Konpayi Siemens lage hypervisor gratis . Hypervisor la sipòte sistèm x86_64 ak ekstansyon VMX + EPT oswa SVM + NPT (AMD-V), osi byen ke processeur ARMv7 ak ARMv8/ARM64 ak ekstansyon Virtualization. Separeman dèlko imaj pou hypervisor Jailhouse, ki te pwodwi ki baze sou pakè Debian pou aparèy ki sipòte yo. Kòd pwojè lisansye anba GPLv2.
Hypervisor la aplike kòm yon modil pou nwayo Linux la epi li bay Virtualization nan nivo nwayo a. Eleman pou sistèm envite yo deja enkli nan nwayo Linux prensipal la. Pou jere izolasyon, yo itilize mekanis Virtualization pyès ki nan konpitè ki ofri pa CPU modèn. Karakteristik diferan nan Jailhouse se aplikasyon ki lejè li yo ak konsantre sou obligatwa machin vityèl nan yon CPU fiks, zòn RAM ak aparèy pyès ki nan konpitè. Apwòch sa a pèmèt yon sèl sèvè miltiprosesè fizik sipòte operasyon plizyè anviwònman vityèl endepandan, chak nan yo asiyen nan nwayo pwòp processeur li yo.
Avèk yon lyen sere nan CPU a, anlè ipèvizè a minimize epi aplikasyon li senplifye anpil, paske pa gen okenn nesesite pou kouri yon pwogramasyon alokasyon resous konplèks - alokasyon yon nwayo CPU separe asire ke pa gen okenn lòt travay yo egzekite sou CPU sa a. . Avantaj apwòch sa a se kapasite pou bay aksè garanti a resous ak pèfòmans previzib, ki fè Jailhouse yon solisyon apwopriye pou kreye travay ki fèt an tan reyèl. Inconvénient la limite évolutivité, limite pa kantite nwayo CPU.
Nan tèminoloji Jailhouse, anviwònman vityèl yo rele "kamera" (selil, nan kontèks prizon an). Anndan kamera a, sistèm nan sanble ak yon sèl-processeur sèvè ki montre pèfòmans nan pèfòmans nan yon nwayo CPU devwe. Kamera a ka kouri anviwònman an nan yon sistèm operasyon abitrè, osi byen ke anviwònman dezabiye pou kouri yon aplikasyon oswa aplikasyon endividyèl espesyalman prepare ki fèt pou rezoud pwoblèm an tan reyèl. Se konfigirasyon an mete nan , ki detèmine CPU, rejyon memwa, ak pò I/O yo atribye ba anviwònman an.
Nan nouvo lage a
- Te ajoute sipò pou Raspberry Pi 4 Modèl B ak platfòm Texas Instruments J721E-EVM;
- ivshmem aparèy yo itilize pou òganize entèraksyon ant selil yo. Anplis de nouvo ivshmem, ou ka aplike yon transpò pou VIRTIO;
- Aplike kapasite nan enfim kreyasyon an nan paj memwa gwo (gwo paj) bloke vilnerabilite a nan processeurs Intel, ki pèmèt yon atakè san privilejye inisye yon refi sèvis sa ki lakòz yon sistèm pann nan eta "Machine Check Error";
- Pou sistèm ak processeur ARM64, sipò pou SMMUv3 (System Memory Management Unit) ak TI PVU (Peripheral Virtualization Unit) aplike. Gen sipò PCI te ajoute pou anviwònman izole kouri sou tèt pyès ki nan konpitè (fè-metal);
- Sou sistèm x86 pou kamera rasin, li posib pou pèmèt mòd CR4.UMIP (User-Mode Instruction Prevention) ki ofri pa processeurs Intel, ki pèmèt ou entèdi ekzekisyon nan espas itilizatè a sèten enstriksyon, tankou SGDT, SLDT, SIDT. , SMSW ak STR, ki ka itilize nan atak , ki vize pou ogmante privilèj nan sistèm nan.
Sous: opennet.ru