Thema: Citrix/Xen/Xen Server ...

[SiLæncer]

Seit dem 7. April gibt es die Version 4 des freien Hypervisors Xen zum Download . Die neue Version hat einerseits in vielen Details wieder Anschluss an aktuelle Entwicklungen gefunden, insbesondere den Linux-Kernel. Andererseits kann Xen 4 mit einigen Neuerungen glänzen, die seinen Mehrwert gegenüber Alternativen wie dem im Linux-Kernel integrierten KVM ausmachen, etwa dass das Durchreichen von PCI-Geräten in virtuelle Maschinen jetzt auch für Grafikkarten funktioniert.

Mit dem in der Vergangenheit gern kritisierten Punkt, das Xen auf einen veralteten Linux-Kernel aufsetzt (offiziell gab es nur Anpassungen für 2.6.18), haben die Entwickler aufgeräumt: Xen 4 nutzt die offizielle Virtualisierungsschnittstelle des Linux-Kernels (pv_ops). Standardmäßig wird die Kernel-Version 2.6.31 verwendet. Weiterhin liefern die Entwickler aber auch Patchsets für 2.6.18 sowie für 2.6.32 (die Linux-Kernel-Entwickler arbeiten zur Zeit an 2.6.34).

Xen 4 kann 128 virtuelle und 128 physische CPUs und ein Terabyte Hauptspeicher pro System verwalten. Auf Systemen, die IO-Virtualisierung beherrschen, lassen sich PCI-Karten und auch Grafikkarten in eine virtuelle Maschine hineinreichen. Letzteres klappt nur für voll virtualisierte Systeme (HVM), also etwa ein Windows-Gastsystem. Damit der direkte Zugriff einer virtuellen Maschine auf die Grafikkarte wirklich klappt, müssen auch BIOS und Mainboard mitspielen. Die Xen-Entwickler benennen einige ausgewählte Komponenten dafür.

Mit der Integration von blktap2 kann Xen jetzt auch mit dem VHD-Format umgehen, das Microsoft als Image-Format auch für die Platten von virtuellen Maschinen verwendet. Auch Snapshots und Sparse Images kennt blktap2. Mit netchannel2 erweitern die Entwickler die Netzwerkfunktionen im Hinblick auf Hardware, die für Virtualisierung optimiert ist. Xen arbeitet jetzt auch mit einem moderneren Grub (Version 2) für Gastsysteme zusammen. Eine neue C-Schnittstelle (libxenlight) soll Managementsoftware das Andocken erleichtern.

Windows-Gäste können jetzt auch im freien Xen die von Microsoft zertifizierten Treiber für die Optimierung von Platten- und Netzwerkzugriffen verwenden. Das beschleunigt ein virtualisiertes Windows-System unter Xen merklich. Diese Treiber finden sich in der Xen Cloud Platform. In mehreren HVM-Gastsystemen identische Speicherseiten, kann Xen 4 zusammenfassen. Für die weitere Optimierung der Nutzung des vom Hypervisor verwalteten Hauptspeichers haben die Entwickler TMEM eingebaut; es erlaubt Gastsystemen unbenutzten Speicher in einen VM-übergreifenden Pool zu legen oder dort zu holen.

Bestandteil ist jetzt auch PV-USB: Diese Ergänzungen erlauben es, sowohl paravirtualisierten Gastsystemen als auch unverändert unter Xen laufenden Gästen (HVM) auf USB-Geräte zuzugreifen, die am eigentlichen Host angeschlossen sind. Dieses Feature war bisher nur experimentell zu haben und bei HVM auf USB 1.1 beschränkt. Xen 4 will hier jetzt USB-2-Performance bieten. Außerdem haben Funktionen Einzug gehalten, die den Zustand laufender virtueller Maschinen übers Netz synchron halten (hervorgegangen aus dem Projekt Remus).

Quelle : www.heise.de

[SiLæncer]

Mit dem neuen XenClient hat Citrix einen Bare-Metal-Hypervisor veröffentlicht, der auch ohne Wirtssystem speziell auf Notebooks mit entsprechender Intel-Hardware mit vPro-Technologie läuft. Mit XenClient können auch mehrere Desktops parallel auf einem Gerät laufen.

