Siemens ကုမ္ပဏီ
hypervisor ကို Linux kernel အတွက် module တစ်ခုအဖြစ် လုပ်ဆောင်ပြီး kernel အဆင့်တွင် virtualization ကို ပံ့ပိုးပေးပါသည်။ ဧည့်သည်စနစ်များအတွက် အစိတ်အပိုင်းများကို ပင်မ Linux kernel တွင် ထည့်သွင်းထားပြီးဖြစ်သည်။ သီးခြားခွဲထုတ်ခြင်းကို စီမံရန်၊ ခေတ်မီ CPU များမှ ပံ့ပိုးပေးသော ဟာ့ဒ်ဝဲ အသွင်ကူးပြောင်းရေး ယန္တရားများကို အသုံးပြုပါသည်။ Jailhouse ၏ထူးခြားသောအင်္ဂါရပ်များသည်၎င်း၏ပေါ့ပါးသောအကောင်အထည်ဖော်မှုဖြစ်ပြီး၊ ပုံသေ CPU၊ RAM ဧရိယာနှင့် ဟာ့ဒ်ဝဲစက်ပစ္စည်းများနှင့် virtual machines များကို ချိတ်ဆက်ရန် အာရုံစိုက်ထားသည်။ ဤချဉ်းကပ်နည်းသည် ရုပ်ပိုင်းဆိုင်ရာ multiprocessor ဆာဗာတစ်ခုအား ၎င်း၏ကိုယ်ပိုင်ပရိုဆက်ဆာ core သို့တာဝန်ပေးအပ်သည့် သီးခြားလွတ်လပ်သော virtual ပတ်ဝန်းကျင်များစွာ၏လည်ပတ်မှုကို ပံ့ပိုးပေးနိုင်သည်။
CPU နှင့် တင်းကျပ်သော လင့်ခ်တစ်ခုဖြင့်၊ hypervisor ၏ အပေါ်ပိုင်းကို လျှော့ချလိုက်ပြီး ၎င်း၏ အကောင်အထည်ဖော်မှုသည် သိသိသာသာ ရိုးရှင်းပါသည်။ ရှုပ်ထွေးသော အရင်းအမြစ်ခွဲဝေမှုအချိန်ဇယားကို လုပ်ဆောင်ရန် မလိုအပ်သောကြောင့် - သီးခြား CPU core တစ်ခုကို ခွဲဝေပေးခြင်းသည် ဤ CPU တွင် အခြားလုပ်ဆောင်စရာများကို လုပ်ဆောင်မည်မဟုတ်ကြောင်း သေချာစေသည်။ . ဤချဉ်းကပ်မှု၏ အားသာချက်မှာ အရင်းအမြစ်များထံ အာမခံချက်ရှိသော ဝင်ရောက်ခွင့်နှင့် ကြိုတင်မှန်းဆနိုင်သော စွမ်းဆောင်ရည်ကို ပေးစွမ်းနိုင်ခြင်းကြောင့် Jailhouse သည် အချိန်နှင့်တပြေးညီ လုပ်ဆောင်ခဲ့သော အလုပ်များကို ဖန်တီးရန်အတွက် သင့်လျော်သော ဖြေရှင်းချက်တစ်ခု ဖြစ်လာစေသည်။ အားနည်းချက်မှာ CPU cores အရေအတွက်အားဖြင့် အကန့်အသတ်ဖြင့် ချဲ့ထွင်နိုင်စွမ်းရှိသည်။
Jailhouse ဝေါဟာရဗေဒတွင်၊ ပကတိပတ်ဝန်းကျင်များကို "ကင်မရာများ" (အကျဉ်းခန်း၊ ထောင်တွင်းအကြောင်းအရာ) ဟုခေါ်သည်။ ကင်မရာအတွင်းတွင်၊ စနစ်သည် စွမ်းဆောင်ရည်ပြသသည့် single-processor server တစ်ခုနှင့်တူသည်။
အသစ်ထွက်မှာပါ
- Raspberry Pi 4 Model B နှင့် Texas Instruments J721E-EVM ပလပ်ဖောင်းများအတွက် ပံ့ပိုးမှုထပ်ဖြည့်ထားသည်။
-
ပြန်လည်ပြုပြင်ခဲ့သည်။ ဆဲလ်များကြား အပြန်အလှန်ဆက်သွယ်မှုကို စုစည်းရန် ivshmem ကိရိယာကို အသုံးပြုသည်။ ivshmem အသစ်၏ထိပ်တွင်၊ သင်သည် VIRTIO အတွက်သယ်ယူပို့ဆောင်ရေးတစ်ခုကိုအကောင်အထည်ဖော်နိုင်သည်။ - အားနည်းချက်ကိုပိတ်ဆို့ရန် ကြီးမားသောမှတ်ဉာဏ်စာမျက်နှာများ (ကြီးမားသောစာမျက်နှာများ) ဖန်တီးခြင်းကို ပိတ်နိုင်သည့်စွမ်းရည်ကို အကောင်အထည်ဖော်ခဲ့သည်။
CVE-2018-12207 Intel ပရိုဆက်ဆာများတွင် အခွင့်ထူးမရသေးသော တိုက်ခိုက်သူအား "စက်စစ်ဆေးခြင်းအမှား" အနေအထားတွင် စနစ်ဆွဲထားခြင်းကြောင့် ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်းကို စတင်ခွင့်ပြုသည်။ - ARM64 ပရိုဆက်ဆာများပါရှိသော စနစ်များအတွက် SMMUv3 (System Memory Management Unit) နှင့် TI PVU (Peripheral Virtualization Unit) အတွက် ပံ့ပိုးမှုကို ဆောင်ရွက်ပေးပါသည်။ ဟာ့ဒ်ဝဲ (သတ္တုမပါသော) ထိပ်တွင်လည်ပတ်နေသော သီးခြားပတ်ဝန်းကျင်များအတွက် PCI ပံ့ပိုးမှုကို ထည့်သွင်းထားသည်။
- root ကင်မရာများအတွက် x86 စနစ်များတွင်၊ SGDT၊ SLDT၊ SIDT ကဲ့သို့ အချို့သောညွှန်ကြားချက်များ၏ အသုံးပြုသူနေရာလွတ်တွင် လုပ်ဆောင်ခြင်းကို တားမြစ်ခွင့်ပြုသည့် Intel ပရိုဆက်ဆာများမှ ပေးသော CR4.UMIP (User-Mode Instruction Prevention) မုဒ်ကို ဖွင့်နိုင်သည် တိုက်ခိုက်မှုများတွင် အသုံးပြုနိုင်သည့် SMSW နှင့် STR ၊ စနစ်ရှိ အထူးအခွင့်အရေးများကို တိုးမြှင့်ရန် ရည်ရွယ်သည်။
source: opennet.ru