【正文】 KVM分析報告虛擬化技術(shù)工作組200812311. 概述. KVM簡介KVM是以色列開源組織Qumranet開發(fā)的一個開源虛擬機監(jiān)控器。KVM基于x86硬件虛擬化技術(shù)，它的運行要求Intel VTx或AMD SVM的支持。一般認(rèn)為，虛擬機監(jiān)控的實現(xiàn)模型有兩類：監(jiān)控模型（Hypervisor）和宿主機模型（Hostbased）。由于監(jiān)控模型需要進行處理器調(diào)度，還需要實現(xiàn)各種驅(qū)動程序，以支撐運行其上的虛擬機，因此實現(xiàn)難度上一般要大于宿主機模型。KVM的實現(xiàn)采用宿主機模型（Hostbased），由于KVM是集成在Linux內(nèi)核中的，因此可以自然地使用Linux內(nèi)核提供的內(nèi)存管理、多處理器支持等功能，易于實現(xiàn)，而且還可以隨著Linux內(nèi)核的發(fā)展而發(fā)展。另外，目前KVM的所有I/O虛擬化工作是借助Qemu完成的，也顯著地降低了實現(xiàn)的工作量。以上可以說是KVM的優(yōu)勢所在。. 本報告的組織本報告的第2章介紹處理器虛擬化技術(shù)及KVM實現(xiàn)，第3章介紹內(nèi)存虛擬化技術(shù)及KVM實現(xiàn)，第4章介紹I/O虛擬化技術(shù)及KVM實現(xiàn)。. 說明本報告僅分析KVM中與Intel VTx相關(guān)的實現(xiàn)，不考慮KVM中與AMD SVM相關(guān)的實現(xiàn)，因此有關(guān)術(shù)語的使用與Intel VTx保持一致。2. 處理器虛擬化. VTx技術(shù)我們知道處理器一般存在應(yīng)用編程接口和系統(tǒng)編程接口。對于x86處理器來說，應(yīng)用編程接口僅向應(yīng)用程序暴露了通用寄存器、RFLAGS、RIP和一組非特權(quán)指令，而系統(tǒng)編程接口向操作系統(tǒng)暴露了全部的ISA（Instruction Set Architecture）。傳統(tǒng)的進程/線程模型也是對處理器的一種虛擬化，但只是對處理器的應(yīng)用編程接口的虛擬化，而所謂的系統(tǒng)虛擬化（system virtualization）是要實現(xiàn)處理器系統(tǒng)編程接口的虛擬化。從這個角度講，系統(tǒng)虛擬化與進程/線程模型相比并無本質(zhì)的區(qū)別。處理器虛擬化的本質(zhì)是分時共享。實現(xiàn)虛擬化需要兩個必要條件，第一是能夠讀取和恢復(fù)處理器的當(dāng)前狀態(tài)，第二是有某種機制防止虛擬機對系統(tǒng)全局狀態(tài)進行修改。第一個必要條件沒有必要一定由硬件來實現(xiàn)，雖然硬件實現(xiàn)可能比軟件實現(xiàn)更為簡單。例如，x86處理器對多任務(wù)，也就是應(yīng)用編程接口虛擬化，提供了硬件的支持，軟件通常只需要執(zhí)行一條指令，就可以實現(xiàn)任務(wù)切換，處理器硬件負(fù)責(zé)保存當(dāng)前應(yīng)用編程接口的狀態(tài)，并為目標(biāo)任務(wù)恢復(fù)應(yīng)用編程接口的狀態(tài)。但操作系統(tǒng)并不一定要使用處理器提供的這種虛擬化機制，完全可以使用軟件來完成應(yīng)用接口狀態(tài)的切換。例如，Linux就沒有使用x86處理器提提供多任務(wù)機制，完全依賴軟件實現(xiàn)任務(wù)切換。第二個必要條件一定要由硬件來實現(xiàn)，通常處理器采用多模式操作（multimode operation）來確保這一點。在傳統(tǒng)x86處理器上，共有4種模式的操作，也就是常說的4個特權(quán)級。虛擬機（這里指進程/線程）通常運行在特權(quán)級3上，而虛擬機監(jiān)控器（這里指操作系統(tǒng)）運行于特權(quán)級0上，進程/線程的所有訪問全局的操作，如訪問共享的操作系統(tǒng)所在的地址空間，訪問I/O等等，均會導(dǎo)致異常的發(fā)生，被操作系統(tǒng)所截獲并處理，使操作系統(tǒng)有機會向進程/線程提供一個虛擬的世界。系統(tǒng)虛擬化與進程/線程模型相比并無本質(zhì)的區(qū)別。x86處理器完全有機會以較小的代價提供對系統(tǒng)虛擬化的支持，但很可惜Intel沒有考慮那么長遠(yuǎn)。