perusahaan Siemens rilis hypervisor gratis . Hypervisor mendukung sistem x86_64 dengan ekstensi VMX+EPT atau SVM+NPT (AMD-V), serta prosesor ARMv7 dan ARMv8/ARM64 dengan ekstensi virtualisasi. Terpisah generator gambar untuk hypervisor Jailhouse, dihasilkan berdasarkan paket Debian untuk perangkat yang didukung. Kode proyek berlisensi di bawah GPLv2.
Hypervisor diimplementasikan sebagai modul untuk kernel Linux dan menyediakan virtualisasi di tingkat kernel. Komponen untuk sistem tamu sudah termasuk dalam kernel Linux utama. Untuk mengelola isolasi, digunakan mekanisme virtualisasi perangkat keras yang disediakan oleh CPU modern. Fitur khas Jailhouse adalah implementasinya yang ringan dan fokus pada pengikatan mesin virtual ke CPU tetap, area RAM, dan perangkat keras. Pendekatan ini memungkinkan satu server multiprosesor fisik untuk mendukung pengoperasian beberapa lingkungan virtual independen, yang masing-masing ditugaskan ke inti prosesornya sendiri.
Dengan koneksi yang erat ke CPU, overhead hypervisor diminimalkan dan implementasinya disederhanakan secara signifikan, karena tidak perlu menjalankan penjadwal alokasi sumber daya yang rumit - mengalokasikan inti CPU terpisah memastikan tidak ada tugas lain yang dijalankan pada CPU ini . Keuntungan dari pendekatan ini adalah kemampuannya untuk memberikan jaminan akses ke sumber daya dan kinerja yang dapat diprediksi, yang menjadikan Jailhouse solusi yang cocok untuk membuat tugas yang dilakukan secara real time. Kelemahannya adalah skalabilitas terbatas, dibatasi oleh jumlah inti CPU.
Dalam terminologi Jailhouse, lingkungan virtual disebut βkameraβ (sel, dalam konteks jailhouse). Di dalam kamera, sistem tampak seperti server prosesor tunggal yang menunjukkan kinerja dengan kinerja inti CPU khusus. Kamera dapat menjalankan lingkungan sistem operasi yang berubah-ubah, serta lingkungan yang disederhanakan untuk menjalankan satu aplikasi atau aplikasi individual yang disiapkan secara khusus yang dirancang untuk memecahkan masalah waktu nyata. Konfigurasi sudah diatur , yang menentukan CPU, wilayah memori, dan port I/O yang dialokasikan ke lingkungan.
Dalam rilis baru
- Menambahkan dukungan untuk platform Raspberry Pi 4 Model B dan Texas Instruments J721E-EVM;
- perangkat ivshmem digunakan untuk mengatur interaksi antar sel. Selain ivshmem baru, Anda dapat mengimplementasikan transport untuk VIRTIO;
- Menerapkan kemampuan untuk menonaktifkan pembuatan halaman memori besar (hugepage) untuk memblokir kerentanan pada prosesor Intel, yang memungkinkan penyerang yang tidak memiliki hak istimewa untuk memulai penolakan layanan yang mengakibatkan sistem hang dalam status βMachine Check Errorβ;
- Untuk sistem dengan prosesor ARM64, dukungan untuk SMMUv3 (System Memory Management Unit) dan TI PVU (Peripheral Virtualization Unit) diterapkan. Dukungan PCI telah ditambahkan untuk lingkungan terisolasi yang berjalan di atas perangkat keras (bare-metal);
- Pada sistem x86 untuk kamera root, dimungkinkan untuk mengaktifkan mode CR4.UMIP (Pencegahan Instruksi Mode Pengguna) yang disediakan oleh prosesor Intel, yang memungkinkan Anda untuk melarang eksekusi instruksi tertentu di ruang pengguna, seperti SGDT, SLDT, SIDT , SMSW dan STR, yang dapat digunakan dalam serangan , yang bertujuan untuk meningkatkan hak istimewa dalam sistem.
Sumber: opennet.ru