Siemens cég ingyenes hypervisor kiadás . A hypervisor támogatja az x86_64 rendszereket VMX+EPT vagy SVM+NPT (AMD-V) kiterjesztéssel, valamint az ARMv7 és ARMv8/ARM64 processzorokat virtualizációs bővítményekkel. Külön képgenerátor a Jailhouse hypervisorhoz, amelyet Debian-csomagok alapján hoztak létre a támogatott eszközökhöz. Projekt kód GPLv2 licenccel.
A hypervisor a Linux kernel moduljaként valósul meg, és kernelszintű virtualizációt biztosít. A vendégrendszerek összetevői már benne vannak a fő Linux kernelben. Az elszigeteltség kezeléséhez a modern CPU-k által biztosított hardveres virtualizációs mechanizmusokat használják. A Jailhouse megkülönböztető jellemzői a könnyű megvalósítás, és a virtuális gépek rögzített CPU-hoz, RAM-területhez és hardvereszközökhöz való kötésére összpontosít. Ez a megközelítés lehetővé teszi, hogy egyetlen fizikai többprocesszoros szerver több független virtuális környezet működését támogassa, amelyek mindegyike saját processzormaghoz van hozzárendelve.
A CPU-hoz való szoros kapcsolat révén a hypervisor többletterhelése minimálisra csökken, megvalósítása pedig jelentősen leegyszerűsödik, mivel nincs szükség összetett erőforrás-allokációs ütemező futtatására – egy külön CPU mag lefoglalása biztosítja, hogy ezen a CPU-n ne kerüljön végrehajtásra más feladat. . Ennek a megközelítésnek az az előnye, hogy garantált hozzáférést biztosít az erőforrásokhoz és kiszámítható teljesítményt, ami alkalmassá teszi a Jailhouse-t a valós időben végrehajtott feladatok létrehozására. Hátránya a korlátozott skálázhatóság, amit a CPU magok száma korlátoz.
A Jailhouse terminológiában a virtuális környezeteket „kamerának” (cella, a börtönben) nevezik. A kamerán belül a rendszer úgy néz ki, mint egy egyprocesszoros szerver, amely teljesítményt mutat dedikált CPU mag teljesítményéhez. A kamera futtathatja egy tetszőleges operációs rendszer környezetét, valamint lecsupaszított környezeteket egy alkalmazás futtatásához, vagy speciálisan elkészített egyedi alkalmazásokat, amelyeket valós idejű problémák megoldására terveztek. A konfiguráció be van állítva , amelyek meghatározzák a környezethez hozzárendelt CPU-t, memóriarégiókat és I/O portokat.
Az új kiadásban
- Hozzáadott támogatás a Raspberry Pi 4 Model B és a Texas Instruments J721E-EVM platformokhoz;
- A sejtek közötti interakció megszervezésére használt ivshmem eszköz. Az új ivshmem tetején egy szállítást is megvalósíthat a VIRTIO számára;
- Megvalósította a nagy memóriaoldalak létrehozásának letiltását (nagy oldal) a sérülékenység blokkolása érdekében Intel processzorokban, amely lehetővé teszi egy kiváltság nélküli támadó számára, hogy szolgáltatásmegtagadást kezdeményezzen, ami a rendszer lefagyását eredményezi „Machine Check Error” állapotban;
- Az ARM64 processzorokkal rendelkező rendszerek esetében az SMMUv3 (Rendszermemória-kezelő egység) és a TI PVU (Peripheral Virtualization Unit) támogatása valósul meg. PCI-támogatás került hozzáadásra a hardveren (csupasz fém) futó elszigetelt környezetekhez;
- A gyökérkamerákhoz készült x86-os rendszereken engedélyezhető az Intel processzorok által biztosított CR4.UMIP (User-Mode Instruction Prevention) mód, amely lehetővé teszi bizonyos utasítások, például SGDT, SLDT, SIDT felhasználói térben történő végrehajtását. , SMSW és STR, amelyek támadásokhoz használhatók, amelyek célja a rendszer jogosultságának növelése.
Forrás: opennet.ru