Исходное сообщение
"Отчёт о состоянии развития FreeBSD за второй квартал 2013 года " Отправлено opennews, 17-Июл-13 00:05
Представлен отчёт (http://www.freebsd.org/news/status/report-2013-04-2013-06.html) о развитии проекта FreeBSD с апреля по июнь 2013 года. Основные достижения: -   Изолированные окружения, эмуляторы, безопасность и ограничения ресурсов -  Представлены результаты работы по улучшению средств для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций при помощи фреймворка Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/). Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия. За отчётный период на использование Capsicum переведены приложения и библиотеки из состава FreeBSD, требующие повышенной безопасности, например обеспечена изоляция выполнения hastd, auditdistd, kdump, dhclient, tcpdump, libmagic, rwho и rwhod. Переработан демон Casper Capsicum. Представлена библиотека  libcapsicum  с программным интерфейсом, упрощающим задействование Capsicum разработчиками конечных приложений. В состав FreeBSD HEAD включена улучшенная реализация Capsicum, расширяющая области в которых можно использовать средства контроля Capsicum, упрощающая выполняемый на уровне ядра код и реализующая возможность задания ограничений на системные вызовы ioctl и fcntl. Добавлены новые Capsicum-сервисы system.dns, system.pwd, system.grp, system.random, system.filesystem, system.socket, system.sysctl; -  Поддержка (http://lists.freebsd.org/pipermail/freebsd-arch/2013-May/014... аппаратных механизмов виртуализации ввода/вывода Intel IOMMU (http://ru.wikipedia.org/wiki/IOMMU) (VT-d, DMAR), используемых в гипервизорах для проброса реальных PCI-устройств  в виртуальное окружение и дополнительной изоляции устройств. Для FreeBSD подготовлен драйвер VT-d, реализующий интерфейс  busdma с использованием элементов DMA Remap (DMARs), поддерживаемых ткущими чипсетами Intel. Драйвер позволяет увеличить надёжность и безопасность систем, за счёт ограничения доступа к основной памяти из устройств, а также добиться увеличения производительности за счёт избежания дополнительной буферизации. С практической точки зрения, создание надлежащего VMM-интерфейса для драйвера VT-d позволит реализовать такие возможности, как проброс PCI-устройств в виртуальные окружения. Аналогичный драйвер планируется создать для реализации IOMMU от компании AMD; -  Представлена реализация VPS (http://www.7he.at/freebsd/vps/) (Virtual Private Systems), изолированных контейнеров, выполняемых средствами виртуализации на уровне ОС. Обеспечена поддержка таких расширенных возможностей, как Live-миграция контейнеров с одной машины на другую без остановки работы процессов и без разрыва установленных сетевых соединений. Также поддерживаются такие операции, как создание снапшотов и замораживание работы окружения. Все ресурсы виртуального окружения виртуализированы и не пересекаются с ресурсами соседних окружений. Со стороны работающих внутри VPS приложений, сформированное окружение выглядит как отдельный физический хост. Для синхронизации данных между двумя виртуальными окружениями на разных машинах подготовлена специально модифицированная версия утилиты rsync. Виртуализация выполнена через технику создания изолированных контейнеров на уровне ОС, без создания отдельного гипервизора, т.е. отличается низкими накладными расходами, чем-то напоминая Jail, Solaris Zone, Linux vserver или OpenVZ. При создании окружения задаются параметры сетевого соединения, точка монтирования, ограничения ресурсов и программа инициализации. В отличие от Jail представленная VPS-технология не работает на уровне изоляции единого набора процессов и ресурсов, а обеспечивает полное дублирование ресурсов в каждом изолированном окружении: отдельная таблица процессов, отдельный init-процесс, сетевой стек (используется ряд надстроек над подсистемой виртуализации сетевого стека VNET/VIMAGE), структуры devfs, псевдо-tty, VFS, отдельная реализация специфичных системных вызовов, таких как reboot(). Разработка находится на стадии альфа-тестирования -  Внесены улучшения в реализацию поддержки Xen во FreeBSD. Расширено число паравиртуальных интерфейсов, доступных для гостевых систем, запущенных в  режиме полной виртуализации (HVM). Реализована поддержка работы FreeBSD в режиме PVHVM, при котором обеспечивается возможность использования специальных дисковых и сетевых драйверов (PVHVM или PV-on-HVM) в гостевой системе, работающей в режиме HVM. До этого в режиме HVM допускалось использование PV-драйверов, но было невозможным задействование PVHVM-вариантов данных драйверов, специально оптимизированных для работы в режиме HVM. Наиболее существенным отличием PVHVM-драйверов является обход стадии эмуляции при трансляции дискового и сетевого ввода/вывода, что позволяет значительно повысить производительность HVM-окружений, приблизив их к производительности паравиртуализированных систем; -   Сетевая подсистема -  В ветки FreeBSD HEAD/stable8/stable9  принят модуль интеграции в hastd поддержки BSNMP, легковесного SNMP-сервера (bsnmpd), распространяемого в рамках лицензии BSD. Указанный модуль позволяет использовать SNMP для удалённого мониторинга и управления работой hastd; -  Подготовлен патч, устраняющий некоторые ограничения реализации поддержки TCP SYN Cookies, связанные с современными особенностями использования окна перегрузки и выборочного подтверждения (SACK). Представленные улучшения позволяют при генерации начального номера последовательности кодировать такие параметры, как MSS, WSCALE и SACK без использования времени, а также задействовать более криптостойкий алгоритм хэширования SipHash-2-4  для защиты  SYN cookie от подмены; -   Системы хранения и файловые системы -  Готовится к интеграции во FreeBSD HEAD новый нативный iSCSI стек (https://wiki.freebsd.org/Native%20iSCSI%20target), содержащий реализации iSCSI Target и iSCSI Initiator, отличающиеся более высокой надёжностью и производительностью, в сочетании с предоставлением значительно упрощённых средств  администрирования. Для упрощения миграции со старого iSCSI Initiator в новом обеспечена совместимость на уровне файлов конфигурации. За последние месяцы в стеке реализована поддержка iSER (iSCSI over RDMA) для Target и Initiator, добавлены новые утилиты для администрирования (iscsictl), улучшена система ведения логов. Реализация отмечена как стабильная, но требующая дополнительной оптимизации. Интеграция во FreeBSD HEAD запланирована на август. Из планов на будущее отмечается создание программного стека iWARP и поддержка проброса SCSI; -  Проект PC-BSD работает над созданием загрузочных окружений на основе ZFS для серверов и десктоп-систем, отличающихся применением клонирвоания разделов при установке обновлений или для проведения экспериментов. При загрузке будет предоставлена возможность выбора произвольного клона ФС, что упростит тестирование  обновлений перед их внедрением; -  В реализацию файловой системы ZFS, используемую в ветках head, stable/9 и stable/8, добавлена поддержка операции  TRIM, что позволяет обеспечить поддержание высокой производительности работы накопителей на основе Flash-памяти в условиях высокой нагрузки. При создании ZFS пула или добавлении нового устройства в пул, TRIM  выполняется  для всего накопителя, что обеспечивает оптимальную начальную производительность. Для отмены данного поведения предусмотрена sysctl-переменная vfs.zfs.vdev.trim_on_init, которая может быть использована для новых или уже безопасно очищенных накопител... URL: http://www.freebsd.org/news/status/report-2013-04-2013-06.html Новость: http://www.opennet.ru/opennews/art.shtml?num=37431