The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Для гипервизора KVM реализована возможность запуска гостевых систем Xen

22.02.2019 10:55

Жуан Мартинс (Joao Martins) из компании Oracle предложил для обсуждения разработчиками ядра Linux набор патчей, добавляющий в гипервизор KVM возможности запуска немодифицированных гостевых систем Xen в режиме HVM c использованием всех уже имеющиеся бэкендов (драйверы на стороне хост-окружения (Dom0), применяемые для обеспечения работы гостевой ОС) и фронтэндов (драйверы на стороне гостевой ОС (DomU) для взаимодействия с бэкенд-драйверами хост-окружения, например драйверы сетевой, графической и дисковых подсистем).

В KVM поддержка гостевых систем Xen может оказаться полезной для переноса существующих образов гостевых систем из инфраструктур на базе Xen или для создания полигонов для тестирования и разработки гостевых систем для Xen, а также для использования имеющихся паравиртуальных драйверов (PV) Xen. На стороне гипервизора реализация напоминает подход, применённый в KVM для запуска вложенных виртуальных машин HyperV. На стороне бэкенда предлагается использовать штатные драйверы Xen.

В отличие от развивавшегося около 10 лет назад модуля xenner, обеспечивающего эмуляцию Xen Dom0 через KVM, в предложенном наборе патчей обеспечена возможность применения существующих паравиртуальных драйверов Xen (вместо полной эмуляции оборудования, для ввода/вывода, обработки прерываний и взаимодействия с оборудованием на стороне гостевой системы применяются специальные драйверы, работающие через бэкенд-драйверы хост-системы). Более того, кроме бэкенд и фронтэнд драйверов Xen для управления можно использовать штатный инструментарий Xen, так как в предложенных для KVM патчах воплощён необходимый для их работы UABI. Например, можно запускать немодифицированные версии xenstored, xenstore-list и xenstore-read.

Патчи разбиты на две основные части:

  • Код для поддержки Xen HVM ABI, позволяющий загружать гостевые системы в режиме HVM без применения на стороне гостевой системы паравиртуализированных драйверов.
  • Код для поддержки паравиртуальных (PV) драйверов, обеспечивающий перенаправление гипервызовов, эмулируя поведение PV бэкендов Xen, и реализующий специфичные для Xen механизмы для работы с разделяемой памятью и каналами для уведомления о наступлении различных событий.

Дополнительно можно отметить выявление трёх уязвимостей в KVM, которые были исправлены в обновлениях ядра Linux 4.20.8, 4.19.21, 4.14.99 и 4.9.156:

  • CVE-2019-7222 - утечка памяти, позволяющая в гостевой системе, запущенной с использованием вложенной виртуализации, получить доступ к отрывкам памяти ядра хост-системы. Проблема вызвана отсутствием очистки памяти перед использованием в структуре kvm_inject_page_fault;
  • CVE-2019-7221 - возможность обращения к уже освобождённой области памяти (use-after-free) в коде эмуляции таймера vmx. Уязвимость может быть эксплуатирована из гостевой системы, запущенной с использованием вложенной виртуализации, и потенциально может привести к выполнению своего кода на стороне хост-системы;
  • CVE-2019-6974 - установка файлового дескриптора устройства до создания ссылки на него может применяться для создания условий use-after-free и повышения своих привилегий в системе. Проблему можно эксплуатировать на стороне хоста, при наличии у пользователя доступа к /dev/kvm.


  1. Главная ссылка к новости (https://lkml.org/lkml/2019/2/2...)
  2. OpenNews: Уязвимость в гипервизоре KVM
  3. OpenNews: Amazon начинает использование гипервизора KVM вместо Xen
  4. OpenNews: Компания Intel представила KVMGT, механизм виртуализации GPU для KVM
  5. OpenNews: Уязвимость в KVM, потенциально позволяющая поднять привилегии в гостевой системе
  6. OpenNews: Релиз гипервизора Xen 4.11
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: hvm, xen, kvm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (47) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Zenitur (ok), 11:47, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Xen в KVM? Звучит как "VMware в VirtualBox"
     
     
  • 2.2, Аноним (2), 12:10, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Звучит как образ для VMware исполнить в VirtualBox.
     
     
  • 3.5, Аноним (5), 13:09, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > Звучит как образ для VMware исполнить в VirtualBox.

    ага.

    Только не понятно зачем ЭТО нужно, ведь проще же конвертнуть. А вообще технология паравиртуализации
    ( аля ХЕН ) была нужна когда еще не было достаточно цпу с поддержкой КВМ и еще ...
    короче сейчас по сути ХЕН заменили на LXC, так что ХЕН рип.

