K dispozícii nový lepší a bezpečnejší Xen 4.11

Značky: virtualizáciaXen

DSL.sk, 11.7.2018

Tvorcovia populárneho a masovo používaného virtualizačného riešenia Xen vydali v utorok novú hlavnú verziu 4.11, ktorá prináša viaceré podstatné zlepšenia, zmenšuje priestor na bezpečnostné chyby a ich zneužívanie a rieši bezpečnostné zraniteľnosti v CPU typu Meltdown a Spectre.

V novej verzii sa rozširuje podpora režimu PVH na x86 architektúre. PVH je režim kombinujúci výhody plne hardvérovo akcelerovaného virtuálneho HVM stroja a paravirtualizovaného PV VM. Konkrétne pre virtualizáciu pamäte a privilegovaných inštrukcií využíva hardvérovú akceleráciu, pre prístup k zariadeniam ale nepotrebuje softvérovú emuláciu QEMU a využíva PV ovládače a režim.

Vďaka eliminácii QEMU sa oproti HVM výrazne zmenšil priestor na zneužívanie prípadných bezpečnostných chýb, PVH mód je zároveň bezpečnejší ako PV keď PVH nemá rovnaký prístup k hypervízoru.

Prvá podpora PVH bola prítomná už v Xene 4.4, v týchto starších verziách bola ale interne implementovaná inak ako v súčasnosti, v princípe ako PV s pridanou funkčnosťou HVM. Od verzie 4.9 sa prešlo na PVH implementovaný ako HVM s podporou zariadení cez PV, pričom nová verzia bola plne podporovaná až v predchádzajúcej verzii 4.10.

Teraz pribúda experimentálna podpora behu riadiaceho operačného systému v Dom0 VM v PVH režime, čo okrem iného vďaka eliminácii QEMU zvyšuje bezpečnosť. V PVH Dom0 môže byť použitý Linux alebo FreeBSD. Podpora Dom0 v PVH bola prítomná síce pôvodne na Intel CPU už v Xene 4.4, išlo ale o podporu v starom PVH režime.

V 4.11 zároveň pribudla podpora behu nemodifikovaných PV strojov v PVH kontajneri, PV VM je tak následne izolovaný od hypervízora a nemal byť umožňovať Meltdown útok. Tiež to umožňuje spúšťať všetky VM v jednotnom režime PVH bez potreby migrácie starších PV VM.

PVH režim podľa oznámenia stále nepodporuje ale priamy prístup k PCI hardvérovým komponentom, takáto podpora má prísť až v ďalších verziách.

Nový Xen 4.11 má aj ďalšiu ochranu proti Meltdown útoku označenú XPTI, ktorá je potrebná pre VM ponechané v klasickom PV režime a ktorá funguje podobne ako KPTI v jadre Linuxu prepínajúca tabuľky adresných priestorov pri prechode medzi kódom aplikácie a jadra. Xen tiež dostal ochrany proti útokom typu Spectre.

Ďalšími novými funkčnosťami sú napríklad podpora emulácie inštrukcií Intel AVX a AVX2, AMD FMA4, FMA, XOP a 3DNow! a možnosť kontrolovať a prideľovať pre jednotlivé VM množstvo dát prenášaných z a do pamäte a tým napríklad obmedziť VM neprimerane vyťažujúce zdroje. Funkčnosť je podporovaná len na platforme Intel Xeon Scalable a ďalších generáciách Xeonu.




Najnovšie články:



Diskusia:

xenserver Od: Koumak | Pridané: 11.7.2018 8:07 Skoda, ze Citrix svoj XenServer tak zmrzacil, ze free verzia je na serioznejsie nasadenie nepouzitelna :( Inak vykonovo a stabilne je aj zakladna virtualizacia XEN, ktora je pristupna aj v balikoch Debian fakt paradna... :) Odpovedať Známka: 6.7 Hodnotiť:

