Siemens yhtiö ilmainen hypervisorin julkaisu . Hypervisor tukee x86_64-järjestelmiä VMX+EPT- tai SVM+NPT (AMD-V) -laajennuksilla sekä ARMv7- ja ARMv8/ARM64-suorittimia virtualisointilaajennuksilla. Erikseen kuvageneraattori Jailhouse-hypervisorille, luotu Debian-pakettien perusteella tuetuille laitteille. Projektin koodi lisensoitu GPLv2:lla.
Hypervisor on toteutettu Linux-ytimen moduulina ja tarjoaa virtualisoinnin ydintasolla. Vierasjärjestelmien komponentit sisältyvät jo Linuxin pääytimeen. Eristyksen hallintaan käytetään nykyaikaisten suorittimien tarjoamia laitteiston virtualisointimekanismeja. Jailhousen tunnusomaisia piirteitä ovat sen kevyt toteutus ja keskittyminen virtuaalikoneiden sitomiseen kiinteään prosessoriin, RAM-alueeseen ja laitteistoihin. Tämä lähestymistapa mahdollistaa sen, että yksi fyysinen moniprosessoripalvelin voi tukea useiden itsenäisten virtuaaliympäristöjen toimintaa, joista jokainen on määritetty omalle prosessoriytimelleen.
Tiivis linkki CPU:hun minimoi hypervisorin ylikuormituksen ja yksinkertaistaa sen käyttöönottoa huomattavasti, koska ei tarvitse ajaa monimutkaista resurssien allokoinnin ajoitinta - erillisen CPU-ytimen allokointi varmistaa, että muita tehtäviä ei suoriteta tällä CPU:lla. . Tämän lähestymistavan etuna on kyky tarjota taattu pääsy resursseihin ja ennustettava suorituskyky, mikä tekee Jailhousesta sopivan ratkaisun reaaliajassa suoritettavien tehtävien luomiseen. Huono puoli on rajoitettu skaalautuvuus, jota rajoittaa suorittimen ytimien määrä.
Vankilan terminologiassa virtuaalisia ympäristöjä kutsutaan "kameroiksi" (solu, vankilakontekstissa). Kameran sisällä järjestelmä näyttää yhden prosessorin palvelimelta, joka näyttää suorituskykyä omistetun CPU-ytimen suorituskykyyn. Kamera voi käyttää mielivaltaisen käyttöjärjestelmän ympäristöä sekä yksittäisiä ympäristöjä yhden sovelluksen suorittamiseen tai erityisesti valmistettuja yksittäisiä sovelluksia, jotka on suunniteltu ratkaisemaan reaaliaikaisia ongelmia. Kokoonpano on asetettu , jotka määrittävät ympäristölle varatut suorittimen, muistialueet ja I/O-portit.
Uudessa julkaisussa
- Lisätty tuki Raspberry Pi 4 Model B- ja Texas Instruments J721E-EVM -alustoille;
- ivshmem-laite, jota käytetään järjestämään solujen välistä vuorovaikutusta. Uuden ivshmemin lisäksi voit toteuttaa siirron VIRTIOlle;
- Otettu käyttöön mahdollisuus estää suurten muistisivujen luominen (valtava sivu) haavoittuvuuden estämiseksi Intel-suorittimissa, jolloin etuoikeutettu hyökkääjä voi aloittaa palveluneston, joka johtaa järjestelmän jumittumiseen "Machine Check Error" -tilassa;
- ARM64-prosessoreilla varustetuissa järjestelmissä on toteutettu tuki SMMUv3:lle (System Memory Management Unit) ja TI PVU:lle (Peripheral Virtualization Unit). PCI-tuki on lisätty eristetyille ympäristöille, jotka toimivat laitteiston päällä (paljas metalli);
- Juurikameroiden x86-järjestelmissä on mahdollista ottaa käyttöön Intel-prosessorien tarjoama CR4.UMIP (User-Mode Instruction Prevention) -tila, jonka avulla voit estää tiettyjen käskyjen, kuten SGDT, SLDT, SIDT, suorittamisen käyttäjätilassa. , SMSW ja STR, joita voidaan käyttää hyökkäyksissä, joilla pyritään lisäämään järjestelmän oikeuksia.
Lähde: opennet.ru
