Жуан Мартинс (Joao Martins) из компании Oracle предложил (https://lkml.org/lkml/2019/2/20/876) для обсуждения разработчиками ядра Linux набор патчей, добавляющий в гипервизор KVM возможности запуска немодицированных гостевых систем Xen в режиме HVM c использованием всех уже имеющиеся бэкендов (https://wiki.xenproject.org/wiki/BackendDriver) (драйверы на стороне хост-окружения (Dom0), применяемые для обеспечения работы гостевой ОС) и фронтэндов (https://wiki.xenproject.org/wiki/FrontendDriver) (драйверы на стороне гостевой ОС (DomU) для взаимодействия с бэкенд-драйверами хост-окружения, например драйверы сетевой, графической и дисковых подсистем).В KVM поддержка гостевых систем Xen может оказаться полезной для переноса существующих образов гостевых систем из инфраструктур на базе Xen или для создания полигонов для тестирования и разработки гостевых систем для Xen, а также для использования имеющихся паравиртуальных драйверов (PV) Xen. На стороне гипервизора реализация напоминает подход, применённый (http://www.linux-kvm.org/images/6/6a/HyperV-KVM.pdf) в KVM для запуска вложенных виртуальных машин HyperV. На стороне бэкенда предлагается использовать штатные драйверы Xen.
В отличие от развивавшегося около 10 лет назад модуля xenner (https://www.linux-kvm.org/images/5/50/KvmForum2008%24kd...), обеспечивающего эмуляцию Xen Dom0 через KVM, в предложенном наборе патчей обеспечена возможность применения существующих паравиртуальных драйверов Xen (вместо полной эмуляции оборудования, для ввода/вывода, обработки прерываний и взаимодействия с оборудованием на стороне гостевой системы применяются специальные драйверы, работающие через бэкенд-драйверы хост-системы). Более того, кроме бэкнд и фронтэнд драйверов Xen для управления можно использовать штатный инструментарий Xen, так как в предложенных для KVM патчах воплощён необходимый для их работы UABI. Например, можно запускать немодифицированные версии xenstored, xenstore-list и xenstore-read.
Патчи разбиты на две основные части:
- Код для поддержки Xen HVM ABI, позволяющий загружать гостевые системы в режиме HVM без применения на стороне гостевой системы паравиртуализированных драйверов.
- Код для поддержки паравиртуальных (PV) драйверов, обеспечивающий перенаправление гипервызовов, эмулируя поведение PV бэкендов Xen, и реализующий специфичные для Xen механизмы для работы с разделяемой памятью и каналами для уведомления о наступлении различных событий.Дополнительно можно отметить выявление (https://www.openwall.com/lists/oss-security/2019/02/18/2) трёх уязвимостей в KVM, которые были исправлены в обновлениях ядра Linux 4.20.8, 4.19.21, 4.14.99 и 4.9.156:
- CVE-2019-7222 (https://bugs.chromium.org/p/project-zero/issues/detail?id=1759) - утечка памяти, позволяющая в гостевой системе, запущенной с использованием вложенной виртуализации, получить доступ к отрывкам памяти ядра хост-системы. Проблема вызвана отсутствием очистки памяти перед использованием в структуре kvm_inject_page_fault;
- CVE-2019-7221 (https://bugs.chromium.org/p/project-zero/issues/detail?id=1760) - возможность обращения к уже освобождённой области памяти (use-after-free) в коде эмуляции таймера vmx. Уязвимость может быть эксплуатирована из гостевой системы, запущенной с использованием вложенной виртуализации, и потенциально может привести к выполнению своего кода на стороне хост-системы;- CVE-2019-6974 (https://bugs.chromium.org/p/project-zero/issues/detail?id=1765) - установка файлового дескриптора устройства до создания ссылки на него может применяться для создания условий use-after-free и повышения своих привилегий в системе. Проблему можно эксплуатировать на стороне хоста, при наличии у пользователя доступа к /dev/kvm.
URL: https://lkml.org/lkml/2019/2/20/876
Новость: https://www.opennet.me/opennews/art.shtml?num=50190
Xen в KVM? Звучит как "VMware в VirtualBox"
Звучит как образ для VMware исполнить в VirtualBox.
> Звучит как образ для VMware исполнить в VirtualBox.ага.
Только не понятно зачем ЭТО нужно, ведь проще же конвертнуть. А вообще технология паравиртуализации
( аля ХЕН ) была нужна когда еще не было достаточно цпу с поддержкой КВМ и еще ...
короче сейчас по сути ХЕН заменили на LXC, так что ХЕН рип.
Конвертнуть это не энтерпрайзно. Как ты докажешь то что ты подал на входе соответствует тому что ты получил на выходе. СБ такого не одобрит.
