Kompanija Siemens besplatno izdanje hipervizora . Hipervizor podržava x86_64 sisteme sa VMX+EPT ili SVM+NPT (AMD-V) ekstenzijama, kao i ARMv7 i ARMv8/ARM64 procesore sa ekstenzijama za virtuelizaciju. Odvojeno generator slika za hipervizor Jailhouse, generiran na temelju Debian paketa za podržane uređaje. Šifra projekta licenciran pod GPLv2.
Hipervizor je implementiran kao modul za Linux kernel i pruža virtuelizaciju na nivou kernela. Komponente za gostujuće sisteme su već uključene u glavni Linux kernel. Za upravljanje izolacijom koriste se mehanizmi hardverske virtuelizacije koje pružaju moderni CPU. Prepoznatljive karakteristike Jailhouse-a su njegova lagana implementacija i fokus na vezivanje virtuelnih mašina za fiksni CPU, RAM područje i hardverske uređaje. Ovaj pristup omogućava jednom fizičkom višeprocesorskom serveru da podrži rad nekoliko nezavisnih virtuelnih okruženja, od kojih je svako dodeljeno sopstvenom procesorskom jezgru.
Uz čvrstu vezu sa CPU-om, opterećenje hipervizora je minimizirano i njegova implementacija je značajno pojednostavljena, budući da nema potrebe za pokretanjem složenog planera raspodjele resursa - dodjela posebnog CPU jezgra osigurava da se na ovom CPU-u ne izvršavaju drugi zadaci . Prednost ovog pristupa je mogućnost obezbjeđenja zagarantovanog pristupa resursima i predvidljivih performansi, što Jailhouse čini pogodnim rešenjem za kreiranje zadataka koji se obavljaju u realnom vremenu. Loša strana je ograničena skalabilnost, ograničena brojem CPU jezgara.
U terminologiji zatvorske kuće, virtuelna okruženja se nazivaju “kamere” (ćelija, u kontekstu zatvorske kuće). Unutar kamere, sistem izgleda kao server sa jednim procesorom koji pokazuje performanse na performanse namjenskog CPU jezgra. Kamera može da pokreće okruženje proizvoljnog operativnog sistema, kao i smanjena okruženja za pokretanje jedne aplikacije ili posebno pripremljene pojedinačne aplikacije dizajnirane da rešavaju probleme u realnom vremenu. Konfiguracija je postavljena , koji određuju CPU, memorijske regije i I/O portove dodijeljene okruženju.
U novom izdanju
- Dodata podrška za Raspberry Pi 4 Model B i Texas Instruments J721E-EVM platforme;
- ivshmem uređaj koji se koristi za organizaciju interakcije između ćelija. Povrh novog ivshmem-a, možete implementirati transport za VIRTIO;
- Implementirana je mogućnost onemogućavanja kreiranja velikih memorijskih stranica (hugepage) kako bi se blokirala ranjivost u Intelovim procesorima, što omogućava neprivilegovanom napadaču da započne uskraćivanje usluge što dovodi do zastoja sistema u stanju „Machine Check Error“;
- Za sisteme sa ARM64 procesorima implementirana je podrška za SMMUv3 (System Memory Management Unit) i TI PVU (Peripheral Virtualization Unit). Dodata je PCI podrška za izolovana okruženja koja rade na hardveru (goli metal);
- Na x86 sistemima za root kamere, moguće je omogućiti CR4.UMIP (User-Mode Instruction Prevention) način rada koji pružaju Intel procesori, koji vam omogućava da zabranite izvršavanje određenih instrukcija u korisničkom prostoru, kao što su SGDT, SLDT, SIDT , SMSW i STR, koji se mogu koristiti u napadima, čiji je cilj povećanje privilegija u sistemu.
izvor: opennet.ru