Siemens firma gratis hypervisor-udgivelse . Hypervisoren understøtter x86_64-systemer med VMX+EPT eller SVM+NPT (AMD-V) udvidelser, samt ARMv7 og ARMv8/ARM64 processorer med virtualiseringsudvidelser. Separat billedgenerator til Jailhouse hypervisor, genereret baseret på Debian-pakker til understøttede enheder. Projektkode licenseret under GPLv2.
Hypervisoren er implementeret som et modul til Linux-kernen og giver virtualisering på kerneniveau. Komponenter til gæstesystemer er allerede inkluderet i Linux-hovedkernen. For at styre isolation bruges hardwarevirtualiseringsmekanismerne fra moderne CPU'er. Karakteristiske træk ved Jailhouse er dens lette implementering og fokus på at binde virtuelle maskiner til en fast CPU, RAM-område og hardwareenheder. Denne tilgang tillader en fysisk multiprocessorserver at understøtte driften af flere uafhængige virtuelle miljøer, som hver er tildelt sin egen processorkerne.
Med en tæt forbindelse til CPU'en minimeres hypervisorens overhead, og implementeringen af den er væsentligt forenklet, da der ikke er behov for at køre en kompleks ressourceallokeringsplanlægger - allokering af en separat CPU-kerne sikrer, at ingen andre opgaver udføres på denne CPU . Fordelen ved denne tilgang er evnen til at give garanteret adgang til ressourcer og forudsigelig ydeevne, hvilket gør Jailhouse til en passende løsning til at skabe opgaver udført i realtid. Ulempen er begrænset skalerbarhed, begrænset af antallet af CPU-kerner.
I Jailhouse-terminologi kaldes virtuelle miljøer "kameraer" (celle, i jailhouse-sammenhæng). Inde i kameraet ligner systemet en server med én processor, der viser ydeevne til ydeevnen af en dedikeret CPU-kerne. Kameraet kan køre miljøet i et vilkårligt operativsystem, såvel som afslørede miljøer til at køre en applikation eller specielt forberedte individuelle applikationer designet til at løse problemer i realtid. Konfigurationen er sat i , som bestemmer CPU, hukommelsesregioner og I/O-porte, der er allokeret til miljøet.
I den nye udgivelse
- Tilføjet understøttelse af Raspberry Pi 4 Model B og Texas Instruments J721E-EVM platforme;
- ivshmem enhed, der bruges til at organisere interaktion mellem celler. Oven i det nye ivshmem kan du implementere en transport til VIRTIO;
- Implementeret muligheden for at deaktivere oprettelsen af store hukommelsessider (hugepage) for at blokere sårbarheden i Intel-processorer, som tillader en uprivilegeret angriber at starte et lammelsesangreb, hvilket resulterer i, at et system hænger i tilstanden "Machine Check Error";
- For systemer med ARM64-processorer er understøttelse af SMMUv3 (System Memory Management Unit) og TI PVU (Peripheral Virtualization Unit) implementeret. PCI-understøttelse er blevet tilføjet til isolerede miljøer, der kører oven på hardware (bare-metal);
- På x86-systemer til root-kameraer er det muligt at aktivere CR4.UMIP-tilstanden (User-Mode Instruction Prevention) leveret af Intel-processorer, som giver dig mulighed for at forbyde udførelse i brugerrummet af visse instruktioner, såsom SGDT, SLDT, SIDT , SMSW og STR, som kan bruges i angreb, med det formål at øge privilegier i systemet.
Kilde: opennet.ru