Jailhouse adalah hypervisor partitioning berasaskan Linux (Ini telah dikembangkan sebagai projek perisian GPLv2 percuma). Adakah mampu menjalankan aplikasi penuh atau sistem operasi (disesuaikan) selain Linux. Untuk tujuan ini, catur ciri-ciri virtualisasi CPU dan peranti platform perkakasan sehingga tidak ada domain ini, yang disebut "sel", boleh saling mengganggu dengan cara yang tidak dapat diterima.
Ini bermaksud bahawa Jailhouse tidak meniru sumber yang tidak anda miliki. Cukup membahagikan perkakasan ke dalam petak terpencil yang disebut "sel" Mereka sepenuhnya dikhaskan untuk perisian tetamu yang disebut "tahanan"
Mengenai Jailhouse
Jailhouse dioptimumkan untuk kesederhanaan bukannya kekayaan ciri. Tidak seperti hypervisor berasaskan Linux yang lengkap seperti KVM atau Xen, Jailhouse tidak menyokong sumber daya atas komitmen seperti CPU, RAM atau peranti. Ia tidak melakukan sebarang pengaturcaraan dan hanya memvisualisasikan sumber-sumber tersebut dalam perisian, yang penting untuk platform dan tidak dapat dipartisi pada perkakasan.
Setelah Jailhouse diaktifkan, ia berfungsi sepenuhnya, yang bermaksud mengawal sepenuhnya perkakasan dan tidak memerlukan sokongan luaran.
Hypervisor dilaksanakan sebagai modul untuk kernel Linux dan menyediakan virtualisasi peringkat kernel. Komponen tetamu sudah termasuk dalam kernel Linux utama.
Untuk mengawal pengasingan, mekanisme virtualisasi perkakasan digunakan disediakan oleh CPU moden. Keistimewaan Jailhouse adalah pelaksanaannya yang ringan dan orientasinya ke arah menghubungkan mesin maya ke CPU tetap, kawasan RAM, dan peranti perkakasan. Pendekatan ini memungkinkan pengoperasian beberapa persekitaran maya bebas pada pelayan multiprosesor fizikal, yang masing-masing diberikan teras pemprosesnya sendiri.
Dengan pautan yang ketat ke CPU, overhead operasi hypervisor diminimumkan dan pelaksanaannya sangat disederhanakan, kerana tidak perlu melakukan penjadual peruntukan sumber yang kompleks - memperuntukkan teras CPU yang terpisah memastikan bahawa tidak menjalankan tugas lain pada CPU ini.
Kelebihan pendekatan ini adalah kemampuan untuk memberikan akses yang terjamin ke sumber daya dan prestasi yang dapat diramalkan, menjadikan Jailhouse sebagai penyelesaian yang sesuai untuk membuat tugas masa nyata. Kelemahannya adalah skalabiliti terhad, yang berdasarkan jumlah teras CPU.
Mengenai versi baru Jailhouse 0.12
Pada masa ini, Jailhouse dalam versi 0.12 dan ia menyoroti sokongan untuk Raspberry Pi 4 Model B dan Texas Instruments J721E-EVM.
Sebagai tambahan kepada peranti ivshmem digunakan untuk mengatur interaksi antara sel, telah dirancang semula dan ia juga dapat melaksanakan pengangkutan untuk VIRTIO.
Keupayaan untuk mematikan penciptaan halaman memori besar (halaman besar) dilaksanakan untuk menyekat kerentanan CVE-2018-12207 pada pemproses Intel, yang memungkinkan penyerang yang tidak memiliki hak untuk memulakan penolakan perkhidmatan, yang menyebabkan pembekuan sistem dalam keadaan "Ralat Pengesahan Mesin".
Untuk sistem dengan pemproses ARM64, SMMUv3 disokong (Unit Pengurusan Memori Sistem) dan TI PVU (Unit Virtualisasi Periferal). Untuk persekitaran kotak pasir yang berjalan di atas komputer, sokongan PCI telah ditambahkan.
Pada sistem x86 adalah mungkin untuk mengaktifkan mod CR4. (Pencegahan arahan mod pengguna) yang disediakan oleh pemproses Intel, yang memungkinkan untuk melarang pelaksanaan arahan tertentu di ruang pengguna, seperti SGDT, SLDT, SIDT, SMSW dan STR, yang dapat digunakan dalam serangan yang bertujuan meningkatkan keistimewaan pada sistem.
Dapatkan Rumah Penjara
Jailhouse menyokong operasi pada sistem x86_64 dengan sambungan VMX + EPT atau SVM + NPT (AMD-V), serta pada pemproses ARMv7 dan ARMv8 / ARM64 dengan sambungan virtualisasi.
Walaupun sebagai tambahan, penjana imej sedang dibangunkan berdasarkan pakej Debian untuk peranti yang serasi.
Anda boleh mendapatkan arahan penyusunan dan pemasangan, serta maklumat lain Dalam pautan berikut.