Материалы по тегу: ядро

21.09.2021 [22:10], Андрей Галадей

Модуль OpenVPN DCO для ядра Linux повысит производительность VPN

Разработчики OpenVPN представили новый модуль ядра Linux, который должен решить одну из проблем виртуальных частных сетей — низкую скорость соединения. Модуль называется ovpn-dco и пока что относится к экспериментальным решениям, однако стабильность уже доведена до уровня, который позволяет использовать его в работе сервиса OpenVPN Cloud.

Главным нововведением модуля стал перенос всех операций в пространство ядра. Это касается шифрования, обработки пакетов и управления каналом связи. Ранее эти операции выполнялись в пространстве пользователя, что повышало накладные расходы. Как отмечается, именно эти задачи сильнее всего влияют на производительность VPN.

Отмечается, что перенос операций в пространство ядра позволит также напрямую обращаться к низкоуровневым API, что также добавит скорости и снизит задержки при передаче данных. На данный момент результаты тестирования выглядят так:

Как отмечается, сейчас система находится на этапе бета-тестирования, а сервер Linux OpenVPN с модулем DCO доступен для разработчиков. Пока не сообщается, когда новое решение добавят в основную ветку ядра, однако появление такой возможности позволит ускорить работу защищённых сетей, что может быть важно для различных сфер деятельности.

Постоянный URL: http://servernews.ru/1049551
02.09.2021 [20:28], Андрей Галадей

С выходом Linux 5.15 скорость загрузки ядра на мейнфреймах и сверхкрупных кластерах IBM вырастет шестикратно

Ресурс Phoronix обратил внимание на любопытный патч для ядра Linux 5.15, который исправляет проблему длительной загрузки Linux на больших мейнфреймах и сверхкрупных кластерах на базе оборудования IBM. На это уходило порядка 30 минут и больше. Теперь такие системы будут загружаться примерно за 5 минут. Правда, без учёта инициализации самого железа, которая в данном случае сама по себе может длиться десятки минут.

Изменения в ядре включают в себя улучшения производительности Kernfs для функций, используемых, в частности, sysfs. Суть в том, что такие системы оснащены сотнями процессоров и десятками терабайт RAM, а память обрабатывается блоками по 256 Мбайт. Из-за этого ранее нужно было очень долго ждать, пока ядро «прожует» всю память. Причём для этого даже требовалось принудительно увеличивать время тайм-аута.

fool.com

После выхода обновления Linux 5.15 операции, которые ранее выполнялись последовательно, будут делаться параллельно + были произведены оптимизации кеширования этих процессов. Всё это позволит увеличить скорость загрузки системы примерно в 6 раз. А поскольку подобные системы обычно используются для выполнения бизнес-критичных задач, для которых даже одна лишняя минута простоя обходится в круглую сумму, ускорение будет совсем нелишним.

Постоянный URL: http://servernews.ru/1048179
31.08.2021 [15:11], Андрей Галадей

Вышел релиз ядра Linux 5.14 с поддержкой нового «железа»

Линус Торвальдс (Linus Torvalds), как и ожидалось, спустя несколько дней после 30-летнего юбилея ядра Linux выпустил стабильное обновление под номером 5.14. В этой сборке появились новые функции, расширилась поддержка оборудования и появились другие улучшения.

В числе важных изменений отметим удаление старых драйверов для накопителей с интерфейсом IDE. Теперь обработкой займётся подсистема libata, которая обеспечивает полную поддержку старого оборудования. В целом же львиная доля изменений так или иначе касается железа. Порядка 47 % всех обновлений связаны с драйверами устройств, оптимизациями и прочим.

straipsniai.lt

straipsniai.lt

Появилась поддержка новых функций для Intel Alder Lake, AMD Yellow Carp и Beige Goby, AMD SmartShift и Raspberry Pi 400. Отдельно можно отметить включение поддержки виртуального графического адаптера Hyper-V, а также драйвера simpledrm, который позволяет организовать вывод графики на ранних стадиях загрузку. Помимо этого, расширилась поддержка устройств с интерфейсом USB4.

