Siemens fyrirtæki ókeypis hypervisor útgáfu . Hypervisorinn styður x86_64 kerfi með VMX+EPT eða SVM+NPT (AMD-V) viðbótum, auk ARMv7 og ARMv8/ARM64 örgjörva með sýndarviðbótum. Sér myndarafall fyrir Jailhouse hypervisor, búið til á grundvelli Debian pakka fyrir studd tæki. Verkefnakóði leyfi samkvæmt GPLv2.
Hypervisorinn er útfærður sem eining fyrir Linux kjarnann og veitir sýndarvæðingu á kjarnastigi. Íhlutir fyrir gestakerfi eru nú þegar innifalin í aðal Linux kjarnanum. Til að stjórna einangrun eru sýndarvélbúnaðarkerfin sem nútíma örgjörvar bjóða upp á. Sérkenni Jailhouse eru létt útfærsla þess og áhersla á að binda sýndarvélar við fastan örgjörva, vinnsluminni svæði og vélbúnaðartæki. Þessi nálgun gerir einum líkamlegum fjölgjörvaþjóni kleift að styðja við rekstur nokkurra sjálfstæðra sýndarumhverfis, sem hvert um sig er úthlutað eigin örgjörvakjarna.
Með þéttri tengingu við örgjörvann er kostnaður yfirsjávarsins lágmarkaður og útfærsla hans er verulega einfölduð, þar sem engin þörf er á að keyra flókinn tímaáætlun fyrir úthlutun auðlinda - með því að úthluta sérstakri örgjörvakjarna er hægt að tryggja að engin önnur verkefni séu keyrt á þessum örgjörva. Kosturinn við þessa nálgun er hæfileikinn til að veita tryggðan aðgang að auðlindum og fyrirsjáanlegan árangur, sem gerir Jailhouse að hentugri lausn til að búa til verkefni sem unnin eru í rauntíma. Gallinn er takmarkaður sveigjanleiki, takmarkaður af fjölda CPU kjarna.
Í hugtökum fangelsishúss eru sýndarumhverfi kölluð „myndavélar“ (klefi, í fangelsissamhenginu). Inni í myndavélinni lítur kerfið út eins og einn örgjörva þjónn sem sýnir frammistöðu til frammistöðu sérstakra CPU kjarna. Myndavélin getur keyrt umhverfi handahófskennts stýrikerfis, sem og afskræmt umhverfi til að keyra eitt forrit eða sérútbúin einstök forrit sem eru hönnuð til að leysa rauntímavandamál. Stillingin er sett í , sem ákvarða CPU, minni svæði og I/O tengi sem úthlutað er til umhverfisins.
Í nýju útgáfunni
- Bætt við stuðningi fyrir Raspberry Pi 4 Model B og Texas Instruments J721E-EVM palla;
- ivshmem tæki notað til að skipuleggja samskipti milli frumna. Ofan á nýja ivshmem geturðu innleitt flutning fyrir VIRTIO;
- Útfærði getu til að slökkva á stofnun stórra minnissíður (stórsíðu) til að loka á varnarleysið í Intel örgjörvum, sem gerir óforréttlátum árásarmanni kleift að hefja afneitun á þjónustu sem leiðir til þess að kerfi hangir í „Vélathugunarvillu“ ástandinu;
- Fyrir kerfi með ARM64 örgjörva er stuðningur við SMMUv3 (System Memory Management Unit) og TI PVU (Peripheral Virtualization Unit) innleiddur. PCI stuðningi hefur verið bætt við fyrir einangrað umhverfi sem keyrir ofan á vélbúnaði (bare-metal);
- Á x86 kerfum fyrir rótarmyndavélar er hægt að virkja CR4.UMIP (User-Mode Instruction Prevention) ham sem Intel örgjörvar veita, sem gerir þér kleift að banna framkvæmd ákveðnum leiðbeiningum í notendarými, svo sem SGDT, SLDT, SIDT , SMSW og STR, sem hægt er að nota í árásum , sem miða að því að auka réttindi í kerfinu.
Heimild: opennet.ru