Spoločnosť Siemens bezplatné uvoľnenie hypervízora . Hypervízor podporuje systémy x86_64 s rozšíreniami VMX+EPT alebo SVM+NPT (AMD-V), ako aj procesory ARMv7 a ARMv8/ARM64 s rozšíreniami virtualizácie. Oddelene generátor obrázkov pre hypervízor Jailhouse, generovaný na základe balíčkov Debianu pre podporované zariadenia. Kód projektu pod licenciou GPLv2.
Hypervízor je implementovaný ako modul pre jadro Linuxu a poskytuje virtualizáciu na úrovni jadra. Komponenty pre hosťujúce systémy sú už zahrnuté v hlavnom linuxovom jadre. Na riadenie izolácie sa používajú hardvérové virtualizačné mechanizmy poskytované modernými CPU. Charakteristickým rysom Jailhouse je jeho ľahká implementácia a zameranie na viazanie virtuálnych strojov k pevnému CPU, oblasti RAM a hardvérovým zariadeniam. Tento prístup umožňuje, aby jeden fyzický viacprocesorový server podporoval prevádzku niekoľkých nezávislých virtuálnych prostredí, z ktorých každé je priradené k vlastnému jadru procesora.
Vďaka tesnému prepojeniu s CPU je réžia hypervízora minimalizovaná a jeho implementácia je výrazne zjednodušená, pretože nie je potrebné spúšťať zložitý plánovač prideľovania zdrojov - pridelenie samostatného jadra CPU zaisťuje, že sa na tomto CPU nevykonávajú žiadne iné úlohy. . Výhodou tohto prístupu je možnosť poskytnúť garantovaný prístup k zdrojom a predvídateľný výkon, čo robí Jailhouse vhodným riešením pre vytváranie úloh vykonávaných v reálnom čase. Nevýhodou je obmedzená škálovateľnosť, obmedzená počtom jadier CPU.
V terminológii väzníc sa virtuálne prostredia nazývajú „kamery“ (bunka v kontexte väznice). Vo vnútri fotoaparátu systém vyzerá ako jednoprocesorový server, ktorý ukazuje výkon na výkon dedikovaného jadra CPU. Kamera dokáže spustiť prostredie ľubovoľného operačného systému, ako aj orezané prostredia na spustenie jednej aplikácie alebo špeciálne pripravené jednotlivé aplikácie určené na riešenie problémov v reálnom čase. Konfigurácia je nastavená , ktoré určujú CPU, pamäťové oblasti a I/O porty pridelené prostrediu.
V novom vydaní
- Pridaná podpora pre platformy Raspberry Pi 4 Model B a Texas Instruments J721E-EVM;
- ivshmem zariadenie používané na organizáciu interakcie medzi bunkami. Okrem nového ivshmem môžete implementovať transport pre VIRTIO;
- Implementovaná možnosť zakázať vytváranie veľkých pamäťových stránok (obrovská stránka), aby sa zablokovala zraniteľnosť v procesoroch Intel, čo umožňuje neprivilegovanému útočníkovi spustiť odmietnutie služby, čo vedie k zamrznutiu systému v stave „Chyba kontroly počítača“;
- Pre systémy s procesormi ARM64 je implementovaná podpora pre SMMUv3 (System Memory Management Unit) a TI PVU (Peripheral Virtualization Unit). Bola pridaná podpora PCI pre izolované prostredia bežiace nad hardvérom (holý kov);
- Na systémoch x86 pre koreňové kamery je možné povoliť režim CR4.UMIP (User-Mode Instruction Prevention) poskytovaný procesormi Intel, ktorý vám umožňuje zakázať vykonávanie určitých pokynov v používateľskom priestore, ako sú SGDT, SLDT, SIDT , SMSW a STR, ktoré možno použiť pri útokoch zameraných na zvýšenie privilégií v systéme.
Zdroj: opennet.ru