Compania Siemens eliberare gratuită a hipervizorului . Hipervizorul acceptă sisteme x86_64 cu extensii VMX+EPT sau SVM+NPT (AMD-V), precum și procesoare ARMv7 și ARMv8/ARM64 cu extensii de virtualizare. Separat generator de imagini pentru hypervisorul Jailhouse, generat pe baza pachetelor Debian pentru dispozitivele acceptate. Cod proiect licențiat conform GPLv2.
Hipervizorul este implementat ca modul pentru nucleul Linux și oferă virtualizare la nivel de kernel. Componentele pentru sistemele invitate sunt deja incluse în nucleul principal Linux. Pentru a gestiona izolarea, sunt utilizate mecanismele de virtualizare hardware oferite de procesoarele moderne. Caracteristicile distinctive ale Jailhouse sunt implementarea sa ușoară și se concentrează pe legarea mașinilor virtuale la un procesor fix, o zonă RAM și dispozitive hardware. Această abordare permite unui server fizic multiprocesor să suporte funcționarea mai multor medii virtuale independente, fiecare dintre acestea fiind atribuit propriului nucleu de procesor.
Cu o legătură strânsă cu CPU, supraîncărcarea hipervizorului este redusă la minimum și implementarea sa este simplificată semnificativ, deoarece nu este nevoie să rulați un planificator complex de alocare a resurselor - alocarea unui nucleu separat al procesorului asigură că nu sunt executate alte sarcini pe acest procesor. . Avantajul acestei abordări este capacitatea de a oferi acces garantat la resurse și performanță previzibilă, ceea ce face din Jailhouse o soluție potrivită pentru crearea sarcinilor efectuate în timp real. Dezavantajul este scalabilitatea limitată, limitată de numărul de nuclee CPU.
În terminologia Jailhouse, mediile virtuale sunt numite „camere” (celulă, în contextul închisorii). În interiorul camerei, sistemul arată ca un server cu un singur procesor care arată performanța la performanța unui nucleu CPU dedicat. Camera poate rula mediul unui sistem de operare arbitrar, precum și medii reduse pentru rularea unei aplicații sau aplicații individuale special pregătite, concepute pentru a rezolva probleme în timp real. Configurația este setată , care determină CPU, regiunile de memorie și porturile I/O alocate mediului.
În noua ediție
- S-a adăugat suport pentru platformele Raspberry Pi 4 Model B și Texas Instruments J721E-EVM;
- dispozitiv ivshmem folosit pentru a organiza interacțiunea dintre celule. Pe lângă noul ivshmem, puteți implementa un transport pentru VIRTIO;
- S-a implementat capacitatea de a dezactiva crearea de pagini mari de memorie (hugepage) pentru a bloca vulnerabilitatea în procesoarele Intel, ceea ce permite unui atacator neprivilegiat să inițieze o refuz de serviciu, rezultând o blocare a sistemului în starea „Eroare de verificare a mașinii”;
- Pentru sistemele cu procesoare ARM64, este implementat suportul pentru SMMUv3 (System Memory Management Unit) și TI PVU (Peripheral Virtualization Unit). S-a adăugat suport PCI pentru medii izolate care rulează pe hardware (bare-metal);
- Pe sistemele x86 pentru camerele root, este posibil să activați modul CR4.UMIP (User-Mode Instruction Prevention) oferit de procesoarele Intel, care vă permite să interziceți executarea în spațiul utilizatorului a anumitor instrucțiuni, precum SGDT, SLDT, SIDT , SMSW și STR, care pot fi folosite în atacuri , care vizează creșterea privilegiilor în sistem.
Sursa: opennet.ru