Siemens firmao senpaga hiperviziero-liberigo . La hiperviziero subtenas x86_64-sistemojn kun VMX+EPT aŭ SVM+NPT (AMD-V) etendaĵoj, same kiel ARMv7 kaj ARMv8/ARM64-procesoroj kun virtualigaj etendaĵoj. Aparte bildgeneratoro por la Jailhouse hiperviziero, generita surbaze de Debianaj pakaĵoj por subtenataj aparatoj. Projekta kodo licencita laŭ GPLv2.
La hiperviziero estas efektivigita kiel modulo por la Linukso-kerno kaj disponigas virtualigon ĉe la kernnivelo. Komponantoj por gastsistemoj jam estas inkluzivitaj en la ĉefa Linuksa kerno. Por administri izolitecon, la aparataj virtualigmekanismoj disponigitaj per modernaj CPUoj estas uzitaj. Karakterizaĵoj de Jailhouse estas ĝia malpeza efektivigo kaj fokuso pri ligado de virtualaj maŝinoj al fiksa CPU, RAM-areo kaj aparataro. Tiu aliro permesas al unu fizika plurprocesora servilo apogi la operacion de pluraj sendependaj virtualaj medioj, ĉiu el kiuj estas asignita al sia propra procesorkerno.
Kun malloza ligo al la CPU, la superrigardo de la hiperviziero estas minimumigita kaj ĝia efektivigo estas signife simpligita, ĉar ne necesas ruli kompleksan asignan planilon - asigni apartan CPU-kernon certigas, ke neniuj aliaj taskoj estas plenumitaj sur ĉi tiu CPU. . La avantaĝo de ĉi tiu aliro estas la kapablo provizi garantiitan aliron al rimedoj kaj antaŭvidebla agado, kio igas Jailhouse taŭga solvo por krei taskojn faritajn en reala tempo. La malavantaĝo estas limigita skaleblo, limigita per la nombro da CPU-kernoj.
En Jailhouse-terminologio, virtualaj medioj estas nomitaj "fotiloj" (ĉelo, en la prizonkunteksto). Ene de la fotilo, la sistemo aspektas kiel unu-procesora servilo montranta rendimenton al la agado de dediĉita CPU-kerno. La fotilo povas prizorgi la medion de arbitra operaciumo, same kiel nudigitajn mediojn por funkcii unu aplikaĵon aŭ speciale preparitajn individuajn aplikojn dizajnitajn por solvi realtempajn problemojn. La agordo estas agordita , kiuj determinas la CPU, memorregionojn, kaj I/O-havenojn asignitajn al la medio.
En la nova eldono
- Aldonita subteno por Raspberry Pi 4 Model B kaj Texas Instruments J721E-EVM platformoj;
- ivshmem-aparato uzata por organizi interagon inter ĉeloj. Krom la nova ivshmem, vi povas efektivigi transporton por VIRTIO;
- Efektivigis la kapablon malŝalti la kreadon de grandaj memorpaĝoj (grandega paĝo) por bloki la vundeblecon en Intel-procesoroj, kio permesas al senprivilegia atakanto iniciati servonion rezultigantan sistemon pendis en la stato "Machine Check Error";
- Por sistemoj kun ARM64-procesoroj, subteno por SMMUv3 (System Memory Management Unit) kaj TI PVU (Peripheral Virtualization Unit) estas efektivigita. PCI-subteno estis aldonita por izolitaj medioj, kiuj funkcias aldone al aparataro (nudmetala);
- Sur x86-sistemoj por radikaj fotiloj, eblas ebligi la reĝimon CR4.UMIP (User-Mode Instruction Prevention) provizitan de Intel-procesoroj, kiu ebligas al vi malpermesi la ekzekuton de certaj instrukcioj en uzantspaco, kiel SGDT, SLDT, SIDT. , SMSW kaj STR, kiuj povas esti uzataj en atakoj, celantaj pliigi privilegiojn en la sistemo.
fonto: opennet.ru