LINUX.ORG.RU

Представлен новый гипервизор KSM

 ,


2

2

В рамках нового экспериментального проекта KSM создаётся гипервизор для процессоров Intel с поддержкой VT-x и EPT. Релиз подготовлен для Linux и Windows. Прграмма написана на C и распространяется под лицензией GPLv2. KSM ставит своей основной задачей создание дополнительного уровня защиты для хоста, создавая песочницу для изоляции приложений. Поддерживается вложенная виртуализация, присутствует возможность создания окружений для запуска других гипервизоров. К отличительным особенностям KSM можно отнести обработку исключений #VE процессоров Intel при нарушении EPT (Extended Page Tables), а также применение VMFUNC над EPTP (Extended-Page-Table Pointer). В скором времени ожидается релиз для macOS, поддержка APIC, UEFI, Intel TXT (Trusted Execution Technology), а также AMD-V и NPT

>>> Подробности

★★

Проверено: Shaman007 ()
Последнее исправление: sudopacman (всего исправлений: 1)

Немного паранойи

Стоило АМД выпустить новые неплохие процы (кстати, где они?), как начались какие-то подвижки в сторону интеловского vendor lock-in в Линуксе.

Deleted
()

Осталось понять, кому и зачем этот гипервизор нужен.

King_Carlo ★★★★★
()
Ответ на: комментарий от Deleted

Просто у него ноут/десктоп с интелем, вот и развлекается.

slaykovsky ★★★
()

А зачем это нужно?

Какие это решает проблемы, не решаемые уже существующими средствами виртуализации?

Deleted
()
Ответ на: комментарий от tailgunner

Что такое, KVM не умеет вложенную виртуализацию?

А ведь и действительно ― умеет.

Не зналъ.

Deleted
()
Ответ на: комментарий от Deleted

Если я не ошибаюсь, KVM умеет в качестве вложенного гипервизора запускать ТОЛЬКО другой экземпляр KVM. А тут вроде как декларируется возможность запуска другого гипервайзора. Так что да, может быть интересно.

Тут правда вопрос, насколько глубоко, так сказать, можно во вложенности зайти...

Pinkbyte ★★★★★
()

Он написан с нуля и к Xen/KVM отношения не имеет?..

hobbit ★★★★★
()
Ответ на: комментарий от Pinkbyte

Да KVM может даже запустить Xen...

anonymous
()
Ответ на: комментарий от kvaps

ESXi 5.5 под KVM запускал, но это приличное количество геморроя: esxi надо ещё убедить в нём работать. В частности, надо править не(до)документированные конфиги самого esxi и vmx-файлы виртуалок.

grossws
()
Ответ на: комментарий от kvaps

Хм, не знал, видать с тех пор как я пробовал nested KVM, он существенно лучше стал

Pinkbyte ★★★★★
()
Ответ на: комментарий от Deleted

Затем, что многообразие это хорошо.

почему?

anonymous
()

нэймспейс занят уже by Kernel same-page merging aka KSM

anonymous
()
Ответ на: комментарий от Pinkbyte

Если я не ошибаюсь, KVM умеет в качестве вложенного гипервизора запускать ТОЛЬКО другой экземпляр KVM.

он просто показывает VT/AMD-V в виртуалку, какой там будет внутри гипервизор не важно

dyasny ★★★★★
()

KSM это уже совсем другой проект - kernel samepage sharing, дедупликатор памяти для KVM (ну и в принципе для линукса вообще)

dyasny ★★★★★
()
Ответ на: комментарий от dyasny

в принципе для линукса вообще

Для линукса вообще - он работает более чем отвратительно. Жрёт время CPU как не в себя, а результат сомнительный.

UKSM по сравнению с ним в разы лучше для «общего назначения»... Только вот UKSM почему-то не спешат в ведро добавлять. Может он как-то архитектурно сильно зашкварный...

DawnCaster ★★
()

А кто нить знает в чем смысл вложенной виртуализации? Это наверное жутко медленно?

cvv ★★★★★
()
Ответ на: комментарий от dyasny

какой там будет внутри гипервизор не важно

Некоторые гипервизоры(привет Hyper-V) делают дополнительные проверки, так что нет, просто проброс capability процессора недостаточно

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

делают, верно. Но почему это должна быть проблема KVM? Кроме того, есть некоторые опции «спрятать» kvm от гостя:

    <kvm>
      <hidden state='on'/>
    </kvm>

эта опция на самом деле чтоб прятать проброс VFIO от драйверов NVIDIA, но и тут может сработать

dyasny ★★★★★
()
Ответ на: комментарий от DawnCaster

Для линукса вообще - он работает более чем отвратительно. Жрёт время CPU как не в себя, а результат сомнительный.

