シーメンス社 無料のハイパーバイザーリリース 。 ハイパーバイザーは、VMX+EPT または SVM+NPT (AMD-V) 拡張機能を備えた x86_64 システム、および仮想化拡張機能を備えた ARMv7 および ARMv8/ARM64 プロセッサをサポートします。 別々に Jailhouse ハイパーバイザー用のイメージ ジェネレーター。サポートされているデバイスの Debian パッケージに基づいて生成されます。 プロジェクトコード GPLv2に基づいてライセンスされています。
ハイパーバイザーは Linux カーネルのモジュールとして実装され、カーネル レベルで仮想化を提供します。 ゲスト システムのコンポーネントは、メインの Linux カーネルにすでに組み込まれています。 分離を管理するには、最新の CPU が提供するハードウェア仮想化メカニズムが使用されます。 Jailhouse の特徴は、軽量な実装であり、仮想マシンを固定の CPU、RAM 領域、およびハードウェア デバイスにバインドすることに重点を置いています。 このアプローチにより、XNUMX 台の物理マルチプロセッサ サーバーで、それぞれが独自のプロセッサ コアに割り当てられた複数の独立した仮想環境の動作をサポートできるようになります。
CPU への緊密なリンクにより、複雑なリソース割り当てスケジューラを実行する必要がないため、ハイパーバイザーのオーバーヘッドが最小限に抑えられ、その実装が大幅に簡素化されます。別の CPU コアを割り当てることで、この CPU で他のタスクが実行されなくなります。 。 このアプローチの利点は、リソースへの保証されたアクセスと予測可能なパフォーマンスを提供できることであり、そのため Jailhouse はリアルタイムで実行されるタスクを作成するのに適したソリューションになります。 欠点は、CPU コアの数によって制限されるため、拡張性が限られていることです。
刑務所の用語では、仮想環境は「カメラ」(刑務所の文脈ではセル)と呼ばれます。 カメラの内部では、システムはパフォーマンスを示すシングルプロセッササーバーのように見えます 専用の CPU コアのパフォーマンスに影響を与えます。 カメラは、任意のオペレーティング システムの環境だけでなく、XNUMX つのアプリケーションや、リアルタイムの問題を解決するために特別に用意された個別のアプリケーションを実行するための必要最低限の環境も実行できます。 構成は次のように設定されます 、環境に割り当てられる CPU、メモリ領域、および I/O ポートを決定します。
新しいリリースでは
- Raspberry Pi 4 Model BおよびTexas Instruments J721E-EVMプラットフォームのサポートを追加しました。
- ivshmem デバイスは、セル間の相互作用を組織化するために使用されます。 新しい ivshmem に加えて、VIRTIO のトランスポートを実装できます。
- 脆弱性をブロックするためにラージ メモリ ページ (hugepage) の作成を無効にする機能を実装しました。 Intel プロセッサでは、特権のない攻撃者がサービス妨害を開始して、システムが「マシン チェック エラー」状態でハングする可能性があります。
- ARM64 プロセッサを搭載したシステムの場合、SMMUv3 (システム メモリ管理ユニット) および TI PVU (ペリフェラル仮想化ユニット) のサポートが実装されています。 ハードウェア (ベアメタル) 上で実行される分離環境用に PCI サポートが追加されました。
- ルート カメラ用の x86 システムでは、Intel プロセッサによって提供される CR4.UMIP (ユーザー モード命令防止) モードを有効にすることができます。これにより、SGDT、SLDT、SIDT などのユーザー空間での特定の命令の実行を禁止できます。 、SMSW および STR は、システム内の権限を高めることを目的とした攻撃に使用できます。
出所: オープンネット.ru