Kompania Siemens lirimi falas i hipervizorit . Hipervizori mbështet sistemet x86_64 me shtesa VMX+EPT ose SVM+NPT (AMD-V), si dhe procesorë ARMv7 dhe ARMv8/ARM64 me shtesa virtualizimi. Veçmas gjenerator imazhi për hipervizorin Jailhouse, i krijuar bazuar në paketat Debian për pajisjet e mbështetura. Kodi i projektit licencuar sipas GPLv2.
Hipervizori zbatohet si një modul për kernelin Linux dhe ofron virtualizim në nivelin e kernelit. Komponentët për sistemet e ftuar tashmë janë përfshirë në kernelin kryesor Linux. Për të menaxhuar izolimin, përdoren mekanizmat e virtualizimit të harduerit të ofruar nga CPU-të moderne. Karakteristikat dalluese të Jailhouse janë zbatimi i tij i lehtë dhe fokusi në lidhjen e makinave virtuale në një CPU fikse, zonë RAM dhe pajisje harduerike. Kjo qasje lejon që një server fizik me shumë procesor të mbështesë funksionimin e disa mjediseve virtuale të pavarura, secila prej të cilave është caktuar në bërthamën e vet të procesorit.
Me një lidhje të ngushtë me CPU-në, kostoja e sipërme e hipervizorit minimizohet dhe zbatimi i tij thjeshtohet ndjeshëm, pasi nuk ka nevojë të ekzekutohet një planifikues kompleks i shpërndarjes së burimeve - ndarja e një bërthame të veçantë të CPU-së siguron që asnjë detyrë tjetër të mos ekzekutohet në këtë CPU. . Avantazhi i kësaj qasjeje është aftësia për të siguruar akses të garantuar në burime dhe performancë të parashikueshme, gjë që e bën Jailhouse një zgjidhje të përshtatshme për krijimin e detyrave të kryera në kohë reale. Ana negative është shkallëzueshmëria e kufizuar, e kufizuar nga numri i bërthamave të CPU.
Në terminologjinë e Jailhouse, mjediset virtuale quhen "kamera" (qeliza, në kontekstin e burgut). Brenda kamerës, sistemi duket si një server me një procesor që tregon performancë për performancën e një bërthame të dedikuar CPU. Kamera mund të ekzekutojë mjedisin e një sistemi operativ arbitrar, si dhe mjedise të zhveshura për ekzekutimin e një aplikacioni ose aplikacione individuale të përgatitura posaçërisht të krijuara për të zgjidhur problemet në kohë reale. Konfigurimi është vendosur , të cilat përcaktojnë CPU-në, rajonet e memories dhe portat I/O të alokuara në mjedis.
Në të rejat
- Mbështetje e shtuar për platformat Raspberry Pi 4 Model B dhe Texas Instruments J721E-EVM;
- Pajisja ivshmem përdoret për të organizuar ndërveprimin midis qelizave. Në krye të ivshmemit të ri, mund të zbatoni një transport për VIRTIO;
- Zbatoi aftësinë për të çaktivizuar krijimin e faqeve të memories të mëdha (faqe të mëdha) për të bllokuar cenueshmërinë në procesorët Intel, i cili lejon një sulmues të paprivilegjuar të iniciojë një mohim të shërbimit që rezulton në një sistem të varur në gjendjen "Gabim i kontrollit të makinës";
- Për sistemet me procesorë ARM64, është implementuar mbështetja për SMMUv3 (System Memory Management Unit) dhe TI PVU (Peripheral Virtualization Unit). Mbështetja PCI është shtuar për mjedise të izoluara që funksionojnë në krye të harduerit (metal i zhveshur);
- Në sistemet x86 për kamerat root, është e mundur të aktivizoni modalitetin CR4.UMIP (User-Mode Instruction Prevention) i ofruar nga procesorët Intel, i cili ju lejon të ndaloni ekzekutimin në hapësirën e përdoruesit të udhëzimeve të caktuara, të tilla si SGDT, SLDT, SIDT , SMSW dhe STR, të cilat mund të përdoren në sulme, që synojnë rritjen e privilegjeve në sistem.
Burimi: opennet.ru