kumpanya ng Siemens libreng pagpapalabas ng hypervisor . Sinusuportahan ng hypervisor ang mga x86_64 system na may mga extension ng VMX+EPT o SVM+NPT (AMD-V), pati na rin ang mga processor ng ARMv7 at ARMv8/ARM64 na may mga virtualization extension. Hiwalay Tagabuo ng imahe ng Jailhouse hypervisor batay sa mga pakete Debian para sa mga sinusuportahang device. Project code lisensyado sa ilalim ng GPLv2.
Ang hypervisor ay ipinapatupad bilang isang module para sa kernel Linux at nagbibigay ng virtualization sa antas ng kernel. Kasama na sa pangunahing kernel ang mga bahagi para sa mga guest system. LinuxGumagamit ang Jailhouse ng mga mekanismo ng hardware virtualization na ibinibigay ng mga modernong CPU upang pamahalaan ang isolation. Kabilang sa mga natatanging tampok ng Jailhouse ang magaan nitong implementasyon at pagtuon sa pag-bind ng mga virtual machine sa isang nakapirming CPU, RAM, at mga hardware device. Ang pamamaraang ito ay nagbibigay-daan para sa maraming independiyenteng virtual environment, bawat isa ay nakatalaga sa sarili nitong processor core, na patakbuhin sa isang pisikal na multiprocessor server.
Sa isang mahigpit na link sa CPU, ang overhead ng hypervisor ay pinaliit at ang pagpapatupad nito ay makabuluhang pinasimple, dahil hindi na kailangang magpatakbo ng isang kumplikadong resource allocation scheduler - ang paglalaan ng isang hiwalay na CPU core ay nagsisiguro na walang ibang mga gawain ang isinasagawa sa CPU na ito . Ang bentahe ng diskarteng ito ay ang kakayahang magbigay ng garantisadong pag-access sa mga mapagkukunan at mahuhulaan na pagganap, na ginagawang isang angkop na solusyon ang Jailhouse para sa paggawa ng mga gawaing ginagawa sa real time. Ang downside ay limitadong scalability, limitado ng bilang ng mga CPU core.
Sa terminolohiya ng Jailhouse, ang mga virtual na kapaligiran ay tinatawag na "mga camera" (cell, sa konteksto ng jailhouse). Sa loob ng camera, ang system ay mukhang isang solong-processor server na nagpapakita ng pagganap sa pagganap ng isang nakalaang CPU core. Maaaring patakbuhin ng camera ang kapaligiran ng isang arbitrary na operating system, pati na rin ang mga stripped-down na kapaligiran para sa pagpapatakbo ng isang application o espesyal na inihandang mga indibidwal na application na idinisenyo upang malutas ang mga real-time na problema. Naka-set in ang configuration , na tumutukoy sa CPU, mga rehiyon ng memorya, at mga I/O port na inilalaan sa kapaligiran.
Sa bagong pakawalan
- Nagdagdag ng suporta para sa mga platform ng Raspberry Pi 4 Model B at Texas Instruments J721E-EVM;
- ivshmem device na ginagamit upang ayusin ang pakikipag-ugnayan sa pagitan ng mga cell. Sa itaas ng bagong ivshmem, maaari kang magpatupad ng transportasyon para sa VIRTIO;
- Ipinatupad ang kakayahang huwag paganahin ang paglikha ng malalaking pahina ng memorya (malaking pahina) upang harangan ang kahinaan sa mga processor ng Intel, na nagbibigay-daan sa isang hindi karapat-dapat na umaatake na magsimula ng pagtanggi sa serbisyo na nagreresulta sa pagkabit ng system sa estado ng "Machine Check Error";
- Para sa mga system na may mga processor ng ARM64, ipinapatupad ang suporta para sa SMMUv3 (System Memory Management Unit) at TI PVU (Peripheral Virtualization Unit). Ang suporta sa PCI ay idinagdag para sa mga nakahiwalay na kapaligiran na tumatakbo sa ibabaw ng hardware (bare-metal);
- Sa mga x86 system, sinusuportahan na ngayon ng mga root camera ang CR4.UMIP (User-Mode Instruction Prevention) mode na ibinibigay ng mga processor ng Intel, na pumipigil sa ilang partikular na tagubilin sa pagpapatupad sa espasyo ng user, gaya ng SGDT, SLDT, SIDT, SMSW, at STR, na maaaring magamit sa mga pag-atake sa pagtaas ng pribilehiyo.
Pinagmulan: opennet.ru
