Siemens kostenlose Hypervisor-Version . Der Hypervisor unterstützt x86_64-Systeme mit VMX+EPT- oder SVM+NPT-Erweiterungen (AMD-V) sowie ARMv7- und ARMv8/ARM64-Prozessoren mit Virtualisierungserweiterungen. Separat Bildgenerator für den Jailhouse-Hypervisor basierend auf Debian-Paketen für unterstützte Geräte. Projektnummer lizenziert unter GPLv2.
Der Hypervisor ist als Modul für den Linux-Kernel implementiert und sorgt für Virtualisierung auf Kernel-Ebene. Komponenten für Gastsysteme sind bereits im Haupt-Linux-Kernel enthalten. Das Isolationsmanagement nutzt Hardware-Virtualisierungsmechanismen, die von modernen CPUs bereitgestellt werden. Die Markenzeichen von Jailhouse sind seine leichte Implementierung und der Fokus auf die Bindung virtueller Maschinen an eine feste CPU, einen RAM-Bereich und Hardwaregeräte. Dieser Ansatz ermöglicht es einem physischen Multiprozessorserver, den Betrieb mehrerer unabhängiger virtueller Umgebungen sicherzustellen, von denen jede einem eigenen Prozessorkern zugeordnet ist.
Durch eine harte Bindung an die CPU wird der Overhead des Hypervisors minimiert und seine Implementierung erheblich vereinfacht, da kein komplexer Ressourcenzuweisungsplaner ausgeführt werden muss – die Zuweisung eines separaten CPU-Kerns stellt sicher, dass keine anderen Aufgaben ausgeführt werden diese CPU. Der Vorteil dieses Ansatzes ist die Möglichkeit, einen garantierten Zugriff auf Ressourcen und eine vorhersehbare Leistung bereitzustellen, was Jailhouse zu einer geeigneten Lösung für die Erstellung von Echtzeitaufgaben macht. Der Nachteil ist die eingeschränkte Skalierbarkeit, die durch die Anzahl der CPU-Kerne begrenzt ist.
In der Gefängnisterminologie werden virtuelle Umgebungen als „Kameras“ (im Kontext von Gefängniszellen Zellen) bezeichnet. Im Inneren der Kammer sieht das System wie ein Single-Socket-Server aus und zeigt Leistung zur Leistung eines dedizierten CPU-Kerns. Auf der Kamera kann eine beliebige Betriebssystemumgebung sowie verkürzte Umgebungen zum Ausführen einer Anwendung oder speziell vorbereitete Einzelanwendungen zur Lösung von Echtzeitaufgaben ausgeführt werden. Die Konfiguration ist eingestellt , die die der Umgebung zugewiesene CPU, Speicherbereiche und E/A-Ports bestimmen.
In der neuen Ausgabe
- Unterstützung für die Plattformen Raspberry Pi 4 Model B und Texas Instruments J721E-EVM hinzugefügt;
- ivshmem-Gerät zur Organisation der Interaktion zwischen Zellen. Zusätzlich zum neuen ivshmem können Sie einen Transport für VIRTIO implementieren;
- Es wurde die Möglichkeit implementiert, die Erstellung großer Speicherseiten (Hugepage) zu deaktivieren, um die Schwachstelle zu blockieren auf Intel-Prozessoren, die es einem unprivilegierten Angreifer ermöglicht, einen Denial-of-Service auszulösen, der dazu führt, dass das System im Status „Machine Check Error“ hängen bleibt;
- Für Systeme mit ARM64-Prozessoren ist die Unterstützung von SMMUv3 (System Memory Management Unit) und TI PVU (Peripheral Virtualization Unit) implementiert. Unterstützung für PCI für isolierte Umgebungen hinzugefügt, die auf Hardware (Bare-Metal) laufen;
- Auf x86-Systemen für Root-Kameras ist es möglich, den von Intel-Prozessoren bereitgestellten CR4.UMIP-Modus (User-Mode Instruction Prevention) zu aktivieren, der es Ihnen ermöglicht, die Ausführung einiger Anweisungen wie SGDT, SLDT, SIDT im Benutzerbereich zu verhindern , SMSW und STR, die bei Angriffen verwendet werden können, die darauf abzielen, die Privilegien im System zu erhöhen.
Source: opennet.ru