Siemens konpainia hipervisor doakoa askatzea . Hipervisorak x86_64 sistemak onartzen ditu VMX+EPT edo SVM+NPT (AMD-V) luzapenekin, baita birtualizazio luzapenekin ARMv7 eta ARMv8/ARM64 prozesadoreak ere. Bereiz Jailhouse hipervisorerako irudi-sorgailua, onartzen diren gailuetarako Debian paketeetan oinarrituta sortutakoa. Proiektuaren kodea GPLv2 lizentziapean.
Hipervisoria Linux nukleorako modulu gisa inplementatzen da eta birtualizazioa eskaintzen du nukleo mailan. Sistema gonbidatuentzako osagaiak dagoeneko sartuta daude Linux nukleo nagusian. Isolamendua kudeatzeko, CPU modernoek eskaintzen dituzten hardware birtualizazio mekanismoak erabiltzen dira. Jailhouse-ren ezaugarri bereizgarriak bere inplementazio arina dira eta makina birtualak CPU finko batera, RAM eremura eta hardware gailuetara lotzean oinarritzen dira. Ikuspegi honi esker, prozesadore anitzeko zerbitzari fisiko batek hainbat ingurune birtual independenteren funtzionamendua onartzen du, eta horietako bakoitza bere prozesadore-nukleoari esleitzen zaio.
PUZarekin lotura estuarekin, hipervisorearen gainkostua gutxitu egiten da eta bere inplementazioa nabarmen sinplifikatu egiten da, ez baita baliabideen esleipen-planifikatzaile konplexurik exekutatu beharrik - PUZaren nukleo bereizia esleitzeak PUZ honetan beste zereginik ez dela exekutatzen ziurtatzen du. . Ikuspegi honen abantaila baliabideetarako sarbidea bermatua eta aurreikus daitekeen errendimendua eskaintzeko gaitasuna da, eta horrek Jailhouse irtenbide egokia bihurtzen du denbora errealean egindako zereginak sortzeko. Alde txarra eskalagarritasun mugatua da, PUZaren nukleo kopuruak mugatuta.
Jailhouse terminologian, ingurune birtualei "kamera" deitzen zaie (zelula, kartzela testuinguruan). Kameraren barruan, sistemak errendimendua erakusten duen prozesadore bakarreko zerbitzari baten itxura du PUZaren nukleo dedikatu baten errendimenduari. Kamerak sistema eragile arbitrario baten ingurunea exekutatu dezake, baita aplikazio bat exekutatzeko ingurune txikiak edo denbora errealeko arazoak konpontzeko bereziki prestatutako aplikazio indibidualak ere. Konfigurazioa ezarrita dago , inguruneari esleitutako CPU, memoria-eskualde eta I/O atakak zehazten dituena.
Argitalpen berrian
- Raspberry Pi 4 Model B eta Texas Instruments J721E-EVM plataformetarako laguntza gehitu da;
- Zelulen arteko elkarrekintza antolatzeko erabiltzen den ivshmem gailua. Ivshmem berriaren gainean, VIRTIOrako garraio bat ezar dezakezu;
- Ahultasuna blokeatzeko memoria-orri handien (hugepage) sortzea desgaitzeko gaitasuna inplementatu da Intel prozesadoreetan, eta horri esker, pribilegiorik gabeko erasotzaile bati zerbitzu-ukatze bat abiarazteko sistema zintzilikatu da "Machine Check Error" egoeran;
- ARM64 prozesadoreak dituzten sistemetarako, SMMUv3 (System Memory Management Unit) eta TI PVU (Peripheral Virtualization Unit) laguntza ezartzen da. PCI euskarria gehitu da hardwarearen gainean exekutatzen diren ingurune isolatuetarako (bare-metal);
- Erro-kameretarako x86 sistemetan, Intel prozesadoreek eskaintzen duten CR4.UMIP (User-Mode Instruction Prevention) modua gaitzea posible da, eta horri esker, erabiltzaileen espazioan zenbait argibideren exekuzioa debekatu dezakezu, hala nola SGDT, SLDT, SIDT. , SMSW eta STR, erasoetan erabil daitezkeenak, sisteman pribilegioak handitzera zuzenduta.
Iturria: opennet.ru