Re: xenserver Od: Foter Loter | Pridané: 11.7.2018 16:05 Ak chces free verziu XenServer-a, tak potom XCP-ng : https://xcp-ng.org Odpovedať Hodnotiť:

vysvetlenie Od: bzano | Pridané: 11.7.2018 8:35 XEN je super aj ked nie zrovna užívateľsky priateľský v článku podla mňa chýba laické vysvetlenie pojmov, najmä čo je hypervízor a porovnanie s bežnou virtualizáciou (typu virtualbox, ktorý je použiteľný aj začiatočníkom) lebo pre niekoho kto s virtualizáciu nerobil je necitateľný a nepochopitený a bude mať dojem že si nainštaluje balík XEN a doňho potom nainštaluje windows a bude mu to fungovať ako keby to mal priamo na HW Odpovedať Známka: 7.1 Hodnotiť:

vytmavenie Od: syntaxterrorX. XX | Pridané: 11.7.2018 8:43 Ake ako keby!? Keď rieši bezpečnostné zraniteľnosti v CPU typu Meltdown a Spectre, že nepodporuje priamy prístup k PCI hardvérovým komponentom sa akosi priekazne ani nedá veriť. Odpovedať Známka: -5.0 Hodnotiť:

Re: vysvetlenie Od: fumbduck | Pridané: 11.7.2018 9:25 keby bola v clanku vysvetlovana kazda blbost, tak je na sest stran a nikto to necita Odpovedať Známka: 2.0 Hodnotiť:

Re: vysvetlenie Od: fgs | Pridané: 11.7.2018 21:13 Ani takto som to necital. Skoncil som v polovici druheho odstavca. Na DSL.sk sa chodi aj tak kvoli diskusii. Pod tymto clankom je ale nejako sucho. Odpovedať Známka: 3.3 Hodnotiť:

slovensko.sk Od: hmm | Pridané: 11.7.2018 8:37 A slovensko.sk je zasa mimo prevádzky. Prihlásenie nefunguje... Odpovedať Hodnotiť:

Re: slovensko.sk Od: admin123 | Pridané: 11.7.2018 9:10 Aktualizujeme na novy Xen. Skuste neskor prosim Odpovedať Známka: 10.0 Hodnotiť:

virtualizacia Od: hana.g2 | Pridané: 11.7.2018 8:55 roky pouzivam Virtualbox na linuxe aj na win, poradte co sa oplati teraz pouzivat, mam pocit ze virtualbox uz nie je pre mna to pravé. pouzivam to na testovacie ucely na beh aplikacii ktorymi si nechcem zasvinit hosta. Odpovedať Hodnotiť:

Re: virtualizacia Od: syntaxterrorX. XX | Pridané: 11.7.2018 9:00 Presne kolko rokov a ako velmi oplatit? Odpovedať Známka: 0.0 Hodnotiť:

Re: virtualizacia Od: u123 | Pridané: 11.7.2018 10:47 na beh aplikacii mas docker nie vmku Odpovedať Známka: -6.7 Hodnotiť:

Re: virtualizacia Od: Foter Loter | Pridané: 11.7.2018 16:09 Zabudni na Virtualbox na Linuxe alebo na Windowse. Stiahni a nainstaluj priamo na masinu VMware ESXi Free Hypervisor, na jeden server Ti to bude postacovat. Je to zdarma uz niekolko rokov... Odpovedať Hodnotiť:

Re: virtualizacia Od: admin123 | Pridané: 11.7.2018 21:30 Ja ti neviem. Na to co on robi je VirtualBox ale ze uuuuplne ideal. Navyse ESXi sa sice fajne spravuje ale u mna konkretne na HP micro gen8 je vykon mozno tretinovy oproti free HyperV Serveru a taktiez oproti Xen-u (ten sa ale ze uplne na hovno adminuje) Odpovedať Hodnotiť:

Re: virtualizacia Od: Foter Loter | Pridané: 12.7.2018 7:56 Tak vyskusaj XCP-ng , co je XenServer zdarma https://xcp-ng.org a na spravu je potom utilitka "XCP-ng console" Odpovedať Hodnotiť:

Re: virtualizacia Od: aasami | Pridané: 18.7.2018 15:32 alebo vyskusaj KVM. Napr. penke predzute v podobe proxmox.com Odpovedať Hodnotiť:

Pridať komentár