Siemens rilaxx ta 'hypervisor b'xejn . L-hypervisor jappoġġja sistemi x86_64 b'estensjonijiet VMX + EPT jew SVM + NPT (AMD-V), kif ukoll proċessuri ARMv7 u ARMv8/ARM64 b'estensjonijiet ta 'virtwalizzazzjoni. Separatament ġeneratur tal-immaġni għall-hypervisor Jailhouse ibbażat fuq pakketti Debian għal apparati appoġġjati. Kodiċi tal-Proġett liċenzjat taħt GPLv2.
L-hypervisor huwa implimentat bħala modulu għall-kernel tal-Linux u jipprovdi virtwalizzazzjoni fil-livell tal-kernel. Komponenti għas-sistemi mistiedna huma diġà inklużi fil-kernel prinċipali tal-Linux. Il-ġestjoni tal-iżolament tuża mekkaniżmi ta 'virtwalizzazzjoni tal-ħardwer ipprovduti minn CPUs moderni. Il-karatteristiċi tal-Jailhouse huma l-implimentazzjoni ħafifa tiegħu u jiffokaw fuq l-irbit ta 'magni virtwali ma' CPU fiss, żona RAM, u apparati tal-ħardwer. Dan l-approċċ jippermetti lil server multiproċessur fiżiku wieħed biex jiżgura t-tħaddim ta 'diversi ambjenti virtwali indipendenti, li kull wieħed minnhom huwa assenjat għall-qalba tal-proċessur tiegħu stess.
B'irbit iebes mas-CPU, l-overhead tal-hypervisor huwa minimizzat u l-implimentazzjoni tiegħu hija ssimplifikata ħafna, peress li m'hemmx bżonn li jiġi eżegwit skedatur kumpless tal-allokazzjoni tar-riżorsi - l-allokazzjoni ta 'qalba separata tas-CPU tiżgura li l-ebda ħidma oħra ma titwettaq fuq dan is-CPU. Il-vantaġġ ta 'dan l-approċċ huwa l-abbiltà li jipprovdi aċċess garantit għar-riżorsi u prestazzjoni prevedibbli, li jagħmel il-Jailhouse soluzzjoni xierqa għall-ħolqien ta' kompiti f'ħin reali. L-iżvantaġġ huwa l-iskalabbiltà limitata, limitata min-numru ta 'qalba tas-CPU.
Fit-terminoloġija tal-ħabs, l-ambjenti virtwali jissejħu "kameras" (ċelluli, fil-kuntest tal-ħabs). Ġewwa l-kamera, is-sistema tidher qisha server b'socket wieħed, li turi l-prestazzjoni għall-prestazzjoni ta 'qalba CPU dedikata. Il-kamera tista 'tħaddem ambjent ta' sistema operattiva arbitrarja, kif ukoll ambjenti maqtugħin għat-tħaddim ta 'applikazzjoni waħda jew applikazzjonijiet individwali ppreparati apposta ddisinjati biex isolvu kompiti f'ħin reali. Il-konfigurazzjoni hija stabbilita , li jiddeterminaw is-CPU allokat għall-ambjent, ir-reġjuni tal-memorja u l-portijiet I / O.
Fir-rilaxx il-ġdid
- Appoġġ miżjud għall-pjattaformi Raspberry Pi 4 Mudell B u Texas Instruments J721E-EVM;
- apparat ivshmem użat biex jorganizza l-interazzjoni bejn iċ-ċelloli. Minbarra l-ivshmem il-ġdid, tista 'timplimenta trasport għal VIRTIO;
- Implimenta l-abbiltà li tiddiżattiva l-ħolqien ta 'paġni kbar tal-memorja (paġna enormi) biex timblokka l-vulnerabbiltà fuq il-proċessuri Intel, li jippermetti lil attakkant mhux privileġġjat li jibda ċaħda ta 'servizz li tikkawża li s-sistema tistrieħ fl-istat "Machine Check Error";
- Għal sistemi bi proċessuri ARM64, appoġġ għal SMMUv3 (System Memory Management Unit) u TI PVU (Peripheral Virtualization Unit) huwa implimentat. Appoġġ miżjud għall-PCI għal ambjenti iżolati li jaħdmu fuq hardware (bare-metal);
- На системах x86 для корневых камер реализована возможность включения предоставляемого процессорами Intel режима CR4.UMIP (User-Mode Instruction Prevention), позволяющего запретить выполнение в пространстве пользователя некоторых инструкций, таких как SGDT, SLDT, SIDT, SMSW и STR, которые могут применяться в атаках, нацеленных на повышение привилегий в системе.
Sors: opennet.ru