年にわたり取り組んできた目標です。これには、遅延に敏感なワークロードのパフォーマンス、スケーラビリティ、予測可能性を特に考慮して設計されたCredit2をデフォルトスケジューラとして採用することが含まれます。

スパイナルタップ11ボリュームノブ

Xen 4.11は1ヶ月以上遅れているが、開発者は概ねそれを許容している。

続きを読む

x86固有のその他の改善点としては、LinuxカーネルをメモリにロードするためのGRUB2(GRand Unified Bootloaderバージョン2)のサポートと、PVH Dom0へのアップグレードがあります。この仮想化技術は4.11で導入され、「実験的」から「技術プレビュー」のステータスに昇格しました。ただし、開発者は後者へのアップグレードはIntelベースのハードウェアでのみ動作すると警告しています。

一方、AMD の Epyc CPU をベースにしたシステムの所有者は、起動時間を大幅に短縮するように設計された、改善された IOMMU マッピング コードを期待できます。

自動車への Xen の採用に関しては、プロジェクト チームは、静的にパーティション化されたシステムで読み込みを大幅に高速化できる「Dom0less VM」を導入し、起動時間を 90% 以上短縮し、50,000 行未満のコードでハイパーバイザーのほとんどの機能を備えた小さな Arm 構成を作成しました。

「この新しい機能により、混合クリティカルシステムに必要な最小限のドライバーと機能を使用して、ルネサス RCar 3 やザイリンクス Ultrascale+ MPSoC などの特定のハードウェア向けの Xen バリアントを構築できるようになります」と Kurth 氏は述べています。

Xen 4.12には、364のパッチシリーズから1466のコミットが含まれています。Citrix、Suse、Arm、Xilinx、BitDefender、EPAM、OpenXT Community、Oracle、Gentoo Linux、Aggios、Amazon、Invisible Things Lab、DornerWorksに加え、いくつかの大学や個人からの貢献も含まれています。

完全なリリースノートはここからご覧いただけます。

Macos

Smart Recommendations

Discover More