Jailhouse нь гүйцэтгэлд мөрий тавьдаг статик хуваалт бүхий гипервизор юм

Шорон

Jailhouse бол Линукс дээр суурилсан хуваалт хийх гипервизор юм (Үүнийг GPLv2 үнэгүй програм хангамжийн төсөл болгон боловсруулсан болно). Байна бүрэн програм эсвэл үйлдлийн системийг ажиллуулах чадвартай (дасан зохицсон) Линуксээс гадна. Энэ зорилгоор cплатформын CPU болон төхөөрөмжүүдийн виртуалчлалын шинж чанарыг тохируулах "эсүүд" гэж нэрлэгддэг эдгээр домэйнүүдийн аль нь ч бие биенээ хүлээн зөвшөөрөх боломжгүй байдлаар хөндлөнгөөс оролцохгүй байхаар тоног төхөөрөмж.

Энэ нь тийм гэсэн үг юм Jailhouse нь танд байхгүй нөөцийг дууриахгүй. Зүгээр л тоног төхөөрөмжийг "эс" гэж нэрлэгддэг тусгаарлагдсан тасалгаанд хуваадаг Тэд "хоригдлууд" нэртэй зочдын програм хангамжид бүрэн зориулагдсан байдаг.

Шоронгийн тухай

Шоронгийн байрыг энгийн байдлаар оновчтой болгосон шинж чанаруудын баялаг гэхээсээ илүү. KVM эсвэл Xen гэх мэт бүрэн шинж чанартай Линукс дээр суурилсан гипервизоруудаас ялгаатай нь Шорон нь нөөцийн хэт амлалт өгөхийг дэмждэггүй CPU, RAM эсвэл төхөөрөмжүүд гэх мэт. Энэ нь ямар ч програмчлал хийдэггүй бөгөөд зөвхөн платформд зайлшгүй шаардлагатай, програм хангамж дээр хуваах боломжгүй эдгээр нөөцийг виртуалчилдаг.

Jailhouse-ийг идэвхжүүлсний дараа энэ нь бүрэн ажиллагаатай байх бөгөөд энэ нь техник хангамжийг бүрэн хянах, гаднаас дэмжлэг авах шаардлагагүй гэсэн үг юм.

Гипервизорыг Линуксийн цөмд зориулж модуль болгон хэрэгжүүлдэг цөмийн түвшинд виртуалчлалыг хангаж өгдөг. Зочны бүрэлдэхүүн хэсгүүд нь үндсэн Линуксийн цөмд аль хэдийн орсон байдаг.

Тусгаарлалтыг хянахын тулд техник хангамжийн виртуалчлалын механизмыг ашигладаг орчин үеийн CPU-ээр хангаж өгдөг. Jailhouse-ийн онцлог шинж чанарууд нь хөнгөн жинтэй хэрэгжилт юм виртуал машиныг тогтмол CPU, RAM талбар, тоног төхөөрөмжийн төхөөрөмжүүдтэй холбох чиглэл. Энэхүү арга нь физик олон процессорын сервер дээр бие даасан хэд хэдэн виртуал орчныг ажиллуулах боломжийг олгодог бөгөөд тус бүр нь өөрийн процессорын цөмийг хуваарилдаг.

CPU-тэй нягт холбоос хийснээр гипервизорийн үйл ажиллагааны дээд хэмжээг багасгаж, хэрэгжилтийг маш хялбаршуулсан болно, учир нь нарийн төвөгтэй нөөцийн хуваарилагч хийх шаардлагагүй - тусдаа CPU цөм хуваарилах нь бусад ажлуудыг гүйцэтгэхгүй байх нөхцлийг бүрдүүлдэг. энэ CPU.

Энэхүү хандлагын давуу тал нь нөөцөд баталгаатай хандалт, урьдчилан таамаглаж болохуйц гүйцэтгэлийг хангаж, Jailhouse-ийг бодит цагийн даалгавруудыг хийхэд тохиромжтой шийдэл болгож өгөх чадвар юм. Сул тал нь хязгаарлагдмал өргөтгөх боломжтой бөгөөд энэ нь CPU-ийн цөмийн тоонд суурилдаг.

Jailhouse 0.12-ийн шинэ хувилбарын тухай

Одоогийн байдлаар Jailhouse нь 0.12 хувилбар дээрээ байгаа бөгөөд үүнийг онцолж байна Raspberry Pi 4 Model B ба Texas Instruments J721E-EVM-ийн дэмжлэг.

Ivshmem төхөөрөмжөөс гадна эсүүдийн хоорондын харилцан үйлчлэлийг зохион байгуулахад ашигладаг, шинэчлэн боловсруулсан бөгөөд энэ нь VIRTIO-ийн тээврийн хэрэгслийг хэрэгжүүлэх боломжтой юм.

Санах ойн том хэмжээтэй хуудсууд (асар том хуудас) үүсгэхийг идэвхгүй болгох чадварыг Intel процессорууд дээрх CVE-2018-12207-ийн эмзэг байдлыг хаахын тулд хэрэгжүүлсэн бөгөөд эрхгүй халдагч үйлчилгээгээ татгалзаж эхлэхийг зөвшөөрч, "Машин баталгаажуулах алдаа "муж.

ARM64 процессортой системүүдийн хувьд SMMUv3 дэмжигддэг (Системийн санах ойн менежментийн нэгж) ба TI PVU (Захын виртуалчлалын хэсэг). Компьютерийн дээд хэсэгт ажилладаг хамгаалагдсан хязгаарлагдмал орчинд PCI дэмжлэгийг нэмж оруулсан болно.

X86 систем дээр CR4 горимыг идэвхжүүлэх боломжтой. (Хэрэглэгчийн горимын зааварчилгаанаас урьдчилан сэргийлэх) нь Intel-ийн процессоруудаар хангагдсан бөгөөд энэ нь хэрэглэгчийн орон зайд SGDT, SLDT, SIDT, SMSW, STR гэх мэт тодорхой заавруудын гүйцэтгэлийг хориглох боломжийг олгодог бөгөөд энэ нь систем дээрх давуу эрхийг нэмэгдүүлэхэд чиглэсэн халдлагад ашиглаж болно. .

Шорон барих

Jailhouse нь x86_64 систем дээрх ажиллагааг дэмждэг VMX + EPT эсвэл SVM + NPT (AMD-V) өргөтгөлүүд, түүнчлэн процессорууд дээр ARMv7 ба ARMv8 / ARM64 виртуалчлалын өргөтгөлүүдтэй.

Гэсэн хэдий ч Үүнээс гадна тохирох төхөөрөмжүүдийн Debian багц дээр суурилсан дүрс үүсгэгчийг боловсруулж байна.

Та эмхэтгэх, суулгах заавар, бусад мэдээллийг олж авах боломжтой Дараах холбоос дээр.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.