empresa Siemens liberación gratuíta do hipervisor . O hipervisor admite sistemas x86_64 con extensións VMX+EPT ou SVM+NPT (AMD-V), así como procesadores ARMv7 e ARMv8/ARM64 con extensións de virtualización. Por separado xerador de imaxes para o hipervisor Jailhouse, xerado en base a paquetes Debian para dispositivos compatibles. Código do proxecto licenciado baixo GPLv2.
O hipervisor está implementado como un módulo para o núcleo Linux e proporciona virtualización a nivel de núcleo. Os compoñentes para sistemas convidados xa están incluídos no núcleo principal de Linux. Para xestionar o illamento, utilízanse os mecanismos de virtualización de hardware proporcionados polas CPU modernas. As características distintivas de Jailhouse son a súa implementación lixeira e céntrase en vincular máquinas virtuais a unha CPU fixa, área de RAM e dispositivos de hardware. Este enfoque permite que un servidor multiprocesador físico admita o funcionamento de varios ambientes virtuais independentes, cada un dos cales está asignado ao seu propio núcleo de procesador.
Cunha conexión estreita coa CPU, a sobrecarga do hipervisor redúcese ao mínimo e a súa implementación simplifícase significativamente, xa que non é necesario executar un programador de asignación de recursos complexo: a asignación dun núcleo de CPU separado garante que non se executen outras tarefas nesta CPU. . A vantaxe deste enfoque é a capacidade de proporcionar acceso garantido aos recursos e un rendemento previsible, o que fai de Jailhouse unha solución adecuada para crear tarefas realizadas en tempo real. A desvantaxe é a escalabilidade limitada, limitada polo número de núcleos de CPU.
Na terminoloxía de Jailhouse, os ambientes virtuais chámanse "cámaras" (célula, no contexto do cárcere). Dentro da cámara, o sistema parece un servidor dun só procesador que mostra o rendemento ao rendemento dun núcleo de CPU dedicado. A cámara pode executar o ambiente dun sistema operativo arbitrario, así como ambientes reducidos para executar unha aplicación ou aplicacións individuais especialmente preparadas deseñadas para resolver problemas en tempo real. A configuración está establecida , que determinan a CPU, as rexións de memoria e os portos de E/S asignados ao ambiente.
Na nova versión
- Engadido soporte para plataformas Raspberry Pi 4 Modelo B e Texas Instruments J721E-EVM;
- dispositivo ivshmem usado para organizar a interacción entre células. Ademais do novo ivshmem, podes implementar un transporte para VIRTIO;
- Implementouse a capacidade de desactivar a creación de páxinas de memoria grande (hugepage) para bloquear a vulnerabilidade nos procesadores Intel, o que permite que un atacante sen privilexios inicie unha denegación de servizo que provoca un bloqueo do sistema no estado "Erro de comprobación da máquina";
- Para sistemas con procesadores ARM64, implícase o soporte para SMMUv3 (Unidade de xestión de memoria do sistema) e TI PVU (Unidade de virtualización de periféricos). Engadiuse compatibilidade con PCI para ambientes illados que se executan enriba do hardware (bare-metal);
- Nos sistemas x86 para cámaras root, é posible activar o modo CR4.UMIP (User-Mode Instruction Prevention) que proporcionan os procesadores Intel, que permite prohibir a execución no espazo do usuario de determinadas instrucións, como SGDT, SLDT, SIDT. , SMSW e STR, que se poden usar en ataques , destinados a aumentar os privilexios no sistema.
Fonte: opennet.ru