URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 137880
[ Назад ]
Исходное сообщение
"Представлен Multikernel, механизм для одновременного выполнения нескольких ядер Linux"
Отправлено opennews , 20-Сен-25 16:44 
Для обсуждения разработчиками ядра Linux предложена серия патчей, разработанных проектом Multikernel, который на днях был переведён в категорию открытого ПО и теперь будет развиваться совместно с сообществом. Multikernel позволяет на одном физическом компьютере выполнять  несколько независимых экземпляров ядра Linux, которые имеют прямой доступ к аппаратным ресурсам и могут использоваться для запуска нескольких изолированных системных окружений. Проект создан компанией  Multikernel Technologies, основанной и возглавляемой Конгом Вангом (Cong Wang), сопровождающим в ядре Linux подсистему управления трафиком (TC, Traffic Control)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63913

Содержание
Сообщения в этом обсуждении
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 16:44 
Не описано где может быть полезен такой комбайн.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:01 
Везде, где нужно запускать больше одного ядра параллельно. Для локалхоста, очевидно, не нужно.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:21 
Эм, хостеры которые не могут себе позволить виртуалки ?
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:56 
Позволить?!

Если хостеры на этом смогут *продавать* больше виртуалок т.е. больше заработать денег на том же железе, то им это нужно.

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено trashwind23 , 20-Сен-25 19:43 
По описанию в новости не похоже что тостеры смогут больше. Тут прибивание кернелей к ядрам цпу, а хостерам оверсел в основном деньги приносит.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:12 
Если своей фантазии не хватает, в новости можно пройти по ссылкам и почитать и чем мотивировались авторы, и сравнение с виртуалками, и даже предполагаемые юзкейсы.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:47 
> Везде, где нужно запускать больше одного ядра параллельно. Для локалхоста, очевидно, не
> нужно.

Эээ, у меня локалхост, а мне вот нужно. Вы, батенька путаете понятие локалхост и локалхост хомяка-нормиса, которому там только фурей смотреть и арч обновлять. И нет, неочевидно!

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:14 
Я как раз ничего не путаю, в отличие от тебя. То, что ты дома по вечерам косплеишь сисадмина не добавляет нужности твоему локалхосту.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено native , 20-Сен-25 19:45 
огласите признаки нужности, пожалуйста
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Арчстронг , 20-Сен-25 20:21 
[x] Навёл туману над своей персоной.
[x] Сунул "хомяка" и "арч" в одно предложение.
[x] И гусей^W фурей не забыл.
[x] Сам себя заплюсовал.
Сынку, у тебя шизофрения, обратись к врачу.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:29 
Для АНБ может быть полезен, когда надо лохов поломать.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:46 
https://www.kernel.org
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 16:55 
Надо развернуть сравнение "Attack Surface" с VM, сдаётся мне, фуфло они втирают. "Kernel Customization" тоже, в виртуалке любое ядро можно запускать
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено 08497 , 20-Сен-25 17:09 
Отличное изобретение для хакиров. Все уязвимости одного кернела умножаем ни количество запущенных кернелов. А если еще на каждом кернеле запустить еще по несколько виртуалок, в каждой по несколько кернелов, ну вы поняли, да?
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено мамины какиры самые забавные , 20-Сен-25 17:51 
> Отличное изобретение для хакиров. Все уязвимости одного кернела умножаем ни количество
> запущенных кернелов. А если еще на каждом кернеле запустить еще по
> несколько виртуалок, в каждой по несколько кернелов, ну вы поняли, да?

Чисто гипотетически, в вакууме, но к этим всем ядрам ваш вакуумный какир должен ещё пробраться и как-то понять, что соседнее ядро это соседнее ядро в пачке мультиядер, как-то сдетектить каким уязвимостям оно подвержено и т.п.

Но по факту чем оно отличается от необходимости щупать подсеть с несколькими машинами на предмет наличия уязвимостей в каждой, например?

Сдаётся мне, вы на очень толстый глобус пытаетесь натянуть очень тощую и ни разу не эластичную сову.


