Şirketa Siemens serbestberdana hypervisor belaş . Hypervisor pergalên x86_64 bi pêvekên VMX + EPT an SVM + NPT (AMD-V), û her weha pêvajoyên ARMv7 û ARMv8/ARM64 bi dirêjkirina virtualbûnê piştgirî dike. Separately jeneratorê wêneyê ji bo hypervisor Jailhouse, ku li ser bingeha pakêtên Debian-ê ji bo amûrên piştgirî têne çêkirin. Koda projeyê lîsansa di bin GPLv2.
Hypervisor ji bo kernel Linux-ê wekî modulek tête bicîh kirin û di asta kernel de virtualbûnê peyda dike. Parçeyên ji bo pergalên mêvan berê di nav kernel Linux-ê ya sereke de cih digirin. Ji bo birêvebirina veqetandinê, mekanîzmayên virtualîzasyona hardware ku ji hêla CPU-yên nûjen ve têne peyda kirin têne bikar anîn. Taybetmendiyên cihêreng ên Jailhouse pêkanîna wê ya sivik e û balê dikişîne ser girêdana makîneyên virtual bi CPU, qada RAM û cîhazên hardware-ya sabît. Ev nêzîkatî rê dide yek serverek pirpêvajoya laşî ku piştgirî bide xebata çend hawîrdorên virtual yên serbixwe, ku her yek ji navgîniya pêvajoya xwe ya xwe ve hatî veqetandin.
Bi girêdanek hişk a bi CPU re, serkêşiya hîpervisor kêm dibe û pêkanîna wê bi girîngî hêsan dibe, ji ber ku ne hewce ye ku nexşerêyek veqetandina çavkaniyek tevlihev were meşandin - veqetandina bingehek CPU-ya cihê piştrast dike ku tu karên din li ser vê CPU-yê nayên darve kirin. . Feydeya vê nêzîkatiyê şiyana peydakirina gihîştina garantîkirî ya çavkaniyan û performansa pêşbînîkirî ye, ku Jailhouse ji bo afirandina karên ku di wextê rast de têne kirin çareseriyek maqûl dike. Nerazîbûn pîvandina tixûbdar e, ji hêla hejmara navikên CPU ve têne sînorkirin.
Di termînolojiya Jailhouse de, ji hawîrdorên virtual re "kamera" (hucre, di çarçoweya zindanê de) tê gotin. Di hundurê kamerayê de, pergal mîna serverek yek-processor xuya dike ku performansê nîşan dide ji bo performansa bingehek CPU ya diyarkirî. Kamera dikare hawîrdora pergalek xebitandinê ya kêfî, û her weha jîngehên dakêşandî yên ji bo xebitandina yek serîlêdanê an serîlêdanên kesane yên taybetî yên amadekirî yên ku ji bo çareserkirina pirsgirêkên rast-dem hatine çêkirin, bimeşîne. Veavakirin tê saz kirin , ku CPU, herêmên bîranîn, û portên I/O yên ku ji hawîrdorê re hatine veqetandin diyar dikin.
Di weşana nû de
- Ji bo platformên Raspberry Pi 4 Model B û Texas Instruments J721E-EVM piştgirî zêde kirin;
- Amûra ivshmem ji bo organîzekirina têkiliya di navbera şaneyan de tê bikar anîn. Li ser ivşmêma nû, hûn dikarin ji bo VIRTIO veguheztinek pêk bînin;
- Kapasîteya neçalakkirina çêkirina rûpelên bîranînê yên mezin (rûpelek mezin) bicîh kir da ku qelsiyê asteng bike di pêvajoyên Intel de, ku destûrê dide êrîşkerek bê îmtiyaz ku dest bi redkirina karûbarê bike ku di encamê de pergalek di rewşa "Çewtiya Kontrolkirina Makîneyê" de raweste;
- Ji bo pergalên bi pêvajoyên ARM64, piştgirî ji bo SMMUv3 (Yekîneya Rêvebiriya Bîra Pergalê) û TI PVU (Yekîneya Virtualîzasyona Peripheral) tê pêkanîn. Piştgiriya PCI-ê ji bo hawîrdorên veqetandî yên ku li ser jorê hardware (tazî-metal) dixebitin, hate zêdekirin;
- На системах x86 для корневых камер реализована возможность включения предоставляемого процессорами Intel режима CR4.UMIP (User-Mode Instruction Prevention), позволяющего запретить выполнение в пространстве пользователя некоторых инструкций, таких как SGDT, SLDT, SIDT, SMSW и STR, которые могут применяться в атаках, нацеленных на повышение привилегий в системе.
Source: opennet.ru