Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Представлен Multikernel, механизм для одновременного выполнения нескольких ядер Linux"	+/–
Сообщение от opennews (??), 20-Сен-25, 16:44
Для обсуждения разработчиками ядра Linux предложена серия патчей, разработанных проектом Multikernel, который на днях был переведён в категорию открытого ПО и теперь будет развиваться совместно с сообществом. Multikernel позволяет на одном физическом компьютере выполнять  несколько независимых экземпляров ядра Linux, которые имеют прямой доступ к аппаратным ресурсам и могут использоваться для запуска нескольких изолированных системных окружений. Проект создан компанией  Multikernel Technologies, основанной и возглавляемой Конгом Вангом (Cong Wang), сопровождающим в ядре Linux подсистему управления трафиком (TC, Traffic Control)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63913
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 20-Сен-25, 16:44	–2 +/–
Не описано где может быть полезен такой комбайн.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #27, #33

4. Сообщение от Аноним (4), 20-Сен-25, 16:55	+2 +/–
Надо развернуть сравнение "Attack Surface" с VM, сдаётся мне, фуфло они втирают. "Kernel Customization" тоже, в виртуалке любое ядро можно запускать
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 20-Сен-25, 17:01	–2 +/–
Везде, где нужно запускать больше одного ядра параллельно. Для локалхоста, очевидно, не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11, #17

6. Сообщение от 08497 (?), 20-Сен-25, 17:09	–2 +/–
Отличное изобретение для хакиров. Все уязвимости одного кернела умножаем ни количество запущенных кернелов. А если еще на каждом кернеле запустить еще по несколько виртуалок, в каждой по несколько кернелов, ну вы поняли, да?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

7. Сообщение от Аноним (7), 20-Сен-25, 17:09	–3 +/–
Не понимаю что здесь нового. Разные ядра linux и так выполняются в разных VM.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Мемоним (?), 20-Сен-25, 17:10	+1 +/–
А на средней схеме Hypervisor не должен быть под Kernel?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #38

9. Сообщение от Аноним (7), 20-Сен-25, 17:12	+/–
> Производительность при использовании Multikernel оценивается как близкая к производительности выполнения на отдельном оборудовании. Ну так паравиртуализация тоже близка по производительности к нативной.
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (7), 20-Сен-25, 17:14	+/–
Они его интегрировали и сделали прозрачным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 20-Сен-25, 17:21	–1 +/–
Эм, хостеры которые не могут себе позволить виртуалки ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21, #22

12. Сообщение от Аноним (7), 20-Сен-25, 17:24	+2 +/–
Гипервизор не зря ел свой "хлеб". Это гибкость, функциональность, контроль, безопасность. Обработчик SMP будет "обрастать ракушками" по мере плавания и будет тем же гипервизором.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

14. Сообщение от Аноним (14), 20-Сен-25, 17:28	+2 +/–
Скрестили ужа с ежом, получилось непонятно что. С процессорами еще можно отдаленно понять как они между ядрами расшариваются. А память как делить? А ввод-вывод? Без гипервизора, ага
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #23, #43

15. Сообщение от Аноним (14), 20-Сен-25, 17:30	+1 +/–
Напоминает добровольную мультизадачность под досом. Все хорошо пока хорошо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #53

16. Сообщение от Аноним (16), 20-Сен-25, 17:42	+/–
На уровне ведра этим можно рулить (если патчи сделать), это не проблема. Непонятно только, почему они утверждают будто изоляция на уровне ядер дает меньшую поверхность атаки, чем виртуализация.  Ну и в целом юзкейсы неясны. Виртуализация нужна для эмуляции оборудования, а контейнеризация для простой и быстрой доставки приложений. Какие профиты дает мультикернел непонятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #31

17. Сообщение от Аноним (17), 20-Сен-25, 17:47	+4 +/–
> Везде, где нужно запускать больше одного ядра параллельно. Для локалхоста, очевидно, не > нужно. Эээ, у меня локалхост, а мне вот нужно. Вы, батенька путаете понятие локалхост и локалхост хомяка-нормиса, которому там только фурей смотреть и арч обновлять. И нет, неочевидно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24, #54

18. Сообщение от Балерун (?), 20-Сен-25, 17:47	+/–
> Cong Wang От короля (кит.), если что так. подарочек. Вопрос Кому?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #30, #50

19. Сообщение от мамины какиры самые забавные (?), 20-Сен-25, 17:51	+/–
> Отличное изобретение для хакиров. Все уязвимости одного кернела умножаем ни количество > запущенных кернелов. А если еще на каждом кернеле запустить еще по > несколько виртуалок, в каждой по несколько кернелов, ну вы поняли, да? Чисто гипотетически, в вакууме, но к этим всем ядрам ваш вакуумный какир должен ещё пробраться и как-то понять, что соседнее ядро это соседнее ядро в пачке мультиядер, как-то сдетектить каким уязвимостям оно подвержено и т.п. Но по факту чем оно отличается от необходимости щупать подсеть с несколькими машинами на предмет наличия уязвимостей в каждой, например? Сдаётся мне, вы на очень толстый глобус пытаетесь натянуть очень тощую и ни разу не эластичную сову.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #36, #47

