Cumpagnia Siemens liberazione di ipervisore gratuitu . L'ipervisore supporta i sistemi x86_64 cù estensioni VMX + EPT o SVM + NPT (AMD-V), è ancu i processori ARMv7 è ARMv8 / ARM64 cù estensioni di virtualizazione. Separatamente generatore d'imaghjini per l'hypervisor Jailhouse, generatu basatu nantu à i pacchetti Debian per i dispositi supportati. Codice di prughjettu licenziatu sottu GPLv2.
L'ipervisore hè implementatu cum'è un modulu per u kernel Linux è furnisce a virtualizazione à u livellu di u kernel. I cumpunenti per i sistemi invitati sò digià inclusi in u kernel Linux principale. Per gestisce l'isolamentu, i meccanismi di virtualizazione hardware furniti da CPU muderni sò usati. E caratteristiche distintive di Jailhouse sò a so implementazione ligera è fucalizza nantu à ubligatoriu di macchine virtuali à una CPU fissa, una zona RAM è dispositivi hardware. Stu approcciu permette à un servore fisicu multiprocessore per sustene l'operazione di parechji ambienti virtuali indipendenti, ognuna di e quali hè attribuita à u so core di processore.
Cù un ligame strettu à u CPU, l'overhead di l'ipervisore hè minimizatu è a so implementazione hè significativamente simplificata, postu chì ùn ci hè bisognu di eseguisce un pianificatore cumplessu di risorsa allocazione - l'assignazione di un core CPU separatu assicura chì nisuna altra attività hè eseguita nantu à questa CPU. . U vantaghju di questu approcciu hè a capacità di furnisce l'accessu garantitu à e risorse è un rendimentu prevedibile, chì face Jailhouse una soluzione adatta per creà attività realizate in tempu reale. U svantaghju hè una scalabilità limitata, limitata da u numeru di core CPU.
In a terminologia di Jailhouse, l'ambienti virtuali sò chjamati "camere" (cellula, in u cuntestu di a prigiò). Dentru a camera, u sistema s'assumiglia à un servitore unicu processatore chì mostra prestazioni à a prestazione di un core CPU dedicatu. A camera pò eseguisce l'ambiente di un sistema operativu arbitrariu, è ancu ambienti spogliati per eseguisce una sola applicazione o appiicazioni individuali preparate apposta per risolve i prublemi in tempu reale. A cunfigurazione hè stallata , chì determinanu u CPU, e regioni di memoria è i porti I/O attribuiti à l'ambiente.
In a nova versione
- Aghjunghje supportu per e plataforme Raspberry Pi 4 Model B è Texas Instruments J721E-EVM;
- Dispositivo ivshmem utilizatu per urganizà l'interazzione trà e cellule. In cima à u novu ivshmem, pudete implementà un trasportu per VIRTIO;
- Implementatu a capacità di disattivà a creazione di grandi pagine di memoria (hugepage) per bluccà a vulnerabilità in i prucessori Intel, chì permette à un attaccu senza privilege di inizià una denegazione di serviziu chì risultatu in un sistema hang in u statu "Machine Check Error";
- Per i sistemi cù processori ARM64, u supportu per SMMUv3 (System Memory Management Unit) è TI PVU (Peripheral Virtualization Unit) hè implementatu. U supportu PCI hè statu aghjuntu per ambienti isolati chì currenu nantu à u hardware (bare-metal);
- Nantu à i sistemi x86 per e camere di root, hè pussibule attivà u CR4.UMIP (User-Mode Instruction Prevention) furnitu da i prucessori Intel, chì permette di pruibisce l'esekzione in u spaziu di l'utilizatori di certe struzzioni, cum'è SGDT, SLDT, SIDT. , SMSW è STR, chì ponu esse utilizati in attacchi , destinati à aumentà i privilegi in u sistema.
Source: opennet.ru