شرکت زیمنس انتشار هایپروایزر رایگان . Hypervisor از سیستمهای x86_64 با پسوندهای VMX+EPT یا SVM+NPT (AMD-V) و همچنین پردازندههای ARMv7 و ARMv8/ARM64 با پسوندهای مجازیسازی پشتیبانی میکند. بصورت جداگانه تولید کننده تصویر برای هایپروایزر Jailhouse، که بر اساس بسته های Debian برای دستگاه های پشتیبانی شده ایجاد شده است. کد پروژه تحت مجوز GPLv2.
Hypervisor به عنوان یک ماژول برای هسته لینوکس پیاده سازی شده و مجازی سازی را در سطح هسته ارائه می دهد. اجزای سیستم های مهمان از قبل در هسته اصلی لینوکس گنجانده شده اند. برای مدیریت جداسازی، از مکانیزمهای مجازیسازی سختافزاری که توسط CPUهای مدرن ارائه میشود، استفاده میشود. ویژگی های متمایز Jailhouse پیاده سازی سبک وزن آن و تمرکز بر اتصال ماشین های مجازی به یک CPU ثابت، ناحیه رم و دستگاه های سخت افزاری است. این رویکرد به یک سرور فیزیکی چند پردازنده ای اجازه می دهد تا از عملکرد چندین محیط مجازی مستقل پشتیبانی کند که هر یک به هسته پردازشگر خود اختصاص داده شده است.
با یک پیوند محکم به CPU، سربار هایپروایزر به حداقل می رسد و اجرای آن به طور قابل توجهی ساده می شود، زیرا نیازی به اجرای برنامه زمان بندی تخصیص منابع پیچیده نیست - اختصاص یک هسته CPU جداگانه تضمین می کند که هیچ کار دیگری بر روی این CPU اجرا نمی شود. . مزیت این رویکرد امکان دسترسی تضمین شده به منابع و عملکرد قابل پیش بینی است که Jailhouse را به راه حلی مناسب برای ایجاد وظایف انجام شده در زمان واقعی تبدیل می کند. نقطه ضعف مقیاس پذیری محدود است که توسط تعداد هسته های CPU محدود شده است.
در اصطلاح Jailhouse، محیط های مجازی «دوربین» نامیده می شوند (سلول، در زمینه زندان). در داخل دوربین، سیستم مانند یک سرور تک پردازنده به نظر می رسد که عملکرد را نشان می دهد به عملکرد یک هسته CPU اختصاصی. این دوربین میتواند محیط یک سیستم عامل دلخواه و همچنین محیطهای خالی را برای اجرای یک برنامه کاربردی یا برنامههای ویژه آماده شده برای حل مشکلات بلادرنگ اجرا کند. پیکربندی تنظیم شده است که CPU، مناطق حافظه و پورت های I/O اختصاص داده شده به محیط را تعیین می کند.
در نسخه جدید
- پشتیبانی از پلتفرم های Raspberry Pi 4 Model B و Texas Instruments J721E-EVM اضافه شده است.
- دستگاه ivshmem برای سازماندهی تعامل بین سلول ها استفاده می شود. در بالای ivshmem جدید، می توانید یک حمل و نقل برای VIRTIO پیاده سازی کنید.
- پیاده سازی قابلیت غیرفعال کردن ایجاد صفحات حافظه بزرگ (حجم صفحه) برای مسدود کردن آسیب پذیری در پردازندههای اینتل، که به یک مهاجم غیرمجاز اجازه میدهد تا یک انکار سرویس را آغاز کند که منجر به توقف سیستم در حالت «خطای بررسی ماشین» شود.
- برای سیستم های دارای پردازنده ARM64، پشتیبانی از SMMUv3 (واحد مدیریت حافظه سیستم) و TI PVU (واحد مجازی سازی محیطی) اجرا می شود. پشتیبانی PCI برای محیطهای ایزوله که روی سختافزار اجرا میشوند اضافه شده است (فلز برهنه).
- در سیستمهای x86 برای دوربینهای روت، امکان فعال کردن حالت CR4.UMIP (User-Mode Instruction Prevention) ارائه شده توسط پردازندههای اینتل وجود دارد که به شما امکان میدهد اجرای دستورالعملهای خاصی مانند SGDT، SLDT، SIDT را در فضای کاربر ممنوع کنید. ، SMSW و STR که می توانند در حملات استفاده شوند، با هدف افزایش امتیازات در سیستم.
منبع: opennet.ru