     
     
  • 4.8, Аноним (8), 14:03, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конвертнуть это не энтерпрайзно. Как ты докажешь то что ты подал на входе соответствует тому что ты получил на выходе. СБ такого не одобрит.
     
     
  • 5.35, Онаним (?), 23:23, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Когда то, что ты подал на входе, соответствует тому, что ты получил на выходе - самое время записаться к гастроэнтеролуху
     
  • 4.10, пох (?), 15:32, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –11 +/
    > Только не понятно зачем ЭТО нужно, ведь проще же конвертнуть.

    помимо твоего васян-сайта, там в образе еще что-то полезное могло быть. И оно расстроится, если после твоего "прощеконвертнуть" отвалятся сетевые карты (или даже автоподхватятся новые, но модный-современный systemd трижды их переименует хз во что, а модный-современный network manager заметит подмену и не назначит им прежние статические ip) - для начала.


     
     
  • 5.15, niemi (?), 19:51, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    кроме того могут отвалится роутинги ...
     
  • 5.19, нах (?), 20:48, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда ты только вылез на наши головы! Ведь не было тебя еще 2 года назад...
     
     
  • 6.38, Led (ok), 00:02, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Он здесь работает. Как и ты. И не забывай: он - это ты.
     
  • 5.22, anonymous (??), 21:06, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если от вашего запуск ХЕН внутри КВМ что то отвалится ВЫ куда побежите ?

    В производстве нужно чтобы просто работало и желательно надежно. А когда ой это создано в фиг знает каком году и хз как это еще шевелится и тьфу-тьфу-тьфу лишщь бы работало это у Вы не производство не фига.

     
     
  • 6.26, пох (?), 22:34, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если от вашего запуск ХЕН внутри КВМ что то отвалится ВЫ куда побежите ?

    а зачем я буду пользовать такую дрянь, от запуска в которой где что-то отваливается?

    пока это представляется как тестовая среда для разрабатывающих как раз под xen, но желающих это делать на личной машине без всякого патченного ядра. Но, подозреваю, ее таки довольно быстро допилят для того, чтобы за лицензию xen и на мелких серверах не платить, и все работало из коробки без всяких танцев с бубнами вокруг внезапно отвалившихся драйверов. Потому что орацл ни разу не замечен в желании осчастливить мир, но не раз - в желании этот мир подоить.

    > В производстве нужно чтобы просто работало и желательно надежно.

    продолжайте звездеть как у вас надежно работает образ после васян-конвертации в совершенно несовместимую vm, производственник наш виртуальный.

     
     
  • 7.37, Аноним (37), 23:26, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем патчить ядро, вы из 2008 года к нам прямиком прилетели?
     
  • 7.43, anonymous (??), 09:58, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А что для Вас конвертация ?
    Для меня это бекап системы, установка на новую виртуалку его родной новой системы с нормальной новой осью ядром и всеми упдатами и восстановление туда бекапа.
    А пускать старый образ с гнившей осью которая давно не упдатилась это себе дороже ... после обновления может и не завестись.
    Или вы из категории работает ну фиг с ним а дыры и багфиксы это не про нас ?
     
     
  • 8.44, пох (?), 12:21, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот классно, а производство еще постоит кстати, некоторые производственные си... текст свёрнут, показать
     
     
  • 9.46, anonymous (??), 19:26, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ось что стоит внутри этой машины в студию Или вам чихать на все секурити холе ... текст свёрнут, показать
     
     
  • 10.50, пох (?), 08:58, 24/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    2008R2 - вру, конечно - 2008 у меня помоложе на пару лет, 12-го года, скорее ... текст свёрнут, показать
     
  • 6.27, Crazy Alex (ok), 22:35, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какая милая наивность
     
  • 6.54, КО (?), 17:03, 25/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >А если от вашего запуск ХЕН внутри КВМ что то отвалится

    По крайней мере, можно будет запустить на XEN, в отличии от "переконвертированной".

     
  • 4.21, Онаним (?), 20:56, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Xen заменили на LXC? Мсье шутник. Впрочем, в докеромирках таких шутников хоть отбавляй.
     
     
  • 5.23, anonymous (??), 21:07, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Для начала советую прочитать что такое паравиртуализация.
     
     
  • 6.30, Онаним (?), 23:15, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для начала советую научиться отличать контейнеры от виртуализации.
     
