Kampuni ya Siemens kutolewa kwa hypervisor ya bure . Hypervisor inasaidia mifumo ya x86_64 yenye viendelezi vya VMX+EPT au SVM+NPT (AMD-V), pamoja na vichakataji vya ARMv7 na ARMv8/ARM64 vilivyo na viendelezi vya uboreshaji. Tofauti jenereta ya picha ya hypervisor ya Jailhouse, iliyotolewa kulingana na vifurushi vya Debian kwa vifaa vinavyotumika. Msimbo wa mradi iliyopewa leseni chini ya GPLv2.
Hypervisor inatekelezwa kama moduli ya kernel ya Linux na hutoa uboreshaji katika kiwango cha kernel. Vipengee vya mifumo ya wageni tayari vimejumuishwa kwenye kernel kuu ya Linux. Ili kudhibiti kutengwa, njia za uboreshaji wa vifaa zinazotolewa na CPU za kisasa hutumiwa. Vipengele tofauti vya Jailhouse ni utekelezaji wake mwepesi na kulenga kuunganisha mashine pepe kwenye CPU isiyobadilika, eneo la RAM na vifaa vya maunzi. Mbinu hii huruhusu seva moja ya kichakataji kuunga mkono utendakazi wa mazingira kadhaa huru ya mtandaoni, ambayo kila moja imepewa msingi wake wa kichakataji.
Kwa kiunga kikali kwa CPU, sehemu ya juu ya hypervisor inapunguzwa na utekelezaji wake umerahisishwa kwa kiasi kikubwa, kwani hakuna haja ya kuendesha mpangilio wa ugawaji wa rasilimali - kutenga msingi tofauti wa CPU huhakikisha kuwa hakuna kazi zingine zinazotekelezwa kwenye CPU hii. . Faida ya mbinu hii ni uwezo wa kutoa ufikiaji wa uhakika wa rasilimali na utendaji unaotabirika, ambayo inafanya Jailhouse suluhisho linalofaa kwa kuunda kazi zinazofanywa kwa wakati halisi. Upande wa chini ni uimara mdogo, uliozuiliwa na idadi ya core za CPU.
Katika istilahi za Jailhouse, mazingira pepe yanaitwa "kamera" (kisanduku, katika muktadha wa gereza). Ndani ya kamera, mfumo unaonekana kama seva ya kichakataji kimoja inayoonyesha utendaji kazi kwa utendakazi wa msingi wa CPU uliojitolea. Kamera inaweza kuendesha mazingira ya mfumo wa uendeshaji wa kiholela, pamoja na mazingira yaliyoondolewa kwa ajili ya kuendesha programu moja au programu maalum zilizoandaliwa maalum iliyoundwa kutatua matatizo ya wakati halisi. Mpangilio umewekwa , ambayo huamua CPU, maeneo ya kumbukumbu, na bandari za I/O zilizotengwa kwa mazingira.
Katika toleo jipya
- Usaidizi ulioongezwa kwa majukwaa ya Raspberry Pi 4 Model B na Texas Instruments J721E-EVM;
- ivshmem kifaa kinachotumiwa kupanga mwingiliano kati ya seli. Juu ya ivshmem mpya, unaweza kutekeleza usafiri kwa VIRTIO;
- Imetekeleza uwezo wa kuzima uundaji wa kurasa kubwa za kumbukumbu (ukurasa mkubwa) ili kuzuia uwezekano wa kuathiriwa. katika wasindikaji wa Intel, ambayo inaruhusu mshambuliaji asiye na bahati kuanzisha kunyimwa huduma na kusababisha mfumo hutegemea hali ya "Hitilafu ya Kuangalia Mashine";
- Kwa mifumo iliyo na wasindikaji wa ARM64, usaidizi wa SMMUv3 (Kitengo cha Usimamizi wa Kumbukumbu ya Mfumo) na TI PVU (Kitengo cha Uboreshaji wa Pembeni) unatekelezwa. Usaidizi wa PCI umeongezwa kwa mazingira ya pekee yanayoendesha juu ya vifaa (bare-metal);
- Kwenye mifumo ya x86 ya kamera za mizizi, inawezekana kuwezesha modi ya CR4.UMIP (User-Mode Instruction Prevention) iliyotolewa na wasindikaji wa Intel, ambayo inakuruhusu kupiga marufuku utekelezaji wa maagizo fulani kwenye nafasi ya mtumiaji, kama vile SGDT, SLDT, SIDT. , SMSW na STR, ambayo inaweza kutumika katika mashambulizi , kwa lengo la kuongeza marupurupu katika mfumo.
Chanzo: opennet.ru