Siemens şirketi ücretsiz hipervizör sürümü . Hypervisor, VMX+EPT veya SVM+NPT (AMD-V) uzantılarına sahip x86_64 sistemlerinin yanı sıra sanallaştırma uzantılarına sahip ARMv7 ve ARMv8/ARM64 işlemcileri destekler. Ayrı ayrı Jailhouse hipervizörü için, desteklenen cihazlara yönelik Debian paketlerine dayalı olarak oluşturulan görüntü oluşturucu. Proje kodu GPLv2 altında lisanslanmıştır.
Hiper yönetici, Linux çekirdeği için bir modül olarak uygulanır ve çekirdek düzeyinde sanallaştırma sağlar. Konuk sistemlere yönelik bileşenler zaten ana Linux çekirdeğine dahil edilmiştir. İzolasyonu yönetmek için modern CPU'ların sağladığı donanım sanallaştırma mekanizmaları kullanılır. Jailhouse'un ayırt edici özellikleri, hafif uygulaması ve sanal makineleri sabit bir CPU'ya, RAM alanına ve donanım cihazlarına bağlamaya odaklanmasıdır. Bu yaklaşım, tek bir fiziksel çok işlemcili sunucunun, her biri kendi işlemci çekirdeğine atanmış birçok bağımsız sanal ortamın çalışmasını desteklemesine olanak tanır.
CPU'ya sıkı bir bağlantı ile hipervizörün yükü en aza indirilir ve karmaşık bir kaynak ayırma zamanlayıcısını çalıştırmaya gerek olmadığından uygulaması önemli ölçüde basitleştirilir - ayrı bir CPU çekirdeği tahsis edilmesi, bu CPU üzerinde başka hiçbir görevin yürütülmemesini sağlar . Bu yaklaşımın avantajı, kaynaklara garantili erişim ve öngörülebilir performans sağlama yeteneğidir; bu da Jailhouse'u gerçek zamanlı olarak gerçekleştirilen görevlerin oluşturulması için uygun bir çözüm haline getirir. Dezavantajı, CPU çekirdeği sayısıyla sınırlı olan sınırlı ölçeklenebilirliktir.
Jailhouse terminolojisinde sanal ortamlara “kameralar” (hapishane bağlamında hücre) denir. Kameranın içinde sistem, performans gösteren tek işlemcili bir sunucuya benziyor özel bir CPU çekirdeğinin performansına. Kamera, isteğe bağlı bir işletim sistemi ortamının yanı sıra, tek bir uygulamayı çalıştırmak için basitleştirilmiş ortamları veya gerçek zamanlı sorunları çözmek için tasarlanmış özel olarak hazırlanmış bireysel uygulamaları çalıştırabilir. Yapılandırma şu şekilde ayarlandı: Ortama tahsis edilen CPU'yu, bellek bölgelerini ve G/Ç bağlantı noktalarını belirleyen.
Yeni sürümde
- Raspberry Pi 4 Model B ve Texas Instruments J721E-EVM platformları için destek eklendi;
- Hücreler arasındaki etkileşimi düzenlemek için kullanılan ivshmem cihazı. Yeni ivshmem'in üstüne VIRTIO için bir taşıma uygulayabilirsiniz;
- Güvenlik açığını engellemek için büyük bellek sayfalarının (büyük sayfa) oluşturulmasını devre dışı bırakma yeteneği uygulandı Intel işlemcilerde, ayrıcalıksız bir saldırganın hizmet reddi başlatmasına ve bunun sonucunda sistemin "Makine Kontrol Hatası" durumunda kilitlenmesine neden olmasına olanak tanır;
- ARM64 işlemcili sistemler için SMMUv3 (Sistem Bellek Yönetim Birimi) ve TI PVU (Çevresel Sanallaştırma Birimi) desteği uygulanır. Donanım üzerinde çalışan izole ortamlar (çıplak metal) için PCI desteği eklendi;
- Kök kameralar için x86 sistemlerinde, Intel işlemciler tarafından sağlanan ve SGDT, SLDT, SIDT gibi belirli talimatların kullanıcı alanında yürütülmesini yasaklamanıza olanak tanıyan CR4.UMIP (Kullanıcı Modu Talimatı Engelleme) modunu etkinleştirmek mümkündür. Saldırılarda kullanılabilecek SMSW ve STR, sistemdeki ayrıcalıkların artırılmasını hedefliyor.
Kaynak: opennet.ru