西门子 免费管理程序版本 。 该虚拟机管理程序支持具有 VMX+EPT 或 SVM+NPT (AMD-V) 扩展的 x86_64 系统,以及具有虚拟化扩展的 ARMv7 和 ARMv8/ARM64 处理器。 分别地 Jailhouse 虚拟机管理程序的图像生成器基于受支持设备的 Debian 软件包。 项目代码 根据 GPLv2 许可。
虚拟机管理程序作为 Linux 内核的模块实现,并在内核级别提供虚拟化。 来宾系统的组件已包含在主 Linux 内核中。 隔离管理使用现代 CPU 提供的硬件虚拟化机制。 Jailhouse 的特点是其轻量级实现,并专注于将虚拟机与固定的 CPU、RAM 区域和硬件设备联系起来。 这种方法允许一台物理多处理器服务器确保多个独立虚拟环境的运行,每个虚拟环境都分配给自己的处理器核心。
通过与 CPU 的硬绑定,虚拟机管理程序的开销被最小化,并且其实现也被大大简化,因为不需要执行复杂的资源分配调度程序 - 单独的 CPU 核心的分配确保了没有其他任务被执行这个CPU。 这种方法的优点是能够提供有保证的资源访问和可预测的性能,这使得 Jailhouse 成为创建实时任务的合适解决方案。 缺点是可扩展性有限,受到 CPU 核心数量的限制。
在监狱术语中,虚拟环境被称为“摄像机”(监狱环境中的牢房)。 在相机内部,系统看起来像一个单路服务器,展示了性能 达到专用 CPU 核心的性能。 该相机可以运行任意操作系统环境,以及用于运行一个应用程序或专门为解决实时任务而专门准备的单个应用程序的截断环境。 配置设置在 ,它决定了CPU分配给环境、内存区域和I/O端口。
在新版本中
- 增加了对 Raspberry Pi 4 Model B 和 Texas Instruments J721E-EVM 平台的支持;
- ivshmem 设备用于组织细胞之间的交互。 在新的 ivshmem 之上,您可以实现 VIRTIO 的传输;
- 实现了禁用大内存页面(hugepage)创建的功能以阻止该漏洞 在英特尔处理器上,这允许非特权攻击者发起拒绝服务,导致系统挂起在“机器检查错误”状态;
- 对于具有 ARM64 处理器的系统,实现了对 SMMUv3(系统内存管理单元)和 TI PVU(外设虚拟化单元)的支持。 添加了对 PCI 的支持,以支持在硬件(裸机)之上运行的隔离环境;
- 在根摄像头的 x86 系统上,可以启用 Intel 处理器提供的 CR4.UMIP(用户模式指令预防)模式,该模式允许您禁止某些指令在用户空间中执行,例如 SGDT、SLDT、SIDT 、SMSW 和 STR,可用于旨在提升系统权限的攻击。
来源: opennet.ru