вообще, KSM надо уметь использовать. Вся идея не в том чтоб держать его постоянно включенным, а в том чтоб прогонять его разок-другой когда остается мало свободной памяти. Он освобождает все что может и отключается. Он был так задуман, по ряду причин (в том числе и ради обхода проприетарных патентов на дедупликацию памяти от разных корпораций зла)

UKSM по сравнению с ним в разы лучше для «общего назначения»... Только вот UKSM почему-то не спешат в ведро добавлять. Может он как-то архитектурно сильно зашкварный...

я не спорю, KSM был сделан специально для KVM, точнее специально для SolidIce, который превратился в RHEV/oVirt, еще в 2006-ом, вместе с KVM. Общее использование тогда никто не подразумевал в принципе.

dyasny ★★★★★
()
Ответ на: комментарий от cvv

удобно виртуальные стенды делать - симуляция целого датацентра в одной мощной коробке

dyasny ★★★★★
()
Ответ на: комментарий от DawnCaster

https://vleu.net/ksm_preload/ прописать в ld.so.preload
+ демон ksm выключить.
А запускать из rc.local, например:

echo 200 >/sys/kernel/mm/ksm/sleep_millisecs
echo 1 > /sys/kernel/mm/ksm/run

И он работает для всей системы без ощутимой нагрузки

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

В целом всё правильно пишете - его вполне можно настроить для нормальной работы, чтобы он был не сильно жручий. Но при одинаковой средней нагрузке на систему он работает менее эффективно чем UKSM. У меня UKSM спокойно работает даже на MIPS'овых роутерах и ультра-бюджетных серверах для всякого статического контента. Обычный KSM заставить работать в таких условиях оказалось просто невозможно.

Тут всё дело в различных подходах и различных задачах. Задача KSM - как можно лучше дедуплицировать память. Задача UKSM - дедуплицировать то что можно дедуплицировать максимально быстро.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

Тут всё дело в различных подходах и различных задачах. Задача KSM - как можно лучше дедуплицировать память. Задача UKSM - дедуплицировать то что можно дедуплицировать максимально быстро.

вот это - правильно. Интересно как uksm хранит хэши страниц, если как ksm в бинарном дереве а не в таблице, то не страшно, а вот если таблица, то там может быть ой, и вполне возможно что именно поэтому он не попадает в ядро

dyasny ★★★★★
()
Ответ на: комментарий от dyasny

KSM, UKSM и патенты

KSM не использует хеши для сравнения страниц. Это запатентовано. В качестве ключа в дереве выступает контент самих страниц. Вернее, дерево там не одно, а два - stable и unstable.

UKSM использует хеши от данных страниц напрямую, нарушая патент VMWARE. Это основная причина, по которой он не может оказаться в ядре.

anonymous
()
Ответ на: KSM, UKSM и патенты от anonymous

KSM не использует хеши для сравнения страниц. Это запатентовано. В качестве ключа в дереве выступает контент самих страниц

да, я именно это и имел ввиду, ну и еще то что емнип хранение в таблице запатентовано, и пришлось перейти на дерево.

UKSM использует хеши от данных страниц напрямую, нарушая патент VMWARE. Это основная причина, по которой он не может оказаться в ядре.

так я и думал.

dyasny ★★★★★
()
Ответ на: комментарий от DawnCaster

Ну почему сразу ни хрена?

https://en.wikipedia.org/wiki/Software_patents_and_free_software#Lobbying_for...

ну и вообще там в статье много интересного. Или можно почитать публикации Яна Вильдебоэра, там еще очень много, особенно про Европу

dyasny ★★★★★
()
Ответ на: KSM, UKSM и патенты от anonymous

UKSM использует хеши от данных страниц напрямую, нарушая патент VMWARE

Они умудрились получить патент на эту банальщину? O_O

tailgunner ★★★★★
()
Ответ на: комментарий от dormeur86

Тред не читай сразу отвечай. Мы там от гипервизора ksm плавненько перешли к обсуждению дедупликатора памяти ksm, а потом к uksm и проблеме патентов.

А вообще, авторам пишущим всякие вундервафли для ядра, стоит при выборе названия как минимум погрепать исходники.

DawnCaster ★★
()

Без подробного объяснения, чем оно лучше хотя бы KVM таким «новостям» про очередной hello world имхо самое место в минорщине, а лучше вообще отдельный, еще менее значимый тег создать

af5 ★★★★★
()
Ответ на: комментарий от Deleted

Затем, что многообразие это хорошо.

неработающее многообразие это плохо, вон даже xen помер, все на докерах будем жить через пару лет

autonomous ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.