Siemens företag gratis hypervisor release . Hypervisorn stöder x86_64-system med VMX+EPT eller SVM+NPT (AMD-V)-tillägg, samt ARMv7- och ARMv8/ARM64-processorer med virtualiseringstillägg. Separat bildgenerator för Jailhouse-hypervisorn, genererad baserat på Debian-paket för enheter som stöds. Projektkod licensierad under GPLv2.
Hypervisorn är implementerad som en modul för Linux-kärnan och tillhandahåller virtualisering på kärnnivå. Komponenter för gästsystem är redan inkluderade i Linux-huvudkärnan. För att hantera isolering används maskinvaruvirtualiseringsmekanismerna som tillhandahålls av moderna processorer. Utmärkande egenskaper hos Jailhouse är dess lätta implementering och fokus på att binda virtuella maskiner till en fast CPU, RAM-område och hårdvaruenheter. Detta tillvägagångssätt tillåter en fysisk multiprocessorserver att stödja driften av flera oberoende virtuella miljöer, som var och en är tilldelad sin egen processorkärna.
Med en tät länk till processorn minimeras hypervisorns overhead och dess implementering avsevärt förenklas, eftersom det inte finns något behov av att köra en komplex resursallokeringsschemaläggare - allokering av en separat processorkärna säkerställer att inga andra uppgifter exekveras på denna processor . Fördelen med detta tillvägagångssätt är möjligheten att ge garanterad tillgång till resurser och förutsägbar prestanda, vilket gör Jailhouse till en lämplig lösning för att skapa uppgifter som utförs i realtid. Nackdelen är begränsad skalbarhet, begränsad av antalet CPU-kärnor.
I Jailhouse-terminologi kallas virtuella miljöer för "kameror" (cell, i jailhouse-sammanhang). Inuti kameran ser systemet ut som en server med en processor som visar prestanda till prestandan hos en dedikerad CPU-kärna. Kameran kan köra miljön för ett godtyckligt operativsystem, såväl som avskalade miljöer för att köra en applikation eller speciellt förberedda individuella applikationer utformade för att lösa problem i realtid. Konfigurationen är inställd , som bestämmer CPU, minnesregioner och I/O-portar som allokeras till miljön.
I den nya versionen
- Tillagt stöd för Raspberry Pi 4 Model B och Texas Instruments J721E-EVM-plattformar;
- ivshmem-enhet som används för att organisera interaktion mellan celler. Utöver det nya ivshmem kan du implementera en transport för VIRTIO;
- Implementerade möjligheten att inaktivera skapandet av stora minnessidor (hugepage) för att blockera sårbarheten i Intel-processorer, vilket gör att en oprivilegierad angripare kan initiera ett överbelastningsskydd vilket resulterar i att ett system hänger sig i tillståndet "Machine Check Error";
- För system med ARM64-processorer är stöd för SMMUv3 (System Memory Management Unit) och TI PVU (Peripheral Virtualization Unit) implementerat. PCI-stöd har lagts till för isolerade miljöer som körs ovanpå hårdvara (barmetall);
- På x86-system för rotkameror är det möjligt att aktivera läget CR4.UMIP (User-Mode Instruction Prevention) som tillhandahålls av Intel-processorer, vilket gör att du kan förbjuda exekvering av vissa instruktioner i användarutrymmet, såsom SGDT, SLDT, SIDT , SMSW och STR, som kan användas i attacker, syftar till att öka privilegier i systemet.
Källa: opennet.ru