西門子公司 免費管理程式版本 。 此虛擬機器管理程式支援具有 VMX+EPT 或 SVM+NPT (AMD-V) 擴展的 x86_64 系統,以及具有虛擬化擴展的 ARMv7 和 ARMv8/ARM64 處理器。 分別地 Jailhouse 虛擬機器管理程式的映像產生器,基於支援裝置的 Debian 軟體包產生。 專案程式碼 在 GPLv2 下獲得許可。
虛擬機器管理程式作為 Linux 核心的模組實現,並在核心層級提供虛擬化。 來賓系統的元件已包含在主 Linux 核心中。 為了管理隔離,使用了現代 CPU 提供的硬體虛擬化機制。 Jailhouse 的顯著特點是其輕量級實現,專注於將虛擬機器綁定到固定的 CPU、RAM 區域和硬體設備。 這種方法允許一台實體多處理器伺服器支援多個獨立虛擬環境的運行,每個虛擬環境都分配給自己的處理器核心。
透過與 CPU 的緊密鏈接,虛擬機管理程式的開銷被最小化,並且其實現也被顯著簡化,因為無需運行複雜的資源分配調度程序 - 分配單獨的 CPU 核心可確保該 CPU 上不執行其他任務。 這種方法的優點是能夠提供保證的資源存取和可預測的效能,這使得 Jailhouse 成為創建即時執行任務的合適解決方案。 缺點是可擴展性有限,受到 CPU 核心數量的限制。
在監獄術語中,虛擬環境被稱為“攝影機”(牢房,在監獄環境中)。 在相機內部,系統看起來像一個顯示效能的單處理器伺服器 達到專用 CPU 核心的效能。 該相機可以運行任意作業系統的環境,以及運行一個應用程式的精簡環境或專門為解決即時問題而準備的單獨應用程式。 配置設定在 ,它確定分配給環境的 CPU、記憶體區域和 I/O 連接埠。
在新版本中
- 增加了對 Raspberry Pi 4 Model B 和 Texas Instruments J721E-EVM 平台的支援;
- ivshmem 設備用於組織細胞之間的交互作用。 在新的 ivshmem 之上,您可以實現 VIRTIO 的傳輸;
- 實現了禁用大內存頁面(hugepage)創建的功能以阻止該漏洞 在英特爾處理器中,這允許非特權攻擊者發動拒絕服務,導致系統掛起在「機器檢查錯誤」狀態;
- 對於具有 ARM64 處理器的系統,實現了對 SMMUv3(系統記憶體管理單元)和 TI PVU(週邊虛擬化單元)的支援。 為在硬體(裸機)之上運行的隔離環境添加了 PCI 支援;
- 在根相機的 x86 系統上,可以啟用 Intel 處理器提供的 CR4.UMIP(使用者模式指令預防)模式,該模式可讓您禁止在使用者空間執行某些指令,例如 SGDT、SLDT、SIDT 、SMSW和STR,可用於攻擊,旨在增加系統權限。
來源: opennet.ru