https://www.opennet.ru/openforum/vsluhforumID3/92747.html Разработчики из компании Siemens анонсировали (https://lkml.org/lkml/2013/11/19/43) проект Jailhouse (https://github.com/siemens/jailhouse), в рамках которого развивается новый гипервизор. Как и KVM, Jailhouse обеспечивает виртуализацию на уровне ядра Linux, но отличается более легковесной реализацией и ориентацией на партицирование оборудования. Под партицированием понимается привязка виртуальных машин к фиксированному CPU, что позволяет на одном физическом многопроцессорном сервере обеспечить работу нескольких независимых виртуальных окружений, каждое из которых закреплено за своим процессорным ядром. <br><br><br>С одной стороны подобный подход достаточно сильно ограничен в плане масштабируемости, так как число виртуальных машин упирается в число процессорных ядер. С другой стороны, закрепление за CPU существенно упрощает реализацию гипервизора и обеспечивает предсказуемую производительность за счёт отсутствия необходимости выполнения сложного планировщика распределения ресурсов CPU и минимизации накладных расходо https://www.opennet.ru/openforum/vsluhforumID3/92747.html#63 Tue, 26 Nov 2013 00:42:08 GMT у меня в проксмоксе (квм) есть фича - могу выделить виртуалке 1,2,3... процессоров (иадер)..., он у меня такой особенный! <br> https://www.opennet.ru/openforum/vsluhforumID3/92747.html#62 Sat, 23 Nov 2013 02:18:39 GMT &gt; Замечательно, и опять это всё мне и без данного комментария известно. И <br>&gt; опять никаких противоречий с моими словами. :) <br>&gt; Аналогично и опять же, никак не противоречит моим словам.<br><br>ну тогда о чем спор? да, иногда дедупликацию не стоит использовать, но отменять ее тоже не стоит везде и всегда, это все что я хотел сказать<br><br>&gt; Я прекрасно знаю. Но я то добавил "со своим UCS Director". Были <br>&gt; на последнем CiscoConnect?<br><br>нет, я последние полгода out of the loop - занимаюсь другими вещами<br><br>&gt; Это намного легче, чем кажется. Буквально недавно читал статью про атаку через <br>&gt; L3 Cache. Оказывается тут необходима не слишком высокая квалификация, чтобы это <br>&gt; применять. Этот класс атак явно недооценивают, IMHO.<br>&gt; Если хотите, могу скинуть ссылку.<br><br>я в принципе уже нагуглил несколько. надо будет Дэна Волша спросить есть ли у него ответ через sVirt<br><br>&gt; Каждое предприятие само выставляет свои приоритеты. Кто-то вообще работает по принципу <br>&gt; "неуловимого Джо" и ему на всё насрать (и забавно, что это <br>&gt; https://www.opennet.ru/openforum/vsluhforumID3/92747.html#61 Fri, 22 Nov 2013 10:16:44 GMT &gt;&gt; Важнее, что [b]обычно[/b] изолированные окружения используют, в частности чтобы защитить <br>&gt;&gt; их друг от друга (не всегда, но обычно).<br>&gt; Если посмотреть на историю виртуализации, то началось все не с изоляции, а <br>&gt; того что мощности серверов стали намного больше чем потребности софта, и <br>&gt; виртуализация оказалась подходящим способом использовать всю эту мощность. ключевое слово <br>&gt; тут - консолидация. Когда вдруг оказалось что виртуальные машины выжирают ресурсы <br>&gt; железа быстрее чем железо докупается, начали придумывать способы сделать консолидацию <br>&gt; эффективнее, упаковать побольше ВМ в однин хост.<br><br>Замечательно, и опять это всё мне и без данного комментария известно. И опять никаких противоречий с моими словами. :)<br><br>&gt; Вопросы безопасности возникли позже, когда виртуализация вошла в мейнстрим, и их никто <br>&gt; не отменяет, но и говорить что фича улучшающая консолидацию, главный raison <br>&gt; d'etre виртуализации не нужна вообще никогда - не верно.