Когда то, что ты подал на входе, соответствует тому, что ты получил на выходе - самое время записаться к гастроэнтеролуху
> Только не понятно зачем ЭТО нужно, ведь проще же конвертнуть.помимо твоего васян-сайта, там в образе еще что-то полезное могло быть. И оно расстроится, если после твоего "прощеконвертнуть" отвалятся сетевые карты (или даже автоподхватятся новые, но модный-современный systemd трижды их переименует хз во что, а модный-современный network manager заметит подмену и не назначит им прежние статические ip) - для начала.
кроме того могут отвалится роутинги ...
Откуда ты только вылез на наши головы! Ведь не было тебя еще 2 года назад...
Он здесь работает. Как и ты. И не забывай: он - это ты.
А если от вашего запуск ХЕН внутри КВМ что то отвалится ВЫ куда побежите ?В производстве нужно чтобы просто работало и желательно надежно. А когда ой это создано в фиг знает каком году и хз как это еще шевелится и тьфу-тьфу-тьфу лишщь бы работало это у Вы не производство не фига.
> А если от вашего запуск ХЕН внутри КВМ что то отвалится ВЫ куда побежите ?а зачем я буду пользовать такую дрянь, от запуска в которой где что-то отваливается?
пока это представляется как тестовая среда для разрабатывающих как раз под xen, но желающих это делать на личной машине без всякого патченного ядра. Но, подозреваю, ее таки довольно быстро допилят для того, чтобы за лицензию xen и на мелких серверах не платить, и все работало из коробки без всяких танцев с бубнами вокруг внезапно отвалившихся драйверов. Потому что орацл ни разу не замечен в желании осчастливить мир, но не раз - в желании этот мир подоить.
> В производстве нужно чтобы просто работало и желательно надежно.
продолжайте звездеть как у вас надежно работает образ после васян-конвертации в совершенно несовместимую vm, производственник наш виртуальный.
А зачем патчить ядро, вы из 2008 года к нам прямиком прилетели?
А что для Вас конвертация ?
Для меня это бекап системы, установка на новую виртуалку его родной новой системы с нормальной новой осью ядром и всеми упдатами и восстановление туда бекапа.
А пускать старый образ с гнившей осью которая давно не упдатилась это себе дороже ... после обновления может и не завестись.
Или вы из категории работает ну фиг с ним а дыры и багфиксы это не про нас ?
> Для меня это бекап системы, установка на новую виртуалку его родной новой системы с нормальной
> новой осью ядром и всеми упдатами и восстановление туда бекапа.вот классно, а "производство" еще постоит.
кстати, некоторые производственные системы, чтоб вы знали, могут необратимо сломаться от "всеми упдатами", в том числе и те что по глупости разработчиков построены на б-жественной бубунточки, у которой в принципе невозможно две выполненные через день установки с одного и того же "live" dvd получить одинаковыми хотя бы по версиям софта. Вот такая вот херня-с.
> А пускать старый образ с гнившей осью которая давно не упдатилась это себе дороже ... после
> обновления может и не завестись.увольняем неудачный экземпляр "промышленного" анонимуса, приглашаем меня - в качестве подтверждения опыта такого переноса - демонстрируется система, пережившая xen, vmware server, вероятно переживет и нынешний virtualbox. И все еще работает, и даже, о ужас, с public ip и сервисом на нем - уже, конечно, полудохлым, иначе бы он там не остался, но все еще нужным, и его дешелве там держать, чем тратить время на улучшизмы и переносы на модные платформы. А вот тот vmware server уже нет.
Но да, я ленивый и жадный, денег хочу много, ночных звонков - нихачю.
> в качестве подтверждения опыта такого переноса - демонстрируется система, пережившая xen, vmware server, вероятно переживет и нынешний virtualbox. И все еще работает, и даже, о ужас, с public ip и сервисом на нем - уже, конечно, полудохлым, иначе бы он там не остался, но все еще нужным, и его дешелве там держать, чем тратить время на улучшизмы и переносы на модные платформы.Ось что стоит внутри этой машины в студию ! Или вам чихать на все секурити холе и багфиксы ?
Или ВЫ админ локал-хоста ?
> Ось что стоит внутри этой машины в студию !2008R2 ;-)
вру, конечно - 2008 у меня помоложе на пару лет, 12-го года, скорее всего, и я к тому времени уже достаточно разбирался в виртуализации, чтобы не выбирать заведомо мертвенькие "затобесплатно" варианты - так что она съездила только vmwarews-vbox-sphere, и с некоторыми приключениями по дороге - ну ей простительно, масдай же ж. Вот разьве что сетевухи уберег от "внезапно-сетевой-адаптер-#288,ой чо-та dhcp не найду(того хуже - найду, чужой)!" - Белларду спасибо.
