Siemens Gesellschaft fräi Hypervisor Fräisetzung . Den Hypervisor ënnerstëtzt x86_64 Systemer mat VMX + EPT oder SVM + NPT (AMD-V) Extensiounen, souwéi ARMv7 an ARMv8 / ARM64 Prozessoren mat Virtualiséierungsextensiounen. Separat Bildgenerator fir de Jailhouse Hypervisor, generéiert baséiert op Debian Packagen fir ënnerstëtzt Geräter. Projet Code lizenzéiert ënner GPLv2.
Den Hypervisor gëtt als Modul fir de Linux Kernel implementéiert a bitt Virtualiséierung um Kernelniveau. Komponente fir Gaaschtsystemer si schonn am Haapt Linux Kernel abegraff. Fir d'Isolatioun ze managen, ginn d'Hardwarevirtualiséierungsmechanismen, déi vu modernen CPUs geliwwert ginn, benotzt. Distinctive Fonctiounen vum Jailhouse sinn seng liicht Implementatioun a konzentréieren sech op d'Verbindung vu virtuelle Maschinnen op eng fix CPU, RAM Beräich an Hardwaregeräter. Dës Approche erlaabt e physikalesche Multiprocessor-Server d'Operatioun vu verschiddenen onofhängege virtuellen Ëmfeld z'ënnerstëtzen, jidderee vun deem säin eegene Prozessorkär zougewisen ass.
Mat engem enke Link op d'CPU gëtt den Overhead vum Hypervisor miniméiert a seng Ëmsetzung ass wesentlech vereinfacht, well et net néideg ass e komplexe Ressource Allocation Scheduler ze lafen - d'Allokéiere vun engem separaten CPU Kär garantéiert datt keng aner Aufgaben op dëser CPU ausgefouert ginn. . De Virdeel vun dëser Approche ass d'Fäegkeet garantéiert Zougang zu Ressourcen a prévisibel Leeschtung ze bidden, wat Jailhouse eng passend Léisung mécht fir Aufgaben an Echtzäit ze kreéieren. Den Nodeel ass limitéiert Skalierbarkeet, limitéiert duerch d'Zuel vun den CPU Cores.
A Jailhouse Terminologie ginn virtuell Ëmfeld "Kameraen" genannt (Zell, am Prisongskontext). Bannen an der Kamera gesäit de System aus wéi en Single-Prozessor Server deen d'Leeschtung weist op d'Leeschtung vun engem dedizéierten CPU Kär. D'Kamera kann d'Ëmfeld vun engem arbiträren Betriebssystem lafen, wéi och ofgeschnidden Ëmfeld fir eng Applikatioun ze lafen oder speziell virbereet individuell Applikatiounen entwéckelt fir Echtzäitproblemer ze léisen. D'Konfiguratioun ass agestallt , déi d'CPU, d'Erënnerungsregiounen an d'I/O Ports bestëmmen, déi un d'Ëmwelt zougewisen sinn.
An der neier Verëffentlechung
- Zousätzlech Ënnerstëtzung fir Raspberry Pi 4 Model B an Texas Instruments J721E-EVM Plattformen;
- ivshmem Apparat benotzt fir Interaktioun tëscht Zellen ze organiséieren. Op erop vun der neier ivshmem, Dir kënnt en Transport fir VIRTIO ëmsetzen;
- Implementéiert d'Fäegkeet fir d'Schafung vu grousse Gedächtnissäiten (enorme Säit) auszeschalten fir d'Schwachheet ze blockéieren an Intel Prozessoren, wat en onprivilegéierten Ugräifer erlaabt eng Verweigerung vum Service ze initiéieren, wat zu engem System hänkt am "Machine Check Error" Zoustand;
- Fir Systemer mat ARM64 Prozessoren, Ënnerstëtzung fir SMMUv3 (System Memory Management Unit) an TI PVU (Peripheral Virtualization Unit) implementéiert. PCI-Ënnerstëtzung gouf fir isoléiert Ëmfeld bäigefüügt, déi uewen op Hardware lafen (bare-Metal);
- Op x86 Systemer fir Root Kameraen ass et méiglech den CR4.UMIP (User-Mode Instruction Prevention) Modus vun Intel Prozessoren ze aktivéieren, wat Iech erlaabt d'Ausféierung am Benotzerraum vu bestëmmten Instruktiounen ze verbidden, wéi SGDT, SLDT, SIDT , SMSW an STR, déi an Attacken benotzt kënne ginn, fir d'Privilegien am System ze erhéijen.
Source: opennet.ru