Также добавлены драйверы для целого ряда звуковых карт, а для USB-аудио снижена задержка инициализации вывода звука. Переработке подверглись различные и аспекты поддерживаемых файловых систем. К примеру, в Btrfs улучшилась производительность, а exFAT теперь учитывает особенности томов, формируемых некоторыми цифровыми камерами. Изменения получили также ext4, XFS, F2FS.

Продолжается и внедрение MPTCP, а также новых возможностей для работы с сокетами. Также были доработаны некоторые механизмы cgroup, отключена поддержка Intel TSX, удалён драйвер raw и начата работа над безопасностью BPF-подпрограмм, которые в будущем обзаведутся цифровой подписью. Помимо этого, появились улучшения для работы с памятью и виртуальными машинами (много изменений в virtio-подсистемах).

Постоянный URL: http://servernews.ru/1047960
13.08.2021 [15:34], Андрей Галадей

В рамках Linux Foundation сформирована организация eBPF Foundation

Одним из наиболее интересных нововведений в ядре Linux за последние годы стало появление подсистемы eBPF, которая позволяет безопасно запускать код в «песочницах» внутри ядра. Для продвижения использования eBPF было решено сформировать eBPF Foundation в рамках Linux Foundation. Первыми участниками стали Microsoft, Facebook, Netflix, Google и Isovalent. Помимо доработок под Linux, Microsoft привнесла первичную поддержку eBPF и в Windows.

Как отмечает Microsoft, eBPF кардинально меняет возможности проектирования операционных систем и инфраструктурных сервисов, поскольку «перекидывает мостик» между ядром и пользовательским пространством. Это реализовано за счёт внутриядерного интерпретатора, которому можно отправлять код из пространства пользователя и таким образом на лету менять поведение системы, не трогая структуру самого ядра.

Кроме того, eBPF работает с нативной производительностью, поскольку интерпретатор поддерживает JIT-компиляцию. Основными областями применения eBPF являются как традиционные мониторинг, отладка или профилирование, так и достаточно глубокое вмешательство в работу подсистем ядра. Впрочем, сейчас eBPF чаще всего используется для ускорения сложных сетевых операций.

Постоянный URL: http://servernews.ru/1046630
11.08.2021 [20:11], Андрей Галадей

AMD EPYC вслед за Intel Xeon получат поддержку до 4,5 Пбайт памяти

Будущие процессоры AMD, в том числе, вероятно, EPYC 7004 (Genoa), будут поддерживать 5-уровневую подкачку страниц памяти (5-level paging). Эта технология предназначена для увеличения виртуального и физического адресного пространства в системах x86-64: для виртуальной памяти лимит увеличится с 256 ТиБ до 128 ПиБ, а для физической адресации — с 64 ТиБ до 4 ПиБ (4,5036 Пбайт). На соответствующие патчи для KVM обратил внимание Phoronix.

Переход на новую систему создавать серверы с действительно огромным объёмом памяти. При этом обратной стороной такого подхода является увеличение времени, требуемого на обход таблиц со страницами. Однако на практике это можно компенсировать оптимизацией программного обеспечения.

Bellezzasolo/WikiPedia

Bellezzasolo/WikiPedia

Intel начала работу над поддержкой этой технологии в Linux ещё 5 лет назад, однако в «железе» она появилась только в микроархитектуре Ice Lake. Она доступна, начиная с ядра Linux 4.14, а в Linux 5.5 она уже включена по умолчанию для поддерживаемых процессорах. C точки зрения ядра реализация AMD должна быть очень похожа на Intel, поскольку она задействует уже существующие механизмы.

При этом пока неясно, когда именно стоит ожидать появления новых патчей в основной ветке ядра. Скорее всего, они будут добавлены до релиза EPYC 7004 или вскоре после, как это обычно и происходит у AMD. Что касается практической ценности данного нововведения, то можно предположить, что обе компании постепенно готовятся к появлению систем с CXL. О петабайтах памяти речи пока нет, но десятки терабайт (особенно с SCM вроде 3D XPoint) в будущих системах кажутся вполне реальными.