Mit dem neuen XenClient will Citrix eine Desktop-Virtualisierung bieten, die vor allem auf den Einsatz auf mobilen Geräten zielt. XenClient benötigt kein Wirtssystem sondern wird als Bare-Metal-Hypervisor direkt auf der Hardware ausgeführt. Dadurch können auf einem Gerät auch mehrere Desktops laufen. Durch den Wegfall eines Wirtssystems können die Hardwareressourcen komplett von der virtuellen Maschine verwendet werden. XenClient benötigt dazu eine Intel-CPU mit vPro-Unterstützung.

Anwender können damit den nicht nur den firmeneigenen Desktop verwenden sondern parallel dazu in ihren eigenen XenClients einen persönlichen Desktop mit persönlichen Anwendungen verwenden. Mit dem Citrix Receiver für XenClients können persönliche Desktops erstellt oder firmeneigene verwaltet und verteilt werden. Die Trennung von persönlichen Daten und Firmendaten soll für eine erhöhte Sicherheit sorgen.

Zusätzlich bietet XenClient die Möglichkeit Desktops als Image auf mobilen Geräten zu verwenden. Dadurch können die virtuellen Maschienen auch ohne Netzwerkverbindung genutzt werden. Mit dem Synchronizer für XenClients können später Daten über eine verschlüsselte Verbindung synchronisiert werden. Zusätzlich können über den Sychronizer Backups erstellt, Sicherheitsrichtlinien verteilt oder abhanden gekommene Geräte deaktiviert werden.

Der XenClient samt Verwaltungssoftware Receiver für XenClient und Synchronizer für Citrix XenClient stehen als Testversion kostenlos zum Download bereit. Zusätzlich stehen die quelloffenen Komponenten der Software zur Verfügung. Mit dem Erscheinen des XenDesktops im Laufe des Jahres soll auch XenClient generell erhältlich sein.

Quelle : www.golem.de

[SiLæncer]

Die Virtualisierungs-Lösung Citrix XenClient adressiert Anwender, die einen mobilen Arbeitsplatz besitzen und diesen sowohl geschäftlich als auch privat nutzen. In unserem Test muss der Bare-Metal Hypervisor zeigen, was er leistet und wie er sich von anderen Desktop-Virtualisierungen unterscheidet.

Desktop Virtualisierung  wie Citrix XenClient ist keine Randerscheinung für Entwickler oder Administratoren mehr, sondern ein probates Mittel, um komplexe PC-Infrastruktur zu konsolidieren und damit auch gleichzeitig das Client Management  zu vereinfachen. In Fordergrund steht damit eindeutig die Reduzierung von Administrationskosten. So ist es nicht verwunderlich, dass es auch für den Desktop mittlerweile zahlreiche Anwendungen von verschiedenen Herstellern gibt, mit denen man virtuelle PCs erstellen kann.

Das grundlegende Konzept von Citrix XenClient ist einfach: Die bestehende Architektur des Xen-Hypervisors wurde einfach vom Server  auf den Client-PC transferiert. Damit stellt der Hersteller dem Anwender erstmals Typ-1-Virtualisierung (Bare-Metal) zur Verfügung, die direkt auf der Hardware aufsetzt,. Diese Methode der Desktop Virtualisierung  bietet eine hohe Performance und ermöglicht eine äußerst sichere Trennung der einzelnen virtuellen Maschinen (VM) untereinander.
Der besondere Vorteil dieser Lösung ist, das die virtuelle Maschinen auf den mobilen Clients auch offline betreiben werden können. Die klassischen VDI-Systeme erfordern eine permanente Online-Verbindung, um eine sichere Funktion zu gewährleisten.

mehr ...

Quelle : http://www.tecchannel.de

[SiLæncer]

Fast ein Jahr nach Erscheinen der Version 4.0 haben die Entwickler eine neue Version des Hypervisors Xen veröffentlicht. Die Virtualisierungslösung Xen wird von Citrix gesponsort, steht unter der GPL und ermöglicht es, mehrere verschiedene Gast-Betriebssysteme auf einem Host-System zu betreiben. Insgesamt flossen über 1900 Änderungen in die neue Xen-Version ein.

Zu den neuen Features in Xen 4.1 zählen ein überarbeiteter XL-Toolstack, dessen Funktionalitäten nun fast denen von XM/XEND gleichen und der XM über kurz oder lang ersetzen soll. CPU-Pools erlauben eine ausgefeilte Zuteilung der Rechenkraft eines Hostsystems an seine Gäste. Die Prozessorleistung des Hostsystems lässt sich dazu in CPU-Pools mit jeweils eigenen Scheduler aufteilen, die einzelnen virtuellen Maschinen gezielt zugewiesen werden. Xen 4.1 unterstützt Hostsysteme mit mehr als 255 Prozessoren und die x86 Advanced Vector eXtension (AVX). Eine neue Memory Access API ermöglicht es, Sicherheitslösungen verschiedener Hersteller in eine virtualisierte Umgebung einzubinden.

