Open Source im professionellen Einsatz

Xen 4.7 erlaubt weitgehendes Live-Patching

27.06.2016

Bereits letzte Woche erschien Xen 4.7. Der Hypervisor erlaubt nun Live-Patching weitgehend ohne Neustarts, für schlanke Setups lassen sich zudem beim Kompilieren Features entfernen.

433

Das Live-Patching ermöglicht es Xen-Betreibern vor allem, viele der Sicherheitsupdates einzuspielen, ohne Ausfälle einplanen zu müssen. Viele heißt jedoch, nicht alle. Denn das Xen-Projekt hat Version 1 der eigenen Live-Patching-Spezifikation implementiert, mit deren Hilfe sich 90 Prozent der Sicherheits-Patches im Betrieb einpflegen lassen.

Kconfig soll sich insbesondere im Bereich Security, Embedded und IoT nützlich machen. Die Technologie erlaubt es, beim Kompilieren Features zu entfernen, um eine leichtgewichtigen Hypervisor zu erhalten. Der soll dank einer geringeren Zahl an Funktionen auch eine geringere Angriffsfläche bieten.

Das Virtual Machine Introspection Subsystem (VMI), eingeführt mit Xen 4.5, haben die Programmierer in Sachen Performance, Skalierbarkeit und Robustheit verbessert, auch das Interface wurde optimiert. Unter anderem macht die Enterprise-Security-Lösung Bitdefender Hypervisor Introspection Gebrauch von der Funktion.

Zugleich hat das Projekt die Fundamente gelegt, um Neustarts von Dom0 künftig besser zu verkraften. Dies sei bislang ein Single Point of Failure. Ab Version 4.7 ist es leichter, für den Xenstored-Daemon Stub Domains anzulegen. Diese Domains laufen in einer per Sandbox abgesicherten VM, die besser mit Neustarts der Dom0 zurecht kommt. Dies sei ein Schritt auf dem Weg zu einer sichereren und robusteren Architektur.

Auch die Live Migration funktioniere nun besser: CPU ID Levelling erlaube es, VMs zwischen einer noch größeren Zahl nicht-identischer Hosts umzuziehen als es bislang der Fall war. Der Colo-Manager (Coarse-grained Lock-Stepping) ist in Version 4.7 zwar experimentell, aber vollständig integriert und ermöglicht eine bessere Performance beim Checkpointing. Die Colo Block Replication und Proxy Components würden momentan noch von der Community geprüft, heißt es in dem Blogbeitrag. Beide sind Komponenten von Qemu und stehen bis zur vollständigen und offiziellen Integration in Qemu als Out-of-Tree-Add-ons für Xen bereit.

Des Weiteren ermöglicht es Xen 4.7, Paravirtualization-Domains (PV) im Terabyte-Bereich anzulegen, die 512 GByte-Restriktion für Gäste gilt nicht mehr. Das komme vor allem sehr speicher- und rechenintensiven Workloads zugute. Der Credit-2-Scheduler rückt weiter in Richtung Produktionsreife, und beschleunigt die Xen-Performance insbesondere im Zusammenhang mit Hyperthreading.

RTDS, ein Echtzeit-CPU-Scheduler, garantiert CPU-Kapazitäten für Gast-VMs auf SMP-Hosts. Er wurde auf ein Event-getriebenes Modell umgestellt und lässt sich zudem feingranularer kontrollieren. Über ein XL Kommandozeilen-Interface verwaltet der Admin nun PVUSB-Geräte für paravirtualisierte Gastsysteme. USB-Laufwerke und Qemu-Festplatten-Backends ("drdb", "iscsi") lassen sich nun per Hotplug mit Xen verbinden. Das bedeutet: User müssen VMs dafür nicht mehr neu starten.

Neben den genannten zählt die Ankündigung auch neue Features spezifisch für ARM- und Intel-Architekturen auf, das Projektwiki bietet mehr Informationen. Herunterladen lässt sich Xen 4.7 über den Downloadbereich der Webseite.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.