perusahaan Siemens release hypervisor free . Hypervisor ndhukung sistem x86_64 kanthi ekstensi VMX + EPT utawa SVM + NPT (AMD-V), uga prosesor ARMv7 lan ARMv8 / ARM64 kanthi ekstensi virtualisasi. Kapisah generator gambar kanggo hypervisor Jailhouse, digawe adhedhasar paket Debian kanggo piranti sing didhukung. Kode proyek dilisensi ing GPLv2.
Hypervisor dileksanakake minangka modul kanggo kernel Linux lan nyedhiyakake virtualisasi ing tingkat kernel. Komponen kanggo sistem tamu wis kalebu ing kernel Linux utama. Kanggo ngatur isolasi, mekanisme virtualisasi hardware sing diwenehake dening CPU modern digunakake. Fitur khas Jailhouse yaiku implementasine sing entheng lan fokus ing naleni mesin virtual menyang CPU tetep, area RAM lan piranti hardware. Pendekatan iki ngidini siji server multiprocessor fisik ndhukung operasi sawetara lingkungan virtual sawijining, saben kang diutus kanggo inti prosesor dhewe.
Kanthi link sing nyenyet menyang CPU, overhead hypervisor diminimalisir lan implementasine disederhanakake, amarga ora perlu nglakokake panjadwal alokasi sumber daya sing kompleks - ngalokasi inti CPU sing kapisah njamin ora ana tugas liyane sing ditindakake ing CPU iki. . Kauntungan saka pendekatan iki yaiku kemampuan kanggo nyedhiyakake akses sing dijamin menyang sumber daya lan kinerja sing bisa ditebak, sing ndadekake Jailhouse dadi solusi sing cocog kanggo nggawe tugas sing ditindakake kanthi nyata. Kelemahane yaiku skalabilitas winates, diwatesi karo jumlah inti CPU.
Ing terminologi Jailhouse, lingkungan virtual diarani "kamera" (sel, ing konteks jailhouse). Ing njero kamera, sistem katon kaya server prosesor siji sing nuduhake kinerja kanggo kinerja inti CPU darmabakti. Kamera bisa mbukak lingkungan sistem operasi sembarang, uga lingkungan dilucuti-mudhun kanggo mbukak siji aplikasi utawa khusus disiapake aplikasi individu dirancang kanggo ngatasi masalah nyata-wektu. Konfigurasi disetel ing , sing nemtokake CPU, wilayah memori, lan port I/O sing diparengake kanggo lingkungan.
Ing rilis anyar
- Dhukungan ditambahake kanggo platform Raspberry Pi 4 Model B lan Texas Instruments J721E-EVM;
- piranti ivshmem digunakake kanggo ngatur interaksi antarane sel. Ing ndhuwur ivshmem anyar, sampeyan bisa ngleksanakake transportasi kanggo VIRTIO;
- Dilaksanakake kemampuan kanggo mateni nggawe kaca memori gedhe (kaca gedhe) kanggo mblokir kerentanan ing prosesor Intel, sing ngidini panyerang unprivileged miwiti penolakan layanan sing nyebabake sistem macet ing negara "Machine Check Error";
- Kanggo sistem kanthi prosesor ARM64, dhukungan kanggo SMMUv3 (Unit Manajemen Memori Sistem) lan TI PVU (Unit Virtualisasi Periferal) ditindakake. Dhukungan PCI wis ditambahake kanggo lingkungan terisolasi mlaku ing ndhuwur hardware (bare-metal);
- Ing sistem x86 kanggo kamera ROOT, sampeyan bisa ngaktifake mode CR4.UMIP (User-Mode Instruction Prevention) sing diwenehake dening prosesor Intel, sing ngidini sampeyan nglarang eksekusi ing ruang pangguna instruksi tartamtu, kayata SGDT, SLDT, SIDT. , SMSW lan STR, sing bisa digunakake ing serangan , ngarahake kanggo nambah hak istimewa ing sistem.
Source: opennet.ru