Red Hat 的核心架构非常 Cloud Native。它本质上是 “分区架构+容器化”,而不是 “Hypervisor + 多Guest OS”。
结构大概是这样:
官方文档中明确,采用逻辑分区方案,基于Linux高级隔离特性管理混合关键级负载,实现安全/非安全应用安全共存。
1. 支撑隔离的核心软件组件
内存管理:硬件虚拟内存空间配置,隔离内核/容器/应用内存,防空间干扰;
调度器:管理CPU时间片、分时调度,保障安全任务确定性执行,防时间干扰;
Systemd:初始化管理系统服务,限定应用启动权限与隔离规则;
Podman:管理QM非安全容器,做资源与空间隔离;
Glibc API:提供内存管理、动态分配等标准库支撑;
SELinux + Seccomp:细粒度权限控制、系统调用过滤,多层防护防干扰;
dbus-broker:安全管控跨服务进程通信,禁止跨分区非法交互。
2. 分区架构核心模块
1) QM分区:承载非安全应用,逻辑隔离,低延迟、不抢占安全负载资源;
2) ASIL空间:安全关键负载运行在非容器化用户态,处于ASIL-B认证环境,是受控执行上下文,而非独立逻辑分区;
3) ASIL-B统一内核:统一负责内存管理、进程调度、资源分配,强制隔离并高效共享资源;
4) ASIL-B硬件平台:硬件组件通过安全认证,是隔离机制的硬件基础。
三大核心隔离机制(FFI关键)
1.空间隔离(Spatial Isolation)

2. 时间隔离(Temporal Isolation)
保障安全关键负载稳定占用CPU时间,不受非安全任务干扰,核心机制:
1) PREEMPT_RT实时内核:最小化中断延迟,支持内核任务可抢占,保障时间敏感应用确定性调度;
2) Cgroups CPU资源分区:对进程分组、限定CPU资源配额,防止QM负载挤占安全任务算力;
3) 预配置QM容器:通过Cgroups严格限制非安全应用资源上限;
4) 硬件安全看门狗:监控系统故障检测时间FDTI、故障响应时间FRTI、故障容忍时间FTTI;安全应用需定期喂狗,卡死/故障时看门狗自动触发系统恢复,兜底保障安全。
3. 资源隔离(Resource Isolation)
由Podman落地QM分区资源隔离:
为QM分区创建独立命名空间,隐藏未分配的硬件设备、网卡、共享内存等资源;
未显式分配给QM分区的设备/文件,在分区内完全不可见、不可访问;
分层隔离+内核防护,彻底杜绝非安全负载篡改、干扰安全组件。
核心能力
支持混合关键级部署:ASIL B级安全关键应用(制动、ADAS、防撞)和QM级非安全应用(车机娱乐、导航、空调)可共享同一个ASIL-B认证Linux内核,无需为每个业务单独部署虚拟机/独立Guest OS。
是不是突然很像 Kubernetes for Cars?
对。这就是 SDV(Software Defined Vehicle)真正开始“互联网化”的地方。