Siemens-მა გამოუშვა Jailhouse 0.12 ჰიპერვიზორი

კომპანია Siemens опубликовала უფასო ჰიპერვიზორის გამოშვება ციხე 0.12. ჰიპერვიზორი მხარს უჭერს x86_64 სისტემებს VMX+EPT ან SVM+NPT (AMD-V) გაფართოებით, ასევე ARMv7 და ARMv8/ARM64 პროცესორებს ვირტუალიზაციის გაფართოებით. ცალ-ცალკე ვითარდება Jailhouse ჰიპერვიზორის სურათების გენერატორი პაკეტებზე დაფუძნებული Debian მხარდაჭერილი მოწყობილობებისთვის. პროექტის კოდი ვრცელდება ლიცენზირებული GPLv2-ით.

ჰიპერვიზორი დანერგილია როგორც ბირთვის მოდული Linux და უზრუნველყოფს ბირთვის დონის ვირტუალიზაციას. სტუმარი სისტემების კომპონენტები უკვე შედის მთავარ ბირთვში. LinuxJailhouse იზოლაციის სამართავად იყენებს თანამედროვე პროცესორების მიერ მოწოდებულ აპარატურული ვირტუალიზაციის მექანიზმებს. Jailhouse-ის გამორჩეული მახასიათებლებია მისი მსუბუქი დანერგვა და ვირტუალური მანქანების ფიქსირებულ პროცესორთან, ოპერატიულ მეხსიერებასთან და აპარატურულ მოწყობილობებთან დაკავშირებაზე ფოკუსირება. ეს მიდგომა საშუალებას იძლევა, ერთ ფიზიკურ მრავალპროცესორულ სერვერზე გაშვებული იყოს მრავალი დამოუკიდებელი ვირტუალური გარემო, რომელთაგან თითოეული მინიჭებული აქვს საკუთარ პროცესორის ბირთვს.

CPU-სთან მჭიდრო ბმულით, ჰიპერვიზორის ზედნადები მინიმუმამდეა და მისი განხორციელება მნიშვნელოვნად გამარტივებულია, რადგან არ არის საჭირო რთული რესურსების განაწილების გრაფიკის გაშვება - ცალკე CPU ბირთვის გამოყოფა უზრუნველყოფს, რომ სხვა ამოცანები არ შესრულდეს ამ CPU-ზე. . ამ მიდგომის უპირატესობაა რესურსებზე გარანტირებული წვდომისა და პროგნოზირებადი შესრულების შესაძლებლობა, რაც Jailhouse-ს შესაფერის გადაწყვეტად აქცევს რეალურ დროში შესრულებული ამოცანების შესაქმნელად. მინუსი არის შეზღუდული მასშტაბურობა, შეზღუდული CPU ბირთვების რაოდენობით.

Jailhouse ტერმინოლოგიაში, ვირტუალურ გარემოს ეწოდება "კამერები" (უჯრედი, ციხის კონტექსტში). კამერის შიგნით სისტემა ჰგავს ერთპროცესორიან სერვერს, რომელიც აჩვენებს შესრულებას დახურვა გამოყოფილი CPU ბირთვის შესრულებამდე. კამერას შეუძლია აწარმოოს თვითნებური ოპერაციული სისტემის გარემო, ისევე როგორც ერთი აპლიკაციის გასაშვებად ამოღებული გარემო ან სპეციალურად მომზადებული ინდივიდუალური აპლიკაციები, რომლებიც შექმნილია რეალურ დროში პრობლემების გადასაჭრელად. კონფიგურაცია დაყენებულია .უჯრედის ფაილები, რომელიც განსაზღვრავს CPU-ს, მეხსიერების რეგიონებს და გარემოსთვის გამოყოფილ I/O პორტებს.

ახალ გამოშვებაში

• დამატებულია მხარდაჭერა Raspberry Pi 4 Model B და Texas Instruments J721E-EVM პლატფორმებისთვის;
• გადამუშავებული ivshmem მოწყობილობა გამოიყენება უჯრედებს შორის ურთიერთქმედების ორგანიზებისთვის. ახალი ივშმემის თავზე, შეგიძლიათ განახორციელოთ ტრანსპორტი VIRTIO-სთვის;
  
• დანერგილია დიდი მეხსიერების გვერდების (უზარმაზარი გვერდის) შექმნის გამორთვის შესაძლებლობა დაუცველობის დაბლოკვის მიზნით CVE-2018-12207 ინტელის პროცესორებში, რაც არაპრივილეგირებულ თავდამსხმელს საშუალებას აძლევს, დაიწყოს სერვისზე უარის თქმა, რის შედეგადაც სისტემა გაჩერდება „მანქანის შემოწმების შეცდომის“ მდგომარეობაში;
• ARM64 პროცესორების მქონე სისტემებისთვის დანერგილია SMMUv3 (სისტემის მეხსიერების მართვის განყოფილება) და TI PVU (პერიფერიული ვირტუალიზაციის ერთეული) მხარდაჭერა. PCI მხარდაჭერა დაემატა იზოლირებულ გარემოს, რომელიც მუშაობს ტექნიკის თავზე (შიშველი ლითონის);
• root კამერების x86 სისტემებზე შესაძლებელია Intel პროცესორების მიერ მოწოდებული CR4.UMIP (User-Mode Instruction Prevention) რეჟიმის ჩართვა, რაც საშუალებას გაძლევთ აიკრძალოთ მომხმარებლის სივრცეში გარკვეული ინსტრუქციების შესრულება, როგორიცაა SGDT, SLDT, SIDT. , SMSW და STR, რომლებიც შეიძლება გამოყენებულ იქნას შეტევებში, მიზნად ისახავს სისტემაში პრივილეგიების გაზრდას.

წყარო: opennet.ru