kumpanya ng Siemens libreng pagpapalabas ng hypervisor . Sinusuportahan ng hypervisor ang mga x86_64 system na may mga extension ng VMX+EPT o SVM+NPT (AMD-V), pati na rin ang mga processor ng ARMv7 at ARMv8/ARM64 na may mga virtualization extension. Hiwalay generator ng imahe para sa hypervisor ng Jailhouse, na nabuo batay sa mga pakete ng Debian para sa mga sinusuportahang device. Code ng proyekto lisensyado sa ilalim ng GPLv2.
Ang hypervisor ay ipinatupad bilang isang module para sa Linux kernel at nagbibigay ng virtualization sa kernel level. Ang mga bahagi para sa mga guest system ay kasama na sa pangunahing Linux kernel. Upang pamahalaan ang paghihiwalay, ginagamit ang mga mekanismo ng virtualization ng hardware na ibinigay ng mga modernong CPU. Ang mga natatanging tampok ng Jailhouse ay ang magaan na pagpapatupad nito at nakatuon sa pag-binding ng mga virtual machine sa isang nakapirming CPU, RAM area at mga hardware device. Ang diskarte na ito ay nagbibigay-daan sa isang pisikal na multiprocessor server na suportahan ang pagpapatakbo ng ilang independiyenteng virtual na kapaligiran, ang bawat isa ay nakatalaga sa sarili nitong processor core.
Sa isang mahigpit na link sa CPU, ang overhead ng hypervisor ay pinaliit at ang pagpapatupad nito ay makabuluhang pinasimple, dahil hindi na kailangang magpatakbo ng isang kumplikadong resource allocation scheduler - ang paglalaan ng isang hiwalay na CPU core ay nagsisiguro na walang ibang mga gawain ang isinasagawa sa CPU na ito . Ang bentahe ng diskarteng ito ay ang kakayahang magbigay ng garantisadong pag-access sa mga mapagkukunan at mahuhulaan na pagganap, na ginagawang isang angkop na solusyon ang Jailhouse para sa paggawa ng mga gawaing ginagawa sa real time. Ang downside ay limitadong scalability, limitado ng bilang ng mga CPU core.
Sa terminolohiya ng Jailhouse, ang mga virtual na kapaligiran ay tinatawag na "mga camera" (cell, sa konteksto ng jailhouse). Sa loob ng camera, ang system ay mukhang isang solong-processor server na nagpapakita ng pagganap sa pagganap ng isang nakalaang CPU core. Maaaring patakbuhin ng camera ang kapaligiran ng isang arbitrary na operating system, pati na rin ang mga stripped-down na kapaligiran para sa pagpapatakbo ng isang application o espesyal na inihandang mga indibidwal na application na idinisenyo upang malutas ang mga real-time na problema. Naka-set in ang configuration , na tumutukoy sa CPU, mga rehiyon ng memorya, at mga I/O port na inilalaan sa kapaligiran.
Sa bagong pakawalan
- Nagdagdag ng suporta para sa mga platform ng Raspberry Pi 4 Model B at Texas Instruments J721E-EVM;
- ivshmem device na ginagamit upang ayusin ang pakikipag-ugnayan sa pagitan ng mga cell. Sa itaas ng bagong ivshmem, maaari kang magpatupad ng transportasyon para sa VIRTIO;
- Ipinatupad ang kakayahang huwag paganahin ang paglikha ng malalaking pahina ng memorya (malaking pahina) upang harangan ang kahinaan sa mga processor ng Intel, na nagbibigay-daan sa isang hindi karapat-dapat na umaatake na magsimula ng pagtanggi sa serbisyo na nagreresulta sa pagkabit ng system sa estado ng "Machine Check Error";
- Para sa mga system na may mga processor ng ARM64, ipinapatupad ang suporta para sa SMMUv3 (System Memory Management Unit) at TI PVU (Peripheral Virtualization Unit). Ang suporta sa PCI ay idinagdag para sa mga nakahiwalay na kapaligiran na tumatakbo sa ibabaw ng hardware (bare-metal);
- Sa mga x86 system para sa mga root camera, posibleng paganahin ang CR4.UMIP (User-Mode Instruction Prevention) mode na ibinigay ng mga processor ng Intel, na nagpapahintulot sa iyo na ipagbawal ang pagpapatupad sa espasyo ng user ng ilang partikular na tagubilin, gaya ng SGDT, SLDT, SIDT , SMSW at STR, na maaaring magamit sa mga pag-atake, na naglalayong pataasin ang mga pribilehiyo sa system.
Pinagmulan: opennet.ru