A Jailhouse egy Linux alapú particionáló hipervizor (Ingyenes GPLv2 szoftver projektként fejlesztették ki). Is képes teljes alkalmazások vagy operációs rendszerek futtatására (adaptálva) a Linux mellett. Erre a célra ckonfigurálja a processzorok és a platform eszközeinek virtualizációs jellemzőit hardver, így ezeknek a "celláknak" nevezett tartományok egyike sem akadályozhatja elfogadhatatlan módon egymást.
Ez azt jelenti A Jailhouse nem utánoz olyan erőforrásokat, amelyek nincsenek nálad. egyszerűen felosztja a hardvert elszigetelt celláknak, celláknak Teljes mértékben a "fogvatartottak" nevű vendégszoftvereknek szólnak.
A Jailhouse-ról
A Jailhouse az egyszerűség érdekében optimalizált nem pedig a tulajdonságok gazdagsága. Az olyan teljes funkcionalitású Linux-alapú hipervizorokkal szemben, mint a KVM vagy a Xen, A Jailhouse nem támogatja az erőforrásokat az elkötelezettség felett mint a CPU, a RAM vagy az eszközök. Nem programoz, és csak azokat az erőforrásokat virtualizálja a szoftverekben, amelyek elengedhetetlenek a platformhoz, és nem oszthatók fel hardveren.
A Jailhouse aktiválása után teljesen lefut, vagyis teljes mértékben átveszi az irányítást a hardver felett, és nem igényel külső támogatást.
A hipervizor a Linux kernel moduljaként valósul meg és kernel szintű virtualizációt biztosít. A vendégkomponensek már szerepelnek a fő Linux kernelben.
Hardveres virtualizációs mechanizmusokat használnak az izoláció ellenőrzésére modern CPU-k biztosítják. A Jailhouse megkülönböztető jellemzői a könnyű kivitelezés és annak orientációja a virtuális gépek rögzített CPU, RAM terület és hardver eszközök összekapcsolására. Ez a megközelítés lehetővé teszi több független virtuális környezet működését egy fizikai multiprocesszoros kiszolgálón, amelyek mindegyikéhez saját processzormag tartozik.
Ha szorosan kapcsolódik a CPU-hoz, a hipervizor műveletei minimálisra csökkennek, és végrehajtása nagymértékben leegyszerűsödik, mivel nincs szükség komplex erőforrás-allokációs ütemező végrehajtására: külön CPU-mag kiosztása biztosítja, hogy az ne végezzen más feladatokat a ezt a CPU-t.
Ennek a megközelítésnek az az előnye, hogy garantált hozzáférést biztosít az erőforrásokhoz és kiszámítható teljesítményt nyújt, így a Jailhouse alkalmas megoldás a valós idejű feladatok létrehozására. Hátránya a korlátozott méretezhetőség, amely a CPU magok számán alapul.
A Jailhouse 0.12 új verziójáról
Jelenleg a Jailhouse a 0.12 verzióban van, és kiemeli a A Raspberry Pi 4 Model B és a Texas Instruments J721E-EVM támogatása.
Az ivshmem eszközön kívül a sejtek közötti interakció megszervezésére szolgál, átalakításra került, és hogy a VIRTIO számára is megvalósíthatja a szállítást.
A nagyméretű memóriaoldal-készítés (hatalmas oldal) letiltásának lehetősége megvalósult a CVE-2018-12207 sebezhetőség blokkolására az Intel processzorain, lehetővé téve a privilegizált támadók számára a szolgáltatás megtagadását, ami a rendszer lefagyásához vezetett a "gépellenőrzési hibában". állapot.
ARM64 processzorral rendelkező rendszerek esetén az SMMUv3 támogatott (Rendszer memóriakezelő egység) és TI PVU (Perifériás virtualizációs egység). A számítógép tetején futó homokozó környezetekhez PCI-támogatás került hozzá.
X86 rendszereken engedélyezhető a CR4 mód. (Felhasználói módú utasítások megelőzése), amelyeket az Intel processzorok nyújtanak, amely lehetővé teszi bizonyos utasítások - például az SGDT, SLDT, SIDT, SMSW és STR - végrehajtását a felhasználói térben, amelyek felhasználhatók a rendszer privilégiumainak növelését célzó támadásokban. .
Szerezd meg a Jailhouse-t
A Jailhouse támogatja az x86_64 rendszerek működését VMX + EPT vagy SVM + NPT (AMD-V) kiterjesztésekkel, valamint processzorokon ARMv7 és ARMv8 / ARM64 virtualizációs kiterjesztésekkel.
Bár emellett fejlesztenek egy képgenerátort, amely a kompatibilis eszközök Debian csomagjaira épül.
Megtalálhatja az összeállítási és telepítési utasításokat, valamint egyéb információkat A következő linken.