Siemens-bedrijf gratis hypervisor-release . De hypervisor ondersteunt x86_64-systemen met VMX+EPT- of SVM+NPT (AMD-V)-uitbreidingen, evenals ARMv7- en ARMv8/ARM64-processors met virtualisatie-uitbreidingen. Afzonderlijk afbeeldingsgenerator voor de Jailhouse-hypervisor, gegenereerd op basis van Debian-pakketten voor ondersteunde apparaten. Projectcode gelicentieerd onder GPLv2.
De hypervisor is geïmplementeerd als module voor de Linux-kernel en zorgt voor virtualisatie op kernelniveau. Componenten voor gastsystemen zijn al opgenomen in de belangrijkste Linux-kernel. Om isolatie te beheren, worden de hardwarevirtualisatiemechanismen van moderne CPU's gebruikt. Opvallende kenmerken van Jailhouse zijn de lichtgewicht implementatie en de focus op het binden van virtuele machines aan een vaste CPU, RAM-gebied en hardwareapparaten. Deze aanpak maakt het mogelijk dat één fysieke multiprocessorserver de werking van verschillende onafhankelijke virtuele omgevingen ondersteunt, die elk aan hun eigen processorkern zijn toegewezen.
Door een nauwe koppeling met de CPU wordt de overhead van de hypervisor geminimaliseerd en wordt de implementatie ervan aanzienlijk vereenvoudigd, omdat het niet nodig is om een complexe resourcetoewijzingsplanner uit te voeren. Het toewijzen van een afzonderlijke CPU-kern zorgt ervoor dat er geen andere taken op deze CPU worden uitgevoerd . Het voordeel van deze aanpak is de mogelijkheid om gegarandeerde toegang tot bronnen en voorspelbare prestaties te bieden, wat Jailhouse een geschikte oplossing maakt voor het creëren van taken die in realtime worden uitgevoerd. Het nadeel is de beperkte schaalbaarheid, beperkt door het aantal CPU-kernen.
In de Jailhouse-terminologie worden virtuele omgevingen ‘camera’s’ genoemd (cel, in de gevangeniscontext). Binnenin de camera ziet het systeem eruit als een server met één processor die prestaties levert aan de prestaties van een speciale CPU-kern. De camera kan de omgeving van een willekeurig besturingssysteem draaien, maar ook een uitgeklede omgeving voor het uitvoeren van één applicatie of speciaal voorbereide individuele applicaties die zijn ontworpen om realtime problemen op te lossen. De configuratie is ingesteld , die de CPU, geheugenregio's en I/O-poorten bepalen die aan de omgeving zijn toegewezen.
In de nieuwe release
- Ondersteuning toegevoegd voor Raspberry Pi 4 Model B en Texas Instruments J721E-EVM-platforms;
- ivshmem-apparaat dat wordt gebruikt om de interactie tussen cellen te organiseren. Bovenop de nieuwe ivshmem kun je een transport voor VIRTIO implementeren;
- De mogelijkheid geïmplementeerd om het maken van grote geheugenpagina's (hugepage) uit te schakelen om de kwetsbaarheid te blokkeren in Intel-processors, waardoor een onbevoegde aanvaller een Denial of Service kan initiëren, wat ertoe leidt dat het systeem vastloopt in de status “Machine Check Error”;
- Voor systemen met ARM64-processors is ondersteuning voor SMMUv3 (System Memory Management Unit) en TI PVU (Peripheral Virtualization Unit) geïmplementeerd. PCI-ondersteuning is toegevoegd voor geïsoleerde omgevingen die op hardware draaien (bare-metal);
- Op x86-systemen voor rootcamera's is het mogelijk om de CR4.UMIP-modus (User-Mode Instruction Prevention) van Intel-processors in te schakelen, waarmee u de uitvoering van bepaalde instructies in de gebruikersruimte kunt verbieden, zoals SGDT, SLDT, SIDT , SMSW en STR, die kunnen worden gebruikt bij aanvallen, gericht op het vergroten van de privileges in het systeem.
Bron: opennet.ru