虚拟化技术及云计算2_CPU虚拟化.pdfVIP

虚拟化技术与虚拟化技术与云计算云计算 商彦磊商彦磊 shangyl@bupt.edu.cn 北京邮电大学网络技术研究院 网络与交换技术国家重点实验室网络与交换技术国家重点实验室 教学内容  绪论  计算体系架构与虚拟化技术算体系架构与虚拟化技术  虚拟化概述虚拟化概述  CPU的虚拟化  内存虚拟化内存虚拟化  I/O虚拟化  虚拟化实施与应用  虚拟化的现状与虚拟化的现状与未来未来 CPU虚拟化  处理器虚拟化概述  可虚拟化条件  指令模拟指令模拟  CPU软件虚拟化方案  CPU硬件虚拟化方案 虚拟环境与可虚拟化条件  虚拟环境由三部分组成：硬件、虚拟机监视器（VMM ））及及虚拟机虚拟机  虚拟机可以视为物理机的一种高效隔离的复制：同质 、、高效高效、、资源受控资源受控  虚拟机的三个特点决定了不是所有体系结构都可以虚 拟化 虚拟机 虚拟机监视器 硬件 特权指令与敏感指令  多数计算机体系结构都有2个或以上的特权级，用来分 隔系统软件和应用软件隔系统软件和应用软件。  系统中有一些操作和管理关键系统资源的指令会被定 为特权指令令  特权指令只有在最高特权级上能够正确执行  如果在非最高特权级上运行，特权指令会引发异常，处理 器会陷入到最高特权级器会陷入到最高特权级  在虚拟化后，有一类指令称为敏感指令，即操作特权 资源的指令资源的指令  所有特权指令都是敏感指令；并不是所有敏感指令都 是特权指令 陷入再模拟  为使VMM完全控制系统资源，不允许直接执行 虚拟机操作系统虚拟机操作系统 （（客户客户OSOS ））的敏感的敏感指令指令  陷入再模拟  系统的所有敏感指令都是特权指令（前提）  将VMM运行在最高特权级，客户OS运行在非最高特 权权级  陷入再模拟：当客户OS因执行敏感指令（此时也是 特权指令特权指令））而陷入到而陷入到VMMVMM时时，VMMVMM模拟执行引起异模拟执行引起异 常的敏感指令 虚拟化漏洞  一个系统是否可虚拟化：关键在该系统对 敏感指令的支持上  所有指令都是特权指令所有指令都是特权指令：：可虚拟化的结构可虚拟化的结构  无法支持在所有敏感指令上触发异常：不是可 虚拟化的结构虚拟化的结构，即存在即存在 “虚拟化漏洞虚拟化漏洞”  一个结构存在虚拟化漏洞：存在敏感指令 不属于特权指令 存在虚拟化漏洞系统的虚拟化方案  可采用一些方法弥补或避免虚拟化漏洞  模拟模拟的的方法方法：最最直接直接  解释执行：取一条指令，模拟出这条指令执行的效果 ，再取下再取下一条指令条指令  不存在陷入问题，避免了虚拟化漏洞  性能差性能差  既要填补漏洞，又要保证性能，只能使用辅助手 段段：：  直接在硬件层面填补虚拟化漏洞  通过软件避免虚拟机中使用到无法陷入的敏感指令 3个概念1：虚拟寄存器  未虚拟化的系统中，OS直接访问物理处理器，处于最高特 权级权级，，可以控制系统的所有关键资源可以控制系统的所有关键资源：：寄存器寄存器、、内存内存、、I/OI/O 外设等  虚拟化后，VMM接管物理处理器，以前的OS变成客户OS 降级到非最高特权级降级到非最高特权级。试图访问关键资源的指令成为敏感试图访问关键资源的指令成为敏感 指令。  VMM通过多种方法保证这些敏感指令的执行能够触发异常通过多种方法保证这些敏感指令的执行能够触发异常 ，从而陷入到VMM进行模拟  当客户OS试图访问关键资源时，该请求并不会真正发生在 物理寄存器物