Постоянный URL: http://servernews.ru/1046478
04.08.2021 [11:20], Андрей Галадей

Google призывает компании выделить больше инженеров для разработки ядра Linux

Несмотря на то, что Linux используется повсеместно, у проекта всё же есть некоторые проблемы. Как сообщается в блоге Google, речь идёт о нехватке персонала для работы с ядром системы, что прямо влияет на безопасность. Давний разработчик ядра Кис Кук (Kees Cook) из Google Security Team сообщил в блоге, что проблема является весьма обширной.

Для ядра каждую неделю поступает около 100 новых исправлений, но не все они успевают пройти тестирование. Поэтому поставщики не всегда используют последние исправления или в некоторых случаях просто пытаются выбрать «важные» (как им кажется) патчи, игнорируя другие. Разумеется, можно и нужно использовать стабильные версии ядер или версии с длительной поддержкой (LTS), которые включают все исправления, но этого зачастую не происходит.

Динамика исправления ошибок в ядре

Динамика исправления ошибок в ядре

При этом конечные пользователи не всегда знают, какие компоненты добавили поставщики, насколько они стабильны и защищены. Эксперт отметил, что около 40% ошибок и уязвимостей исправлялись очень быстро, а другие могли «жить» в ядре годами. Поэтому он призывает нанимать больше инженеров, чтобы они проверяли код ядра, исправляли ошибки до релиза, проводили тестирование и так далее.

Кроме того, по словам Кука, не хватает инженеров в области средств разработки, которые сейчас во многом отделены от ядра. Отмечается, что нужно как минимум ещё 100 специалистов для работы с основной веткой ядра. А поскольку подавляющее большинство инженеров, занятых ею, является сотрудниками сторонних компаний, Кук призывает эти компании нанимать больше специалистов.

Постоянный URL: http://servernews.ru/1045914
03.08.2021 [22:53], Андрей Галадей

WireGuard получит «ядерную» Windows-версию

WireGuard, современная реализация VPN с открытым исходным кодом, уже давно и активно используется в Linux, будучи включённой в основную ветку ядра, а также в BSD-системах. Однако теперь разработчики анонсировали WireGuardNT — порт для ядра Windows. Тестирование уже показало пиковую производительность на уровне 7,5 Гбит/с при использовании Ethernet-подключения. По Wi-Fi скорость составила порядка 600 Мбит/с, что является пределом самого адаптера.

Обычная версия выполняется как традиционное приложение, выполняемое в пространстве пользователя, однако перенос кода на уровень ядра позволит ускорить работу VPN, снизить задержки, улучшить безопасность, а также получить глубокую интеграцию с ОС с использованием всего спектра возможностей ядра и NDIS. Это позволит сделать WireGuard полноценным компонентом Windows.

Изначально планировалось сделать просто порт текущей кодовой базы ядра Linux, но затем он был адаптирован для лучшего соответствия ядру Windows и его API. На данный момент драйвер ядра считается экспериментальным и доступен для Windows 7, 8, 8.1 и 10 на 32- и 64-бит платформах x86 и Arm. О сроках выпуска релизной версии пока ничего не сообщается, однако, похоже, она уже не за горами.

Постоянный URL: http://servernews.ru/1045822
02.08.2021 [14:23], Андрей Галадей

VMware: при использовании Linux 5.13 в ESXi резко падает производительность

Компания VMware обнаружила, что использование ядра Linux 5.13, которое было выпущено чуть больше месяца назад, приводит к серьезному снижению производительности нагрузок, работающих в гипервизоре ESXi. Речь идёт о падении вычислительной производительности до 3 раз и сетевой нагрузки до 40 %.