x86的4個特權(quán)級對于實現(xiàn)系統(tǒng)虛擬化已經(jīng)足夠了，但傳統(tǒng)的x86處理器上，許多特權(quán)指令要求必須在特權(quán)級0上執(zhí)行，如LGDT，因此通常操作系統(tǒng)都占用了特權(quán)級0，也就沒有特權(quán)級供虛擬機監(jiān)控器使用了。為此，許多基于傳統(tǒng)x86處理器的虛擬化軟件不得不采用ring deprivileging方法，讓操作系統(tǒng)運行于特權(quán)級1，而由虛擬機監(jiān)控器使用特權(quán)級0。ring deprivileging方法帶來了許多問題，包括：ring aliasing、address space pression、nonfaulting accessing to privileged state、adverse impact on guest transitions、interrupt virtualization、access to hidden state等問題，通常將以上問題統(tǒng)稱為x86平臺的虛擬化漏洞。ring aliasing問題是指，采用ring deprivileging方法時，由于處理器的CPL保存在CS的低兩位，所以操作系統(tǒng)通過執(zhí)行PUSH CS指令和一條POP EAX指令可以很容易發(fā)現(xiàn)其目前不在特權(quán)級0上執(zhí)行，這違背了虛擬化對操作系統(tǒng)透明的原則。address space pression問題是指，操作系統(tǒng)通常期望能夠訪問整個4GB線性地址空間，但虛擬機監(jiān)控器可能也需要占用操作系統(tǒng)的一部分線性地址空間，以便其能夠方便地訪問操作系統(tǒng)的地址空間。但如果操作系統(tǒng)是運行于特權(quán)級1，那么操作系統(tǒng)也同樣可以訪問虛擬機監(jiān)控器的存儲空間，對虛擬機監(jiān)控器造成威脅。nonfaulting accessing to privileged state問題是指，Intel的特權(quán)級機制不能確保所有的訪問處理器狀態(tài)的指令在低特權(quán)級狀態(tài)下執(zhí)行時都產(chǎn)生故障（Fault），這使得操作系統(tǒng)在訪問某些處理器狀態(tài)時虛擬機監(jiān)控器無法獲得控制，也就無法對這些指令進行仿真。例如，IA32的GDTR, LDTR, IDTR, TR包含了控制處理器狀態(tài)的指針，對這些寄存器的修改只能在特權(quán)級0進行，但I(xiàn)A32允許在所有的特權(quán)級中讀取這些寄存器的值。操作系統(tǒng)可以讀取這些寄存器的值，如果與真實的計算機上的值不同，操作系統(tǒng)就可以認(rèn)為自己正運行在虛擬機環(huán)境中。adverse impact on guest transitions問題是指，為加快系統(tǒng)調(diào)用的速度，Intel引入了SYSENTER和SYSEXIT指令，但SYSENTER指令總是將特權(quán)級切換到0，且從0以外的特權(quán)級執(zhí)行SYSEXIT指令將導(dǎo)致故障。因此，在采用ring deprivileging方法實現(xiàn)虛擬化時，SYSENTER和SYSEXIT指令總是先陷入到虛擬機監(jiān)控器，經(jīng)后者仿真后再交給操作系統(tǒng)，這使系統(tǒng)調(diào)用的速度減慢。interrupt virtualization問題是指，修改IF位需要在CPL=IOPL的情況下進行，否則將產(chǎn)生故障。操作系統(tǒng)可能需要頻繁地修改IF位，會頻繁地導(dǎo)致虛擬機監(jiān)控器的陷入，影響系統(tǒng)性能。而且，有些情況下，虛擬機監(jiān)控器需要向虛擬機注入事件，但如果虛擬機正處于中斷屏蔽狀態(tài)，虛擬機監(jiān)控器就必須等待，直到虛擬機打開中斷。虛擬機監(jiān)控器為了及時得知虛擬機已打開中斷。access to hidden state問題是指，IA32處理器的某些狀態(tài)，例如段描述符高速緩存，是無法通過指令訪問的。當(dāng)虛擬機切換時，IA32沒有提供保存和恢復(fù)段描述符高速緩存的手段。也就是說，上文所述的實現(xiàn)虛擬化的第一個必要條件，能夠讀取和恢復(fù)處理器的當(dāng)前狀態(tài)，并不完全具備。總之，雖然采用ring depriv