Der Credit2-Scheduler ersetzt zukünftig den Credit1-Scheduler. Er weist deutlich geringere Latenzzeiten als der Vorgänger auf und eignet sich so für virtualisierte Systeme, in denen Performance wichtig ist. Bei Credit2 handelt es sich noch um einen Prototyp, der aber schon als hinreichend stabil eingestuft wurde.

Während der Entwicklung arbeitete das Xen-Team mit mehreren Linux-Distributionen, um sicher zu stellen, dass die Xen-Dom0- und Xen-Guest-Unterstützung funktionieren, ohne dass große Änderungen an den Host-Systemen vorgenommen werden müssen. Daraus resultierend soll sich Xen unkomplizierter installieren und nutzen lassen als Vorgängerversionen. Die Veröffentlichungsnotizen listen weitere Neuerungen auf.

Xen 4.1 kann in Form eines TAR-Balls von der Projektwebseite herunter geladen werden.

Quelle : www.pro-linux.de

[SiLæncer]

Citrix hat die Veröffentlichung von Version 6 seiner auf Xen aufbauenden Virtualisierungslösung bekannt gegeben. Nach wie vor ist das grundlegende Produkt kostenlos verfügbar, lediglich darauf aufbauende Komponenten sind kostenpflichtig. Mit der neuen Version halten etliche Verbesserungen Einzug: Die Basis bildet der Hypervisor in Version 4.1, der mehr CPUs und Speicher pro VM unterstützt und CPU-Pools anbietet. Bei der Desktop-Virtualisierung können GPUs in einem Pool verwaltet und zugewiesen werden. Auch bei der Verwaltbarkeit ergeben sich Verbesserungen, unter anderem die Integration in Microsofts System Center 2012, das momentan noch in der Beta-Phase steckt.

In XenServer 6 löst Open vSwitch den bisher standardmäßig verwendeten Linux-Bridging-Code für die Netzwerkanbindung der virtuellen Maschinen ab. Die Software steht unter Apache-2.0-Lizenz. Sie soll sich unter anderem dadurch auszeichnen, dass sie die VMs, die auf mehreren Servern laufen in einem logischen Netzwerk zusammenhalten und Virtualsierunghilfen in Netzwerkkarten nutzen kann. Ein Papier der Switch-Entwickler erklärt die Hintergründe.

Quelle : www.heise.de

[SiLæncer]

Code: [Auswählen]

Xen 4.1.3 is a maintenance release in the 4.1 series and contains:

    Fixes for the following critical vulnerabilities: We recommend all users of the 4.0 and 4.1 stable series to update to these latest point releases.
        CVE-2012-0217 / XSA-7: PV guest privilege escalation vulnerability
        CVE-2012-0218 / XSA-8: guest denial of service on syscall/sysenter exception generation
        CVE-2012-2934 / XSA-9: PV guest host Denial of Service
        CVE-2012-3432 / XSA-10: HVM guest user mode MMIO emulation DoS vulnerability
        CVE-2012-3433 / XSA-11: HVM guest destroy p2m teardown host DoS vulnerabilit
    Among many bug fixes and improvements (over 100 since Xen 4.1.2). Highlights are:
        Updates for the latest Intel/AMD CPU revisions
        Bug fixes and improvements to the libxl tool stack
        Bug fixes for IOMMU handling (device passthrough to HVM guests)
        Bug fixes for host kexec/kdump

It also contains the following fixes from earlier maintenance releases:

    Security fixes including CVE-2011-1583 and CVE-2011-1898
    Enhancements to guest introspection (VM single stepping support for very fine-grained access control)
    Many stability improvements, such as:
        PV-on-HVM stability fixes (fixing some IRQ issues)
        XSAVE cpu feature support for PV guests (allows safe use of latest multimedia instructions)
        RAS fixes for high availability
        fixes for offlining bad pages
        changes to libxc, mainly of benefit to libvirt
        New XL toolstack
        Debug support: kexec/kdump
        Remus (High Availability)
        Device passthrough to HVM guests
        Interrupt handling
        Support for Supervisor Mode Execution Protection (SMEP)
    Compatibility fixes for newer Linux guests, newer compilers, some old guest savefiles, newer Python, grub2, some hardware/BIOS bugs.

http://www.xen.org/products/xen_source.html

[SiLæncer]

Rund 18 Monate haben die Entwickler an der neuesten, jetzt fertiggestellten Version des Hypervisors Xen gearbeitet. Schon beim Sondieren der Neuerungen ist zu merken, dass sie sich enorm um die Dokumentation bemüht haben.

