empresa Siemens llançament gratuït de l'hipervisor . L'hipervisor admet sistemes x86_64 amb extensions VMX+EPT o SVM+NPT (AMD-V), així com processadors ARMv7 i ARMv8/ARM64 amb extensions de virtualització. Per separat generador d'imatges per a l'hipervisor Jailhouse, generat a partir de paquets Debian per a dispositius compatibles. Codi del projecte amb llicència GPLv2.
L'hipervisor s'implementa com a mòdul per al nucli de Linux i proporciona virtualització a nivell de nucli. Els components per als sistemes convidats ja estan inclosos al nucli principal de Linux. Per gestionar l'aïllament, s'utilitzen els mecanismes de virtualització de maquinari que proporcionen les CPU modernes. Les característiques distintives de Jailhouse són la seva implementació lleugera i se centren a vincular màquines virtuals a una CPU fixa, una àrea de RAM i dispositius de maquinari. Aquest enfocament permet que un servidor físic multiprocessador suporti el funcionament de diversos entorns virtuals independents, cadascun dels quals està assignat al seu propi nucli de processador.
Amb un enllaç estret a la CPU, la sobrecàrrega de l'hipervisor es minimitza i la seva implementació es simplifica significativament, ja que no cal executar un programador d'assignació de recursos complex; l'assignació d'un nucli de CPU independent garanteix que no s'executi cap altra tasca en aquesta CPU. . L'avantatge d'aquest enfocament és la capacitat de proporcionar accés garantit als recursos i un rendiment previsible, fet que fa de Jailhouse una solució adequada per crear tasques realitzades en temps real. L'inconvenient és l'escalabilitat limitada, limitada pel nombre de nuclis de CPU.
En terminologia de la presó, els entorns virtuals s'anomenen "càmeres" (cèl·lula, en el context de la presó). Dins de la càmera, el sistema sembla un servidor d'un sol processador que mostra el rendiment al rendiment d'un nucli de CPU dedicat. La càmera pot executar l'entorn d'un sistema operatiu arbitrari, així com entorns reduïts per executar una aplicació o aplicacions individuals especialment preparades dissenyades per resoldre problemes en temps real. La configuració està establerta , que determinen la CPU, les regions de memòria i els ports d'E/S assignats a l'entorn.
A la nova versió
- S'ha afegit suport per a les plataformes Raspberry Pi 4 Model B i Texas Instruments J721E-EVM;
- dispositiu ivshmem utilitzat per organitzar la interacció entre cèl·lules. A més del nou ivshmem, podeu implementar un transport per a VIRTIO;
- S'ha implementat la capacitat de desactivar la creació de pàgines de memòria grans (hugepage) per bloquejar la vulnerabilitat en els processadors Intel, que permet que un atacant sense privilegis iniciï una denegació de servei que resulta en un bloqueig del sistema en l'estat "Error de comprovació de la màquina";
- Per als sistemes amb processadors ARM64, s'implementa el suport per a SMMUv3 (Unitat de gestió de memòria del sistema) i TI PVU (Unitat de virtualització perifèrica). S'ha afegit suport PCI per a entorns aïllats que s'executen sobre el maquinari (metall nu);
- На системах x86 для корневых камер реализована возможность включения предоставляемого процессорами Intel режима CR4.UMIP (User-Mode Instruction Prevention), позволяющего запретить выполнение в пространстве пользователя некоторых инструкций, таких как SGDT, SLDT, SIDT, SMSW и STR, которые могут применяться в атаках, нацеленных на повышение привилегий в системе.
Font: opennet.ru