„Jailhouse“ yra „Linux“ pagrindu veikiantis skaidymo hipervizorius (Jis buvo sukurtas kaip nemokamas „GPLv2“ programinės įrangos projektas). Yra galintys paleisti visas programas ar operacines sistemas (pritaikytas) be „Linux“. Šiuo tikslu ckonfigūruokite procesoriaus ir platformos įrenginių virtualizavimo charakteristikas aparatinę įrangą, kad nė viena iš šių sričių, vadinamų „ląstelėmis“, negalėtų viena kitai trukdyti nepriimtinu būdu.
Tai reiškia, kad „Jailhouse“ nemėgdžioja išteklių, kurių neturite jūs. Paprasčiausiai padalija aparatūrą į izoliuotus skyrius, vadinamus „ląstelėmis“ Jie visiškai skirti svečių programinei įrangai, vadinamai „kaliniai“.
Apie Jailhouse
„Jailhouse“ yra optimizuota siekiant paprastumo o ne funkcijų gausa. Skirtingai nuo visų funkcinių „Linux“ pagrindu veikiančių hipervizorių, tokių kaip KVM ar „Xen“, „Jailhouse“ nepalaiko išteklių, o ne įsipareigojimų kaip procesorius, RAM ar įrenginiai. Jis neveikia jokio programavimo ir virtualizuoja tik tuos programinės įrangos išteklius, kurie yra būtini platformai ir kurių negalima suskaidyti į aparatinę įrangą.
Įjungus „Jailhouse“, jis veikia visiškai, vadinasi, jis visiškai valdo aparatinę įrangą ir nereikalauja išorinės paramos.
Hipervizorius įgyvendinamas kaip „Linux“ branduolio modulis ir teikia branduolio lygio virtualizaciją. Svečių komponentai jau yra įtraukti į pagrindinį „Linux“ branduolį.
Norint kontroliuoti izoliaciją, naudojami aparatūros virtualizavimo mechanizmai teikia modernūs procesoriai. „Jailhouse“ bruožai yra lengvas jo įgyvendinimas ir jo orientacija į virtualių mašinų susiejimą su fiksuoto procesoriaus, RAM srities ir aparatūros įrenginiais. Šis metodas leidžia valdyti keletą nepriklausomų virtualių aplinkų fiziniame daugiaprocesoriniame serveryje, kiekvienai iš jų priskirta savo procesoriaus šerdis.
Glaudžiai susiejant su centriniu procesoriumi, hipervizoriaus operacijos sąnaudos sumažėja iki minimumo ir jos įgyvendinimas labai supaprastinamas, nes nereikia atlikti kompleksinio išteklių paskirstymo planuotojo - paskiriant atskirą procesoriaus šerdį užtikrinama, kad jis neatliktų kitų užduočių šis procesorius.
Šio požiūrio pranašumas yra galimybė suteikti garantuotą prieigą prie išteklių ir nuspėjamą našumą, todėl „Jailhouse“ yra tinkamas sprendimas realiu laiku atliekamoms užduotims kurti. Trūkumas yra ribotas mastelio keitimas, kuris pagrįstas procesoriaus branduolių skaičiumi.
Apie naują „Jailhouse“ versiją 0.12
Šiuo metu „Jailhouse“ yra 0.12 versijoje ir ji pabrėžia „Raspberry Pi 4 Model B“ ir „Texas Instruments J721E-EVM“ palaikymas.
Be „ivshmem“ įrenginio naudojami organizuojant ląstelių sąveiką, buvo pertvarkytas ir kad jis taip pat gali įgyvendinti „VIRTIO“ transportą.
Galimybė išjungti didelių atminties puslapių kūrimą (didžiulį puslapį) buvo įdiegta siekiant užblokuoti CVE-2018-12207 „Intel“ procesorių pažeidžiamumą, leidžiantį neprivilegijuotam užpuolikui inicijuoti paslaugų atsisakymą, dėl kurio sistema „Machine Verification Error“ užšaldyta valstija.
Sistemoms su ARM64 procesoriais palaikomas SMMUv3 (Sistemos atminties valdymo blokas) ir TI PVU (Periferinis virtualizavimo skyrius). Smėlio dėžės aplinkoms, kurios veikia ant kompiuterio, pridėtas PCI palaikymas.
„X86“ sistemose galima įjungti CR4 režimą. (Vartotojo režimo instrukcijų prevencija), kurią teikia „Intel“ procesoriai, leidžiantys uždrausti vykdyti tam tikras instrukcijas vartotojo erdvėje, pvz., SGDT, SLDT, SIDT, SMSW ir STR, kurias galima naudoti atakose, kuriomis siekiama padidinti sistemos privilegijas. .
Gaukite Jailhouse
„Jailhouse“ palaiko operaciją „x86_64“ sistemose su VMX + EPT arba SVM + NPT (AMD-V) plėtiniais, taip pat procesoriuose ARMv7 ir ARMv8 / ARM64 su virtualizacijos plėtiniais.
Nors be to, kuriamas vaizdo generatorius, pagrįstas suderinamų įrenginių „Debian“ paketais.
Čia galite rasti kompiliavimo ir diegimo instrukcijas bei kitą informaciją Šioje nuorodoje.