20. Сообщение от Еще один Аноним (?), 20-Сен-25, 17:52	+/–
Ну дак это классическая (Н. Винера) кибернетическая система (хоть и виртуальная), состоящей из управляющего (в данном случае гипервизор) и управляемого (сама ВМ) элемента. Мне кажется, что если покопаться детально в этом Multikernel, может тоже выясниться, что там тоже есть разделение на управляющую и управляемую подсистемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #40

21. Сообщение от Аноним (21), 20-Сен-25, 17:56	+/–
Позволить?! Если хостеры на этом смогут *продавать* больше виртуалок т.е. больше заработать денег на том же железе, то им это нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #41

22. Сообщение от Аноним (22), 20-Сен-25, 18:12	+1 +/–
Если своей фантазии не хватает, в новости можно пройти по ссылкам и почитать и чем мотивировались авторы, и сравнение с виртуалками, и даже предполагаемые юзкейсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

23. Сообщение от пох. (?), 20-Сен-25, 18:13	+/–
Ну так и делить - тебе половина, и мине одна вторая. В принципе, для этого и в обычном ведре почти все есть. Диски очевидно привязаны к экземпляру. Консоль достанется кому-то одному. Про "эффективность" при таком разделении топором, понятно, можно забыть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

24. Сообщение от Аноним (22), 20-Сен-25, 18:14	+/–
Я как раз ничего не путаю, в отличие от тебя. То, что ты дома по вечерам косплеишь сисадмина не добавляет нужности твоему локалхосту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #42

25. Сообщение от Аноним (30), 20-Сен-25, 18:21	+/–
Наконец будет нормальное 3d ускорение в гостевой системе без virgl/virtio и sriov?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

26. Сообщение от Аноним (27), 20-Сен-25, 18:27	+1 +/–
>Multikernel преподносится как новая архитектура изоляции, занимающая нишу между виртуализацией при помощи гипервизора и контейнерной изоляцией на базе общего ядра Не понятно, зачем. Главная претензия к контейнерам - из них можно достать до главного ядра, ломануть его, а как его ломанули - так машина взломана по полной. Для решения этой проблемы используют гипервизоры. Ядру выделяется виртуальная машина, оно в ней полностью крутится, а из виртуальной машины до хоста - гипервизор с очень ограниченной поверхностью атаки. Тут же предлагают выполнять дочерние ядра поверх хостового без всякого гипервизора, то есть ничего не меняется с точки зрения взлома контейнеров: ломаем дочернее ядро, и сразу же ломаем хостовое, PROFIT.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

27. Сообщение от Аноним (27), 20-Сен-25, 18:29	–3 +/–
Для АНБ может быть полезен, когда надо лохов поломать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

28. Сообщение от Аноним (27), 20-Сен-25, 18:33	+1 +/–
Кстати, дочерние ядра прямо в юзерспейсных процессах, а под ними - своя ФС, свои контейнеры ... можно запускать было очень давно, с начала нулевых в ядре опция его собирать так, чтобы оно работало как обычная линуксовая программа. Только единственный профит - это просто упрощение разработки самого ядра линукс и дров к нему, чтобы с виртуалками не париться. Кому для изоляции - тем полноценная виртуалка. Кому не нужны такие требования к изоляции - тем и контейнеры и песочницы сойдут.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (27), 20-Сен-25, 18:34    Скрыто ботом-модератором	+1 +/–
Ну писать прямо Jia Tan - даже обсуждать не будут ведь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

30. Сообщение от Аноним (30), 20-Сен-25, 18:36	+/–
ты хотел написать King Kong Wang?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

31. Сообщение от Аноним (31), 20-Сен-25, 18:42	+/–
При атаке на гипервизор у малвари права ring -2, а так только ring 0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #34

32. Сообщение от Аноним (32), 20-Сен-25, 18:43	+2 +/–
О, начали rump NetBSDшный переизобретать...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

33. Сообщение от Аноним (33), 20-Сен-25, 18:46	+/–
https://www.kernel.org
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

34. Сообщение от Аноним (27), 20-Сен-25, 19:16	+/–
Минус 2 - это относительно ring 0 гостя, для хоста это - ring 0 если сам гипервизор (аппаратно-виртуализованный, если эмуляция - то вообще всё в ring 2), а эмулируемые устройства, за исключением нескольких virtio-устройств вообще в ring 2 живут. При этом атаковать сам гипервизор на порядки сложнее из-за того что у него поверхность атаки меньше (в основном это эмулируемые устройства), а код KVM-гипервизора шарится многими продуктами и весьма отлажен и оттестирован.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35, #39

