Jailhouse er en statisk partitioneringshypervisor, der satser på ydeevne

Fængselshus

Jailhouse er en Linux-baseret partitioneringshypervisor (Det er udviklet som et gratis GPLv2-softwareprojekt). Er i stand til at køre fulde applikationer eller operativsystemer (tilpasset) ud over Linux. Til dette formål configure virtualiseringsegenskaberne for CPU'er og enheder på platformen hardware, så ingen af ​​disse domæner, kaldet "celler", kan interferere med hinanden på en uacceptabel måde.

Det betyder at Jailhouse efterligner ikke ressourcer, du ikke har. simpelthen deler hardware i isolerede rum kaldet "celler" De er fuldt dedikeret til gæstesoftware kaldet "indsatte".

Om Jailhouse

Jailhouse er optimeret til enkelhed snarere end rigdom af funktioner. I modsætning til fuldt udstyrede Linux-baserede hypervisorer som KVM eller Xen, Jailhouse understøtter ikke ressource over engagement som CPU, RAM eller enheder. Det udfører ingen programmering og virtualiserer kun de ressourcer i software, som er vigtige for en platform og ikke kan opdeles på hardware.

Når Jailhouse er aktiveret, kører det fuldt ud, hvilket betyder, at det tager fuld kontrol over hardwaren og ikke kræver nogen ekstern support.

Hypervisor er implementeret som et modul til Linux-kernen og giver virtualisering på kerneniveau. Gæstekomponenter er allerede inkluderet i den vigtigste Linux-kerne.

For at kontrollere isolation anvendes hardware virtualiseringsmekanismer leveret af moderne CPU'er. Jailhouse's kendetegn er dens lette implementering og dets retning mod at forbinde virtuelle maskiner til et fast CPU-, RAM-område og hardwareenheder. Denne tilgang muliggør drift af flere uafhængige virtuelle miljøer på en fysisk multiprocessorserver, som hver er tildelt sin egen processorkerne.

Med et tæt link til CPU'en minimeres overhead af hypervisor-operationen, og implementeringen af ​​den er meget forenklet, da der ikke er behov for at udføre en kompleks ressourcetildelingsplanlægning - tildeling af en separat CPU-kerne sikrer, at den ikke udfører andre opgaver på denne CPU.

Fordelen ved denne tilgang er evnen til at give garanteret adgang til ressourcer og forudsigelig ydeevne, hvilket gør Jailhouse til en passende løsning til oprettelse af realtidsopgaver. Ulempen er begrænset skalerbarhed, som er baseret på antallet af CPU-kerner.

Om den nye version af Jailhouse 0.12

I øjeblikket er Jailhouse i sin version 0.12, og det fremhæver support til Raspberry Pi 4 Model B og Texas Instruments J721E-EVM.

Ud over ivshmem-enheden brugt til at organisere interaktionen mellem celler, er blevet redesignet, og at den også kan implementere transport til VIRTIO.

Evnen til at deaktivere oprettelse af store hukommelsessider (enorm side) er blevet implementeret for at blokere CVE-2018-12207-sårbarheden på Intel-processorer, hvilket giver en uprivilegeret angriber mulighed for at starte en denial of service, hvilket fører til frysesystem i "Maskinbekræftelsesfejl" stat.

For systemer med ARM64-processorer understøttes SMMUv3 (System Memory Management Unit) og TI PVU (Peripheral Virtualization Unit). For sandkassemiljøer, der kører oven på computeren, er der tilføjet PCI-support.

På x86-systemer er det muligt at aktivere CR4-tilstand. (Forebyggelse af brugertilstandsinstruktioner) leveret af Intel-processorer, som gør det muligt at forbyde udførelse af visse instruktioner i brugerområdet, såsom SGDT, SLDT, SIDT, SMSW og STR, som kan bruges i angreb, der har til formål at øge privilegierne på systemet .

Få Jailhouse

Jailhouse understøtter drift på x86_64-systemer med VMX + EPT eller SVM + NPT (AMD-V) udvidelser såvel som på processorer ARMv7 og ARMv8 / ARM64 med virtualiseringsudvidelser.

Selvom derudover udvikles en billedgenerator, der er baseret på Debian-pakker til kompatible enheder.

Du kan finde kompilations- og installationsinstruktioner samt anden information I det følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.