🥇סימנס שחררה את ה-Jailhouse 0.12 hypervisor

חברת סימנס опубликовала שחרור hypervisor בחינם בית הכלא 0.12. ההיפרוויזר תומך במערכות x86_64 עם הרחבות VMX+EPT או SVM+NPT (AMD-V), כמו גם מעבדי ARMv7 ו-ARMv8/ARM64 עם הרחבות וירטואליזציה. לְחוּד מתפתח מחולל תמונות עבור ה-Hypervisor של Jailhouse, שנוצר על בסיס חבילות דביאן עבור מכשירים נתמכים. קוד פרויקט מופץ על ידי מורשה תחת GPLv2.

ה-Hypervisor מיושם כמודול עבור ליבת לינוקס ומספק וירטואליזציה ברמת הקרנל. רכיבים עבור מערכות אורחות כבר כלולים בקרנל הראשי של לינוקס. כדי לנהל בידוד, נעשה שימוש במנגנוני הוירטואליזציה של החומרה המסופקים על ידי מעבדים מודרניים. מאפיינים בולטים של Jailhouse הם היישום הקל שלה והתמקדות בהצמדת מכונות וירטואליות למעבד קבוע, אזור זיכרון RAM והתקני חומרה. גישה זו מאפשרת לשרת ריבוי מעבדים פיזי אחד לתמוך בפעולה של מספר סביבות וירטואליות עצמאיות, שכל אחת מהן מוקצית לליבת המעבד שלה.

עם קישור הדוק למעבד, התקורה של ה-Hypervisor ממוזערת והטמעתו מפושטת משמעותית, מכיוון שאין צורך להפעיל מתזמן הקצאת משאבים מורכב - הקצאת ליבת CPU נפרדת מבטיחה שלא יבוצעו משימות אחרות במעבד זה. . היתרון של גישה זו הוא היכולת לספק גישה מובטחת למשאבים וביצועים צפויים, מה שהופך את Jailhouse לפתרון מתאים ליצירת משימות המבוצעות בזמן אמת. החיסרון הוא יכולת הרחבה מוגבלת, מוגבלת במספר ליבות המעבד.

בטרמינולוגיה של בית הכלא, סביבות וירטואליות נקראות "מצלמות" (תא, בהקשר של בית הכלא). בתוך המצלמה, המערכת נראית כמו שרת בעל מעבד יחיד המראה ביצועים סגור לביצועים של ליבת מעבד ייעודית. המצלמה יכולה להריץ סביבה של מערכת הפעלה שרירותית, כמו גם סביבות מופשטות להפעלת אפליקציה אחת או יישומים בודדים שהוכנו במיוחד שנועדו לפתור בעיות בזמן אמת. התצורה מוגדרת ב קבצי .cell, אשר קובעים את המעבד, אזורי הזיכרון ויציאות ה-I/O המוקצות לסביבה.

במהדורה החדשה

נוספה תמיכה עבור פלטפורמות Raspberry Pi 4 Model B ו-Texas Instruments J721E-EVM;
עובד מחדש מכשיר ivshmem המשמש לארגון אינטראקציה בין תאים. בנוסף ל-ivshem החדש, אתה יכול ליישם טרנספורט עבור VIRTIO;
הטמיע את היכולת להשבית את היצירה של דפי זיכרון גדולים (ענק עמוד) כדי לחסום את הפגיעות CVE-2018-12207 במעבדי אינטל, מה שמאפשר לתוקף חסר זכויות ליזום מניעת שירות וכתוצאה מכך לתלייה של המערכת במצב "שגיאת בדיקת מכונה";
עבור מערכות עם מעבדי ARM64, מיושמת תמיכה ב-SMMUv3 (יחידת ניהול זיכרון מערכת) ו-TI PVU (יחידת וירטואליזציה היקפית). נוספה תמיכת PCI עבור סביבות מבודדות הפועלות על גבי חומרה (מתכת חשופה);
במערכות x86 למצלמות בסיס, ניתן להפעיל את מצב CR4.UMIP (מניעת הוראות משתמש) המסופק על ידי מעבדי אינטל, המאפשר לך לאסור ביצוע בחלל המשתמש של הוראות מסוימות, כגון SGDT, SLDT, SIDT , SMSW ו-STR, שניתן להשתמש בהם בהתקפות, במטרה להגדיל את ההרשאות במערכת.

מקור: OpenNet.ru

סימנס פרסמה את ההיפרוויזר Jailhouse 0.12

הוספת תגובה ביטול תגובה