Jailhouse ist ein Linux-basierter Partitionierungshypervisor (Es wurde als kostenloses GPLv2-Softwareprojekt entwickelt). Ist fähig, vollständige Anwendungen oder Betriebssysteme auszuführen (angepasst) zusätzlich zu Linux. Zu diesem Zweck cKonfigurieren Sie die Virtualisierungseigenschaften von CPUs und Geräten der Plattform Hardware, so dass keine dieser Domänen, die als "Zellen" bezeichnet werden, sich auf inakzeptable Weise gegenseitig stören können.
Das bedeutet das Jailhouse emuliert keine Ressourcen, die Sie nicht haben. Einfach unterteilt Hardware in isolierte Fächer, die als "Zellen" bezeichnet werden. Sie sind ausschließlich der Gastsoftware "Insassen" gewidmet.
Über das Gefängnis
Das Gefängnis ist auf Einfachheit optimiert eher als der Reichtum an Funktionen. Im Gegensatz zu Linux-basierten Hypervisoren mit vollem Funktionsumfang wie KVM oder Xen Jailhouse unterstützt keine Überbindung von Ressourcen wie CPU, RAM oder Geräte. Es programmiert nicht und virtualisiert nur die Ressourcen in der Software, die für eine Plattform unerlässlich sind und nicht auf Hardware partitioniert werden können.
Sobald Jailhouse aktiviert ist, läuft es vollständig, was bedeutet, dass es die volle Kontrolle über die Hardware übernimmt und keine externe Unterstützung benötigt.
Der Hypervisor ist als Modul für den Linux-Kernel implementiert und bietet Virtualisierung auf Kernel-Ebene. Gastkomponenten sind bereits im Haupt-Linux-Kernel enthalten.
Zur Steuerung der Isolation werden Hardwarevirtualisierungsmechanismen verwendet bereitgestellt von modernen CPUs. Das Markenzeichen von Jailhouse ist seine leichte Implementierung und seine Ausrichtung auf die Verknüpfung virtueller Maschinen mit einer festen CPU, einem RAM-Bereich und Hardwaregeräten. Dieser Ansatz ermöglicht den Betrieb mehrerer unabhängiger virtueller Umgebungen auf einem physischen Multiprozessorserver, denen jeweils ein eigener Prozessorkern zugewiesen ist.
Durch eine enge Verbindung zur CPU wird der Overhead des Hypervisor-Vorgangs minimiert und seine Implementierung erheblich vereinfacht, da kein komplexer Planer für die Ressourcenzuweisung erforderlich ist. Durch die Zuweisung eines separaten CPU-Kerns wird sichergestellt, dass keine anderen Aufgaben ausgeführt werden diese CPU.
Der Vorteil dieses Ansatzes ist die Möglichkeit, einen garantierten Zugriff auf Ressourcen und eine vorhersehbare Leistung bereitzustellen, was Jailhouse zu einer geeigneten Lösung für die Erstellung von Echtzeitaufgaben macht. Der Nachteil ist die eingeschränkte Skalierbarkeit, die auf der Anzahl der CPU-Kerne basiert.
Über die neue Version von Jailhouse 0.12
Derzeit ist Jailhouse in seiner Version 0.12 und es hebt die Unterstützung für Raspberry Pi 4 Model B und Texas Instruments J721E-EVM.
Neben dem ivshmem Gerät verwendet, um die Interaktion zwischen Zellen zu organisieren, wurde neu gestaltet und kann auch den Transport für VIRTIO implementieren.
Die Möglichkeit, die Erstellung großer Speicherseiten (große Seiten) zu deaktivieren, wurde implementiert, um die Sicherheitsanfälligkeit CVE-2018-12207 auf Intel-Prozessoren zu blockieren. Dadurch kann ein nicht privilegierter Angreifer einen Denial-of-Service initiieren, was dazu führt, dass das System im "Machine Verification Error" einfriert. Zustand.
Für Systeme mit ARM64-Prozessoren wird SMMUv3 unterstützt (System Memory Management Unit) und TI PVU (Peripheral Virtualization Unit). Für Sandbox-Umgebungen, die auf dem Computer ausgeführt werden, wurde die PCI-Unterstützung hinzugefügt.
Auf x86-Systemen kann der CR4-Modus aktiviert werden. (Verhinderung von Anweisungen im Benutzermodus), bereitgestellt von Intel-Prozessoren, wodurch die Ausführung bestimmter Anweisungen im Benutzerbereich wie SGDT, SLDT, SIDT, SMSW und STR verhindert werden kann, die bei Angriffen zur Erhöhung der Berechtigungen auf dem System verwendet werden können .
Holen Sie sich Gefängnis
Jailhouse unterstützt den Betrieb auf x86_64-Systemen mit VMX + EPT- oder SVM + NPT-Erweiterungen (AMD-V) sowie auf Prozessoren ARMv7 und ARMv8 / ARM64 mit Virtualisierungserweiterungen.
Obwohl Darüber hinaus wird ein Bildgenerator entwickelt, der auf Debian-Paketen für kompatible Geräte basiert.
Hier finden Sie die Kompilierungs- und Installationsanweisungen sowie weitere Informationen im folgenden Link.