Ang Jailhouse ay isang hypervisor na batay sa Linux (Ito ay binuo bilang isang libreng proyekto sa software ng GPLv2). Ay may kakayahang magpatakbo ng buong aplikasyon o operating system (inangkop) bilang karagdagan sa Linux. Para sa hangaring ito, configure ang mga virtualization na katangian ng mga CPU at aparato ng platform hardware upang ang alinman sa mga domain na ito, na tinatawag na "cells", ay maaaring makagambala sa bawat isa sa isang hindi katanggap-tanggap na paraan.
Nangangahulugan ito na Hindi tularan ng Jailhouse ang mga mapagkukunan na wala ka. Nang simple hatiin ang hardware sa mga nakahiwalay na compartment na tinatawag na "cells" Ganap na nakatuon ang mga ito sa panauhin na software na tinatawag na "mga preso".
Tungkol sa Jailhouse
Ang Jailhouse ay na-optimize para sa pagiging simple kaysa sa kayamanan ng mga tampok. Hindi tulad ng buong-tampok na hypervisors na nakabatay sa Linux tulad ng KVM o Xen, Hindi sinusuportahan ng Jailhouse ang mapagkukunan sa paglipas ng pangako tulad ng CPU, RAM o mga aparato. Hindi ito gumagawa ng anumang programa at ginagawa lamang ang mga mapagkukunang iyon sa software, na mahalaga para sa isang platform at hindi maaaring mai-partition sa hardware.
Kapag naaktibo ang Jailhouse, ganap itong tumatakbo, nangangahulugang kinokontrol nito ang hardware at hindi nangangailangan ng suportang panlabas.
Ang hypervisor ay ipinatupad bilang isang module para sa Linux kernel at nagbibigay ng virtualization sa antas ng kernel. Ang mga sangkap ng panauhin ay isinama na sa pangunahing kernel ng Linux.
Ginagamit ang mga mekanismo ng virtualization ng hardware upang makontrol ang paghihiwalay na ibinigay ng mga modernong CPU. Ang mga palatandaan ng Jailhouse ay ang magaan nitong pagpapatupad at ang oryentasyon nito patungo sa pag-uugnay ng mga virtual machine sa isang nakapirming CPU, lugar ng RAM, at mga aparatong hardware. Pinapayagan ng pamamaraang ito ang pagpapatakbo ng maraming mga independiyenteng virtual na kapaligiran sa isang pisikal na multiprocessor server, na ang bawat isa ay nakatalaga sa sarili nitong core ng processor.
Sa isang masikip na link sa CPU, ang overhead ng operasyon ng hypervisor ay nabawasan at ang pagpapatupad nito ay pinasimple, dahil hindi na kailangang magsagawa ng isang kumplikadong tagapag-iskedyul ng paglalaan ng mapagkukunan - ang paglalaan ng isang hiwalay na core ng CPU ay tinitiyak na hindi ito gumanap ng iba pang mga gawain sa ang CPU na ito.
Ang bentahe ng pamamaraang ito ay ang kakayahang magbigay ng garantisadong pag-access sa mga mapagkukunan at mahuhulaan na pagganap, na ginagawang angkop na solusyon ang Jailhouse para sa paglikha ng mga real-time na gawain. Ang downside ay limitadong kakayahang sumukat, na kung saan ay batay sa bilang ng mga core ng CPU.
Tungkol sa bagong bersyon ng Jailhouse 0.12
Sa kasalukuyan, ang Jailhouse ay nasa bersyon nito na 0.12 at itinatampok nito ang Suporta para sa Raspberry Pi 4 Model B at Texas Instruments J721E-EVM.
Bilang karagdagan sa aparato ng ivshmem ginamit upang ayusin ang pakikipag-ugnayan sa pagitan ng mga cell, ay muling idisenyo at maaari rin itong magpatupad ng transportasyon para sa VIRTIO.
Ang kakayahang huwag paganahin ang malaking paglikha ng pahina ng memorya (malaking pahina) ay ipinatupad upang harangan ang CVE-2018-12207 kahinaan sa mga prosesor ng Intel, na pinapayagan ang isang hindi kilalang mang-atake na simulan ang isang pagtanggi ng serbisyo, na humahantong sa nagyeyelong sistema sa "Error sa Pag-verify ng Machine" estado
Para sa mga system na may mga processor ng ARM64, suportado ang SMMUv3 (System Memory Management Unit) at TI PVU (Peripheral Virtualization Unit). Para sa mga kapaligiran sa sandbox na tumatakbo sa tuktok ng computer, naidagdag ang suporta ng PCI.
Sa mga x86 system posible na paganahin ang CR4 mode. (Pag-iwas sa tagubilin sa mode ng gumagamit) na ibinigay ng mga processor ng Intel, na nagbibigay-daan upang pagbawalan ang pagpapatupad ng ilang mga tagubilin sa puwang ng gumagamit, tulad ng SGDT, SLDT, SIDT, SMSW at STR, na maaaring magamit sa mga pag-atake na naglalayong dagdagan ang mga pribilehiyo sa system .
Kumuha ng Jailhouse
Sinusuportahan ng Jailhouse ang pagpapatakbo sa mga x86_64 system na may mga extension ng VMX + EPT o SVM + NPT (AMD-V), pati na rin sa mga nagpoproseso ARMv7 at ARMv8 / ARM64 may mga extension sa virtualization.
Kahit na bilang karagdagan, ang isang generator ng imahe ay binuo na batay sa mga pakete ng Debian para sa mga katugmang aparato.
Mahahanap mo ang mga tagubilin sa pag-iipon at pag-install, pati na rin iba pang impormasyon Sa sumusunod na link.