Xen PV (Paravirtualization) — один из режимов работы гипервизора Xen, при котором гостевая операционная система модифицирована для прямого взаимодействия с гипервизором. В отличие от полной (HVM) виртуализации, гостевая ОС не «думает», что работает на реальном железе — она явно знает о слое виртуализации и использует интерфейс hypercall вместо стандартных прерываний.
Как работает паравиртуализация в Xen
В классическом Xen PV гостевая ОС не использует привилегированные инструкции процессора напрямую — вместо этого она вызывает hypercall к гипервизору. Например, вместо инструкции WRMSR ядро ОС вызывает Xen hypercall HYPERVISOR_mmu_update. Это требует специально собранного ядра — все Linux-дистрибутивы включали PV-поддержку начиная с ядра 2.6.37 (2011).
Особенность Xen PV — специальные PV-драйверы для I/O: blkfront/blkback (диски) и netfront/netback (сеть). Вместо эмуляции физического контроллера гостевая ОС использует кольцевые буферы общей памяти для передачи данных между Dom0 (управляющий домен) и DomU (гостевой домен). Это обеспечивает производительность ввода-вывода, близкую к нативной, без IOMMU.
PV vs HVM vs PVH
Xen HVM (Hardware Virtual Machine) использует аппаратную виртуализацию VT-x/AMD-V. Гостевая ОС не требует модификации, но производительность I/O ниже (эмулируется QEMU). PVH — гибридный режим, появившийся в Xen 4.4 (2014): гостевая ОС использует PV-драйверы для I/O, но защищается через VT-x для CPU. PVH совмещает безопасность HVM и производительность PV и считается предпочтительным в современных инсталляциях.
Режим PV устарел для современного хостинга по двум причинам: безопасность (атаки Spectre/Meltdown эффективнее на PV из-за отсутствия аппаратной изоляции) и экосистема (HVM поддерживают все ОС без модификации).
Dom0 и DomU
В архитектуре Xen Dom0 (Domain 0) — привилегированная виртуальная машина с прямым доступом к железу. Через Dom0 управляются все остальные ВМ (DomU). Dom0 обычно запускает Linux с Xen-инструментами. Все гостевые ВМ видят только виртуальные устройства через Dom0-посредника. Это архитектурное решение отличает Xen от KVM, где управляющий слой — само ядро Linux.
История Xen PV
Xen создан в 2003 году командой Кембриджского университета под руководством Яна Прэтта. Первая версия была исключительно паравиртуализацией — аппаратная виртуализация появилась позже с HVM в Xen 3.0 (2005). Xen PV широко использовался в Amazon EC2 с 2006 по 2017 год — AWS перешёл на Nitro (собственный гипервизор на базе KVM) начиная с 2017 года. Сегодня Xen продолжает поддерживаться XenProject и используется в Citrix Hypervisor и ряде облаков.
Безопасность Xen PV
Уязвимости Spectre и Meltdown (2018) ударили по Xen PV сильнее, чем по HVM: в PV-режиме отсутствует аппаратная изоляция через VMCS (VM Control Structure), что делало некоторые атаки через общее адресное пространство более практичными. После CVE-2017-5715 (Spectre Branch Target Injection) Xen ввёл IBRS и Retpoline-патчи, но производительность некоторых нагрузок снизилась на 5–15%.
PVH-режим — ответ на эти проблемы: VT-x обеспечивает аппаратную изоляцию, PV-драйверы — высокую производительность I/O. Xen Security Advisory (XSA) публикуется регулярно — для production Xen требует тщательного patch-management.
Xen PV и AWS EC2
Amazon EC2 использовал Xen с момента запуска в 2006 году по 2017 год. Переход на AWS Nitro System (собственный KVM-based гипервизор) начался в 2017 году с инстансов C5/M5. К 2023 году большинство новых типов инстансов AWS работает на Nitro. Старые типы (m3, c3, m4) ещё используют Xen. Понимание Xen PV важно при работе со старыми EC2-инстансами или legacy-AMI, собранными под Xen-ядро.
Xen продолжает активно использоваться в Citrix Hypervisor (коммерческая версия Xen), Qubes OS (ОС с Xen для изоляции приложений), ряде европейских облачных провайдеров. Проект Proxmox VE выбрал KVM вместо Xen, что отражает общую тенденцию рынка.
Миграция с Xen PV на HVM/PVH
Миграция гостевых ВМ с Xen PV на HVM или PVH требует: перезагрузки с HVM-конфигурацией (замена ядра с PV-патчами на стандартное HVM-ядро), обновления конфигурации в Xen xl или libvirt. В большинстве случаев достаточно изменить тип конфигурации домена без пересоздания диска. Proxmox VE поддерживает только KVM и LXC — Xen в Proxmox не используется.