19.2 Trap-and-Emulate --- Trap

我们该如何构建我们自己的VMM呢?一种实现方式是完全通过软件来实现,你可以想象写一个类似QEMU的软件,这个软件读取包含了XV6内核指令的文件,查看每一条指令并模拟RISC-V的状态,这里的状态包括了通过软件模拟32个寄存器。你的软件读取每条指令,确定指令类型,再将指令应用到通过软件模拟的32个寄存器和控制寄存器中。实际中有的方案就是这么做的,虽然说考虑到细节还需要做很多工作,但是这种方案从概念上来说很简单直观。

但是纯软件解析的虚拟机方案应用的并不广泛,因为它们很慢。如果你按照这种方式实现虚拟机,那么Guest应用程序的运行速度将远低于运行在硬件上,因为你的VMM在解析每一条Guest指令的时候,都可能要转换成几十条实际的机器指令,所以这个方案中的Guest的运行速度比一个真实的计算机要慢几个数量级。在云计算中,这种实现方式非常不实用。所以人们并不会通过软件解析来在生产环境中构建虚拟机。

相应的,一种广泛使用的策略是在真实的CPU上运行Guest指令。所以如果我们要在VMM之上运行XV6,我们需要先将XV6的指令加载到内存中,之后再跳转到XV6的第一条指令,这样你的计算机硬件就能直接运行XV6的指令。当然,这要求你的计算机拥有XV6期望的处理器(注,也就是RISC-V)。

但是实际中你又不能直接这么做,因为当你的Guest操作系统执行了一个privileged指令(注,也就是在普通操作系统中只能在kernel mode中执行的指令,详见3.4)之后,就会出现问题。现在我们在虚拟机里面运行了操作系统内核,而内核会执行需要privileged权限指令,比如说加载一个新的Page Table到RISC-V的SATP寄存器中,而这时就会出现问题。

前面说过,我们将Guest kernel按照一个Linux中的普通用户进程来运行,所以Guest kernel现在运行在User mode,而在User mode加载SATP寄存器是个非法的操作,这会导致我们的程序(注,也就是虚拟机)crash。但是如果我们蠢到将Guest kernel运行在宿主机的Supervisor mode(注,也就是kernel mode),那么我们的Guest kernel不仅能够修改真实的Page Table,同时也可以从虚拟机中逃逸,因为它现在可以控制PTE(Page Table Entry)的内容,并且读写任意的内存内容。所以我们不能直接简单的在真实的CPU上运行Guest kernel。

相应的,这里会使用一些技巧。

首先将Guest kernel运行在宿主机的User mode,这是最基本的策略。这意味着,当我们自己写了一个VMM,然后通过VMM启动了一个XV6系统,VMM会将XV6的kernel指令加载到内存的某处,再设置好合适的Page Table使得XV6看起来自己的内存是从地址0开始向高地址走。之后VMM会使用trap或者sret指令(注,详见6.8)来跳转到位于User mode的Guest操作系统的第一条指令,这样不论拥有多少条指令,Guest操作系统就可以一直执行下去。

一旦Guest操作系统需要使用privileged指令,因为它当前运行在User mode而不是Supervisor mode,会使得它触发trap并走回到我们的VMM中(注,在一个正常操作系统中,如果在User mode执行privileged指令,会通过trap走到内核,但是现在VMM替代了内核),之后我们就可以获得控制权。所以当Guest操作系统尝试修改SATP寄存器,RISC-V处理器会通过trap走回到我们的VMM中,之后我们的VMM就可以获得控制权。并且我们的VMM也可以查看是什么指令引起的trap,并做适当的处理。这里核心的点在于Guest操作系统并没有实际的设置SATP寄存器。

学生提问:VMM改如何截获Guest操作系统的指令?它应该要设置好一个trap handler对吧,但这不是一个拥有privileged权限的进程才能做的事情吗?而VMM又是个宿主机上的用户程序,是吧?

Robert教授:我这里假设VMM运行在Supervisor mode。所以在这里的图中,VMM就是宿主机的kernel。这里我们不是启动类似Linux的操作系统,而是启动VMM(注,类似VMware的ESXi)。VMM以privileged权限运行,并拥有硬件的完整控制权限,这样我们就可以在VMM里面设置各种硬件寄存器。有一些VMM就是这么运行的,你在硬件上启动它们,并且只有VMM运行在Supervisor mode。实际上还有很多很多其他的虚拟机方案,比如说在硬件上启动Linux,之后要么Linux自带一个VMM,要么通过可加载的内核模块将VMM加载至Linux内核中,这样VMM可以在Linux内核中以Supervisor mode运行。今天我们要讨论的论文就是采用后者。

这里主要的点在于,我们自己写的可信赖的VMM运行在Supervisor mode,而我们将不可信赖的Guest kernel运行在User mode,通过一系列的处理使得Guest kernel看起来好像自己是运行在Supervisor mode。

在RISC-V上,如果在User mode尝试运行任何一个需要Supervisor权限的指令都会触发trap。这里需要Supervisor权限的指令并不包括与Page Table相关的指令,我们稍后会介绍相关的内容。所以每当Guest操作系统尝试执行类似于读取SCAUSE寄存器,读写STVEC寄存器,都会触发一个trap,并走到VMM,之后我们就可以获得控制权。

Previous19.1 Why Virtual Machine?Next19.3 Trap-and-Emulate --- Emulate

Last updated