Siemens şirkəti pulsuz hipervizor buraxılışı . Hipervizor VMX+EPT və ya SVM+NPT (AMD-V) genişləndirmələri olan x86_64 sistemlərini, həmçinin virtuallaşdırma genişləndirmələri olan ARMv7 və ARMv8/ARM64 prosessorlarını dəstəkləyir. Ayrı-ayrılıqda dəstəklənən cihazlar üçün Debian paketləri əsasında yaradılan Jailhouse hipervizoru üçün şəkil generatoru. Layihə kodu GPLv2 altında lisenziyalıdır.
Hipervisor Linux nüvəsi üçün modul kimi həyata keçirilir və nüvə səviyyəsində virtuallaşdırmanı təmin edir. Qonaq sistemləri üçün komponentlər artıq əsas Linux nüvəsinə daxil edilmişdir. İzolyasiyanı idarə etmək üçün müasir CPU-lar tərəfindən təmin edilən hardware virtualizasiya mexanizmlərindən istifadə olunur. Jailhouse-un fərqli xüsusiyyətləri onun yüngül tətbiqi və virtual maşınları sabit CPU, RAM sahəsi və aparat cihazlarına bağlamaqdır. Bu yanaşma bir fiziki multiprosessorlu serverə hər biri öz prosessor nüvəsinə təyin edilmiş bir neçə müstəqil virtual mühitin işini dəstəkləməyə imkan verir.
CPU ilə sıx əlaqə ilə hipervizorun yükü minimuma endirilir və onun həyata keçirilməsi əhəmiyyətli dərəcədə sadələşdirilir, çünki mürəkkəb resurs ayırma planlayıcısını işə salmağa ehtiyac yoxdur - ayrıca CPU nüvəsinin ayrılması bu CPU-da başqa tapşırıqların yerinə yetirilməməsini təmin edir. . Bu yanaşmanın üstünlüyü, Jailhouse-u real vaxt rejimində yerinə yetirilən tapşırıqların yaradılması üçün uyğun həll edən resurslara zəmanətli çıxış və proqnozlaşdırıla bilən performansı təmin etmək qabiliyyətidir. Mənfi cəhət CPU nüvələrinin sayı ilə məhdudlaşan məhdud miqyasdır.
Həbsxana terminologiyasında virtual mühitlər “kameralar” adlanır (hüceyrə, həbsxana kontekstində). Kameranın içərisində sistem performans göstərən tək prosessorlu serverə bənzəyir xüsusi CPU nüvəsinin performansına. Kamera ixtiyari əməliyyat sisteminin mühitini, eləcə də real vaxt problemlərini həll etmək üçün nəzərdə tutulmuş bir tətbiqi və ya xüsusi hazırlanmış fərdi proqramları işə salmaq üçün ayrılmış mühitləri işlədə bilər. Konfiqurasiya quraşdırılıb CPU, yaddaş bölgələri və ətraf mühitə ayrılmış giriş/çıxış portlarını müəyyən edən .
Yeni buraxılışda
- Raspberry Pi 4 Model B və Texas Instruments J721E-EVM platformaları üçün əlavə dəstək;
- hüceyrələr arasında qarşılıqlı əlaqəni təşkil etmək üçün istifadə edilən ivshmem cihazı. Yeni ivshmemin üstündə, VIRTIO üçün nəqliyyat həyata keçirə bilərsiniz;
- Zəifliyi bloklamaq üçün böyük yaddaş səhifələrinin (böyük səhifə) yaradılmasını söndürmək imkanı həyata keçirilib. imtiyazsız təcavüzkarın sistemin “Maşın Yoxlama Xətası” vəziyyətində dayanması ilə nəticələnən xidmətdən imtina etməyə başlamağa imkan verən Intel prosessorlarında;
- ARM64 prosessorlu sistemlər üçün SMMUv3 (Sistem Yaddaşının İdarə Olunması Vahidi) və TI PVU (Periferik Virtuallaşdırma Vahidi) dəstəyi həyata keçirilir. Aparat üzərində işləyən təcrid olunmuş mühitlər üçün PCI dəstəyi əlavə edilmişdir (çılpaq metal);
- Kök kameralar üçün x86 sistemlərində, SGDT, SLDT, SIDT kimi müəyyən təlimatların istifadəçi məkanında icrasını qadağan etməyə imkan verən Intel prosessorları tərəfindən təmin edilən CR4.UMIP (İstifadəçi rejimi təlimatlarının qarşısının alınması) rejimini aktivləşdirmək mümkündür. , Hücumlarda istifadə edilə bilən SMSW və STR sistemdə imtiyazların artırılmasına yönəlib.
Mənbə: opennet.ru