"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено 08497 , 20-Сен-25 19:22 
> Чисто гипотетически, в вакууме, но к этим всем ядрам ваш вакуумный какир должен ещё пробраться и как-то понять, что соседнее ядро это соседнее ядро в пачке мультиядер, как-то сдетектить каким уязвимостям оно подвержено и т.п.

ls /proc/multikernel

> Но по факту чем оно отличается от необходимости щупать подсеть с несколькими машинами на предмет наличия уязвимостей в каждой, например?

Зачем. На целевой машине уже несколько подконтрольных кернелов. Если парнишка попал на целевую машину, то не из воздуха же, с большой вероятностью это шлюз. Ядро (да не одно) у него под контролем, сеть соответственно тоже.

> Сдаётся мне, вы на очень толстый глобус пытаетесь натянуть очень тощую и ни разу не эластичную сову.

И получается, что сова не такая и тощая, да и глобус не толст.

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Хорошо смеёцца TOT , 20-Сен-25 19:59 
Хз, как оно в вакууме, а в зэ Ядре вон - интерфейс мультиядра. "Для мониторинга и отладки". Ага.

Доступ к железу прямой. И у ядер-сыновей и Ядра-Отца. А у нас тут миллион "спекулятивных" уязвимостей в процессорах и чипах памяти. Удобно.

Сеть изолировать легко. У сети - периметр. Сторожа на концах протоколов.
А тут, понимаю, дЫрект-аксэс-саксэсс к железу, на котором стоит сторожка.

А потом, когда доступ наспекулировали, на нескольких ядрах можно ещё долго прятаться: переживая сканирования, обновления и перезагрузки. Ведь, не будут же "экономисты" из-за нас все ядра останавливать и допрашивать..

Ну хз, конечно. Но если из виртуалок убегают и гипервизоры ломают, тот тут.. Ну зато сэкономия. А ещё сэкономнее - в розетку не включать. Люди, берегите планету!

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:09 
Не понимаю что здесь нового. Разные ядра linux и так выполняются в разных VM.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Мемоним , 20-Сен-25 17:10 
А на средней схеме Hypervisor не должен быть под Kernel?
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:14 
Они его интегрировали и сделали прозрачным.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено 1 , 20-Сен-25 19:34 
Эта схема для kvm.
В случае с xen или vmware hypervisor будет над hardware.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено morphe , 20-Сен-25 20:15 
> vmware

Если речь о vmware workstation и прочем консьюмерском - то над kernel, если о чём-то другом - хотел бы услышать о чём

HyperV вот как и Xen - под ядром, да

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:12 
> Производительность при использовании Multikernel оценивается как близкая к производительности выполнения на отдельном оборудовании.

Ну так паравиртуализация тоже близка по производительности к нативной.

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:24 
Гипервизор не зря ел свой "хлеб". Это гибкость, функциональность, контроль, безопасность. Обработчик SMP будет "обрастать ракушками" по мере плавания и будет тем же гипервизором.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Еще один Аноним , 20-Сен-25 17:52 
Ну дак это классическая (Н. Винера) кибернетическая система (хоть и виртуальная), состоящей из управляющего (в данном случае гипервизор) и управляемого (сама ВМ) элемента. Мне кажется, что если покопаться детально в этом Multikernel, может тоже выясниться, что там тоже есть разделение на управляющую и управляемую подсистемы.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено 1 , 20-Сен-25 19:42 
Сложность управляющей системы не может быть меньше управляемый.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 20:03 
Сомнительно. Какова ваша аргументация?
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:28 
Скрестили ужа с ежом, получилось непонятно что. С процессорами еще можно отдаленно понять как они между ядрами расшариваются. А память как делить? А ввод-вывод? Без гипервизора, ага
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:30 
Напоминает добровольную мультизадачность под досом. Все хорошо пока хорошо
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 20:17 
Ну так может не делать хуже?
Все проблемы от того что у мамкиных хацкеров руки чешутся
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 17:42 
На уровне ведра этим можно рулить (если патчи сделать), это не проблема. Непонятно только, почему они утверждают будто изоляция на уровне ядер дает меньшую поверхность атаки, чем виртуализация.  Ну и в целом юзкейсы неясны. Виртуализация нужна для эмуляции оборудования, а контейнеризация для простой и быстрой доставки приложений. Какие профиты дает мультикернел непонятно.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:42 
При атаке на гипервизор у малвари права ring -2, а так только ring 0.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 19:16 
Минус 2 - это относительно ring 0 гостя, для хоста это - ring 0 если сам гипервизор (аппаратно-виртуализованный, если эмуляция - то вообще всё в ring 2), а эмулируемые устройства, за исключением нескольких virtio-устройств вообще в ring 2 живут. При этом атаковать сам гипервизор на порядки сложнее из-за того что у него поверхность атаки меньше (в основном это эмулируемые устройства), а код KVM-гипервизора шарится многими продуктами и весьма отлажен и оттестирован.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 19:16 
тьфу, в ring 3
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 19:41 
-2 это smm, гипервизор это -1