     
  • 7.41, мое правило (?), 00:35, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Господа, вы оба в чем то правы. Но для начала стоит заметить, что xen может и в паравиртуализацию и в аппаратную виртуализацию. Половину xen заменили на контейнеры, другая половина - аналог kvm.
     
     
  • 8.42, anonymous (??), 09:53, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я про это писал и то что хен сейчас рип Смысл теперь в нем нет ... текст свёрнут, показать
     
  • 8.52, Онаним (?), 13:04, 24/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Паравиртуализация - это разновидность виртуализации аппаратуры Контейнеры - это... текст свёрнут, показать
     
  • 4.25, EHLO (?), 21:54, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Только не понятно зачем ЭТО нужно, ведь проще же конвертнуть.

    Не зачем а кому.
    Тем кто в Xen вляпался и кастомерские машины на нём облачит в своих облаках. Амозончику и догоняющим, в числе которых и Оракл поди в центре пелотона где-то затерялся.

     
     
  • 5.48, Аноним (48), 19:32, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У оракла есть Oracle VM, основанный как раз на Xen, и страшный как смертный грех.
     
     
  • 6.51, Аноним (51), 12:40, 24/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот и возрадуйся - хвосты макакам в очередной раз накручены, глобальная миграция на kvm - неизбежна, как приход коммунизма. Как только допилят. Или вместо - это уж как получится.


     

  • 1.4, IB (?), 12:53, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Матёрый энтерпрайз, но Жуан крут
     
     
  • 2.7, Аноним (8), 14:00, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    VMware вот кто настоящий энтерпрайз. А остальные так погулять вышли.
     
     
  • 3.9, Аномномномнимус (?), 14:36, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень сложно признать, что то на что спустили дохреналион денег - пшик и можно было сделать всё то же самое и даже лучше почти даром. Надо было просто вовремя заменить одного мышкокликателя на нормального
     
  • 2.13, Аноним (13), 16:06, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты же не думаешь, что он это по ночам пилил по личной инициативе?
     
     
  • 3.17, пох (?), 20:34, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    там все еще смешнее - КарлМарксиФридрихЭнгельс это не один человек, а три (правда, двое остальных писали довольно небольшую часть), помимо португальца еще индус и, походу, русский - и все трое работают в оракле. Причем все, оказывается, давние "друзья" проекта xen, и как минимум у одного в описании текущей работы этот самый xen фигурирует.

    С такими друзьями врагов, в общем-то, и не надо.

     
  • 2.18, Хипстор (?), 20:47, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Энтерпрайз не для меня. Мы выбираем смузи и фриланс!
     
     
  • 3.28, пох (?), 22:39, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Энтерпрайз не для меня. Мы выбираем смузи и фриланс!

    у меня для вас хреновая новость - vmware server'у пришел eol десять лет назад.
    А остальное из доступного в области виртуальных решений со смузи и фрилансом у меня как-то не сочетается. За vbox и побить могут.
    Придется вам заниматься не виртуализацией, а пилить докер-в-докере-через-докер, как всем.


     
     
  • 4.32, Онаним (?), 23:20, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    vmware server надо было пристрелить 15 с фигом лет назад, прямо в утробе, когда оно ещё gsx называлось
    xen вполне доступен, kvm тоже, но да, смузи с ними дерётся и просится на выход
     

  • 1.6, Аноним (6), 13:48, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    unikernel - даже это заведётся?
     
     
  • 2.12, kvm (??), 15:52, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это - закaпывайте. все равно оно взлетело недалеко и все больше вниз.
     
     
  • 3.24, Аноним (24), 21:27, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спланировало в могилу
     
     
  • 4.33, Онаним (?), 23:21, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смогиловало в планиру
     

  • 1.14, Аноним (14), 18:30, 22/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем это Oracle?
     
     
  • 2.16, пох (?), 20:21, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    зачем ораклу удавить конкурента? Вы еще и спрашиваете?

     
  • 2.20, Аноним (20), 20:50, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Оракакал мечтает о монополии.
     
     
  • 3.34, Онаним (?), 23:21, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У нас теперь три всадника аокалипсикалипсиса - орацл, ибм и мысы/цытрикс
     
     
  • 4.40, Аноним (40), 00:08, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а гугёл?
     
     
  • 5.53, Онаним (?), 13:08, 24/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ачо гугел, пока не начали свою недоос вместо ведра толкать - всё прилично. Начнут - будет четвёртый.
     
  • 2.55, КО (?), 17:06, 25/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Может свой виртуализатор хотят с Xen на KVM внутре переделать, так чтоб клиенты не заметили.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру