Материалы по тегу: гипервизор

09.06.2021 [00:23], Владимир Агапов

Гипервизор SeKVM сделает облачные вычисления безопаснее

Исследователи Колумбийского университета разработали гипервизор SeKVM — решение коммерческого класса на базе KVM с доказаной безопасностью. Для этого они использовали собственный способ проверки гипервизоров, значительно сокращающий трудозатраты. По словам Ронхуи Гу (Ronghui Gu), одного из соавторов, SeKVM станет основой будущих инноваций в области проверки систем и даже приведёт к появлению нового поколения устойчивого к киберугрозам системного ПО.

Проверка безопасности гипервизоров до сих пор считалась достаточно сложной задачей. Взломщики, успешно использующие уязвимости, могут получить неограниченный доступ к данным миллионов клиентов облачных провайдеров «Достаточно одного слабого звена в коде, которое практически невозможно обнаружить с помощью традиционного тестирования, чтобы система стала уязвимой для хакеров», — говорит Гу.

Архитектура SeKVM

В теории ученые могут формально проверить программное обеспечение, чтобы математически доказать, что его код безопасен при любых сценариях работы. Однако большинство проверенных гипервизоров зачастую намного проще своих коммерческих аналогов, поскольку они не ориентированы на практическое применение. Напротив, современные коммерческие гипервизоры редставляют собой огромные куски ПО, часто включающие целое ядро ОС, что может сделать их проверку на первый взгляд неразрешимой задачей.

Например, для проверки 6,5 тыс. строк кода гипервизора CertiKOS потребовалось три человеко-года, а для проверки 9 тыс. строк кода seL4 — 10 человеко-лет. Причём оба были специально разработаны так, чтобы можно было проверить их безопасность. Для сравнения, широко используемый на практике гипервизор KVM с открытым исходным кодом, интегрированный в ядро Linux, имеет более 2 млн строк кода.

Для упрощения задачи ученые из Колумбийского университета разработали новый способ проверки коммерческих гипервизоров — микроверификацию. В этом случае гипервизор разбивается на небольшое ядро и набор недоверенных сервисов, а затем доказывает безопасность только ядра. Если оно не имеет уязвимостей, и является посредником во всех взаимодействиях гипервизора с виртуальными машинами, то в этом случае гипервизор тоже считается безопасным.

На основе микроверификации ученые разработали программное обеспечение под названием MicroV для проверки крупных гипервизоров и применили его для создания безопасного ядра SeKVM длиной всего 3800 строк кода, на проверку которого потребовалось порядка двух человеко-лет.

В реальных нагрузках SeKVM работает так же, как и обычный KVM, теряя не более 10% производительности на родном оборудовании, но обеспечивая при этом более высокий уровень безопасности. В будущем на основе данной концепции планируется создать средства защиты и в других областях — от банковских систем и устройств IoT до автономных транспортных средств и криптовалют.

Постоянный URL: http://servernews.ru/1041552
05.06.2021 [13:18], Андрей Галадей

«Аэродиск» предоставит бесплатный доступ к своему гипервизору АИСТ

Российская компания «Аэродиск», которая занимается разработкой систем хранения данных и виртуализации, как сообщает CNews, теперь предлагает клиентам бесплатный доступ к дистрибутиву АЭРОДИСК АИСТ. Это первый отечественный гипервизор, который работает «из коробки», поддерживает аппаратную и контейнерную виртуализацию, а также распределённую систему управления.

Новинка, по словам разработчиков, подходит для объединения ИТ-инфраструктуры и работы с частными, публичными и гибридными облаками. Она также позволяет миграцию из сторонних систем. Как утверждается, система вполне может заменить западные аналоги, причём функционально она им не уступает. Как отмечается, «Аэродиск» предлагает лицензию АЭРОДИСК АИСТ на три узла, а также техническую поддержку в течение квартала в подарок.

Постоянный URL: http://servernews.ru/1041289
18.02.2021 [01:17], Андрей Галадей

Патчи Microsoft позволят использовать ядро Linux 5.12 в качестве корневого раздела Hyper-V

На днях в релиз вышла версия ядра Linux, 5.11, а компания Microsoft уже предоставила патчи для следующей сборки — 5.12. И эти обновления добавляют возможность загрузки ядра Linux в качестве корневого раздела (root partition) гипервизора Hyper-V. Корневой раздел в данном случае аналогичен домену dom0 в Xen.

Несмотря на то, что Linux уже досттоачно хорошо работает в Hyper-V, архитектура гипервизора требует наличия как минимум одного корневонр раздела с Windows. Этот корневой раздел имеет прямой доступ к оборудованию и создает дочерние разделы, на которых работают гостевые операционные системы, такие как Windows или Linux. Корневой раздел имеет диспетчер памяти, API-интерфейсы для управления, а также предоставляет виртуальные устройства для ввода-вывода, управления дисками и так далее.

Поддержка Linux в качестве корневого раздела Hyper-V не только делает весь стек виртуализации от Microsoft более универсальным, но и потенциально позволит получить некоторые улучшение в производительности и безопасности. Для компании это важно, так как, к примеру, гипервизор Azure базируется именно на Windows Hyper-V. А Linux в этом облаке давно переплюнул Windows Server.

Постоянный URL: http://servernews.ru/1032873
24.09.2020 [16:32], Алексей Степин

MemVerge представила платформу виртуализации памяти Memory Machine

Над всеми современными компьютерными архитектурами довлеет одно проклятие — разделение всех ресурсов памяти на быструю (оперативную) и медленную (дисковую). Несмотря на весь прогресс в области микроэлектроники, сам принцип остаётся фундаментальным и по сей день, однако есть и те, кто решается бросить вызов этой системе. Компания MemVerge, летом этого года заявившая о том, что делает ставку на вычисления в памяти (in-memory), официально представила разработанное ей специально для этой цели программное обеспечение под названием Memory Machine.

Модуль Optane DCPMM без радиатора. Виден контроллер и один из чипов Optane

Модуль Optane DCPMM без радиатора. Виден контроллер и один из чипов Optane

Как и все инициативы подобного рода, Memory Machine нуждается в достаточно быстром, но при этом энергонезависимом типе памяти: обычная DRAM не подходит и по цене, и по невозможности надёжно хранить данные. К счастью, сейчас такая «промежуточная» память есть, и это, разумеется, Intel Optane. Успешно доказана возможность Optane дополнять обычную память, и в тех случаях, где объём важнее пропускной способности, такие системы показывают впечатляющие результаты.

Архитектурные устои современных серверов и кластерных систем, однако, приходится преодолевать, и именно с этой целью MemVerge разработала специальную программную прослойку, существенно упрощающую построение комбинированных пулов памяти, сочетающих в себе DRAM и Optane DCPMM (PMEM, Persistent Memory). В основе Memory Machine лежит идея прослойки виртуализации между приложениями и различными API доступа к памяти и хранилищам данных.

Концепция in-memory, реализованная MemVerge. Для связи между узлами кластера используется RDMA over Converged Ethernet

Концепция in-memory, реализованная MemVerge. Для связи между узлами кластера используется RDMA over Converged Ethernet

Благодаря этой прослойке, все имеющиеся сочетания DRAM и Optane DCPMM в пределах сервера или различных узлах кластера представляются, как единое объектное пространство памяти (Distributed Memory Objects), а приложения воспринимают это пространство как обычный объём памяти, с которым можно работать стандартными средствами. Прослойка с точки зрения приложений полностью прозрачна, а значит, приложения не нуждаются в модернизации. Для внедрения вычислений in-memory без модернизации ПО достаточно приобретения Memory Machine Standard Edition.

MemVerge Memory Machine включает в себя удобные средства мониторинга и управления

Но существует и расширенная версия, Memory Machine Advanced Edition, ещё более продвинутая и выводящая идею единого быстрого пространства памяти на новый уровень. Ключевым отличием от стандартной версии можно назвать поддержку ZeroIO, технологии моментальных снимков памяти. Если верить MemVerge, ZeroIO позволяет полностью отказаться от операций ввода-вывода с традиционными блочными накопителями (SSD и HDD) и хранить всё в пределах PMEM.

Загрузка объемных рабочих сценариев (сотни гигабайт или единицы терабайт) при этом занимает секунды против минут и часов при традиционном подходе. Поддерживается практически мгновенное клонирование объёмных баз данных, что обязательно порадует разработчиков. Также реализована функция Time Travel, позволяющая быстро откатываться к любому из сделанных ранее снимков.

Memory Machine состоит из гипервизора памяти и надстроек, работающих непосредственно с приложениями

Memory Machine состоит из гипервизора памяти и надстроек, работающих непосредственно с приложениями

Разумеется, Memory Machine представляет собой весьма непростое программное обеспечение. При всех своих достоинствах, память Optane DCPMM всё же уступает традиционным модулям DRAM DIMM в производительности. Но Memory Machine дирижирует имеющимися в её распоряжении ресурсами интеллектуально, перемещая наиболее часто используемые, «горячие» данные в область DRAM для максимизации производительности. Общий объём DRAM и Optane при этом всё равно используется на 100%.

В основе Memory Machine лежит гипервизор на базе Linux, он-то и занимается виртуализацией всех ресурсов памяти в единый пул. Из этого пула приложения могут забирать необходимые ресурсы, а надстройка Memory Machine следит за тем, чтобы производительность была максимальной и поддерживает качество обслуживания (QoS). А в случае Advanced Edition, эта надстройка отвечает и за функции ZeroIO.

Новое ПО поддерживает зонирование памяти (tiering), снятие снэпшотов и репликацию в реальном времени

Новое ПО поддерживает зонирование памяти (tiering), снятие снэпшотов и репликацию в реальном времени

Обе редакции MemVerge Memory Machine можно заказать уже сейчас. Список поддерживающего режим выполнения in-memory программного обеспечения достаточно широк и включает в себя такие наименования как Autodesk Maya, TensorFlow, PyTorch, MySQL, MongoDB, KVM и ряд других. Список будет постоянно пополняться, также компания принимает отдельные заказы на обеспечение поддержки пользовательского приложения.

Аппаратные ограничения проистекают из самой природы Memory Machine: к сожалению, серверы на базе AMD EPYC не подходят, как не поддерживающие Optane DPCMM. Но подойдёт любой сервер с процессорами Intel Xeon Scalable второго поколения, поддерживающими такой тип модулей памяти. Поддерживаются гипервизоры VMware ESXi и QEMU-KVM, операционные системы CentOS и Red Hat Enterprise Linux, а также платформы контейнеризации на базе Kubernetes.

Напомним, что на самих платформах Intel память Optane DCPMM тоже может работать в режиме прозрачного расширения объёма DRAM. А на более ранних платформах с Xeon Scalable первого поколения доступна технология IMDT, которая позволяет расширить объём видимой в системе оперативной памяти за счёт NVMe-накопителей (в первую очередь, на базе той же Optane).

Постоянный URL: http://servernews.ru/1021442
30.07.2020 [22:00], Алексей Степин

Bitdefender выложила в open source технологию интроспекции гипервизора

Виртуализация очень популярна, поскольку позволяет более полно использовать аппаратные ресурсы. Но использование виртуализации может затруднять поиск вредоносного ПО, могущего «окопаться» в гостевой системе. Компания Bitdefender, разработавшая совместно с проектом Xen технологию интроспекции гипервизора, объявила о том, что делает эту технологию открытой и доступной всем.

Проект стартовал ещё в 2015 году, когда в версии 4.6 популярного открытого гипервизора Xen была впервые представлена библиотека libbdvmi. Если не углубляться в технические подробности, проблема заключается в том, что виртуальные машины не слишком-то дружат с программным обеспечением, ответственным за поиск зловредного кода. Внутри гостевой виртуальной машины такой код, содержащий методы защиты от перехвата и обнаружения может уйти от «преследования», а извне получить доступ к принадлежащей ВМ оперативной памяти не так-то просто.

Однако «гостевая интроспекция» (Hypervisor Introspection, HVI) позволяет это сделать, а значит, и запускать антивирусное ПО «снаружи» ВМ. Представленная проектом Xen libbdvmi позволила делать это без существенных затрат аппаратных ресурсов. В дальнейшем эту технологию коммерциализировали совместно компании Bitdefender и Citrix, разработчик коммерческой версии Xen. Она получила название Bitdefender Hypervisor Introspection. Но в настоящее время наблюдается тенденция к переводу сложных программных проектов в «открытое» состояние, от чего выигрывают все, и в первую очередь конечные пользователи.

Гипервизор не может быть атакован со стороны виртуальной машины, но с его стороны можно осуществлять инспекцию памяти

Гипервизор не может быть атакован со стороны виртуальной машины, но с помощью HVI с его стороны можно осуществлять инспекцию памяти

Владельцы технологии HVI приняли решение об открытии кода libbdvmi, а кроме того, Bitdefender открыла свой «тонкий гипервизор» Napoca проекту Xen. Сочетание libbdvmi и Napoca, виртуализирующего только ЦП и память, но не прочее «железо», позволяет проводить интроспекцию в системах, не использующих полномасштабных гипервизоров. Как полагает Bitdefender, за счёт открытия кода сочетание вышеупомянутых технологий станет по-настоящему популярным и выйдет за рамки проектов Bitdefender, связанных с ИТ-безопасностью.

