Siemens компаниясы бекер hypervisor чыгаруу . Гипервизор VMX+EPT же SVM+NPT (AMD-V) кеңейтүүлөрү бар x86_64 системаларын, ошондой эле виртуалдаштыруу кеңейтүүлөрү бар ARMv7 жана ARMv8/ARM64 процессорлорун колдойт. Өзүнчө колдоого алынган түзмөктөр үчүн Debian топтомдорунун негизинде түзүлгөн Jailhouse гипервизору үчүн сүрөт генератору. Долбоор коду GPLv2 боюнча лицензияланган.
Гипервизор Linux ядросунун модулу катары ишке ашырылат жана ядро деңгээлинде виртуалдаштырууну камсыз кылат. Конок системалары үчүн компоненттер мурунтан эле негизги Linux ядросуна киргизилген. Изоляцияны башкаруу үчүн заманбап процессорлор тарабынан берилген аппараттык виртуалдаштыруу механизмдери колдонулат. Jailhouse'дун айырмалоочу өзгөчөлүктөрү анын жеңил ишке ашырылышы жана виртуалдык машиналарды туруктуу CPU, RAM аймагы жана аппараттык түзүлүштөр менен байланыштырууга багытталган. Бул ыкма бир физикалык мультипроцессордук серверге бир нече көз карандысыз виртуалдык чөйрөлөрдүн иштешин колдоого мүмкүндүк берет, алардын ар бири өзүнүн процессордук өзөгүнө ыйгарылган.
Процессордун тыгыз байланышы менен гипервизордун ашыкча чыгымы минималдаштылат жана аны ишке ашыруу кыйла жөнөкөйлөштүрүлөт, анткени татаал ресурстарды бөлүштүрүү пландоочусун иштетүүнүн кереги жок - өзүнчө CPU өзөгүн бөлүштүрүү бул процессордо башка эч кандай тапшырмалардын аткарылбагандыгын камсыз кылат. . Бул ыкманын артыкчылыгы ресурстарга кепилденген жетүү мүмкүнчүлүгүн жана болжолдуу аткарууну камсыз кылуу мүмкүнчүлүгү болуп саналат, бул Jailhouse реалдуу убакытта аткарылган тапшырмаларды түзүү үчүн ылайыктуу чечим кылат. Жаман жагы CPU өзөктөрүнүн саны менен чектелген масштабдалуулугу.
Абактын терминологиясында виртуалдык чөйрөлөр "камералар" деп аталат (каче, түрмөнүн контекстинде). Камеранын ичинде система өндүрүмдүүлүгүн көрсөткөн бир процессорлуу серверге окшош атайын CPU ядросунун иштешине. Камера ыктыярдуу операциялык тутумдун чөйрөсүн, ошондой эле бир тиркемени иштетүү үчүн ажыратылган чөйрөлөрдү же реалдуу убакыт көйгөйлөрүн чечүү үчүн атайын даярдалган жеке тиркемелерди иштете алат. Конфигурация орнотулган CPU, эстутум аймактарын жана айлана-чөйрөгө бөлүнгөн киргизүү/чыгаруу портторун аныктайт.
Жаңы чыгарылышта
- Raspberry Pi 4 Model B жана Texas Instruments J721E-EVM платформаларына колдоо кошулду;
- ivshmem аппараты клеткалардын ортосундагы өз ара аракеттенүүнү уюштуруу үчүн колдонулат. жаңы ivshmem үстүнө, VIRTIO үчүн транспорт ишке ашырууга болот;
- Алсыздыкты бөгөттөө үчүн чоң эстутум баракчаларын (чоң бет) түзүүнү өчүрүү мүмкүнчүлүгү ишке ашырылды Intel процессорлорунда, бул артыкчылыксыз чабуулчуга кызмат көрсөтүүдөн баш тартууну баштоого мүмкүндүк берет, натыйжада система “Машинаны текшерүү катасы” абалында токтоп калат;
- ARM64 процессорлору бар системалар үчүн SMMUv3 (системанын эс тутумун башкаруу бирдиги) жана TI PVU (перифериялык виртуалдаштыруу бирдиги) колдоо ишке ашырылат. PCI колдоосу жабдыктын үстүндө иштеген обочолонгон чөйрөлөр үчүн кошулду (жылаңач металл);
- Түп камералары үчүн x86 системаларында Intel процессорлору тарабынан берилген CR4.UMIP (User-Mode Instruction Prevention) режимин иштетүүгө болот, бул SGDT, SLDT, SIDT сыяктуу белгилүү бир нускамаларды колдонуучу мейкиндигинде аткарууга тыюу салууга мүмкүндүк берет. , кол салууларда колдонулушу мүмкүн SMSW жана STR , системадагы артыкчылыктарды жогорулатууга багытталган.
Source: opennet.ru