《KVM 实现机制》.pdfVIP

1. 概述 1.1. KVM 简介 KVM 是一个基于Linux内核的虚拟机，它属于完全虚拟化范畴，从Linux-2.6.20 开始被包含 在Linux 内核中。KVM 基于x86 硬件虚拟化技术，它的运行要求Intel VT-x 或AMD SVM 的 支持。 一般认为，虚拟机监控的实现模型有两类：监控模型（Hypervisor ）和宿主机模型（Host- based ）。由于监控模型需要进行处理器调度，还需要实现各种驱动程序，以支撑运行其上 的虚拟机，因此实现难度上一般要大于宿主机模型。KVM 的实现采用宿主机模型（Host- based ），由于KVM 是集成在Linux 内核中的，因此可以自然地使用Linux 内核提供的内存 管理、多处理器支持等功能，易于实现，而且还可以随着Linux 内核的发展而发展。另外， 目前KVM 的所有I/O 虚拟化工作是借助Qemu 完成的，也显著地降低了实现的工作量。以 上可以说是KVM 的优势所在。 本文仅分析KVM 中与Intel VT-x 相关的实现，不考虑KVM 中与AMD SVM 相关的实现， 因此有关术语的使用与Intel VT-x 保持一致。 2. 处理器虚拟化 2.1. VT-x 技术 我们知道处理器一般存在应用编程接口和系统编程接口。对于x86 处理器来说，应用编程接 口仅向应用程序暴露了通用寄存器、RFLAGS、RIP 和一组非特权指令，而系统编程接口向 操作系统暴露了全部的ISA （Instruction Set Architecture ）。传统的进程/线程模型也是对处 理器的一种虚拟化，但只是对处理器的应用编程接口的虚拟化，而所谓的系统虚拟化 （system virtualization ）是要实现处理器系统编程接口的虚拟化。从这个角度讲，系统虚拟 化与进程/线程模型相比并无本质的区别。 处理器虚拟化的本质是分时共享。实现虚拟化需要两个必要条件，第一是能够读取和恢复处 理器的当前状态，第二是有某种机制防止虚拟机对系统全局状态进行修改。 第一个必要条件没有必要一定由硬件来实现，虽然硬件实现可能比软件实现更为简单。例如 ， x86 处理器对多任务，也就是应用编程接口虚拟化，提供了硬件的支持，软件通常只需要执 行一条指令，就可以实现任务切换，处理器硬件负责保存当前应用编程接口的状态，并为目 标任务恢复应用编程接口的状态。但操作系统并不一定要使用处理器提供的这种虚拟化机制 ， 完全可以使用软件来完成应用接口状态的切换。例如，Linux 就没有使用x86 处理器提提供 多任务机制，完全依赖软件实现任务切换。 第二个必要条件一定要由硬件来实现，通常处理器采用多模式操作（multi-mode operation ） 来确保这一点。在传统x86 处理器上，共有4 种模式的操作，也就是常说的4 个特权级。虚 拟机（这里指进程/线程）通常运行在特权级3 上，而虚拟机监控器（这里指操作系统）运 行于特权级0 上，进程/线程的所有访问全局的操作，如访问共享的操作系统所在的地址空 间，访问I/O 等等，均会导致异常的发生，被操作系统所截获并处理，使操作系统有机会向 进程/线程提供一个虚拟的世界。 系统虚拟化与进程/线程模型相比并无本质的区别。x86 处理器完全有机会以较小的代价提供 对系统虚拟化的支持，但很可惜Intel 没有考虑那么长远。x86 的4 个特权级对于实现系统虚 拟化已经足够了，但传统的x86 处理器上，许多特权指令要求必须在特权级0 上执行，如 LGDT ，因此通常操作系统都占用了特权级0 ，也就没有特权级供虚拟机监控器使用了。为 此，许多基于传统x86 处理器的虚拟化软件不得不采用ring deprivileging 方法 ，让操作系统 运行于特权级1 ，而由虚拟机监控器使用特权级0。ring deprivileging 方法带来了许多问题 ， 包括 ：ring aliasing 、address space compression、nonfaulting accessing to privileged state、adverse impact on guest transitions、interrupt virtualization 、access to hidden state 等问题 ， 通常将以上问题统称为x86 平台的虚拟化漏洞。 ring aliasing 问题是指，采用ring deprivileging 方法时，由于处理器的CPL 保存在CS 的低两 位 ，所以操作系统通过执行PUSH C