ProHoster > سيمنز تطلق Jailhouse 0.12 Hypervisor

سيمنز تطلق Jailhouse 0.12 Hypervisor

سيمنز опубликовала إصدار برنامج Hypervisor المجاني Jailhouse 0.12 تحديث. يدعم برنامج Hypervisor أنظمة x86_64 بامتدادات VMX + EPT أو SVM + NPT (AMD-V) ، بالإضافة إلى معالجات ARMv7 و ARMv8 / ARM64 مع امتدادات المحاكاة الافتراضية. بشكل منفصل هذا تطوير مولد الصور لـ Jailhouse Hypervisor استنادًا إلى حزم دبيان للأجهزة المدعومة. رمز المشروع وزعت من خلال مرخص بموجب GPLv2.

يتم تنفيذ برنامج Hypervisor كوحدة نمطية لنواة Linux ويوفر المحاكاة الافتراضية على مستوى kernel. تم تضمين مكونات أنظمة الضيف بالفعل في نواة Linux الرئيسية. تستخدم إدارة العزل آليات المحاكاة الافتراضية للأجهزة التي توفرها وحدات المعالجة المركزية الحديثة. تتمثل السمات المميزة لـ Jailhouse في تنفيذه خفيف الوزن والتركيز على ربط الأجهزة الافتراضية بوحدة معالجة مركزية ثابتة ومنطقة ذاكرة الوصول العشوائي والأجهزة. يتيح هذا الأسلوب لخادم واحد متعدد المعالجات فعليًا ضمان تشغيل العديد من البيئات الافتراضية المستقلة ، كل منها مخصص لمعالجها الأساسي.

من خلال الارتباط الثابت بوحدة المعالجة المركزية ، يتم تقليل الحمل الزائد لبرنامج Hypervisor إلى الحد الأدنى ويتم تبسيط تنفيذه إلى حد كبير ، حيث لا توجد حاجة لتنفيذ جدولة تخصيص موارد معقدة - يضمن تخصيص نواة وحدة المعالجة المركزية المنفصلة عدم تنفيذ أي مهام أخرى على هذه وحدة المعالجة المركزية. تتمثل ميزة هذا النهج في القدرة على توفير وصول مضمون إلى الموارد وأداء يمكن التنبؤ به ، مما يجعل Jailhouse حلاً مناسبًا لإنشاء مهام في الوقت الفعلي. الجانب السلبي هو قابلية التوسع المحدودة ، ومحدودة بعدد نوى وحدة المعالجة المركزية.

في مصطلحات Jailhouse ، يشار إلى البيئات الافتراضية باسم "الكاميرات" (الخلايا ، في سياق السجن). داخل الحجرة ، يبدو النظام وكأنه خادم أحادي المقبس ، يظهر الأداء يغلق لأداء نواة CPU مخصصة. يمكن للكاميرا تشغيل بيئة نظام تشغيل عشوائية ، بالإضافة إلى بيئات مبتورة لتشغيل تطبيق واحد أو تطبيقات فردية معدة خصيصًا لحل المهام في الوقت الفعلي. تم تعيين التكوين في ملفات .cell، والتي تحدد وحدة المعالجة المركزية المخصصة للبيئة ومناطق الذاكرة ومنافذ الإدخال / الإخراج.

سيمنز تطلق Jailhouse 0.12 Hypervisor

في الإصدار الجديد

  • دعم إضافي لمنصات Raspberry Pi 4 Model B و Texas Instruments J721E-EVM ؛
  • أعيدت صياغتها يستخدم جهاز ivshmem لتنظيم التفاعل بين الخلايا. على رأس ivshmem الجديد ، يمكنك تنفيذ النقل لـ VIRTIO ؛

    سيمنز تطلق Jailhouse 0.12 Hypervisor

  • نفذت القدرة على تعطيل إنشاء صفحات ذاكرة كبيرة (hugepage) لمنع الثغرة الأمنية CVE-2018-12207 على معالجات Intel ، مما يسمح للمهاجم غير المتميز ببدء رفض الخدمة الذي يتسبب في تعليق النظام في حالة "خطأ فحص الجهاز" ؛
  • بالنسبة للأنظمة التي تحتوي على معالجات ARM64 ، يتم تنفيذ دعم SMMUv3 (وحدة إدارة ذاكرة النظام) و TI PVU (وحدة المحاكاة الافتراضية الطرفية). دعم إضافي لـ PCI للبيئات المعزولة التي تعمل فوق الأجهزة (المعدنية العارية) ؛
  • في أنظمة x86 للكاميرات الجذرية ، من الممكن تمكين وضع CR4.UMIP (منع تعليمات وضع المستخدم) الذي توفره معالجات Intel ، والذي يسمح لك بحظر تنفيذ بعض التعليمات في مساحة المستخدم ، مثل SGDT و SLDT و SIDT ، SMSW و STR ، والتي يمكن استخدامها في الهجمات التي تهدف إلى رفع الامتيازات في النظام.

المصدر: opennet.ru

إضافة تعليق