Siemens selskap gratis hypervisorutgivelse . Hypervisoren støtter x86_64-systemer med VMX+EPT eller SVM+NPT (AMD-V) utvidelser, samt ARMv7 og ARMv8/ARM64 prosessorer med virtualiseringsutvidelser. Hver for seg bildegenerator for Jailhouse-hypervisoren, generert basert på Debian-pakker for støttede enheter. Prosjektkode lisensiert under GPLv2.
Hypervisoren er implementert som en modul for Linux-kjernen og gir virtualisering på kjernenivå. Komponenter for gjestesystemer er allerede inkludert i hoved Linux-kjernen. For å håndtere isolasjon brukes maskinvarevirtualiseringsmekanismene som tilbys av moderne CPUer. Karakteristiske trekk ved Jailhouse er dens lette implementering og fokus på å binde virtuelle maskiner til en fast CPU, RAM-område og maskinvareenheter. Denne tilnærmingen lar én fysisk multiprosessorserver støtte driften av flere uavhengige virtuelle miljøer, som hver er tilordnet sin egen prosessorkjerne.
Med en tett kobling til CPUen minimeres overheaden til hypervisoren og implementeringen av den er betydelig forenklet, siden det ikke er behov for å kjøre en kompleks ressursallokeringsplanlegger - allokering av en separat CPU-kjerne sikrer at ingen andre oppgaver utføres på denne CPUen. . Fordelen med denne tilnærmingen er muligheten til å gi garantert tilgang til ressurser og forutsigbar ytelse, noe som gjør Jailhouse til en passende løsning for å lage oppgaver utført i sanntid. Ulempen er begrenset skalerbarhet, begrenset av antall CPU-kjerner.
I Jailhouse-terminologi kalles virtuelle miljøer "kameraer" (celle, i jailhouse-sammenheng). Inne i kameraet ser systemet ut som en server med én prosessor som viser ytelse til ytelsen til en dedikert CPU-kjerne. Kameraet kan kjøre miljøet til et vilkårlig operativsystem, samt nedstrippede miljøer for å kjøre én applikasjon eller spesialtilberedte individuelle applikasjoner designet for å løse sanntidsproblemer. Konfigurasjonen er satt inn , som bestemmer CPU, minneregioner og I/O-porter som er allokert til miljøet.
I den nye utgivelsen
- Lagt til støtte for Raspberry Pi 4 Model B og Texas Instruments J721E-EVM-plattformer;
- ivshmem-enhet som brukes til å organisere interaksjon mellom celler. På toppen av den nye ivshmem kan du implementere en transport for VIRTIO;
- Implementerte muligheten til å deaktivere opprettelsen av store minnesider (enorme side) for å blokkere sårbarheten i Intel-prosessorer, som lar en uprivilegert angriper starte et tjenestenekt som resulterer i at systemet henger i "Machine Check Error"-tilstanden;
- For systemer med ARM64-prosessorer er støtte for SMMUv3 (System Memory Management Unit) og TI PVU (Peripheral Virtualization Unit) implementert. PCI-støtte er lagt til for isolerte miljøer som kjører på toppen av maskinvare (barmetall);
- På x86-systemer for rotkameraer er det mulig å aktivere CR4.UMIP (User-Mode Instruction Prevention)-modus levert av Intel-prosessorer, som lar deg forby utførelse av visse instruksjoner i brukerområdet, for eksempel SGDT, SLDT, SIDT , SMSW og STR, som kan brukes i angrep , rettet mot å øke privilegiene i systemet.
Kilde: opennet.ru