Der Werkzeugsatz, mit dem Xen-Nutzer hantieren, ändert sich mit Version 4.2: Der ehemals benutzte Xen-Daemon (xend) und der xm-Befehlsatz haben ausgedient, über kurz oder lang sollen sie entfallen. Ihre Rolle übernimmt "XL", das mit Xen 4.1 schon eingeführt wurde. Unter anderem überlässt es die Konfiguration des Netzwerks den distributionsspezifischen Werkzeugen. Die alten Konfigurationsdateien sollen weiter funktionieren, darin eingebetteter Python-Code läuft aber nicht mehr.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Code: [Auswählen]

This fixes the following critical vulnerabilities:

    CVE-2013-1922 / XSA-48 qemu-nbd format-guessing due to missing format specification
    CVE-2013-2007 / XSA-51 qemu guest agent (qga) insecure file permissions
    CVE-2013-1442 / XSA-62 Information leak on AVX and/or LWP capable CPUs
    CVE-2013-4355 / XSA-63 Information leaks through I/O instruction emulation
    CVE-2013-4356 / XSA-64 Memory accessible by 64-bit PV guests under live migration
    CVE-2013-4361 / XSA-66 Information leak through fbld instruction emulation
    CVE-2013-4368 / XSA-67 Information leak through outs instruction emulation
    CVE-2013-4369 / XSA-68 possible null dereference when parsing vif ratelimiting info
    CVE-2013-4370 / XSA-69 misplaced free in ocaml xc_vcpu_getaffinity stub
    CVE-2013-4371 / XSA-70 use-after-free in libxl_list_cpupool under memory pressure
    CVE-2013-4375 / XSA-71 qemu disk backend (qdisk) resource leak
    CVE-2013-4416 / XSA-72 ocaml xenstored mishandles oversized message replies
http://www.xen.org/products/xen_source.html

[SiLæncer]

Die Entwickler kommen ihrem Ziel näher, alle sechs Monate eine neue Version der Open-Source-Virtualisierungssoftware freizugeben. Das jetzt aktuelle Xen 4.4 verspricht unter anderem stabile Schnittstellen für virtuelle Maschinen auf der ARM-Plattform.

Sechs Monate und sechs Wochen nach dem bislang letzten Release legen die Entwickler der freien Virtualisierungsumgebung, die unter der Schirmherrschaft der Linux Foundation entwickelt wird, Version 4.4 vor. Sie erklärt den mit Xen 4.3 als experimentelles Feature eingeführten ARM-Support jetzt für produktionsreif. Virtuelle Maschinen (VMs) für ARM sollen sich dank festgeschriebener Binärschnittstelle zum Hypervisor dann auch mit zukünftigen Versionen weiterhin ausführen lassen.

Xen 4.4 steigert die Zahl der für die interne Kommunikation benutzten Event-Channels deutlich (131072 statt 4096 in einer 64-Bit-Umgebung). Damit eignet es sich besser für den Einsatz auf großen Maschinen in Cloud-Umgebungen. Der mit Xen 4.2 (statt xend) eingeführte neue Werkzeugsatz rund um XL harmoniert mit Open vSwitch und mit libvirt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Das Xen Project veröffentlicht die neue Version ihres Hypervisors Xen 4.6. Die Verbesserungen betreffen vorwiegend Sicherheitsfunktionen.

Die neue Version des Xen Project Hypervisor, Xen 4.6, ist erschienen. Sie hat vor allem Neuerungen bei Hochverfügbarkeits- und Sicherheitsfunktionen, der Effizienz und für ARM eine Erweiterung der unterstützten Systeme im Gepäck, wie die Entwickler im Projekt-Blog mitteilen.

Das Memory-Event-Subsystem heißt jetzt VM-Event-Subsystem und unterstützt sowohl x86- als auch ARM-Plattformen. Es kann jetzt neben Speicherzugriffen Registerzugriffe abfangen. Sicherheitssystemen erlaubt das eine Gastsystem-Introspection, ohne Spuren zu hinterlassen (zero-footprint guest introspection).

