Siemens gratis hypervisor vrystelling . Die hypervisor ondersteun x86_64-stelsels met VMX+EPT of SVM+NPT (AMD-V) uitbreidings, sowel as ARMv7 en ARMv8/ARM64 verwerkers met virtualisasie uitbreidings. Afsonderlik beeldgenerator vir die Jailhouse-hypervisor gebaseer op Debian-pakkette vir ondersteunde toestelle. Projek kode gelisensieer onder GPLv2.
Die hypervisor word as 'n module vir die Linux-kern geïmplementeer en verskaf virtualisering op kernvlak. Komponente vir gasstelsels is reeds by die hoof Linux-kern ingesluit. Isolasiebestuur gebruik hardeware-virtualiseringsmeganismes wat deur moderne SVE's verskaf word. Jailhouse se kenmerke is die liggewig implementering daarvan en fokus daarop om virtuele masjiene aan 'n vaste SVE, RAM-area en hardeware-toestelle te koppel. Hierdie benadering laat een fisiese multiverwerkerbediener toe om die werking van verskeie onafhanklike virtuele omgewings te verseker, wat elkeen aan sy eie verwerkerkern toegewys is.
Met 'n harde binding aan die SVE, word die oorhoofse koste van die hiperviser geminimaliseer en die implementering daarvan word aansienlik vereenvoudig, aangesien dit nie nodig is om 'n komplekse hulpbrontoewysingskeduleerder uit te voer nie - die toekenning van 'n aparte SVE-kern verseker dat geen ander take uitgevoer word op hierdie SVE. Die voordeel van hierdie benadering is die vermoë om gewaarborgde toegang tot hulpbronne en voorspelbare werkverrigting te bied, wat Jailhouse 'n geskikte oplossing maak vir die skep van intydse take. Die nadeel is beperkte skaalbaarheid, beperk deur die aantal SVE-kerne.
In Jailhouse-terminologie word na virtuele omgewings verwys as "kameras" (selle, in die konteks van tronkhuis). Binne die kamera lyk die stelsel soos 'n enkelsokbediener, wat werkverrigting toon tot die werkverrigting van 'n toegewyde SVE-kern. Die kamera kan 'n arbitrêre bedryfstelsel-omgewing bestuur, sowel as afgekapte omgewings vir die bestuur van een toepassing of spesiaal voorbereide individuele toepassings wat ontwerp is om intydse take op te los. Die konfigurasie is ingestel , wat die SVE bepaal wat aan die omgewing, geheuestreke en I/O-poorte toegewys is.
In die nuwe uitgawe
- Bygevoeg ondersteuning vir Raspberry Pi 4 Model B en Texas Instruments J721E-EVM platforms;
- ivshmem toestel wat gebruik word om interaksie tussen selle te organiseer. Bo en behalwe die nuwe ivshmem, kan jy 'n vervoer vir VIRTIO implementeer;
- Implementeer die vermoë om die skep van groot geheue bladsye (groot bladsy) te deaktiveer om die kwesbaarheid te blokkeer op Intel-verwerkers, wat 'n onbevoorregte aanvaller toelaat om 'n ontkenning van diens te begin wat veroorsaak dat die stelsel in die "Masjienkontrolefout"-toestand hang;
- Vir stelsels met ARM64-verwerkers word ondersteuning vir SMMUv3 (System Memory Management Unit) en TI PVU (Periferal Virtualization Unit) geïmplementeer. Bygevoeg ondersteuning vir PCI vir geïsoleerde omgewings wat bo-op hardeware (kaalmetaal) loop;
- Op x86-stelsels vir wortelkameras is dit moontlik om die CR4.UMIP (User-Mode Instruction Prevention)-modus wat deur Intel-verwerkers verskaf word, te aktiveer, wat jou toelaat om die uitvoering in gebruikersruimte van sommige instruksies, soos SGDT, SLDT, SIDT te verbied. , SMSW en STR, wat gebruik kan word in aanvalle wat daarop gemik is om voorregte in die stelsel te verhoog.
Bron: opennet.ru