Siemens uzņēmums bezmaksas hipervizora izlaišana . Hipervizors atbalsta x86_64 sistēmas ar VMX+EPT vai SVM+NPT (AMD-V) paplašinājumiem, kā arī ARMv7 un ARMv8/ARM64 procesorus ar virtualizācijas paplašinājumiem. Atsevišķi attēlu ģenerators Jailhouse hipervizoram, kas ģenerēts, pamatojoties uz Debian pakotnēm atbalstītajām ierīcēm. Projekta kods licencēts saskaņā ar GPLv2.
Hipervizors ir ieviests kā modulis Linux kodolam un nodrošina virtualizāciju kodola līmenī. Viesu sistēmu komponenti jau ir iekļauti galvenajā Linux kodolā. Lai pārvaldītu izolāciju, tiek izmantoti mūsdienu CPU nodrošinātie aparatūras virtualizācijas mehānismi. Jailhouse atšķirīgās iezīmes ir tā vieglā ieviešana un koncentrējas uz virtuālo mašīnu saistīšanu ar fiksētu CPU, RAM apgabalu un aparatūras ierīcēm. Šī pieeja ļauj vienam fiziskam daudzprocesoru serverim atbalstīt vairāku neatkarīgu virtuālo vidi darbību, no kurām katra ir piešķirta savam procesora kodolam.
Izmantojot ciešu saikni ar centrālo procesoru, tiek samazināta hipervizora pieskaitāmā slodze un ievērojami vienkāršota tā ieviešana, jo nav nepieciešams palaist sarežģītu resursu piešķiršanas plānotāju - atsevišķa CPU kodola piešķiršana nodrošina, ka šajā CPU netiek izpildīti citi uzdevumi. . Šīs pieejas priekšrocība ir iespēja nodrošināt garantētu piekļuvi resursiem un prognozējamu veiktspēju, kas padara Jailhouse par piemērotu risinājumu reāllaikā veiktu uzdevumu veidošanai. Negatīvā puse ir ierobežota mērogojamība, ko ierobežo CPU kodolu skaits.
Cietuma terminoloģijā virtuālās vides sauc par “kamerām” (šūna cietuma kontekstā). Kameras iekšpusē sistēma izskatās kā viena procesora serveris, kas parāda veiktspēju speciāla CPU kodola veiktspējai. Kamera var darbināt patvaļīgas operētājsistēmas vidi, kā arī attīrītas vides vienas lietojumprogrammas darbināšanai vai īpaši sagatavotas atsevišķas lietojumprogrammas, kas paredzētas reāllaika problēmu risināšanai. Konfigurācija ir iestatīta , kas nosaka videi piešķirtos CPU, atmiņas reģionus un I/O portus.
Jaunajā laidienā
- Pievienots Raspberry Pi 4 Model B un Texas Instruments J721E-EVM platformu atbalsts;
- ivshmem ierīce, ko izmanto, lai organizētu mijiedarbību starp šūnām. Papildus jaunajam ivshmem jūs varat ieviest transportu VIRTIO;
- Ieviesta iespēja atspējot lielu atmiņas lapu izveidi (milzīgu lapu), lai bloķētu ievainojamību Intel procesoros, kas ļauj nepievilcīgiem uzbrucējiem ierosināt pakalpojuma atteikumu, kā rezultātā sistēma tiek apturēta stāvoklī “Machine Check Error”;
- Sistēmām ar ARM64 procesoriem ir ieviests atbalsts SMMUv3 (System Memory Management Unit) un TI PVU (Peripheral Virtualization Unit). Ir pievienots PCI atbalsts izolētām vidēm, kas darbojas virs aparatūras (bez metāla);
- X86 sistēmās saknes kamerām ir iespējams iespējot Intel procesoru nodrošināto CR4.UMIP (User-Mode Instruction Prevention) režīmu, kas ļauj aizliegt noteiktu instrukciju izpildi lietotāja telpā, piemēram, SGDT, SLDT, SIDT. , SMSW un STR, ko var izmantot uzbrukumos, kuru mērķis ir palielināt privilēģijas sistēmā.
Avots: opennet.ru