Xen bietet mit XSM (Xen Security Modules) ein eigenes Sicherheits-Framework an. Um es zu nutzen, müssten Administratoren den Hypervisor jedoch mit XSM kompilieren und eine XSM FLASK (Flux Advanced Security Kernel) Policy definieren. Die aktuelle Version liefert eine Standard Policy aus, die das im April vorgestellte Xen Project Test Lab regelmäßig testet. Die Entwickler bereiten damit eine Auslieferung mit aktiviertem XSM vor.

Besitzt das Host-System ein TP-Modul, kann der Hypervisor dessen Fähigkeiten über vTPM 2.0 übernehmen. Die Unterstützung hierfür steuerten Intel und die NSA dem Projekt bei.

Durch feiner abgestuftes Memory-Locking lassen sich die Grant Tables besser skalieren. Diese steuern den Zugriff einer VM auf Speicherbereiche anderer Domänen. In einzelnen Fällen erhöht sich durch die bessere Skalierung der Intrahost Netzwerk Durchsatz um bis zu 100 %. Für Systeme mit vielen virtuellen Maschinen dient Ticket Lock als neue Methode, den Workload gleichmäßiger zu verteilen.

Komplett überarbeitet haben die Entwickler Remus, das Werkzeug für Gewährleistung der Hochverfügbarkeit. Es stellt kontinuierlich Echtzeitkopien von Virtual Machines bereit. Neu ist die Verwendung von Migration v2, das im Falle von Bandbreitenengpässen stabiler sein soll.

Auf ARM-Systemem steigt die Zahl möglicher virtueller CPUs von 8 auf 128. Das Open-Source-Konsortium Linaro lieferte den Code für OVMF (Open Virtual Maching Firmware) für ARM, das bisher nur x86-Nutzern zur Verfügung stand. Außerdem läuft Xen auf einigen neuen ARM-Plattformen: Renesas R-Car Gen2, Thunder X, Huawei hip04-d04 und Xilinx ZynqMP SoC.

Quelle : www.heise.de

[SiLæncer]

Release Notes

SAN FRANCISCO, June 23, 2016 – The Xen Project, a project hosted at The Linux Foundation, today announced the release of Xen Project 4.7. The release minimizes downtime and improves the user experience with non-disruptive security patching, and includes security enhancements for embedded, automotive, IoT and new security use cases. The new release also adds support for the latest hardware features from Intel and ARM.

Xen Project Hypervisor 4.7 comes equipped with Live Patching, a technology that enables re-boot free deployment of security patches to minimize disruption and downtime during security upgrades for system administrators and DevOps practitioners. Xen Project 4.7 implements version 1 of the Hypervisor Live Patching specification, which is designed to encode the vast majority of security patches (approximately 90%) as Live Patching payloads. This version ships with a Live Patching enabled hypervisor and payload deployment tools and is available as a technology preview.

For security, embedded automotive and IoT use cases, Xen Project introduced the ability to remove core Xen Hypervisor features at compile time via KCONFIG. This ability creates a more lightweight hypervisor and eliminates extra attack surfaces that are beneficial in security-first environments, microservice architectures and environments that have heavy compliance and certification needs, like automotive.

“The Xen Project hypervisor is innovating in all areas and continues to evolve to meet the new needs of cloud computing and compute infrastructures,” said Lars Kurth, chairperson of the Xen Project advisory board. “Xen Project 4.7 is a testament to the incredible collaboration that is happening within the community, and a continuation of our shorter release cycle.”

The Xen Project powers more than 10 million users across enterprise and cloud computing in addition to embedded and mobile devices. First to market with Intel and ARM features, many of the world’s largest companies and service providers use and invest in Xen Project software. Xen Project software is used in many commercial products, including Bitdefender Hypervisor Introspection, which was developed in close collaboration with Citrix. This technology leverages Xen Project’s Virtual Machine Introspection feature to reveal malicious activity, however stealthy, which can remain invisible to traditional endpoint security.

Major contributions for this release come from AMD, ARM, Bitdefender, Bosch, Broadcom, Citrix, Fujitsu, GlobalLogic, Huawei, Intel, Linaro, Netflix, Novetta, NSA, Oracle, Red Hat, Star Lab, SUSE, Xilinx, and a number of universities and individuals. Xen Project’s functionality continues to evolve to serve new compute infrastructures such as mobile, hyper-scale computing, massive workloads, security-intensive applications, embedded computing, cloud computing, hosting providers, and hardware appliances.

