Siemensi ettevõte tasuta hüperviisori vabastamine . Hüpervisor toetab x86_64 süsteeme VMX+EPT või SVM+NPT (AMD-V) laiendustega, samuti ARMv7 ja ARMv8/ARM64 protsessoreid virtualiseerimislaienditega. Eraldi pildigeneraator Jailhouse hüpervisori jaoks, mis on loodud toetatud seadmete jaoks mõeldud Debiani pakettide põhjal. Projekti kood litsentsitud GPLv2 alusel.
Hüperviisor on rakendatud Linuxi kerneli moodulina ja pakub virtualiseerimist kerneli tasemel. Külalissüsteemide komponendid on juba Linuxi põhikernelis. Isolatsiooni haldamiseks kasutatakse kaasaegsete protsessorite pakutavaid riistvara virtualiseerimismehhanisme. Jailhouse'i eripäraks on selle kerge rakendamine ja keskendumine virtuaalmasinate sidumisele fikseeritud protsessori, RAM-i ala ja riistvaraseadmetega. Selline lähenemine võimaldab ühel füüsilisel mitmeprotsessorilisel serveril toetada mitme sõltumatu virtuaalse keskkonna tööd, millest igaüks on määratud oma protsessorituumale.
Tänu CPU-ga tihedale lingile on hüperviisori ülekoormus minimaalne ja selle rakendamine on oluliselt lihtsustatud, kuna pole vaja käivitada keerulist ressursside jaotamise ajakava - eraldi CPU tuuma eraldamine tagab, et sellel CPU-l ei täideta muid toiminguid . Selle lähenemise eeliseks on võimalus tagada garanteeritud juurdepääs ressurssidele ja prognoositav jõudlus, mis teeb Jailhouse'ist sobiva lahenduse reaalajas täidetavate ülesannete loomiseks. Negatiivne külg on piiratud skaleeritavus, mida piirab protsessori tuumade arv.
Vanglaterminoloogias nimetatakse virtuaalseid keskkondi “kaamerateks” (vanglakontekstis rakk). Kaamera sees näeb süsteem välja nagu ühe protsessoriga server, mis näitab jõudlust spetsiaalse CPU tuuma jõudlusele. Kaamera võib käivitada nii suvalise operatsioonisüsteemi keskkonda kui ka ühe rakenduse või spetsiaalselt ettevalmistatud üksikrakendusi, mis on loodud reaalajas probleemide lahendamiseks. Konfiguratsioon on sisse seatud , mis määravad keskkonnale eraldatud protsessori, mälupiirkonnad ja I/O-pordid.
Uues väljaandes
- Lisatud tugi Raspberry Pi 4 Model B ja Texas Instruments J721E-EVM platvormidele;
- ivshmem seade, mida kasutatakse rakkudevahelise interaktsiooni korraldamiseks. Lisaks uuele ivshmemile saate rakendada transpordi VIRTIO jaoks;
- Haavatavuse blokeerimiseks on rakendatud võimalus keelata suurte mälulehtede (suurte lehtede) loomine Inteli protsessorites, mis võimaldab privilegeerimata ründajal algatada teenuse keelamise, mille tulemuseks on süsteemi hange olekus "Machine Check Error";
- ARM64 protsessoritega süsteemide puhul on juurutatud SMMUv3 (System Memory Management Unit) ja TI PVU (Peripheral Virtualization Unit) tugi. Lisatud on PCI tugi isoleeritud keskkondadele, mis töötavad riistvara peal (paljas metall);
- Juurkaamerate x86 süsteemides on võimalik lubada Inteli protsessorite pakutavat režiimi CR4.UMIP (User-Mode Instruction Prevention), mis võimaldab keelata kasutajaruumis teatud käskude (nt SGDT, SLDT, SIDT) täitmise. , SMSW ja STR, mida saab kasutada rünnakutes , mille eesmärk on suurendada privileege süsteemis.
Allikas: opennet.ru