Siemens bedriuw frije hypervisor release . De hypervisor stipet x86_64-systemen mei VMX + EPT of SVM + NPT (AMD-V) tafoegings, lykas ARMv7 en ARMv8 / ARM64 processors mei virtualisaasje tafoegings. Apart ôfbyldingsgenerator foar de Jailhouse-hypervisor, generearre basearre op Debian-pakketten foar stipe apparaten. Projektkoade lisinsje ûnder GPLv2.
De hypervisor wurdt ymplementearre as in module foar de Linux kernel en leveret virtualisaasje op it kernelnivo. Komponinten foar gastsystemen binne al opnommen yn 'e haad Linux-kernel. Om isolaasje te behearjen, wurde de hardware-virtualisaasjemeganismen brûkt troch moderne CPU's. Underskate skaaimerken fan Jailhouse binne syn lichtgewicht ymplemintaasje en fokus op it binen fan firtuele masines oan in fêste CPU, RAM gebiet en hardware apparaten. Dizze oanpak lit ien fysike multiprocessor-tsjinner de wurking fan ferskate ûnôfhinklike firtuele omjouwings stypje, wêrfan elk wurdt tawiisd oan in eigen prosessorkearn.
Mei in strakke ferbining mei de CPU wurdt de overhead fan 'e hypervisor minimalisearre en de ymplemintaasje dêrfan wurdt signifikant ferienfâldige, om't d'r gjin ferlet is om in komplekse planner foar tawizing fan boarnen út te fieren - it tawizen fan in aparte CPU-kearn soarget derfoar dat gjin oare taken wurde útfierd op dizze CPU . It foardiel fan dizze oanpak is de mooglikheid om garandearre tagong ta middels en foarsisbere prestaasjes te leverjen, wat Jailhouse in gaadlike oplossing makket foar it meitsjen fan taken dy't yn echt tiid útfierd wurde. It neidiel is beheinde skalberens, beheind troch it oantal CPU-kearnen.
Yn Jailhouse-terminology wurde firtuele omjouwings "kamera's" neamd (sel, yn 'e jailhouse-kontekst). Binnen de kamera sjocht it systeem as in server mei ien prosessor dy't prestaasjes sjen lit oan de prestaasjes fan in tawijd CPU kearn. De kamera kin de omjouwing fan in willekeurich bestjoeringssysteem útfiere, lykas stripped-down omjouwings foar it útfieren fan ien applikaasje of spesjaal taret yndividuele applikaasjes ûntworpen om real-time problemen op te lossen. De konfiguraasje is ynsteld yn , dy't de CPU, ûnthâldregio's en I/O-poarten bepale dy't oan 'e omjouwing tawiisd binne.
Yn de nije útjefte
- Stipe tafoege foar Raspberry Pi 4 Model B en Texas Instruments J721E-EVM-platfoarms;
- ivshmem-apparaat brûkt om ynteraksje tusken sellen te organisearjen. Op de top fan de nije ivshmem, kinne jo útfiere in ferfier foar VIRTIO;
- Implementearre de mooglikheid om it oanmeitsjen fan grutte ûnthâldsiden (enoarme pagina) út te skeakeljen om de kwetsberens te blokkearjen yn Intel-prosessoren, wêrtroch in unprivilegearre oanfaller in ûntkenning fan tsjinst kin begjinne, wat resulteart yn in systeem hingje yn 'e steat "Machine Check Error";
- Foar systemen mei ARM64-processors wurdt stipe foar SMMUv3 (System Memory Management Unit) en TI PVU (Peripheral Virtualization Unit) ymplementearre. PCI-stipe is tafoege foar isolearre omjouwings dy't boppe op hardware rinne (bare-metaal);
- Op x86-systemen foar root-kamera's is it mooglik om de CR4.UMIP-modus (User-Mode Instruction Prevention) yn te skeakeljen troch Intel-processors, wêrtroch jo de útfiering yn brûkersromte fan bepaalde ynstruksjes kinne ferbiede, lykas SGDT, SLDT, SIDT , SMSW en STR, dy't brûkt wurde kinne yn oanfallen , rjochte op it fergrutsjen fan privileezjes yn it systeem.
Boarne: opennet.ru