The following new features and capabilities are available in Xen Project Hypervisor 4.7:

    Usability Improvements: In Xen 4.7, a new XL command line interface to manage PVUSB devices has been introduced to manage PVUSB devices for PV guests. The new XL commands also enables hot-plugging of USB devices as well as QEMU disk backends, such as drbd, iscsi, and more in HVM guests. This new feature allows users to add and remove disk backends to virtual machines without the need to reboot the guest. In addition, the soft reset for HVM guests allows for a more graceful shutdown and restart of the HVM guest.

    Support for a wider range of workloads and applications: The PV guest limit restriction of 512GB has been removed to allow the creation of huge PV domains in the TB range. TB sized VMs, coupled with Xen Project’s existing support for 512 vCPUs per VM, enable execution of memory and compute intensive workloads, like big data analytics workloads and in-memory databases.

    Improved Live Migration support: CPU ID Levelling enables migration of VM’s between a larger range of non-identical hosts than previously supported.

    Enhanced Development with ARM: Xen Project now supports booting on hosts that expose ACPI 6.0 (and later) information. The ARM Server Base Boot Requirements (SBBR) stipulate that compliant systems need to express hardware resources with ACPI; thus this support will come in useful for ARM Servers. This effort was carried out by Shannon Zhao of Linaro with minor patches from Julien Grall of ARM.

Additionally, PSCI 1.0 compatibility allows Xen Project software to operate on systems        that expose PSCI 1.0 methods. Now, all 1.x versions of PSCI will be compatible with Xen Project software. More information on Power State Co-ordination Interface can be found here. This effort was also carried out by Julien Grall with a patch from Dirk Behme of Bosch.

    New feature support for the Intel® Xeon® processor product family: Xen Project 4.7 supports VT-d Posted Interrupts, which provides hardware-level acceleration to increase interrupt virtualization efficiency. It reduces latency and improves user experience through performance improvements, especially for interrupt-intensive front- end workloads such as web servers.

Xen Project 4.7 is the first to include Code and Data Prioritization (CDP), part of the Intel® Resource Director Technology (RDT) Framework and an extension of Cache Allocation Technology (CAT), first introduced in Xen Project 4.6. The introduction of CDP allows isolation of code/data within the shared L3 cache of multi-tenant environments, reducing contention and improving performance.

Additional features specific to the Intel Xeon processor family in Xen Project 4.7 include: VMX TSC Scaling, which allows for easier migration between machines with different CPU frequencies and support for Memory Protection Keys, a new security feature for hardening the software stack.

Comments from Xen Project Users and Contributors

“Oracle is committed to designing and delivering best-in-class cloud services to help businesses transition from traditional systems to the cloud,” said Ajay Srivastava, senior vice president, Linux and Virtualization, Oracle. “The new live patching capabilities in Xen Project Hypervisor 4.7 can help reduce downtime for private, public and hybrid cloud environments, which is of vital importance to our customers.”

“Intel is focused on enabling widespread cloud adoption and works across the industry to deliver the best architecture for the current and future needs of compute, storage, and networking,” said Susie Li, Director of Virtualization, Intel Open Source Technology Center and Xen Project Advisory Board Member. “The work the Xen Project community has achieved underpins many of the world’s largest and most successful data centers in the world, setting the standard for performance, security, and capabilities. Xen Project 4.7 is developed with the latest Intel platform features to make it easier to deploy and scale clouds, so businesses can deliver services to their customers faster and more securely.”

“Organizations continually have to readjust their security strategy to mitigate deep threats to IT systems. Bitdefender Hypervisor Introspection (HVI), which is tightly integrated with XenServer Direct Inspect API from Citrix, runs memory introspection at the hypervisor-level,” said Harish Agastya, Vice President of Enterprise Solutions at Bitdefender. “The Xen Project hypervisor provides critical virtualization and security building blocks, which enable us to partner with Citrix to create a new security layer that detects suspicious activities by working directly with raw memory – a level of insight from which malware cannot hide.”

[close]

http://www.xen.org/products/xen_source.html

[SiLæncer]

Release Notes : https://blog.xenproject.org/2016/12/07/whats-new-with-xen-project-hypervisor-4-8/

http://www.xen.org

[SiLæncer]

Das Projekt um den freien Hypervisor Xen hat Version 4.10 freigegeben, wobei Verbesserungen der Sicherheit, aber auch Erweiterung der Hardware-Unterstützung und die Erhöhung der Geschwindigkeit im Vordergrund standen.

