tvrtka Siemens besplatno izdanje hipervizora . Hipervizor podržava x86_64 sustave s VMX+EPT ili SVM+NPT (AMD-V) ekstenzijama, kao i ARMv7 i ARMv8/ARM64 procesore s virtualizacijskim ekstenzijama. Odvojeno generator slike za hipervizor Jailhouse, generiran na temelju Debian paketa za podržane uređaje. Šifra projekta licenciran pod GPLv2.
Hipervizor je implementiran kao modul za Linux kernel i omogućuje virtualizaciju na razini kernela. Komponente za gostujuće sustave već su uključene u glavnu jezgru Linuxa. Za upravljanje izolacijom koriste se hardverski virtualizacijski mehanizmi koje pružaju moderni procesori. Izrazite značajke Jailhousea su njegova lagana implementacija i fokus na vezivanje virtualnih strojeva za fiksni CPU, RAM područje i hardverske uređaje. Ovaj pristup omogućuje da jedan fizički višeprocesorski poslužitelj podržava rad nekoliko neovisnih virtualnih okruženja, od kojih je svako dodijeljeno vlastitoj procesorskoj jezgri.
Uz usku vezu s CPU-om, opterećenje hipervizora je minimalizirano, a njegova implementacija značajno pojednostavljena, budući da nema potrebe za pokretanjem složenog planera raspodjele resursa - dodjela zasebne jezgre CPU-a osigurava da se na ovom CPU-u ne izvršavaju drugi zadaci . Prednost ovog pristupa je mogućnost osiguravanja zajamčenog pristupa resursima i predvidljive performanse, što Jailhouse čini prikladnim rješenjem za kreiranje zadataka koji se izvode u stvarnom vremenu. Loša strana je ograničena skalabilnost, ograničena brojem CPU jezgri.
U terminologiji zatvora, virtualna okruženja nazivaju se "kamere" (ćelija, u kontekstu zatvora). Unutar kamere, sustav izgleda kao jednoprocesorski poslužitelj koji pokazuje performanse performansama namjenske CPU jezgre. Kamera može pokretati okruženje proizvoljnog operativnog sustava, kao i skraćena okruženja za pokretanje jedne aplikacije ili posebno pripremljene pojedinačne aplikacije namijenjene rješavanju problema u stvarnom vremenu. Konfiguracija je postavljena , koji određuju CPU, memorijske regije i I/O portove dodijeljene okruženju.
U novom izdanju
- Dodana podrška za Raspberry Pi 4 Model B i Texas Instruments J721E-EVM platforme;
- ivshmem uređaj koji se koristi za organiziranje interakcije između stanica. Povrh novog ivshmema, možete implementirati transport za VIRTIO;
- Implementirana je mogućnost onemogućavanja stvaranja velikih memorijskih stranica (hugepage) kako bi se blokirala ranjivost u Intelovim procesorima, što omogućuje neprivilegiranom napadaču da započne uskraćivanje usluge što rezultira zastojem sustava u stanju "Machine Check Error";
- Za sustave s ARM64 procesorima implementirana je podrška za SMMUv3 (System Memory Management Unit) i TI PVU (Peripheral Virtualization Unit). Dodana je PCI podrška za izolirana okruženja koja rade na hardveru (goli metal);
- Na x86 sustavima za root kamere moguće je omogućiti način rada CR4.UMIP (User-Mode Instruction Prevention) koji omogućuju Intelovi procesori, a koji vam omogućuje da zabranite izvršavanje određenih instrukcija u korisničkom prostoru, kao što su SGDT, SLDT, SIDT , SMSW i STR, koji se mogu koristiti u napadima usmjerenim na povećanje privilegija u sustavu.
Izvor: opennet.ru