Фирма Сименс безплатно освобождаване на хипервизор . Хипервайзорът поддържа x86_64 системи с VMX+EPT или SVM+NPT (AMD-V) разширения, както и процесори ARMv7 и ARMv8/ARM64 с разширения за виртуализация. Отделно генератор на изображения за хипервайзора на Jailhouse, генериран въз основа на пакети на Debian за поддържани устройства. Код на проекта лицензиран под GPLv2.
Хипервайзорът е реализиран като модул за Linux ядрото и осигурява виртуализация на ниво ядро. Компонентите за системи за гости вече са включени в основното ядро на Linux. За управление на изолацията се използват механизмите за хардуерна виртуализация, предоставени от съвременните процесори. Отличителни черти на Jailhouse са неговата олекотена реализация и фокусът върху обвързването на виртуални машини към фиксиран процесор, RAM област и хардуерни устройства. Този подход позволява на един физически мултипроцесорен сървър да поддържа работата на няколко независими виртуални среди, всяка от които е присвоена на собствено процесорно ядро.
С тясна връзка с процесора, натоварването на хипервайзора е сведено до минимум и внедряването му е значително опростено, тъй като няма нужда да се изпълнява сложен планировчик за разпределение на ресурси - разпределянето на отделно ядро на процесора гарантира, че няма други задачи, които да се изпълняват на този процесор . Предимството на този подход е възможността за осигуряване на гарантиран достъп до ресурси и предвидима производителност, което прави Jailhouse подходящо решение за създаване на задачи, изпълнявани в реално време. Недостатъкът е ограничената мащабируемост, ограничена от броя на процесорните ядра.
В терминологията на затвора виртуалните среди се наричат „камери“ (клетка, в контекста на затвора). Вътре в камерата системата изглежда като еднопроцесорен сървър, показващ производителност към производителността на специално ядро на процесора. Камерата може да изпълнява среда на произволна операционна система, както и съкратени среди за стартиране на едно приложение или специално подготвени индивидуални приложения, предназначени за решаване на проблеми в реално време. Конфигурацията е зададена , които определят процесора, регионите на паметта и I/O портовете, разпределени за средата.
В новото издание
- Добавена е поддръжка за Raspberry Pi 4 Model B и Texas Instruments J721E-EVM платформи;
- ivshmem устройство, използвано за организиране на взаимодействието между клетките. На върха на новия ivshmem можете да внедрите транспорт за VIRTIO;
- Въведена е възможност за деактивиране на създаването на големи страници с памет (hugepage), за да се блокира уязвимостта в процесори на Intel, което позволява на непривилегирован атакуващ да инициира отказ на услуга, което води до блокиране на системата в състояние „Грешка при проверка на машината“;
- За системи с ARM64 процесори е внедрена поддръжка за SMMUv3 (System Memory Management Unit) и TI PVU (Peripheral Virtualization Unit). Добавена е PCI поддръжка за изолирани среди, работещи върху хардуер (голи метал);
- На x86 системи за основни камери е възможно да се активира режимът CR4.UMIP (User-Mode Instruction Prevention), предоставен от процесорите на Intel, който ви позволява да забраните изпълнението в потребителското пространство на определени инструкции, като SGDT, SLDT, SIDT , SMSW и STR, които могат да се използват при атаки, насочени към увеличаване на привилегиите в системата.
Източник: opennet.ru