Jailhouse on Linux-pohjainen osiointihypervisori (Se on kehitetty ilmaisena GPLv2-ohjelmistoprojektina). On pystyy suorittamaan kokonaisia sovelluksia tai käyttöjärjestelmiä (mukautettu) Linuxin lisäksi. Tätä tarkoitusta varten cmääritä prosessorin ja alustan laitteiden virtualisointiominaisuudet laitteisto niin, että mikään näistä verkkotunnuksista, joita kutsutaan "soluiksi", eivät voi häiritä toisiaan hyväksyttävällä tavalla.
Se tarkoittaa, että Jailhouse ei jäljittele resursseja, joita sinulla ei ole. yksinkertaisesti jakaa laitteiston eristettyihin osastoihin, joita kutsutaan "soluiksi" Ne on omistettu kokonaan "vangeiksi" kutsuttuihin vierasohjelmistoihin.
Tietoa henkilöstä Jailhouse
Jailhouse on optimoitu yksinkertaisuuden vuoksi pikemminkin kuin ominaisuuksien rikkaus. Toisin kuin monipuoliset Linux-pohjaiset hypervisorit, kuten KVM tai Xen, Jailhouse ei tue resursseja yli sitoutumisen kuten CPU, RAM tai laitteet. Se ei tee mitään ohjelmointia ja vain virtualisoi ohjelmistossa olevat resurssit, jotka ovat välttämättömiä alustalle ja joita ei voida osioida laitteistolle.
Kun Jailhouse on aktivoitu, se toimii täydellisesti, mikä tarkoittaa, että se hallitsee laitteiston kokonaan eikä vaadi ulkoista tukea.
Hypervisori toteutetaan moduulina Linux-ytimelle ja tarjoaa ytimen tason virtualisoinnin. Vieraskomponentit sisältyvät jo Linux-ytimeen.
Laitteiston virtualisointimekanismeja käytetään eristämisen hallintaan tarjoavat modernit suorittimet. Jailhousen erityispiirteet ovat sen kevyt toteutus ja sen suunta kohti virtuaalikoneiden liittämistä kiinteään CPU-, RAM-alueeseen ja laitteisiin. Tämä lähestymistapa mahdollistaa useiden itsenäisten virtuaaliympäristöjen toiminnan fyysisessä moniprosessoripalvelimessa, joista kullekin on annettu oma prosessoriydin.
Tiiviillä linkillä prosessoriin hypervisoritoiminnon yleiskustannukset minimoidaan ja sen toteutus yksinkertaistuu huomattavasti, koska monimutkaista resurssien allokoinnin ajastinta ei tarvitse suorittaa: erillisen suorittimen ytimen varaaminen varmistaa, että se ei suorita muita tehtäviä tämän suorittimen.
Tämän lähestymistavan etuna on kyky tarjota taattu resurssien käyttö ja ennustettava suorituskyky, mikä tekee Jailhousesta sopivan ratkaisun reaaliaikaisten tehtävien luomiseen. Haittapuoli on rajoitettu skaalautuvuus, joka perustuu CPU-ytimien määrään.
Tietoja Jailhouse 0.12: n uudesta versiosta
Tällä hetkellä Jailhouse on versiossa 0.12 ja se korostaa Tuki Raspberry Pi 4 -mallille B ja Texas Instruments J721E-EVM.
Ivshmem-laitteen lisäksi käytetään solujen välisen vuorovaikutuksen järjestämiseen, on uudistettu ja että se voi myös toteuttaa kuljetuksen VIRTIOlle.
Mahdollisuus poistaa suuren muistisivun luominen (valtava sivu) on toteutettu estämään CVE-2018-12207-haavoittuvuus Intel-prosessoreissa, mikä antaa käyttöoikeuksettomalle hyökkääjälle mahdollisuuden aloittaa palveluneston, mikä johtaa järjestelmän jäätymiseen "Machine Verification Error" osavaltio.
ARM64-prosessoreilla varustetuissa järjestelmissä SMMUv3 on tuettu (Järjestelmän muistinhallintayksikkö) ja TI PVU (Perifeerinen virtualisointiyksikkö). Tietokoneen päällä oleville hiekkalaatikkoympäristöille on lisätty PCI-tuki.
X86-järjestelmissä on mahdollista ottaa käyttöön CR4-tila. (Käyttäjätilan ohjeiden esto), jonka tarjoaa Intel-prosessorit, jonka avulla voidaan kieltää tiettyjen ohjeiden suorittaminen käyttäjän tilassa, kuten SGDT, SLDT, SIDT, SMSW ja STR, joita voidaan käyttää hyökkäyksissä, joiden tarkoituksena on lisätä järjestelmän oikeuksia .
Hanki Jailhouse
Jailhouse tukee toimintaa x86_64-järjestelmissä VMX + EPT- tai SVM + NPT (AMD-V) -laajennuksilla sekä prosessoreilla ARMv7 ja ARMv8 / ARM64 virtualisointilaajennuksilla.
Vaikka lisäksi kehitetään kuvageneraattoria, joka perustuu yhteensopivien laitteiden Debian-paketteihin.
Löydät kokoamis- ja asennusohjeet sekä muuta tietoa Seuraavassa linkissä.