Напомним, что в проекте Xen задействовано семь команд разработчиков. С открытием HVI и Napoca к ним, скорее всего, добавится восьмая, занятая внедрением данных технологий. У libbdvmi есть собственный репозиторий, работает технология с версиями Xen от 4.6 и выше.

Постоянный URL: http://servernews.ru/1017087
27.07.2020 [13:35], Юрий Поздеев

Релиз гипервизора Xen 4.14: поддержка Hyper-V и Azure, Raspberry Pi 4 и AMD EPYC Milan

Xen выпустил новую версию 4.14 своего гипервизора с открытым исходным кодом. Одной из главноых особенностей данного релиза стала официальная поддержка работы в качестве гостевой виртуальной машины в Microsoft Hyper-V и, соответственно, в облаке Azure. 

Это изменение означает, что теперь стало возможным управлять виртуальными машинами Xen в Azure с помощью привычных инструментов. Данная возможность может пригодиться при построении гибридного облака, либо при развертывании Xen в разных облаках.

Новая версия Xen также будет поддерживать будущие версии серверных процессоров AMD EPYC под кодовым именем Milan, что позволяет получить значительную экономию при внедрении виртуализации. Кроме того, в Xen 4.14 появилась поддержка Raspberry Pi 4, в том числе моделей с 4 и 8 Гбайт памяти, которую давно ждали многие пользователи. А в будущем планируется портирование на NVIDIA Jetson Nano.

Еще одним нововведением является улучшение обновления в реальном времени, когда пользователю доставляется набор патчей в нужной последовательности, чтобы обновление прошло успешно.

Были повышены удобство и безопасность благодаря Linux stub domains, а также появлению легковесных ВМ (в основном для анализа и экспериментов). Hypervisor FS — еще одно нововведение в Xen 4.14, которое позволяет структурированным образом представлять внутренние данные без необходимости предварительного анализа журнала данных или написания дополнительного кода.

В будущих версиях Xen заявлены следующие функции:

  • Secret-free Xen — поскольку атаки из виртуальных машин на общую область памяти по-прежнему представляют опасность, secret-free будет препятствовать доступу к общей памяти гипервизора, что позволит снизить риски и повысить производительность работы виртуальных машин;
  • Поддержка Golang — новая функция, которая облегчает разработку пользовательских приложений на языке Go;
  • Живая миграция без необходимости внесения изменений в гостевые виртуальные машины (это позволит избежать ситуации с неработающими драйверами, либо их совместимостью при переносе виртуальной машины с одного хоста на другой).

Как мы видим, список нововведений получился достаточно объемным, что является серьезной причиной обновиться до актуальной версии Xen, если вы еще этого не сделали. Новый релиз уже доступен на GitHub.

Постоянный URL: http://servernews.ru/1016662
28.06.2020 [09:40], Владимир Мироненко

Citrix выпустила LTS-релиз гипервизора с долгосрочной поддержкой Hypervisor 8.2

Примерно в 2013 году Citrix прекратила состязание с VMware и Microsoft на рынке виртуализации серверов, в связи с чем снизила активность в разработке гипервизора XenServer и задействовала его в качестве основы для своих собственных продуктов, особенно для виртуальных рабочих столов, но не в качестве основы частного облака.

XenServer — решение для виртуализации, основанное на платформе Xen Project с открытым исходным кодом, которая, обновляется довольно часто, как и все подобные продукты. В феврале 2017 года Citrix выпустила свой первый гипервизор с долгосрочной поддержкой (Long Term Service Release, LTSR) — XenServer 7.1.

Спустя три года компания анонсировала новый гипервизор с долгосрочной поддержкой, получивший название Citrix Hypervisor 8.2.  В новой версии гипервизора учтены все обновления, сделанные с момента выхода XenServer 7.1, включая поддержку хостов с 6 Тбайт оперативной памяти и до 448 логических процессоров. Протокол TLS 1.2 стал обязательным для сетевого трафика между гипервизором и внешним миром, заменив менее защищённые TLS 1.0 и 1.1.

Ещё одним заметным изменением стал отказ от поддержки Windows 7 и Windows Server 2008 в качестве гостевых операционных систем. Вместе с тем сохранилась поддержка более поздних версий Windows Server, Windows 8.1, Windows 10, RHEL, SUSE, CentOS, Oracle Linux, Debian, Ubuntu, CoreOS, Scientific Linux и даже KeoKylin Linux. Полный список обновлений можно найти по этой ссылке.

Новая версия гипервизора будет поддерживаться компанией в течение 5 лет с опцией продления ещё на 5 лет.

