Siemens випустила гіпервізор Jailhouse 0.9

Компанія Siemens представила випуск вільного гіпервізора Jailhouse 0.9, компоненти гостьових систем якого вже включені до складу основного ядра Linux. Гіпервізор підтримує роботу на системах x86_64 з розширеннями VMX+EPT або SVM+NPT (AMD-V), а також на процесорах ARMv7 (Banana Pi, NVIDIA Jetson TK1, Versatile Express з Cortex-A15 або A7) та ARMv8/ARM64 (AMD Seattle) , LeMaker HiKey, NVIDIA Jetson TX1, Xilinx ZCU102) з розширеннями для віртуалізації. Код проекту розповсюджується під ліцензією GPLv2.

Гіпервізор реалізований у вигляді модуля для ядра Linux та забезпечує віртуалізацію на рівні ядра. Для управління ізоляцією використовуються апаратні механізми віртуалізації, що надаються сучасними CPU. Відмінними рисами Jailhouse є легковажна реалізація та орієнтація на прив'язку віртуальних машин до фіксованому CPU, області ОЗП та апаратним пристроям. Такий підхід дозволяє на одному фізичному багатопроцесорному сервері забезпечити роботу кількох незалежних віртуальних оточень, кожне з яких закріплено за процесорним ядром.

При жорсткій прив'язці до CPU накладні витрати від роботи гіпервізора зводяться до мінімуму і суттєво спрощується його реалізація, оскільки немає необхідності виконання складного планувальника розподілу ресурсів - виділення окремого ядра CPU дозволяє гарантувати відсутність виконання на даному CPU інших завдань. Плюсом такого підходу є можливість забезпечити гарантований доступ до ресурсів та передбачувану продуктивність, що робить Jailhouse відмінним рішенням для створення рішень віртуалізації для режиму реального часу. Мінусом є обмежена масштабованість, що упирається в число ядер CPU.

У Термінології Jailhouse віртуальні оточення називаються камерами (cell). Усередині камери система виглядає як однопроцесорний сервер, що показує продуктивність, близьку до продуктивності виділеного ядра CPU. У камері може бути запущено оточення довільної операційної системи, урізані оточення для запуску однієї програми та спеціально підготовлені окремі програми, призначені для вирішення завдань реального часу. Конфігурація задається в .cell-файлах, що визначають виділені оточенню CPU, регіони пам'яті та порти вводу/виводу.

У новому випуску Jailhouse 0.9

• Додано підтримку платформ Emtrion emCON-RZ/G1H, NXP MCIMX8M-EVK та NVIDIA Jetson TX2;
• Реалізовано інфраструктуру для підключення модулів з реалізацією розширеної функціональності на етапі складання;
• У демонстраційних оточеннях (inmates) уніфіковано розміщення секції з командним рядком;
• Команда для завантаження Linux покращена в плані поділу обробки ядра та initramfs;
• Для платформ ARM та ARM64 додана можливість запуску оточення з включенням MMU та кешуванням, додана підтримка завантаження стислих образів з Linux;
• Для платформи x86 покращено емуляцію інструкцій MMIO. З метою підвищення захищеності забезпечено перехоплення інструкцій AMD SVM.

З реалізованих, але не увійшли до релізу нових можливостей відзначається система прив'язаних до CPU таблиць гіпервізора (для захисту від атак Spectre), переробка демонстраційних оточень з підтримкою SMP для систем ARM/ARM64, новий біндинг мовою Python для доступу до керуючого інтерфейсу , доведення до кінця роботи над інтерфейсом на базі virtio для організації взаємодії між камерами.

Інші новини