Siemens kompaniyasi bepul hipervizor chiqarilishi . Gipervisor VMX+EPT yoki SVM+NPT (AMD-V) kengaytmalari bilan x86_64 tizimlarini, shuningdek virtualizatsiya kengaytmali ARMv7 va ARMv8/ARM64 protsessorlarini qo'llab-quvvatlaydi. Alohida Qo'llab-quvvatlanadigan qurilmalar uchun Debian paketlari asosida yaratilgan Jailhouse gipervizori uchun tasvir generatori. Loyiha kodi GPLv2 ostida litsenziyalangan.
Gipervisor Linux yadrosi uchun modul sifatida amalga oshiriladi va yadro darajasida virtualizatsiyani ta'minlaydi. Mehmon tizimlari uchun komponentlar allaqachon asosiy Linux yadrosiga kiritilgan. Izolyatsiyani boshqarish uchun zamonaviy protsessorlar tomonidan taqdim etilgan apparat virtualizatsiya mexanizmlaridan foydalaniladi. Jailhouse-ning o'ziga xos xususiyatlari uning engil bajarilishi va virtual mashinalarni qattiq protsessor, RAM maydoni va apparat qurilmalariga ulashga qaratilgan. Ushbu yondashuv bitta jismoniy multiprotsessorli serverga bir nechta mustaqil virtual muhitlarning ishlashini qo'llab-quvvatlash imkonini beradi, ularning har biri o'z protsessor yadrosiga biriktirilgan.
Protsessor bilan qattiq bog'langan holda, gipervisorning qo'shimcha xarajatlari minimallashtiriladi va uni amalga oshirish sezilarli darajada soddalashtiriladi, chunki murakkab resurslarni taqsimlash rejalashtiruvchisini ishga tushirishning hojati yo'q - alohida protsessor yadrosini ajratish ushbu protsessorda boshqa vazifalar bajarilmasligini ta'minlaydi. . Ushbu yondashuvning afzalligi resurslardan kafolatlangan foydalanish va prognoz qilinadigan ishlashni ta'minlash qobiliyatidir, bu esa Jailhouse-ni real vaqtda bajariladigan vazifalarni yaratish uchun mos echimga aylantiradi. Salbiy tomoni protsessor yadrolari soni bilan cheklangan o'lchov qobiliyatidir.
Jailhouse terminologiyasida virtual muhitlar "kameralar" deb ataladi (qamoqxona kontekstida hujayra). Kamera ichida tizim unumdorligini ko'rsatadigan yagona protsessorli serverga o'xshaydi maxsus protsessor yadrosining ishlashiga. Kamera o'zboshimchalik bilan ishlaydigan operatsion tizim muhitini, shuningdek, real vaqtda muammolarni hal qilish uchun mo'ljallangan bitta dastur yoki maxsus tayyorlangan individual ilovalarni ishga tushirish uchun ajratilgan muhitlarni ishga tushirishi mumkin. Konfiguratsiya o'rnatilgan , ular protsessor, xotira hududlari va atrof-muhitga ajratilgan kiritish-chiqarish portlarini aniqlaydi.
Yangi nashrda
- Raspberry Pi 4 Model B va Texas Instruments J721E-EVM platformalari uchun qoβshimcha qoβllab-quvvatlash;
- ivshmem qurilma hujayralar orasidagi o'zaro ta'sirni tashkil qilish uchun ishlatiladi. Yangi ivshmem ustiga siz VIRTIO uchun transportni amalga oshirishingiz mumkin;
- Zaiflikni blokirovka qilish uchun katta xotira sahifalarini (katta sahifa) yaratishni o'chirib qo'yish qobiliyati amalga oshirildi. Intel protsessorlarida, bu imtiyozsiz tajovuzkorga xizmat ko'rsatishni rad etishni boshlash imkonini beradi, natijada tizim "Mashinani tekshirish xatosi" holatida osilib qoladi;
- ARM64 protsessorlari bo'lgan tizimlar uchun SMMUv3 (tizim xotirasini boshqarish birligi) va TI PVU (periferik virtualizatsiya birligi) qo'llab-quvvatlanadi. Uskuna (yalang'och metall) ustida ishlaydigan izolyatsiya qilingan muhitlar uchun PCI qo'llab-quvvatlashi qo'shildi;
- Ildiz kameralari uchun x86 tizimlarida Intel protsessorlari tomonidan taqdim etilgan CR4.UMIP (User-Mode Instruction Prevention) rejimini yoqish mumkin, bu foydalanuvchi maydonida SGDT, SLDT, SIDT kabi ba'zi ko'rsatmalarning bajarilishini taqiqlash imkonini beradi. , hujumlarda ishlatilishi mumkin bo'lgan SMSW va STR , tizimdagi imtiyozlarni oshirishga qaratilgan.
Manba: opennet.ru