Siemens ընկերություն անվճար հիպերվիզորի թողարկում . Հիպերվիզորն աջակցում է x86_64 համակարգեր VMX+EPT կամ SVM+NPT (AMD-V) ընդլայնումներով, ինչպես նաև ARMv7 և ARMv8/ARM64 պրոցեսորներ վիրտուալացման ընդլայնումներով։ Առանձին-առանձին պատկերների գեներատոր Jailhouse hypervisor-ի համար, որը ստեղծվել է աջակցվող սարքերի համար Debian փաթեթների հիման վրա: Ծրագրի կոդը լիցենզավորված GPLv2-ի համաձայն:
Հիպերվիզորն իրականացվում է որպես Linux միջուկի մոդուլ և ապահովում է վիրտուալացում միջուկի մակարդակում: Հյուր համակարգերի բաղադրիչներն արդեն ներառված են Linux-ի հիմնական միջուկում: Մեկուսացումը կառավարելու համար օգտագործվում են ժամանակակից պրոցեսորների կողմից տրամադրվող ապարատային վիրտուալացման մեխանիզմները: Jailhouse-ի տարբերակիչ առանձնահատկություններն են նրա թեթև իրականացումը և կենտրոնացած է վիրտուալ մեքենաները ֆիքսված պրոցեսորի, RAM տարածքի և ապարատային սարքերի հետ կապելու վրա: Այս մոտեցումը թույլ է տալիս մեկ ֆիզիկական բազմապրոցեսորային սերվերին աջակցել մի քանի անկախ վիրտուալ միջավայրերի աշխատանքին, որոնցից յուրաքանչյուրը նշանակված է իր սեփական պրոցեսորային միջուկին:
CPU-ի հետ ամուր կապի դեպքում հիպերվիզորի վերին ծախսը նվազագույնի է հասցվում, և դրա իրականացումը զգալիորեն պարզեցվում է, քանի որ կարիք չկա գործարկել ռեսուրսների բաշխման բարդ ժամանակացույց. . Այս մոտեցման առավելությունը ռեսուրսներին երաշխավորված հասանելիություն և կանխատեսելի կատարում ապահովելու հնարավորությունն է, ինչը Jailhouse-ին դարձնում է հարմար լուծում իրական ժամանակում կատարված առաջադրանքների ստեղծման համար: Բացասական կողմը սահմանափակ մասշտաբայնությունն է՝ սահմանափակված պրոցեսորի միջուկների քանակով:
Jailhouse տերմինաբանության մեջ վիրտուալ միջավայրերը կոչվում են «տեսախցիկներ» (բջիջ, բանտի համատեքստում): Տեսախցիկի ներսում համակարգը նման է մեկ պրոցեսորային սերվերի, որը ցույց է տալիս կատարողականությունը նվիրված պրոցեսորի միջուկի աշխատանքին: Տեսախցիկը կարող է գործարկել կամայական օպերացիոն համակարգի միջավայրը, ինչպես նաև մեկ հավելված գործարկելու համար բացված միջավայրեր կամ հատուկ պատրաստված անհատական հավելվածներ, որոնք նախատեսված են իրական ժամանակում խնդիրները լուծելու համար: Կազմաձևը դրված է , որոնք որոշում են CPU-ն, հիշողության շրջանները և I/O պորտերը, որոնք հատկացված են միջավայրին։
Նոր թողարկման մեջ
- Ավելացված է աջակցություն Raspberry Pi 4 Model B և Texas Instruments J721E-EVM հարթակների համար;
- ivshmem սարքը օգտագործվում է բջիջների միջև փոխազդեցությունը կազմակերպելու համար: Նոր ivshmem-ի վերևում դուք կարող եք տրանսպորտ իրականացնել VIRTIO-ի համար.
- Իրականացրել է խոցելիությունը արգելափակելու համար մեծ հիշողության էջերի ստեղծումը (հսկա էջ) անջատելու հնարավորությունը Intel-ի պրոցեսորներում, որը թույլ է տալիս չարտոնված հարձակվողին նախաձեռնել ծառայության մերժում, որի արդյունքում համակարգը կախված է «Մեքենայի ստուգման սխալ» վիճակում.
- ARM64 պրոցեսորներով համակարգերի համար իրականացվում է SMMUv3 (System Memory Management Unit) և TI PVU (Peripheral Virtualization Unit) աջակցություն: PCI աջակցությունն ավելացվել է մեկուսացված միջավայրերի համար, որոնք աշխատում են սարքաշարի վերևում (մերկ մետաղական);
- Արմատային տեսախցիկների x86 համակարգերում հնարավոր է միացնել Intel պրոցեսորների կողմից տրամադրված CR4.UMIP (User-Mode Instruction Prevention) ռեժիմը, որը թույլ է տալիս արգելել օգտվողի տարածքում որոշակի հրահանգների կատարումը, ինչպիսիք են SGDT, SLDT, SIDT: , SMSW և STR, որոնք կարող են օգտագործվել հարձակումներում, որոնք ուղղված են համակարգում արտոնությունների ավելացմանը։
Source: opennet.ru