Fünfeinhalb Monate nach Xen 4.9 steht jetzt Xen 4.10 zur Verfügung. Xen ist ein Hypervisor, der im Unterschied zu KVM auch auf Rechnern lauffähig ist, die keine oder weniger Hardware-Unterstützung für Virtualisierung aufweisen. Dazu zählen auch 32-Bit-Systeme unter anderem in der x86- oder ARM-Architektur. Das dürfte der Grund sein, dass das Interesse an Xen ungebrochen ist und noch weiter ansteigt, denn Virtualisierung wird bald die Regel statt der Ausnahme sein und selbst auf eingebetteten Geräten mit mehr oder weniger limitierten Ressourcen Einzug halten. Auch auf Smartphones ist das denkbar.

Xen 4.10 holt die mit Xen 4.9 aufgetretene Verzögerung wieder auf, so dass die Veröffentlichung im geplanten halbjährlichen Zyklus erfolgen konnte. Zu den Neuerungen von Xen 4.10 gehören Verbesserungen im Scheduler Credit 2, der jetzt unter anderem die NUMA-Architektur in seine Entscheidungen einrechnet. Außerdem kann ein Limit gesetzt werden, wieviel Leistung der Scheduler von jeder CPU nutzen darf. Der »Null«-Scheduler dagegen soll den Overhead für das Scheduling auf nahezu null reduzieren. Das ergibt eine noch geringere Latenz und besser vorhersehbare Leistung. Außerdem wurde die Möglichkeit des Tracings und die sogenannte Soft-Affinity in diesen Scheduler eingeführt. Letztere ermöglicht, zu definieren, welche virtuelle CPU auf welchem realen Prozessor laufen sollte.

Verbesserungen gab es auch bei der Introspektion virtueller Maschinen, unter anderem höhere Geschwindigkeit. Die PV-Calls-Schnittstelle, die die Weiterleitung von POSIX-Aufrufen zwischen virtuellen Maschinen ermöglicht, wird jetzt auch durch einen entsprechenden Linux-Treiber (ab Linux 4.14) unterstützt. Damit lassen sich unter anderem Netzwerke realisieren, die für native Cloud-Anwendungen optimal sind.

Es ist jetzt möglich, diverse Parameter von Xen ohne Neustart zu ändern, und der Typ eines Gastsystems wird jetzt in der Konfigurationsdatei eingestellt. Auf der ARM-Architektur werden neuere Chips einschließlich 64-Bit-Chips unterstützt. Dabei kann auch der Interrupt Translation Service (ITS) genutzt werden. Ferner lässt sich Xen nun auf 64-Bit-ARMS-Systemen mit Grub2 booten.

Auf der x86-Architektur wurde der Code weiter umgebaut, um die Sicherheit grundlegend zu erhöhen, aber auch klareren und einfacheren Code zu erhalten, der schneller ausgeführt wird. So unterstützt Xen 4.10 Gastsysteme mit PVHv2, deren Angriffsfläche im Vergleich zu anderen Gastsystemen geringer ist. Die Isolation der Gastsysteme wurde zudem unter dem Namen »dm_restrict« weiter erhöht, was zur Zeit noch als technische Vorschau gehandelt wird. Neu sind auch die Unterstützung für die L2 Cache Allocation Technology (CAT), Local Machine-Check Exception (LMCE) und User Mode Instruction Prevention (UMIP), alle für Intel-CPUs. Weitere Informationen findet man im Xen-Wiki.

Xen wird von zahlreichen Unternehmen und Organisationen, darunter auch etlichen Universitäten, unterstützt. Zu den größten Beitragenden zu Xen 4.10 zählen Amazon Web Services, AMD, Aporeto, Arm, BAE Systems, BitDefender, Cavium, Citrix, EPAM, GlobalLogic, Greenhost, Huawei, Intel, Invisible Things Lab, Linaro, Nokia, Oracle, Red Hat, Suse und die US National Security Agency. Auch in dieser Version wurde wieder ein Schwerpunkt auf die Sicherheit gelegt, die Vorrang vor allen anderen Zielen genießt. Der Quellcode von Xen 4.10 ist auf der Projektseite zu finden.