Постоянный URL: http://servernews.ru/1014431
09.02.2020 [20:19], Андрей Галадей

Cloud-Hypervisor 0.5 от Intel теперь поддерживает контейнеры Kata

Intel продолжает развивать направление open source и облачные технологии. На GitHub представлена новая версия облачного гипервизора Cloud-Hypervisor 0.5. Код системы написан на Rust, а в саму систему теперь интегрировали полную поддержку контейнеров Kata.

Эти контейнеры являются развитием технологий Clear Containers от Intel и RunV от Hyper. Kata позиционируются в качестве легковесной системы виртуализации с высокой производительностью и защищённостью контейнеров. 

pixabay.com

pixabay.com

Из особенностей Kata отметим поддержку Intel VT (Virtualization Technology), а также совместимость со стандартами OCI (Open Containers Initiative).

В Cloud-Hypervisor 0.5 также добавлена поддержка динамического изменения конфигурации виртуальных машин, многопоточной паравиртуализации, а также новая система управления прерываниями. Облачный гипервизор поддерживает только процессорную архитектуру x86-64 и работает лишь с тремя дистрибутивами Linux:

  • Intel Clear Linux;
  • Ubuntu Bionic;
  • Ubuntu Eoan.

Работа с Windows-гостями и ARM64-хостами, как ожидается, будет реализована в будущем. Гипервизор позволяет загружать облачные образы дисков, содержащих все необходимые компоненты для запуска. Он поддерживает систему виртуализации KVM и работу с ELF-образами ядра.

Отметим, что проект пока находится на очень ранней стадии и не рекомендуется для постоянного использования. Среди основных целей проекта заявлены высокая скорость работы, низкие задержки, малые требования к памяти, минимизация возможности атак и так далее. 

Постоянный URL: http://servernews.ru/1003294
31.01.2020 [23:50], Андрей Галадей

Гипервизор KVM получил защиту от атак Spectre-V1/L1TF

Продолжается раскрытие подробностей о ядре Linux 5.6. В гипервизоре KVM появилась защита от комбинированной атаки Spectre-V1/L1TF. Подобная защита уже реализована в Xen, там недавно выпустили патч XSA-289.

Как отмечается, атаки Spectre V1 и L1TF могут использоваться вместе, чтобы упростить и значительно ускорить сбор данных из кеш-памяти процессора.  При этом важно, что атака использует многопоточность Hyper Threading, то есть под угрозой только процессоры Intel.

wikipedia.org

На данный момент работа продолжается, поскольку ещё не все бреши закрыты полностью, ведь многие процессоры Intel попросту не имеют аппаратной защиты, а программные «заплатки» реализуют её лишь частично. В числе доработок запланировано значительное переписывание кода ядра KVM, хотя точных сроков пока никто не называет. Это, в частности, связано и с тем, что наслоение патчей от уязвимостей негативно сказывается на итоговой производительности, а сам код излишне усложняется. 

Отметим, что это не единственная уязвимость в «синих» чипах. Недавно сообщалось об уязвимости CacheOut с официальным обозначением CVE-2020-0549. Это атака на кеш, которая позволяет получить конкретные данные из памяти, а не «цифровой мусор» и разрозненные элементы. На данный момент нет ни патча, ни обновления микрокода для решения этой проблемы.

Постоянный URL: http://servernews.ru/1002727
31.01.2020 [07:31], Андрей Галадей

Вышел релиз-кандидат гипервизора Bareflank 2.0: запуск из UEFI и упрощение API

Состоялся релиз гипервизора Bareflank версии 2.0, который поддерживает Linux, Windows и UEFI на 64-бит платформах Intel с использованием VT-x. В будущем ожидается поддержка OS X, а также возможность запуска на 64-бит системах AMD и ARM.

Система отличается простотой развёртывания и использования. Благодаря модульной структуре, Bareflank может быть легко расширен для создания лёгкой системы виртуализации. Это позволяет запускать приложения и сервисы в изолированном режиме, что улучшает безопасность.

youtube.com

В версии Bareflank 2.0, наконец, появилась возможность запускать гипервизор прямо из UEFI, что даёт возможность выполнять ОС уже в виртуальной машине практически сразу после загрузки машины. Ускорена работа гипервизора, благодаря новой системе сборки для компиляции, новому менеджеру памяти и упрощению кода в целом. 

Скачать исходники можно на GitHub. Bareflank позиционируется как открытая основа для прототипирования и создания кастомных гипервизоров. Сами разработчики на основе первой версии проекта развивают Boxy Hypervisor.

Постоянный URL: http://servernews.ru/1002651
Система Orphus