בית סוהר בית מפקח למחיצות סטטי המהמר על ביצועים

Darkcrizt

4 דקות

בית סוהר

Jailhouse הוא מפקח חלוקה מבוסס לינוקס (הוא פותח כפרויקט תוכנה חופשי של GPLv2). האם מסוגלים להריץ יישומים מלאים או מערכות הפעלה (מותאם) בנוסף לינוקס. לצורך זה, גלתאר את מאפייני הוירטואליזציה של המעבד והמכשירים של הפלטפורמה חומרה כך שאף אחד מהתחומים הללו, המכונים "תאים", לא יוכל להפריע זה לזה בצורה בלתי קבילה.

זה אומר ש Jailhouse לא מחקה משאבים שאין לכם. פשוט מחלק חומרה לתאים מבודדים המכונים "תאים" הם מוקדשים במלואם לתוכנות אורח המכונות "אסירים".

על בית הכלא

בית הכלא מותאם לפשטות ולא את עושר התכונות. שלא כמו היפרוויזורים מבוססי לינוקס מלאים כמו KVM או Xen, Jailhouse אינו תומך במשאבים על פני מחויבות כמו מעבד, זיכרון RAM או מכשירים. היא לא מבצעת שום תכנות ורק מעניקה וירטואליזציה למקורות אלה בתוכנה, החיוניים לפלטפורמה ולא ניתן לחלק אותם בחומרה.

לאחר הפעלת Jailhouse, הוא פועל באופן מלא, כלומר הוא לוקח שליטה מלאה על החומרה ואינו דורש תמיכה חיצונית.

ה- Hypervisor מיושם כמודול לליבת הלינוקס ומספק וירטואליזציה ברמת הליבה. רכיבי אורח כבר נכללים בליבת הלינוקס הראשית.

כדי לשלוט בבידוד משתמשים במנגנוני וירטואליזציה של חומרה מסופק על ידי מעבדים מודרניים. המאפיינים הבולטים של Jailhouse הם הטמעה הקלה שלה והתמצאותה בקישור בין מכונות וירטואליות למעבד קבוע, אזור זיכרון RAM והתקני חומרה. גישה זו מאפשרת הפעלה של מספר סביבות וירטואליות עצמאיות בשרת מרובה מעבדים פיזי, שלכל אחת מהן מוקצה ליבת מעבד משלה.

עם קישור הדוק למעבד, התקורה של פעולת ה- hypervisor ממוזערת והיישום שלה פשוט מאוד, מכיוון שאין צורך לבצע מתזמן הקצאת משאבים מורכב - הקצאת ליבת CPU נפרדת מבטיחה שהוא לא יבצע משימות אחרות המעבד הזה.

היתרון בגישה זו הוא היכולת לספק גישה מובטחת למשאבים וביצועים צפויים, מה שהופך את Jailhouse לפיתרון מתאים ליצירת משימות בזמן אמת. החיסרון הוא מדרגיות מוגבלת, המבוססת על מספר ליבות המעבד.

על הגרסה החדשה של Jailhouse 0.12

נכון לעכשיו, Jailhouse בגרסתו 0.12 והיא מדגישה את תמיכה ב- Raspberry Pi 4 דגם B וב- Texas Instruments J721E-EVM.

בנוסף למכשיר ivshmem משמש לארגון האינטראקציה בין התאים, עוצב מחדש ושהוא יכול גם ליישם תחבורה עבור VIRTIO.

היכולת להשבית יצירת דפי זיכרון גדולים (עמוד ענק) יושמה כדי לחסום את הפגיעות CVE-2018-12207 במעבדי אינטל, מה שמאפשר לתוקף חסר זכות להתחיל מניעת שירות, מה שמוביל להקפאת מערכת ב"שגיאת אימות מכונה ". מדינה.

עבור מערכות עם מעבדי ARM64, SMMUv3 נתמכים (יחידת ניהול זיכרון מערכת) ו- TI PVU (יחידת וירטואליזציה היקפית). בסביבות ארגז חול הפועלות על גבי המחשב, נוספה תמיכה ב- PCI.

במערכות x86 ניתן להפעיל מצב CR4. (מניעת הוראות למצב משתמש) הניתנות על ידי מעבדי אינטל, המאפשרת לאסור ביצוע הוראות מסוימות במרחב המשתמשים, כגון SGDT, SLDT, SIDT, SMSW ו- STR, שניתן להשתמש בהם בהתקפות שמטרתן להגדיל את ההרשאות במערכת .

קבל את בית הכלא

Jailhouse תומך בהפעלה במערכות x86_64 עם סיומות VMX + EPT או SVM + NPT (AMD-V), כמו גם על מעבדים ARMv7 ו- ARMv8 / ARM64 עם סיומות וירטואליזציה.

אם כי מלבד זאת, פותח מחולל תמונות שמבוסס על חבילות דביאן למכשירים תואמים.

תוכל למצוא את הוראות האוסף וההתקנה, כמו גם מידע אחר בקישור הבא.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.