а внутри той что еще xen помнит, на самом деле сейчас FreeBSD 8.4-STABLE #4 r285984: Fri Jul 31 13:18:55 MSK 2015 i386
(что-то мне подсказывает, что в 2010м она была шестой или седьмой, но это ползучий апгрейд, никак не связанный с переносами между хостами. Сейчас апгрейду не подлежит, все рассыплется и не факт что вообще осмысленно будет назад собирать. А перенести еще разок - вполне выживет.)> Или вам чихать на все секурити холе и багфиксы ?
на большинство - безусловно, чихать. Админу локалхоста как раз не понять, он торопится обмазаться свежайшим каждое утро, не задумываясь о том, насколько эта деятельность осмысленна ;-)
и да, у вас в ведре свежайший remote root, дорогой админ "промышленной" бубунточки. Уже почти неделя ему исполнилась, уверенно держит головку и ползает. Скоро в детсадик пойдет. И что вы сумели по этому поводу предпринять? ;-) В usn последняя рассылка - про страшную и ужасную дыру в bind (нет, ту фрю 15го года не аффектит, я проверил, там он недостаточно модный), а нового ведра пока не завезли.
Какая милая наивность
>А если от вашего запуск ХЕН внутри КВМ что то отвалитсяПо крайней мере, можно будет запустить на XEN, в отличии от "переконвертированной".
Xen заменили на LXC? Мсье шутник. Впрочем, в докеромирках таких шутников хоть отбавляй.
Для начала советую прочитать что такое паравиртуализация.
Для начала советую научиться отличать контейнеры от виртуализации.
Господа, вы оба в чем то правы. Но для начала стоит заметить, что xen может и в паравиртуализацию и в аппаратную виртуализацию. Половину xen заменили на контейнеры, другая половина - аналог kvm.
Я про это писал и то что хен сейчас рип. Смысл теперь в нем нет.
Паравиртуализация - это разновидность виртуализации аппаратуры. Контейнеры - это тупое разделение привилегий в пределах одной ОС.Отличить просто: стороннее ядро в контейнере вы не запустите от слова "никак". А в условиях виртуализации железа - хоть "пара", хоть "полной" - легко.
>Только не понятно зачем ЭТО нужно, ведь проще же конвертнуть.Не зачем а кому.
Тем кто в Xen вляпался и кастомерские машины на нём облачит в своих облаках. Амозончику и догоняющим, в числе которых и Оракл поди в центре пелотона где-то затерялся.
У оракла есть Oracle VM, основанный как раз на Xen, и страшный как смертный грех.
ну вот и возрадуйся - хвосты макакам в очередной раз накручены, глобальная миграция на kvm - неизбежна, как приход коммунизма. Как только допилят. Или вместо - это уж как получится.
Матёрый энтерпрайз, но Жуан крут
VMware вот кто настоящий энтерпрайз. А остальные так погулять вышли.
Очень сложно признать, что то на что спустили дохреналион денег - пшик и можно было сделать всё то же самое и даже лучше почти даром. Надо было просто вовремя заменить одного мышкокликателя на нормального
Ты же не думаешь, что он это по ночам пилил по личной инициативе?
там все еще смешнее - КарлМарксиФридрихЭнгельс это не один человек, а три (правда, двое остальных писали довольно небольшую часть), помимо португальца еще индус и, походу, русский - и все трое работают в оракле. Причем все, оказывается, давние "друзья" проекта xen, и как минимум у одного в описании текущей работы этот самый xen фигурирует.С такими друзьями врагов, в общем-то, и не надо.
Энтерпрайз не для меня. Мы выбираем смузи и фриланс!
> Энтерпрайз не для меня. Мы выбираем смузи и фриланс!у меня для вас хреновая новость - vmware server'у пришел eol десять лет назад.
А остальное из доступного в области виртуальных решений со смузи и фрилансом у меня как-то не сочетается. За vbox и побить могут.
Придется вам заниматься не виртуализацией, а пилить докер-в-докере-через-докер, как всем.
vmware server надо было пристрелить 15 с фигом лет назад, прямо в утробе, когда оно ещё gsx называлось
xen вполне доступен, kvm тоже, но да, смузи с ними дерётся и просится на выход
unikernel - даже это заведётся?
это - закaпывайте. все равно оно взлетело недалеко и все больше вниз.
Спланировало в могилу
Смогиловало в планиру
Зачем это Oracle?
зачем ораклу удавить конкурента? Вы еще и спрашиваете?
Оракакал мечтает о монополии.
У нас теперь три всадника аокалипсикалипсиса - орацл, ибм и мысы/цытрикс
а гугёл?
Ачо гугел, пока не начали свою недоос вместо ведра толкать - всё прилично. Начнут - будет четвёртый.
Может свой виртуализатор хотят с Xen на KVM внутре переделать, так чтоб клиенты не заметили.