Siemens nga kompanya libre nga pagpagawas sa hypervisor . Gisuportahan sa hypervisor ang mga sistema sa x86_64 nga adunay mga extension sa VMX + EPT o SVM + NPT (AMD-V), ingon man mga processor sa ARMv7 ug ARMv8 / ARM64 nga adunay mga extension sa virtualization. Gilain generator sa imahe alang sa hypervisor sa Jailhouse, nga gihimo base sa mga pakete sa Debian alang sa gisuportahan nga mga aparato. Kodigo sa proyekto lisensyado ubos sa GPLv2.
Ang hypervisor gipatuman isip module para sa Linux kernel ug naghatag og virtualization sa kernel level. Ang mga sangkap alang sa mga sistema sa bisita gilakip na sa panguna nga kernel sa Linux. Aron madumala ang pag-inusara, gigamit ang mga mekanismo sa virtualization sa hardware nga gihatag sa mga modernong CPU. Ang mga lahi nga bahin sa Jailhouse mao ang gaan nga pagpatuman niini ug nagpunting sa pagbugkos sa mga virtual machine sa usa ka pirmi nga CPU, lugar sa RAM ug mga aparato sa hardware. Kini nga pamaagi nagtugot sa usa ka pisikal nga multiprocessor server nga suportahan ang operasyon sa daghang mga independente nga virtual nga palibot, nga ang matag usa gi-assign sa kaugalingon nga core sa processor.
Uban sa usa ka hugot nga sumpay sa CPU, ang overhead sa hypervisor gipamubu ug ang pagpatuman niini gipayano kaayo, tungod kay dili kinahanglan nga magpadagan sa usa ka komplikado nga iskedyul sa alokasyon sa kapanguhaan - ang paggahin sa usa ka bulag nga CPU core nagsiguro nga walaβy ubang mga buluhaton nga gipatuman sa kini nga CPU . Ang bentaha niini nga pamaagi mao ang abilidad sa paghatag og garantiya nga pag-access sa mga kapanguhaan ug matag-an nga pasundayag, nga naghimo sa Jailhouse nga usa ka angay nga solusyon alang sa paghimo sa mga buluhaton nga gihimo sa tinuud nga oras. Ang downside mao ang limitado nga scalability, limitado sa gidaghanon sa CPU cores.
Sa terminolohiya sa Jailhouse, ang mga virtual nga palibot gitawag nga "mga camera" (selula, sa konteksto sa jailhouse). Sa sulod sa camera, ang sistema morag usa ka single-processor server nga nagpakita sa performance sa paghimo sa usa ka gipahinungod nga CPU core. Ang kamera mahimong magpadagan sa palibot sa usa ka arbitraryong operating system, ingon man usab sa mga hubo nga palibot alang sa pagpadagan sa usa ka aplikasyon o espesyal nga giandam nga indibidwal nga mga aplikasyon nga gidisenyo aron masulbad ang mga problema sa tinuud nga oras. Gibutang ang configuration , nga nagtino sa CPU, memory regions, ug I/O ports nga gigahin sa environment.
Sa bag-ong pagpagawas
- Gidugang nga suporta alang sa Raspberry Pi 4 Model B ug Texas Instruments J721E-EVM nga mga plataporma;
- ivshmem device nga gigamit sa pag-organisar sa interaksyon tali sa mga selula. Sa ibabaw sa bag-ong ivshmem, mahimo nimong ipatuman ang usa ka transportasyon alang sa VIRTIO;
- Gipatuman ang abilidad sa pag-disable sa paghimo sa dagkong mga panid sa panumduman (dakong panid) aron babagan ang pagkahuyang sa mga processor sa Intel, nga nagtugot sa usa ka walay pribilehiyo nga tig-atake sa pagsugod sa usa ka pagdumili sa serbisyo nga miresulta sa usa ka sistema nga nagbitay sa "Machine Check Error" nga estado;
- Alang sa mga sistema nga adunay mga processor sa ARM64, gipatuman ang suporta alang sa SMMUv3 (System Memory Management Unit) ug TI PVU (Peripheral Virtualization Unit). Ang suporta sa PCI gidugang alang sa nahilit nga mga palibot nga nagdagan sa ibabaw sa hardware (bare-metal);
- Sa mga sistema sa x86 alang sa mga root camera, posible nga ma-enable ang CR4.UMIP (User-Mode Instruction Prevention) mode nga gihatag sa Intel processors, nga nagtugot kanimo sa pagdili sa pagpatuman sa pipila ka mga instruksyon sa user space, sama sa SGDT, SLDT, SIDT , SMSW ug STR, nga mahimong magamit sa mga pag-atake, nga nagtumong sa pagdugang sa mga pribilehiyo sa sistema.
Source: opennet.ru