Quelle : www.pro-linux.de

[SiLæncer]

Changelog

SECURITY & CODE SIZE:

The Xen 4.12 release builds upon the security features of previous releases, continuing Xen’s legacy of being the safest and most stable hypervisor for security-focused environments.
HVM/PVH and PV only Hypervisor: The new Xen Project 4.12 release separates the HVM/PVH and PV code paths in Xen and provides KCONFIG options to build a PV only or HVM/PVH only hypervisor. This enables Xen based security products such as Qubes OS, Star Lab Crucible, & OpenXT to build products with vastly reduced memory footprints and attack surface more easily. In addition, the release enables cloud and hosting providers which do not offer support for PV guests to deploy HVM/PVH only hypervisors which in turn, increases security.
QEMU Deprivilege (DM_RESTRICT): The Xen 4.9 – 4.11 releases laid the groundwork for the QEMU Deprivilege, limiting the impact of security vulnerabilities that originate QEMU. In Xen 4.12, this feature has been vastly improved. The majority of restrictions and features have been implemented, improving security and readiness for wide-scale testing. Support for VM migration has also been added and defense-in-depth techniques using chroot, RLIMITs, and Linux namespaces which are used to protect against privilege escalations from QEMU to Xen and VM’s.
Argo – Hypervisor-Mediated data eXchange: Argo is a new inter-domain communication mechanism that is designed for security, safety and mixed-criticality systems with isolation properties that go beyond those of existing inter-domain communication mechanisms. Argo is designed to be robust and simple to use correctly, securely and safely. In addition, Argo meets requirements for performance isolation between domains, to prevent negative performance impact from malicious or disruptive activity of other domains, or even other VCPUs of the same domain. It follows Multiple Independent Levels of Security/Safety (MILS) architecture foundational principles. Argo provides Xen hypervisor primitives to transmit data between VMs, by performing data copies into receive memory rings registered by domains. It does not require memory sharing between VMs and does not use grant tables or Xenstore.
Improvements to Virtual Machine Introspection: The VMI subsystem which allows detection of 0-day vulnerabilities has seen many functional and performance improvements. Altp2m (see https://xenproject.org/tag/alt2pm/) and Intel #VE/VMFUNC support within the subsystem have been tuned and hardened. These two technologies reduce the performance overhead of Virtual Machine Introspection by 5% to 20% depending on workload.

X86 ARCHITECTURAL RENEWAL:

The new Xen 4.12 features renew how x86 architecture support is implemented in Xen, a multi-year effort that is nearing completion.
Credit 2 Scheduler: The Credit2 scheduler is now the Xen Project default scheduler. This Credit2 scheduler represents several years worth of effort to create the next-generation scheduler for Xen. It is designed specifically for performance of latency-sensitive workloads, as well as scalability and predictability.
PVH Support: Grub2 boot support has been added to Xen and Grub2. These additions enable users to boot any PVH guest kernel via the grub menu. The updates to PHV also improves its stability.
PVH Dom0: PVH Dom0 support has now been upgraded from experimental to tech preview. This upgrade, exclusive to Intel Hardware, resolves various bugs and features several improvements such as the new dom0-iommu=map-reserved option which can be used to work around broken firmware when using a PVH Dom0. Support for migrating domUs from a PVH dom0 has also been included.

EMBEDDED/AUTOMOTIVE:

The Project is working to make Xen more easily safety certifiable targeting embedded and automotive use-cases. These new upgrades will increase the viability of Xen for use in mixed-criticality systems.
Dom0less VMs for statically partitioned systems: The new Xen 4.12 upgrade makes it possible to create and boot Arm VMs from Device Tree immediately after starting Xen. In traditional Xen environments, VMs can only be started after Dom0 kernel, user space and the toolstack are up and running. The upgrade decreases boot time by more than 90%. Dom0less VMs extend the usage of Xen to statically partitioned mixed-criticality systems. Xen is planning on extending the concept of Dom0less in subsequent releases to allow building Xen Systems entirely without a Dom0. This, in turn, will reduce the cost of safety certification significantly.
Tiny Arm Configurations: The Xen 4.12 upgrade allows users to build a tiny Arm configuration with less than 50 KSLOC, which in turn reduces the cost of safety certification for Xen based systems. This new functionality allows building Xen variants for specific hardware such as Renesas RCar 3 and Xilinx Ultrascale+ MPSoC with a minimal set of drivers and features that are needed for mixed-criticality systems.
Additional Technical Features
The new Xen 4.12 upgrade also includes improved IOMMU mapping code, which is designed to significantly improve the startup times of AMD EPYC based systems.
The upgrade also features Automatic Dom0 Sizing which allows the setting of Dom0 memory size as a percentage of host memory (e.g. 10%) or with an offset (e.g. 1G+10%).

[close]

http://www.xen.org

[SiLæncer]

Release Notes -> https://wiki.xenproject.org/wiki/Xen_Project_4.13_Release_Notes

http://www.xen.org