společnost Siemens bezplatné uvolnění hypervizoru . Hypervisor podporuje systémy x86_64 s rozšířeními VMX+EPT nebo SVM+NPT (AMD-V) a také procesory ARMv7 a ARMv8/ARM64 s virtualizačními rozšířeními. Odděleně generátor obrázků pro hypervizor Jailhouse, generovaný na základě balíčků Debianu pro podporovaná zařízení. Kód projektu pod licencí GPLv2.
Hypervisor je implementován jako modul pro linuxové jádro a poskytuje virtualizaci na úrovni jádra. Komponenty pro hostující systémy jsou již součástí hlavního linuxového jádra. Ke správě izolace se používají mechanismy hardwarové virtualizace poskytované moderními CPU. Charakteristickými rysy Jailhouse jsou jeho odlehčená implementace a zaměření na vazbu virtuálních strojů na pevný CPU, oblast RAM a hardwarová zařízení. Tento přístup umožňuje jednomu fyzickému víceprocesorovému serveru podporovat provoz několika nezávislých virtuálních prostředí, z nichž každé je přiřazeno k vlastnímu jádru procesoru.
Díky těsné vazbě na CPU je režie hypervizoru minimalizována a jeho implementace je výrazně zjednodušena, protože není potřeba spouštět složitý plánovač alokace zdrojů - alokace samostatného jádra CPU zajišťuje, že na tomto CPU nebudou vykonávány žádné další úlohy. . Výhodou tohoto přístupu je možnost poskytnout garantovaný přístup ke zdrojům a předvídatelný výkon, což z Jailhouse dělá vhodné řešení pro vytváření úloh prováděných v reálném čase. Nevýhodou je omezená škálovatelnost, omezená počtem jader CPU.
V terminologii věznice se virtuální prostředí nazývají „kamery“ (buňka v kontextu věznice). Uvnitř kamery systém vypadá jako jednoprocesorový server, který ukazuje výkon na výkon dedikovaného jádra CPU. Kamera může provozovat prostředí libovolného operačního systému, stejně jako ořezaná prostředí pro běh jedné aplikace nebo speciálně připravené jednotlivé aplikace určené k řešení problémů v reálném čase. Konfigurace je nastavena , které určují CPU, oblasti paměti a I/O porty přidělené prostředí.
V novém vydání
- Přidána podpora pro platformy Raspberry Pi 4 Model B a Texas Instruments J721E-EVM;
- ivshmem zařízení používané k organizaci interakce mezi buňkami. Kromě nového ivshmem můžete implementovat transport pro VIRTIO;
- Implementována možnost zakázat vytváření velkých stránek paměti (obrovská stránka), aby se zranitelnost zablokovala v procesorech Intel, což umožňuje neprivilegovanému útočníkovi zahájit odmítnutí služby, což má za následek zablokování systému ve stavu „Chyba kontroly počítače“;
- Pro systémy s procesory ARM64 je implementována podpora SMMUv3 (System Memory Management Unit) a TI PVU (Peripheral Virtualization Unit). Byla přidána podpora PCI pro izolovaná prostředí běžící nad hardwarem (holý kov);
- Na systémech x86 pro kořenové kamery je možné povolit režim CR4.UMIP (User-Mode Instruction Prevention) poskytovaný procesory Intel, který umožňuje zakázat provádění určitých instrukcí v uživatelském prostoru, jako jsou SGDT, SLDT, SIDT. , SMSW a STR, které lze použít při útocích zaměřených na zvýšení oprávnění v systému.
Zdroj: opennet.ru