и vmware к примеру того, да и xen

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено пох. , 20-Сен-25 18:13 
Ну так и делить - тебе половина, и мине одна вторая.
В принципе, для этого и в обычном ведре почти все есть.
Диски очевидно привязаны к экземпляру. Консоль достанется кому-то одному.

Про "эффективность" при таком разделении топором, понятно, можно забыть.

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено 1 , 20-Сен-25 19:47 
Ещё немного ещё чутьчуть и интел сделает в процах аналог ldom.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Балерун , 20-Сен-25 17:47 
> Cong Wang

От короля (кит.), если что так. подарочек. Вопрос Кому?

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:34 
Ну писать прямо Jia Tan - даже обсуждать не будут ведь...
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:36 
ты хотел написать King Kong Wang?
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 20:07 
Здесь мог бы быть анекдот про кастрюлю, но лимит на балансе соц-рейтинга исчерпан.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:21 
Наконец будет нормальное 3d ускорение в гостевой системе без virgl/virtio и sriov?
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено 1 , 20-Сен-25 19:50 
Без ... не будет.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:27 
>Multikernel преподносится как новая архитектура изоляции, занимающая нишу между виртуализацией при помощи гипервизора и контейнерной изоляцией на базе общего ядра

Не понятно, зачем. Главная претензия к контейнерам - из них можно достать до главного ядра, ломануть его, а как его ломанули - так машина взломана по полной. Для решения этой проблемы используют гипервизоры. Ядру выделяется виртуальная машина, оно в ней полностью крутится, а из виртуальной машины до хоста - гипервизор с очень ограниченной поверхностью атаки. Тут же предлагают выполнять дочерние ядра поверх хостового без всякого гипервизора, то есть ничего не меняется с точки зрения взлома контейнеров: ломаем дочернее ядро, и сразу же ломаем хостовое, PROFIT.

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 19:23 
Забыл ещё вывод подвести: предложенная система будет жрать память как полноценная виртуалка, иметь оверхед, сравнимый с виртуалкой, а безопасность предлагать на уровне контейнера. На сайте один маркетинговый буллшит, snake oil какой-то.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:33 
Кстати, дочерние ядра прямо в юзерспейсных процессах, а под ними - своя ФС, свои контейнеры ... можно запускать было очень давно, с начала нулевых в ядре опция его собирать так, чтобы оно работало как обычная линуксовая программа. Только единственный профит - это просто упрощение разработки самого ядра линукс и дров к нему, чтобы с виртуалками не париться. Кому для изоляции - тем полноценная виртуалка. Кому не нужны такие требования к изоляции - тем и контейнеры и песочницы сойдут.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 18:43 
О, начали rump NetBSDшный переизобретать...
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено 1 , 20-Сен-25 19:55 
Скорее невозбранно сперли, но недоперли и отдали впопенсорс.
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 19:57 
Мне кажется, или что-то походжее уже было в Cooperative Linux? Там, правда, ядро запускали в винде
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 20:06 
Масоны изобретают маинфрейм
"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 20:14 
> Multikernel IPI

А почему ipi?
Ч̶т̶о̶б̶ы̶ ̶н̶и̶к̶т̶о̶ ̶н̶е̶ ̶д̶о̶г̶а̶д̶а̶л̶с̶я̶ api бы не пропустили т.к. stable is a nonsense, а так прокатит.

"Представлен Multikernel, механизм для одновременного выполне..."
Отправлено Аноним , 20-Сен-25 20:53 
Продаваны виртуалок негодуют,придется переучиваться.