35. Сообщение от Аноним (27), 20-Сен-25, 19:16	+/–
тьфу, в ring 3
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от 08497 (?), 20-Сен-25, 19:22	+/–
> Чисто гипотетически, в вакууме, но к этим всем ядрам ваш вакуумный какир должен ещё пробраться и как-то понять, что соседнее ядро это соседнее ядро в пачке мультиядер, как-то сдетектить каким уязвимостям оно подвержено и т.п. ls /proc/multikernel > Но по факту чем оно отличается от необходимости щупать подсеть с несколькими машинами на предмет наличия уязвимостей в каждой, например? Зачем. На целевой машине уже несколько подконтрольных кернелов. Если парнишка попал на целевую машину, то не из воздуха же, с большой вероятностью это шлюз. Ядро (да не одно) у него под контролем, сеть соответственно тоже. > Сдаётся мне, вы на очень толстый глобус пытаетесь натянуть очень тощую и ни разу не эластичную сову. И получается, что сова не такая и тощая, да и глобус не толст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

37. Сообщение от Аноним (37), 20-Сен-25, 19:23	+/–
Забыл ещё вывод подвести: предложенная система будет жрать память как полноценная виртуалка, иметь оверхед, сравнимый с виртуалкой, а безопасность предлагать на уровне контейнера. На сайте один маркетинговый буллшит, snake oil какой-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

38. Сообщение от 1 (??), 20-Сен-25, 19:34	+1 +/–
Эта схема для kvm. В случае с xen или vmware hypervisor будет над hardware.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #52

39. Сообщение от Аноним (31), 20-Сен-25, 19:41	+/–
-2 это smm, гипервизор это -1 и vmware к примеру того, да и xen
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

40. Сообщение от 1 (??), 20-Сен-25, 19:42	+/–
Сложность управляющей системы не может быть меньше управляемый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #48

41. Сообщение от trashwind23 (ok), 20-Сен-25, 19:43	+/–
По описанию в новости не похоже что тостеры смогут больше. Тут прибивание кернелей к ядрам цпу, а хостерам оверсел в основном деньги приносит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

42. Сообщение от native (??), 20-Сен-25, 19:45	+1 +/–
огласите признаки нужности, пожалуйста
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

43. Сообщение от 1 (??), 20-Сен-25, 19:47	+/–
Ещё немного ещё чутьчуть и интел сделает в процах аналог ldom.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

44. Сообщение от 1 (??), 20-Сен-25, 19:50	+/–
Без ... не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

45. Сообщение от 1 (??), 20-Сен-25, 19:55	+/–
Скорее невозбранно сперли, но недоперли и отдали впопенсорс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

46. Сообщение от Аноним (46), 20-Сен-25, 19:57	+/–
Мне кажется, или что-то походжее уже было в Cooperative Linux? Там, правда, ядро запускали в винде
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Хорошо смеёцца TOT (?), 20-Сен-25, 19:59	+/–
Хз, как оно в вакууме, а в зэ Ядре вон - интерфейс мультиядра. "Для мониторинга и отладки". Ага. Доступ к железу прямой. И у ядер-сыновей и Ядра-Отца. А у нас тут миллион "спекулятивных" уязвимостей в процессорах и чипах памяти. Удобно. Сеть изолировать легко. У сети - периметр. Сторожа на концах протоколов. А тут, понимаю, дЫрект-аксэс-саксэсс к железу, на котором стоит сторожка. А потом, когда доступ наспекулировали, на нескольких ядрах можно ещё долго прятаться: переживая сканирования, обновления и перезагрузки. Ведь, не будут же "экономисты" из-за нас все ядра останавливать и допрашивать.. Ну хз, конечно. Но если из виртуалок убегают и гипервизоры ломают, тот тут.. Ну зато сэкономия. А ещё сэкономнее - в розетку не включать. Люди, берегите планету!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

48. Сообщение от Аноним (48), 20-Сен-25, 20:03	+/–
Сомнительно. Какова ваша аргументация?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

49. Сообщение от Аноним (49), 20-Сен-25, 20:06	+/–
Масоны изобретают маинфрейм
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (48), 20-Сен-25, 20:07    Скрыто ботом-модератором	+/–
Здесь мог бы быть анекдот про кастрюлю, но лимит на балансе соц-рейтинга исчерпан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

51. Сообщение от Аноним (53), 20-Сен-25, 20:14	+1 +/–
> Multikernel IPI А почему ipi? Ч̶т̶о̶б̶ы̶ ̶н̶и̶к̶т̶о̶ ̶н̶е̶ ̶д̶о̶г̶а̶д̶а̶л̶с̶я̶ api бы не пропустили т.к. stable is a nonsense, а так прокатит.
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от morphe (?), 20-Сен-25, 20:15	+/–
> vmware Если речь о vmware workstation и прочем консьюмерском - то над kernel, если о чём-то другом - хотел бы услышать о чём HyperV вот как и Xen - под ядром, да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

53. Сообщение от Аноним (53), 20-Сен-25, 20:17    Скрыто ботом-модератором	+/–
Ну так может не делать хуже? Все проблемы от того что у мамкиных хацкеров руки чешутся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

54. Сообщение от Арчстронг (?), 20-Сен-25, 20:21    Скрыто ботом-модератором	+/–
[x] Навёл туману над своей персоной. [x] Сунул "хомяка" и "арч" в одно предложение. [x] И гусей^W фурей не забыл. [x] Сам себя заплюсовал. Сынку, у тебя шизофрения, обратись к врачу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема