The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Microsoft открыл код гипервизора OpenVMM и платформы паравиртуализации OpenHCL

18.10.2024 08:56

Компания Microsoft объявила об открытии исходных текстов слоя для обеспечения паравиртуализации OpenHCL и монитора виртуальных машин OpenVMM, специально развиваемого для организации работы OpenHCL. Код OpenVMM и OpenHCL написан на языке Rust и распространяется под лицензией MIT. OpenVMM относится к гипервизорам второго уровня, работающим в одном кольце защиты с ядром операционной системы по аналогии с такими продуктами, как VirtualBox и VMware Workstation. Поддерживается работа поверх хост-систем на базе Linux (x86_64), Windows (x86_64, Aarch64) и macOS (x86_64, Aarch64), используя предоставляемые данными ОС API виртуализации KVM, SHV (Microsoft Hypervisor), WHP (Windows Hypervisor Platform) и Hypervisor.framework.

Среди возможностей, поддерживаемых в OpenVMM:

  • Загрузка в режимах UEFI и BIOS, прямая загрузка ядра Linux;
  • Поддержка паравиртуализации на базе драйверов Virtio (virtio-fs, virtio-9p, virtio-net, virtio-pmem)
  • Поддержка паравиртуализации на базе VMBus (storvsp, netvsp, vpci, framebuffer);
  • Эмуляция vTPM, NVMe, UART, чипсета i440BX + PIIX4, IDE HDD, PCI и VGA;
  • Бэкенды для проброса графики, устройств ввода, консоли, хранилищ и сетевого доступа;
  • Управление через интерфейс командной строки, интерактивную консоль, gRPC и ttrpc.

OpenHCL позиционируется как окружение с компонентами паравиртуализации (паравизор), работающее поверх гипервизора OpenVMM. Ключевой особенностью систем виртуализации на базе OpenVMM и OpenHCL является то, что компоненты для паравиртуализации выполняются не на стороне хост-системы, а в одной виртуальной машине с гостевой системой. Изоляции слоя паравиртуализации от гостевой операционной системы при этом обеспечивается силами гипервизора второго уровня OpenVMM. OpenHCL при таком применении может рассматриваться как виртуальная прошивка, выполняемая на более высоком уровне привилегий, чем запускаемая в гостевом окружении операционная система.

Разделение гостевой системы и компонентов OpenHCL осуществляется с использованием концепции виртуальных уровней доверия (VTL, Virtual Trust Level), для реализации которых могут использоваться как программные механизмы, так и аппаратные технологии, такие как Intel TDX (Trust Domain Extensions), AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) и ARM CCA (Confidential Compute Architecture). Для выполнения компонентов OpenHCL используется урезанная сборка ядра Linux, включающая только минимально необходимые компоненты, необходимые для работы OpenVMM.

OpenHCL может работать на платформах x86-64 и ARM64, и поддерживает расширения Intel TDX, AMD SEV-SNP и ARM CCA для дополнительной изоляции. В состав OpenHCL входит набор сервисов, драйверов и эмуляторов, применяемых для организации доступа к оборудованию, обеспечения работы виртуальных устройств на стороне гостевой системы и эмуляции аппаратных устройств (например, может эмулироваться чип для хранения криптографических ключей - vTPM).

Для трансляции доступа к оборудованию на стороне гостевой системы применяются существующие драйверы с поддержкой паравиртуализации или может выполняться прямая привязка устройств к виртуальной машине, что позволяет переносить в окружение на базе OpenHCL существующие гостевые системы без внесения в них изменений. Кроме того, OpenHCL включает компоненты для диагностики и отладки виртуальных машин, выполняемых с использованием расширений для обеспечения конфиденциальных вычислений.

В отличие от уже существующего открытого проекта COCONUT-SVSM (Secure VM Service Module), предоставляющего сервисы и эмулируемые устройства для гостевых систем, выполняемых в конфиденциальных виртуальных машинах (CVM, Confidential Virtual Machine), OpenHCL позволяет использовать в гостевых системах стандартные интерфейсы, в то время как COCONUT-SVSM требует организации специального взаимодействия с SVSM, внесения изменений в гостевую систему и использования отдельных драйверов.

Из применений паравизора OpenHCL упоминаются такие сценарии, как перевод существующих систем на использование аппаратных ускорителей Azure Boost без необходимости внесения изменений в дисковый образ гостевой системы; выполнение имеющихся гостевых систем в виртуальных машинах, обеспечивающих конфиденциальные вычисления (например, на базе Intel TDX и AMD SEV-SNP); организация верифицированной загрузки виртуальных машин, используя режим UEFI Secure Boot и vTPM.

Отдельно отмечается, что проект OpenVMM сфокусирован на использование с OpenHCL и пока не готов для обособленного применения на хост-системах для рабочих внедрений конечными пользователями. Из проблем OpenVMM, мешающих его использованию в хост-окружениях в традиционной контексте, вне связки с OpenHCL, упоминаются: плохое документирование управляющего интерфейса; отсутствие должной оптимизации производительности бэкендов для хранилищ, сети и графики; отсутствие поддержки некоторых драйверов (например, IDE-дисков и PS/2 мыши); нет гарантии стабильности API и функциональности. При этом связка из OpenVMM и OpenHCL уже достигла уровня промышленного внедрения и задействована Microsoft в платформе Azure (Azure Boost SKU) для обеспечения работы более 1.5 млн. виртуальных машин.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Microsoft начал продвижение в ядро Linux компонентов хост-окружения Hyper-V
  3. OpenNews: Microsoft опубликовал дистрибутив Azure Linux 3.0
  4. OpenNews: Инициатива по переработке инструментария для гипервизора Xen на языке Rust
  5. OpenNews: VirtualBox адаптирован для работы поверх гипервизора KVM
  6. OpenNews: Выпуск гипервизора Xen 4.19
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62070-openhcl
Ключевые слова: openhcl, openvmm, hypervisor, virtual, microsoft
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.6, Аноним (6), 11:26, 18/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    А насколько это нужно?
     
     
  • 2.7, Аноним (7), 11:32, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Ну это как virt-manager, только кросплатформенный и на хрусте.
     
  • 2.8, anonymmmeer (?), 11:33, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Матёрый проприетарщик что-то открыл... очевидно, насколько это нужно

    нвидия куду открывать не спишит

     
     
  • 3.13, Аноним (-), 11:37, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Матерый проприетарщик просто хочет, чтобы народ ему доку и дрова для мышки сделал.
    У него уже оно работает и денежки зарабатывает.

    Т.к лицензия правильная - то он может на своих машинах использовать "дополнительные возможности" или продавать их.

     
     
  • 4.38, Аноним (38), 13:23, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Так сделаем же им поддержку мышки под более правильной AGPL.
     
  • 2.9, Аноним (9), 11:33, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Расскажите больше про виртуализации и про эксплойты для сбегания из окружения
     
     
  • 3.12, Аноним (-), 11:35, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Зачем? Тут и так все понятно.
    Просто в поиске на этом сайте пишешь "уязвимость гипервайзер" и получаешь целый список дыреней на любой вкус и цвет.
     
     
  • 4.15, Аноним (9), 11:38, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Гипервизор. Думаю теперь как это можно для себя на локалхосте использовать
     
     
  • 5.20, Аноним (-), 11:43, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Думаю сходу не получится.
    В статье прямо пишется "Отдельно отмечается, что проект OpenVMM сфокусирован на использование с OpenHCL и пока не готов для обособленного применения на хост-системах для рабочих внедрений конечными пользователями."

    Но если вдруго попробуешь - напиши впечатления.

     
     
  • 6.27, Аноним (9), 11:50, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Мне пока надо понимание области знаний виртуализации в целом поднять
     
     
  • 7.32, Аноним (32), 12:07, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Этой виртуализации уже столько придумали что мимо сабжа можно смело проходить мимо он никогда не выстрелит за пределами майков.
     

  • 1.10, Аноним (-), 11:34, 18/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Звучит неплохо.
    Хотя некоторые проблемы печалят типа "плохое документирование", другие веселят "отсутствие поддержки .. драйверов .. PS/2 мыши"
     
     
  • 2.14, IdeaFix (ok), 11:38, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    У меня один коллега уже лет 20 задаётся вопросом зачем нужно что-то кроме vt100 реального или виртуального...
     
     
  • 3.16, Аноним (9), 11:40, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Поддержу вашего коллегу. И человечески позавидую. Диктовать условия своего рабочего места не каждому дозволено
     
  • 3.17, Аноним (-), 11:40, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > У меня один коллега уже лет 20

    Ты его палочкой потыкай... а то может он уже того
    Просто никто не заметил за столько-то лет.

     
     
  • 4.25, IdeaFix (ok), 11:48, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    >> У меня один коллега уже лет 20
    > Ты его палочкой потыкай... а то может он уже того
    > Просто никто не заметил за столько-то лет.

    Да не... он говорит что покинет этот мир вместе с последними 13W3 и AB-Port машинами :)

     
  • 3.19, Аноним (-), 11:41, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Ладно если бы была какая-то Logitech M-MD15L то можно было бы понять, а ps/2 как овна за баней.
    vt100 реальный это шик, а виртуальный.. это как безалкогольное пиво, вроде вкус тот же, но что-то не так.
     
     
  • 4.24, IdeaFix (ok), 11:47, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > Ладно если бы была какая-то Logitech M-MD15L то можно было бы понять,
    > а ps/2 как овна за баней.
    > vt100 реальный это шик, а виртуальный.. это как безалкогольное пиво, вроде вкус
    > тот же, но что-то не так.

    Ну, смигранты обычно любят какой-нибудь Aten, с кучей хвостов ценой как крыло самолёта и различных Ком/Стык\АБ портов :) У нас как раз такое... ибо кохаться со всем что не вга и не усб - такое себе :(

     
  • 3.34, Аноним (34), 12:41, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    ну, лично мне vt100 просто мало.
    для нормальной работы нужно как минимум vt340 (для ReGIS).
     
     
  • 4.36, IdeaFix (ok), 13:02, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > ну, лично мне vt100 просто мало.
    > для нормальной работы нужно как минимум vt340 (для ReGIS).

    vt100 это же тольо один из режимов хорошего aten :)

     

  • 1.18, Аноним (18), 11:40, 18/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Опять бил гейтс пытается захватить рынок свободного по, лучше бы новый клиент написали для виртуалок десктопного применения, за место virt manager и spice gtk.
     
     
  • 2.21, Аноним (9), 11:44, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    А из консольных что есть ? Я для коллеги спрашиваю
     
     
  • 3.29, Аноним (-), 11:53, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Передай коллеге чтобы пользовался гуем, в 21 веке живем.
     
     
  • 4.30, Аноним (9), 11:57, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Там какие-то сложности с оборудованием
     
  • 4.37, Аноним (37), 13:03, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    http://ii.blcat.ru/E10uw5LDmkvbKD8ZGqlr
     
  • 3.35, Аноним (35), 13:01, 18/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    https://github.com/nemuTUI/nemu
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру