syarikat Siemens pelepasan hypervisor percuma . Hipervisor menyokong sistem x86_64 dengan sambungan VMX+EPT atau SVM+NPT (AMD-V), serta pemproses ARMv7 dan ARMv8/ARM64 dengan sambungan virtualisasi. Secara berasingan penjana imej untuk hipervisor Jailhouse, dijana berdasarkan pakej Debian untuk peranti yang disokong. Kod projek dilesenkan di bawah GPLv2.
Hipervisor dilaksanakan sebagai modul untuk kernel Linux dan menyediakan virtualisasi pada peringkat kernel. Komponen untuk sistem tetamu sudah disertakan dalam kernel Linux utama. Untuk menguruskan pengasingan, mekanisme virtualisasi perkakasan yang disediakan oleh CPU moden digunakan. Ciri tersendiri Jailhouse ialah pelaksanaannya yang ringan dan memfokuskan pada mengikat mesin maya kepada CPU tetap, kawasan RAM dan peranti perkakasan. Pendekatan ini membenarkan satu pelayan berbilang pemproses fizikal untuk menyokong operasi beberapa persekitaran maya bebas, yang setiap satu diperuntukkan kepada teras pemprosesnya sendiri.
Dengan pautan ketat kepada CPU, overhed hypervisor diminimumkan dan pelaksanaannya dipermudahkan dengan ketara, kerana tidak perlu menjalankan penjadual peruntukan sumber yang kompleks - memperuntukkan teras CPU yang berasingan memastikan tiada tugas lain dilaksanakan pada CPU ini . Kelebihan pendekatan ini ialah keupayaan untuk menyediakan akses terjamin kepada sumber dan prestasi yang boleh diramal, yang menjadikan Jailhouse sebagai penyelesaian yang sesuai untuk membuat tugasan yang dilakukan dalam masa nyata. Kelemahannya ialah kebolehskalaan terhad, dihadkan oleh bilangan teras CPU.
Dalam terminologi Jailhouse, persekitaran maya dipanggil "kamera" (sel, dalam konteks jailhouse). Di dalam kamera, sistem kelihatan seperti pelayan pemproses tunggal yang menunjukkan prestasi kepada prestasi teras CPU khusus. Kamera boleh menjalankan persekitaran sistem pengendalian sewenang-wenangnya, serta persekitaran yang dilucutkan untuk menjalankan satu aplikasi atau aplikasi individu yang disediakan khas yang direka untuk menyelesaikan masalah masa nyata. Konfigurasi ditetapkan , yang menentukan CPU, kawasan memori dan port I/O yang diperuntukkan kepada persekitaran.
Dalam keluaran baru
- Sokongan tambahan untuk platform Raspberry Pi 4 Model B dan Texas Instruments J721E-EVM;
- peranti ivshmem yang digunakan untuk mengatur interaksi antara sel. Selain daripada ivshmem baharu, anda boleh melaksanakan pengangkutan untuk VIRTIO;
- Melaksanakan keupayaan untuk melumpuhkan penciptaan halaman memori yang besar (halaman besar) untuk menyekat kelemahan dalam pemproses Intel, yang membenarkan penyerang yang tidak mempunyai hak untuk memulakan penafian perkhidmatan yang mengakibatkan sistem hang dalam keadaan "Ralat Semakan Mesin";
- Untuk sistem dengan pemproses ARM64, sokongan untuk SMMUv3 (Unit Pengurusan Memori Sistem) dan TI PVU (Unit Virtualisasi Periferal) dilaksanakan. Sokongan PCI telah ditambah untuk persekitaran terpencil yang berjalan di atas perkakasan (logam kosong);
- Pada sistem x86 untuk kamera akar, adalah mungkin untuk mendayakan mod CR4.UMIP (User-Mode Instruction Prevention) yang disediakan oleh pemproses Intel, yang membolehkan anda melarang pelaksanaan dalam ruang pengguna arahan tertentu, seperti SGDT, SLDT, SIDT , SMSW dan STR, yang boleh digunakan dalam serangan , bertujuan untuk meningkatkan keistimewaan dalam sistem.
Sumber: opennet.ru