Jailhouse on Linuxil baseeruv hüpervisor (See on välja töötatud tasuta GPLv2 tarkvaraprojektina). On võimelised töötama täisrakenduste või operatsioonisüsteemidega (kohandatud) lisaks Linuxile. Sel eesmärgil cplatvormi onfigureeritud protsessori ja seadme virtualiseerimise omadused riistvara, nii et ükski neist domeenidest, mida nimetatakse "rakkudeks", ei saaks üksteist vastuvõetamatul viisil segada.
See tähendab seda Jailhouse ei jälgi ressursse, mida teil pole. Lihtsalt jagab riistvara eraldatud kambriteks, mida nimetatakse rakkudeks Need on täielikult pühendatud külalistarkvarale nimega "kinnipeetavad".
Jailhouse'ist
Jailhouse on optimeeritud lihtsuse huvides mitte funktsioonide rikkus. Erinevalt täisfunktsionaalsetest Linuxi-põhistest hüpervisoritest nagu KVM või Xen, Jailhouse ei toeta ressursse pühendumise asemel nagu protsessor, RAM või seadmed. See ei tee programmeerimist ja virtualiseerib ainult tarkvara ressursse, mis on platvormi jaoks hädavajalikud ja mida ei saa riistvaral jagada.
Kui Jailhouse on aktiveeritud, töötab see täielikult, see tähendab, et see võtab riistvara üle täieliku kontrolli ja ei vaja välist tuge.
Hüpervisor on rakendatud Linuxi kerneli moodulina ja pakub tuuma tasemel virtualiseerimist. Külaliskomponendid on juba Linuxi põhituumas.
Isolatsiooni kontrollimiseks kasutatakse riistvara virtualiseerimise mehhanisme pakuvad kaasaegsed protsessorid. Jailhouse'i eripära on selle kerge rakendamine ja selle suunitlus virtuaalsete masinate ühendamiseks fikseeritud protsessori, RAM-ala ja riistvaraseadmetega. See lähenemine võimaldab füüsilises mitmeprotsessorilises serveris töötada mitut sõltumatut virtuaalset keskkonda, millest igaühele on määratud oma protsessori tuum.
Tiheda seose korral protsessoriga minimeeritakse hüpervisori operatsiooni üldkulud ja selle rakendamine on oluliselt lihtsustatud, kuna pole vaja teostada keerukat ressursside eraldamise ajastajat - eraldades eraldi protsessori südamiku, tagab see, et see ei täida muid ülesandeid see protsessor.
Selle lähenemise eeliseks on võime tagada garanteeritud juurdepääs ressurssidele ja prognoositav jõudlus, muutes Jailhouse'i sobivaks lahenduseks reaalajas ülesannete loomiseks. Negatiivne külg on piiratud mastaapsus, mis põhineb protsessori südamike arvul.
Jailhouse 0.12 uue versiooni kohta
Praegu on Jailhouse oma versioonis 0.12 ja see tõstab esile Raspberry Pi 4 mudeli B ja Texas Instruments J721E-EVM tugi.
Lisaks seadmele ivshmem kasutatakse rakkude vahelise interaktsiooni korraldamiseks, on ümber kujundatud ja see võimaldab rakendada ka VIRTIO jaoks transporti.
Võimalus keelata suurte mälulehekülgede (tohutu leht) loomine blokeeriti CVE-2018-12207 haavatavus Inteli protsessorites, võimaldades privileegita ründajal algatada teenuse keelamine, mis viis süsteemi külmutamiseni jaotises "Masina kontrollimise viga" "osariik.
ARM64 protsessoriga süsteemide puhul toetatakse SMMUv3 (Süsteemimälu haldamise üksus) ja TI PVU (perifeerse virtualiseerimise üksus). Arvuti peal töötavate liivakasti keskkondade jaoks on lisatud PCI tugi.
X86-süsteemides on võimalik lubada CR4-režiim. (Kasutajarežiimi ennetamine), mille pakuvad Inteli protsessorid, mis võimaldab keelata kasutajaruumis teatud käskude, näiteks SGDT, SLDT, SIDT, SMSW ja STR, täitmise, mida saab kasutada süsteemi privileegide suurendamiseks suunatud rünnakutes. .
Hankige Jailhouse
Jailhouse toetab operatsiooni x86_64 süsteemides laienditega VMX + EPT või SVM + NPT (AMD-V), samuti protsessoritel ARMv7 ja ARMv8 / ARM64 virtualiseerimise laienditega.
Küll lisaks töötatakse välja pildigeneraator, mis põhineb ühilduvate seadmete Debiani pakettidel.
Siit leiate koostamis- ja installimisjuhised ning muu teabe Järgmisel lingil.