Проблема, вероятно, заключается в алгоритме работы планировщика по умолчанию. Специалисты VMware выяснили, что ранее планировщик работал с шагом в 15 мс, а теперь — 4 мс, что отражается на ESXi. Судя по всему, новые значения увеличивают число прерываний, что отражается на производительности системы в целом.

tecmint.com

tecmint.com

Тестирование проводилось на ОС RHEL 8.1 в разных конфигурациях: одна виртуальная машина с 8 vCPU и 16 Гбайт памяти и 8 виртуальных машин по 4 vCPU и 8 Гбайт памяти. В комментариях к заметке на Phoronix, рассказывающей о проблеме, также отметили проблемы с сетевым подключением.

Также специалисты обратились к разработчикам ядра, чтобы узнать, почему произошло это изменение и зачем по умолчанию прописали новые параметры. При этом пока что неясно, возникли ли подобные проблемы у других продуктов, пока что сообщений об этом не поступало. А разработчики ядра предполагают, что дело не в нём, а в использованном дистрибутиве или его сервисах.

Постоянный URL: http://servernews.ru/1045723
28.07.2021 [14:41], Андрей Галадей

Micron добавит в ядро Linux поддержку внезапных выключений NVMe SSD

Спецификации стандарта NVMe предусматривают, кроме прочего, режим внезапного выключения накопителя. Это бывает нужно, если отключить накопитель необходимо крайне быстро, например, при сбое питания системы. В настоящее время ядро Linux не использует этот режим, но в Micron разрабатывают патч, который добавит его поддержку в систему.

Phoronix обратил внимание, что несколько дней назад эти исправления были отправлены на рассмотрение. Как отмечается, это может пригодиться в случае, если NVMe-накопитель используется в системе, где есть очень ограниченный по времени или мощности источник резервного питания. Набор исправлений Micron предусматривает поддержку нового режима быстрого, но безопасного отключения. При этом отметим, что это пока ранняя версия, а не релиз, так что появления такой функциональности в ядре стоит подождать.

В техническом плане это выглядит как добавление особого флага в код управления питанием ядра Linux, который укажет на скорое неизбежное отключение питания. В будущем ожидается, что эта возможность появится и для конечных пользователей, однако никаких конкретных сроков пока не называют.

Постоянный URL: http://servernews.ru/1045350
22.07.2021 [17:15], Андрей Галадей

В Linux обнаружена серьёзная дыра, которую почти 7 лет никто не замечал

Компания Qualys обнаружила ряд проблем с ядром Linux и системным менеджером systemd. Как оказалось, там есть две уязвимости, которые позволяют пользователю повысить привилегии до root и выполнить произвольный код, а также привести к краху системы. Для этого используются манипуляции с каталогами.

Эксплойты работают в Ubuntu 20.04/20.10/21.04, Debian 11 и Fedora 34, если те сконфигурированы по умолчанию. Другие дистрибутивы не проверяли, однако, похоже, проблема есть и у них, ведь многие сборки основаны на вышеуказанных дистрибутивах. При этом она проявляется, начиная с версии ядра 3.16, то есть уже порядка 7 лет.

trendmicro.com

trendmicro.com

Исходники эксплойтов пока не опубликованы; они появятся после того, как проблему устранят. В Debian, Ubuntu, Fedora, RHEL, SUSE и Arch соответствующие обновления уже есть. Как отмечается, эксплойту требуется для работы 5 Гбайт памяти. Он монтирует порядка 1 млн вложенных каталогов, чтобы размер файлового пути превысил 1 Гбайт.

Аналогичная проблема есть и в systemd. Если там смонтировать с помощью механизма FUSE каталог, путь которого больше 8 Мбайт, возникает kernel panic. Эту проблему уже устранили в основном репозитории systemd и в ряде популярных дистрибутивов. Интересно, что в systemd 248 эксплойт не работает из-за ошибки в самом менеджере, а сама ошибка появилась ещё в версии 220 в 2015 году.

Постоянный URL: http://servernews.ru/1044894
Система Orphus