podjetje Siemens brezplačna izdaja hipervizorja . Hipervizor podpira sisteme x86_64 z razširitvami VMX+EPT ali SVM+NPT (AMD-V) ter procesorje ARMv7 in ARMv8/ARM64 z razširitvami za virtualizacijo. Ločeno generator slik za hipervizor Jailhouse, ustvarjen na podlagi paketov Debian za podprte naprave. Koda projekta licenciran pod GPLv2.
Hipervizor je implementiran kot modul za jedro Linuxa in omogoča virtualizacijo na ravni jedra. Komponente za sisteme za goste so že vključene v glavno jedro Linuxa. Za upravljanje izolacije se uporabljajo mehanizmi za virtualizacijo strojne opreme, ki jih zagotavljajo sodobni procesorji. Posebnosti Jailhousea sta njegova lahka izvedba in osredotočenost na vezavo virtualnih strojev na fiksno CPE, območje RAM-a in strojne naprave. Ta pristop omogoča, da en fizični večprocesorski strežnik podpira delovanje več neodvisnih virtualnih okolij, od katerih je vsako dodeljeno svojemu procesorskemu jedru.
S tesno povezavo s CPE je obremenitev hipervizorja zmanjšana in njegova implementacija je znatno poenostavljena, saj ni potrebe po zagonu zapletenega razporejevalnika dodeljevanja virov - dodelitev ločenega jedra CPE zagotavlja, da se na tem CPE ne izvajajo nobene druge naloge. . Prednost tega pristopa je zmožnost zagotavljanja zagotovljenega dostopa do virov in predvidljivega delovanja, zaradi česar je Jailhouse primerna rešitev za ustvarjanje nalog, ki se izvajajo v realnem času. Slaba stran je omejena razširljivost, omejena s številom jeder procesorja.
V terminologiji zapora se virtualna okolja imenujejo "kamere" (celica, v kontekstu zapora). Znotraj kamere je sistem videti kot enoprocesorski strežnik, ki prikazuje zmogljivost zmogljivosti namenskega jedra CPU. Kamera lahko poganja okolje poljubnega operacijskega sistema, pa tudi okrnjena okolja za izvajanje ene aplikacije ali posebej pripravljene posamezne aplikacije, namenjene reševanju problemov v realnem času. Konfiguracija je nastavljena , ki določajo CPE, območja pomnilnika in V/I vrata, dodeljena okolju.
V novi izdaji
- Dodana podpora za platformi Raspberry Pi 4 Model B in Texas Instruments J721E-EVM;
- ivshmem naprava, ki se uporablja za organizacijo interakcije med celicami. Poleg novega ivshmem lahko implementirate prevoz za VIRTIO;
- Implementirana možnost onemogočanja ustvarjanja velikih pomnilniških strani (hugepage) za blokiranje ranljivosti v procesorjih Intel, ki neprivilegiranemu napadalcu omogoča, da sproži zavrnitev storitve, kar povzroči, da sistem visi v stanju »Machine Check Error«;
- Za sisteme s procesorji ARM64 je implementirana podpora za SMMUv3 (System Memory Management Unit) in TI PVU (Peripheral Virtualization Unit). Podpora PCI je bila dodana za izolirana okolja, ki se izvajajo na vrhu strojne opreme (bare-metal);
- V sistemih x86 za korenske kamere je možno omogočiti način CR4.UMIP (User-Mode Instruction Prevention), ki ga zagotavljajo Intelovi procesorji in omogoča prepoved izvajanja določenih ukazov v uporabniškem prostoru, kot so SGDT, SLDT, SIDT. , SMSW in STR, ki se lahko uporabljajo v napadih, katerih cilj je povečanje privilegijev v sistemu.
Vir: opennet.ru