در نسخهی جدید هستهی لینوکس، ویژگیهای جدیدی برای KVM (Kernel-based Virtual Machine) ارائه شده که تمرکز ویژهای بر بهبود عملکرد و امنیت مجازیسازی برای پردازندههای AMD و Intel دارد. در هفتههای اخیر، دو مرحله از بهروزرسانیهای اصلی KVM به این نسخه افزوده شده و باعث شده است لینوکس بیش از پیش بهعنوان یکی از قدرتمندترین پلتفرمهای متنباز مجازیسازی شناخته شود.
پشتیبانی از فناوری CET در KVM برای معماری x86/x86_64
یکی از مهمترین تغییرات در این نسخه، اضافه شدن پشتیبانی از Control-flow Enforcement Technology (CET) در KVM است. این قابلیت امنیتی که در پردازندههای جدید Intel و AMD پشتیبانی میشود، به افزایش امنیت در برابر حملات کنترل جریان کمک میکند.
در پردازندههای Intel، KVM اکنون میتواند از Shadow Stacks و Indirect Branch Tracking بهره ببرد، در حالی که در پردازندههای AMD فقط قابلیت Shadow Stack فعال میشود. این ویژگی به جلوگیری از حملات ROP (Return-Oriented Programming) و افزایش ایمنی ماشینهای مجازی کمک میکند.
فعال شدن AVIC بهصورت پیشفرض برای پردازندههای AMD Zen 4
در بخش پردازندههای AMD، تغییر مهم دیگر فعال شدن خودکار AVIC (Advanced Virtual Interrupt Controller) برای نسل چهارم Zen و جدیدتر است، در جایی که قابلیت x2AVIC پشتیبانی میشود.
AVIC باعث بهبود عملکرد ماشینهای مجازی از طریق مدیریت کارآمدتر وقفهها (interrupts) میشود. به بیان ساده، سیستم میتواند با تأخیر کمتر و بار پردازشی پایینتر بین ماشینهای مجازی و میزبان ارتباط برقرار کند.
پشتیبانی از Secure AVIC برای امنیت و کارایی بهتر
در کنار AVIC، قابلیت Secure AVIC نیز در هستهی اصلی لینوکس فعال شده است. این ویژگی امنیتی جدید، ارتباط بین میزبان و مهمان (guest) را امنتر کرده و در عین حال تأثیری مثبت بر عملکرد کلی سیستم دارد.
ویژگی جدید SEV-SNP CipherText Hiding
قابلیت تازهای با نام SEV-SNP CipherText Hiding نیز برای AMD اضافه شده است. این ویژگی برای کاربران سرورهای EPYC طراحی شده و با هدف جلوگیری از دسترسی غیرمجاز به دادههای رمزنگاریشده حافظه مهمان عمل میکند.
در واقع این قابلیت مانع از آن میشود که میزبان یا عامل مهاجم بتواند به متن رمز (CipherText) حافظهی خصوصی مهمان دسترسی پیدا کند؛ اقدامی که نقش مهمی در جلوگیری از حملات آفلاین (Offline Attacks) دارد.
محافظت از TSC در مهمانان SEV-SNP
یکی دیگر از بهبودهای امنیتی مهم، معرفی Secure TSC for SEV-SNP guests است. این قابلیت تضمین میکند که میزبان نتواند در مقدار فرکانس Timestamp Counter (TSC) ماشین مجازی دستکاری انجام دهد. در نتیجه، زمانسنج داخلی ماشین مجازی همواره معتبر و دقیق باقی میماند.
آمادهسازی KVM برای فناوری FRED در پردازندههای Intel
در سمت Intel، توسعهدهندگان KVM در حال آمادهسازی پشتیبانی از فناوری جدید FRED (Flexible Return and Event Delivery) هستند. هرچند این قابلیت هنوز به نسخهی نهایی جدید Linux نرسیده است، اما انتظار میرود در نسخههای آینده ادغام شود.
FRED طراحی شده تا نحوهی مدیریت بازگشتها و رویدادها در سطح سختافزار را بهبود دهد و عملکرد سیستم را در محیطهای مجازیسازی و محاسبات ابری ارتقا دهد.
بهبود سازگاری با پردازندههای Zhaoxin
یکی دیگر از تغییرات جالب، پشتیبانی از Centaur CPU leaves برای پردازندههای Zhaoxin (توسعهیافته در چین) است. این موضوع به سازگاری بهتر لینوکس با سختافزارهای بومی چین کمک میکند و گامی در جهت گسترش اکوسیستم KVM در سطح جهانی محسوب میشود.
پشتیبانی از guest_memfd برای نقشهسازی حافظه کاربر
در بخش مدیریت حافظه نیز، KVM اکنون از host user-space mapping برای حافظههای مبتنی بر guest_memfd پشتیبانی میکند، حتی برای نوع ماشینهایی که ویژگی KVM_MEMORY_ATTRIBUTE_PRIVATE را ندارند.
این تغییر در مسیر حذف وابستگی حافظه مهمان از kernel direct maps و فراهمسازی قابلیت mmap() برای حافظههای مجازی انجام شده است که در نهایت به کارایی و امنیت بیشتر منجر میشود.
بهبودهای معماری ARM، LoongArch و RISC-V
در کنار معماری x86، پشتیبانی از سایر معماریها نیز تقویت شده است:
- در ARM، نسخهی ۱.۲ از FF-A بهعنوان رابط حافظهی امن برای pKVM معرفی شده است. همچنین قابلیت مهاجرت و غیرفعالسازی برخی ویژگیهای EL2 بهصورت پویا افزوده شدهاند.
- در LoongArch، پشتیبانی از page table walk detection برای سختافزارهای جدید اضافه شده و عملکرد IPI و شبیهسازی PCH-PIC بهبود یافته است.
- در RISC-V نیز پشتیبانی از افزونههای SBI FWFT، Zicbop و bfloat16 برای مهمانها فراهم شده است که کارایی و سازگاری بیشتری را برای محیطهای مجازی مبتنی بر این معماری فراهم میکند.
نسخهی جدید Linux گام بزرگی برای توسعهی زیرساخت مجازیسازی متنباز KVM بهشمار میرود. با افزودن پشتیبانی از قابلیتهای امنیتی و سختافزاری جدید در پردازندههای AMD و Intel، عملکرد و ایمنی ماشینهای مجازی به شکل قابلتوجهی افزایش یافته است.
این پیشرفتها نهتنها در مراکز داده و سرورهای ابری، بلکه در محیطهای توسعه و تست نیز تأثیر مثبتی خواهند داشت. بدون تردید، لینوکس با این بهبودها جایگاه خود را بهعنوان برترین پلتفرم متنباز مجازیسازی در جهان بیش از پیش تثبیت میکند.
