empresa siemens lanzamiento gratuito de hipervisor . El hipervisor admite sistemas x86_64 con extensiones VMX+EPT o SVM+NPT (AMD-V), así como procesadores ARMv7 y ARMv8/ARM64 con extensiones de virtualización. Por separado Generador de imágenes para el hipervisor Jailhouse, generado en base a paquetes Debian para dispositivos compatibles. Código de proyecto licenciado bajo GPLv2.
El hipervisor se implementa como un módulo para el kernel de Linux y proporciona virtualización a nivel del kernel. Los componentes para sistemas invitados ya están incluidos en el kernel principal de Linux. Para gestionar el aislamiento se utilizan los mecanismos de virtualización de hardware que proporcionan las CPU modernas. Las características distintivas de Jailhouse son su implementación liviana y su enfoque en vincular máquinas virtuales a una CPU fija, área de RAM y dispositivos de hardware. Este enfoque permite que un servidor multiprocesador físico admita el funcionamiento de varios entornos virtuales independientes, cada uno de los cuales está asignado a su propio núcleo de procesador.
Con un vínculo estrecho con la CPU, la sobrecarga del hipervisor se minimiza y su implementación se simplifica significativamente, ya que no hay necesidad de ejecutar un programador de asignación de recursos complejo: la asignación de un núcleo de CPU separado garantiza que no se ejecuten otras tareas en esta CPU. . La ventaja de este enfoque es la capacidad de proporcionar acceso garantizado a los recursos y un rendimiento predecible, lo que convierte a Jailhouse en una solución adecuada para crear tareas realizadas en tiempo real. La desventaja es la escalabilidad limitada, limitada por la cantidad de núcleos de CPU.
En la terminología carcelaria, los entornos virtuales se denominan “cámaras” (celda, en el contexto carcelario). Dentro de la cámara, el sistema parece un servidor de un solo procesador que muestra el rendimiento. al rendimiento de un núcleo de CPU dedicado. La cámara puede ejecutar el entorno de un sistema operativo arbitrario, así como entornos simplificados para ejecutar una aplicación o aplicaciones individuales especialmente preparadas diseñadas para resolver problemas en tiempo real. La configuración se establece en , que determinan la CPU, las regiones de memoria y los puertos de E/S asignados al entorno.
En la nueva versión
- Se agregó soporte para las plataformas Raspberry Pi 4 Modelo B y Texas Instruments J721E-EVM;
- Dispositivo ivshmem utilizado para organizar la interacción entre células. Además del nuevo ivshmem, puedes implementar un transporte para VIRTIO;
- Se implementó la capacidad de deshabilitar la creación de páginas de memoria grandes (hugepage) para bloquear la vulnerabilidad. en procesadores Intel, que permite a un atacante sin privilegios iniciar una denegación de servicio, lo que provoca que el sistema se cuelgue en el estado "Error de comprobación de la máquina";
- Para sistemas con procesadores ARM64, se implementa soporte para SMMUv3 (Unidad de administración de memoria del sistema) y TI PVU (Unidad de virtualización periférica). Se ha agregado compatibilidad con PCI para entornos aislados que se ejecutan sobre hardware (bare-metal);
- En sistemas x86 para cámaras raíz, es posible habilitar el modo CR4.UMIP (Prevención de instrucciones en modo de usuario) proporcionado por los procesadores Intel, que permite prohibir la ejecución en el espacio del usuario de ciertas instrucciones, como SGDT, SLDT, SIDT. , SMSW y STR, que pueden usarse en ataques destinados a aumentar los privilegios en el sistema.
Fuente: opennet.ru