Empresa Siemens lançamento gratuito de hipervisor . O hipervisor suporta sistemas x86_64 com extensões VMX+EPT ou SVM+NPT (AMD-V), bem como processadores ARMv7 e ARMv8/ARM64 com extensões de virtualização. Separadamente gerador de imagens para o hipervisor Jailhouse, gerado com base em pacotes Debian para dispositivos suportados. Código do projeto licenciado sob GPLv2.
O hipervisor é implementado como um módulo para o kernel Linux e fornece virtualização no nível do kernel. Os componentes para sistemas convidados já estão incluídos no kernel principal do Linux. Para gerenciar o isolamento, são utilizados os mecanismos de virtualização de hardware fornecidos pelas CPUs modernas. As características distintivas do Jailhouse são sua implementação leve e foco na ligação de máquinas virtuais a uma CPU fixa, área de RAM e dispositivos de hardware. Essa abordagem permite que um servidor multiprocessador físico suporte a operação de vários ambientes virtuais independentes, cada um dos quais atribuído ao seu próprio núcleo de processador.
Com um vínculo estreito com a CPU, a sobrecarga do hipervisor é minimizada e sua implementação é significativamente simplificada, uma vez que não há necessidade de executar um agendador de alocação de recursos complexo - a alocação de um núcleo de CPU separado garante que nenhuma outra tarefa seja executada nesta CPU . A vantagem desta abordagem é a capacidade de fornecer acesso garantido aos recursos e desempenho previsível, o que torna o Jailhouse uma solução adequada para a criação de tarefas executadas em tempo real. A desvantagem é a escalabilidade limitada, limitada pelo número de núcleos da CPU.
Na terminologia Jailhouse, os ambientes virtuais são chamados de “câmeras” (célula, no contexto da prisão). Dentro da câmera, o sistema parece um servidor de processador único mostrando desempenho ao desempenho de um núcleo de CPU dedicado. A câmera pode executar o ambiente de um sistema operacional arbitrário, bem como ambientes simplificados para executar um aplicativo ou aplicativos individuais especialmente preparados, projetados para resolver problemas em tempo real. A configuração é definida em , que determinam a CPU, as regiões de memória e as portas de E/S alocadas ao ambiente.
No novo lançamento
- Adicionado suporte para plataformas Raspberry Pi 4 Modelo B e Texas Instruments J721E-EVM;
- dispositivo ivshmem usado para organizar a interação entre células. Além do novo ivshmem, você pode implementar um transporte para VIRTIO;
- Implementada a capacidade de desabilitar a criação de páginas de grande memória (hugepage) para bloquear a vulnerabilidade em processadores Intel, que permite que um invasor sem privilégios inicie uma negação de serviço, resultando em um travamento do sistema no estado “Erro de verificação de máquina”;
- Para sistemas com processadores ARM64, é implementado suporte para SMMUv3 (System Memory Management Unit) e TI PVU (Peripheral Virtualization Unit). Foi adicionado suporte PCI para ambientes isolados executados em hardware (bare-metal);
- Em sistemas x86 para câmeras root, é possível habilitar o modo CR4.UMIP (User-Mode Instruction Prevention) fornecido pelos processadores Intel, que permite proibir a execução no espaço do usuário de determinadas instruções, como SGDT, SLDT, SIDT , SMSW e STR, que podem ser utilizados em ataques, visando aumentar privilégios no sistema.
Fonte: opennet.ru