<br><br>Аналогично и опять же, никак не противоречит моим сл https://www.opennet.ru/openforum/vsluhforumID3/92747.html#60 Thu, 21 Nov 2013 19:09:21 GMT &gt; Опять кто-то не догнал сути. Речь не о том, что бородатая NUMA <br>&gt; новинка <br>&gt; Сейчас NUMA на x86 в основном используется в контексте контроллера "на один <br>&gt; физический процессор". Есть мысли о том, что скоро сие будет в <br>&gt; контексте "на набор ядер внутри одного физического процессора". Сейчас контроллер внутри <br>&gt; x86 пытается обслуживать все ядра одновременно, что для пресловутого партиционирования <br>&gt; совершенно не есть комильфо, даже если каналов несколько. С учетом тенденций <br>&gt; по росту вширь и виртуализации логично предположить, что несмотря на объединение <br>&gt; множества ядер в одном кристалле контроллеры памяти в серверных решениях скоро <br>&gt; станут индивидуальны для их групп.<br><br>Ну и какая хрен разница, что 16 процов на одной плате, что на одном кристалле. <br>Хочешь увидеть как это будет работать - пжалста CGROUP https://www.kernel.org/doc/Documentation/cgroups/memory.txt<br> https://www.opennet.ru/openforum/vsluhforumID3/92747.html#59 Thu, 21 Nov 2013 17:05:48 GMT &gt; Дак это...<br>&gt; А разве отдельную виртуалку KVM нельзя назначить на какое-нибудь ядро принудительно?<br>&gt; Вроде любой процесс в линуксе можно так отгородить.<br><br>именно так. <br> https://www.opennet.ru/openforum/vsluhforumID3/92747.html#58 Thu, 21 Nov 2013 17:05:25 GMT &gt; Важнее, что [b]обычно[/b] изолированные окружения используют, в частности чтобы защитить <br>&gt; их друг от друга (не всегда, но обычно). <br><br>Если посмотреть на историю виртуализации, то началось все не с изоляции, а того что мощности серверов стали намного больше чем потребности софта, и виртуализация оказалась подходящим способом использовать всю эту мощность. ключевое слово тут - консолидация. Когда вдруг оказалось что виртуальные машины выжирают ресурсы железа быстрее чем железо докупается, начали придумывать способы сделать консолидацию эффективнее, упаковать побольше ВМ в однин хост.<br>Вопросы безопасности возникли позже, когда виртуализация вошла в мейнстрим, и их никто не отменяет, но и говорить что фича улучшающая консолидацию, главный raison d'etre виртуализации не нужна вообще никогда - не верно.<br><br>&gt; Поясню. Всякие большие компании, типа HP, Cisco, Microsoft, Vmware и прочие пытаются <br>&gt; осуществить одну и ту же "мечту". Чуть мечты в том, что <br>&gt; можно купить их продукт, отключить мозг и делать всё чт https://www.opennet.ru/openforum/vsluhforumID3/92747.html#57 Thu, 21 Nov 2013 15:05:24 GMT Дак это...<br>А разве отдельную виртуалку KVM нельзя назначить на какое-нибудь ядро принудительно?<br>Вроде любой процесс в линуксе можно так отгородить.<br> https://www.opennet.ru/openforum/vsluhforumID3/92747.html#56 Thu, 21 Nov 2013 11:19:41 GMT &gt; ну так не надо ее использовать в хостингах и прочих окружениях где <br>&gt; есть непроверенный доступ. Но когда у меня куча серверов с джавой <br>&gt; врущей память как не в себя, или большой VDI, то фича <br>&gt; очень помогает. Могу показать графики поребления памяти на хостах в RHEV <br>&gt; где видно как потребление растет до установленных 80%, включается KSM и <br>&gt; потребление падает на 30-35%, и так каждые несколько часов.<br><br>Ваши слова никак не противоречат моим. Я прекрасно и сам знаю, что ksm работает, ибо сам его использую.<br><br>Для начала, чем больше точек соприкосновения со внешними пользователями Вы делаете, тем больше вероятность, что хотя бы одну взломают. Я в том смысле, что даже если Вы лично управляете каждым окружением, но Вы наплодили их 100 разных штук, то хотя бы одно-то взломают ;). А если окружения не защищены друг от друга, то тут могут начаться проблемы... Но это не суть, лично я разбиваю всё на разные физические контуры, и меня не очень пугает перспектива, что какой-то мегахакер взломает какое-то окружен https://www.opennet.ru/openforum/vsluhforumID3/92747.html#55 Thu, 21 Nov 2013 06:03:06 GMT вот и сименсы подтянулись... ждем симантеков...<br>