系统虚拟化技术ppt课件

1、系统虚拟化技术Virtual Machine is a fully protected and isolated copy of the underlying physical machines hardware -IBM 姜辉 2021-1-4提纲o 虚拟化技术简介o 回想x86体系构造o 虚拟化技术分类o 虚拟化在网络平安领域的运用虚拟化技术简介o 诞生于60年代的IBM system/360 Model 40 VMMo 1999年Vmware展现了第一款基于X86体系构造的虚拟机o 2005年Intel 和 AMD公司分别在芯片上提供了对虚拟化的支持回想x86体系构造o X86体系构造回

2、想o 系统分为四个特权级 o 用户指令和系统指令o 用户指令：计算o 系统指令：资源管理o 操作系统构造回想o 将内存空间分为用户态和内核态 o 用户态运用特权级3，内核态运用特权级0回想x86体系构造nGoldberg和Popek论证了可虚拟化的3条件 n等效性。除一些例外，虚拟机上的任何程序的执行行为必需和它在硬件上直接运转时一样n高效性。一切的无害必需在本地硬件上直接执行而不需求VMM的干涉注：对于系统管理不产生影响，即非特权指令n资源控制。VMM拥有对一切资源的控制。任何客户软件都不能改动VMM对它分配的资源份额。n高效VMM必需满足的条件n敏感指令集是特权指令集的子集回想x86体系构

3、造o X86体系构造虚拟化的挑战o 指令:处置器不支持虚拟化 o 部分敏感指令不属于特权指令o I/O设备:PC机上设备多样性o 内存:减少多级页表查询的时间开销o 回想x86体系构造o 敏感指令的一个例子popfo 作用是在内存栈顶弹出一个值，将堆栈指针加2，并将值存储到EFLAGS存放器的低16位o 用户态运转没有任何操作 o 内核态运转产生实践的操作o 虚拟化技术分类o 全虚拟化技术o 操作系统辅助的全虚拟化 VMware Workstation o 硬件辅助的虚拟化技术xen3.0之后、VMware ESXo 纯指令模拟的虚拟化技术Qemuo 半虚拟化技术o Xen ， VMware

4、ESX Server 3.5 之后支持半虚拟化 操作系统辅助的全虚拟化o 指令的虚拟化o 用户指令直接运转o 敏感指令翻译执行o 特权指令异常处置o 存储器的虚拟化o SPT(影子页表)o I/O设备的虚拟化o 利用操作系统协助来处置外部设备操作系统辅助的全虚拟化之内存虚拟化o SPT(影子页表)o Guest OS Logic Address - Physical Addresso VMM Physical Address - Machine Address o TLB(旁路转换缓冲)用来减少地址转换中对内存的访问操作系统辅助的全虚拟化之I/O设备的虚拟化o 宿主操作系统支持的I/O设备的虚

5、拟化o VMM拦截Guest OS 的I/O操作o VMApp在主操作系统替代Guest OS执行I/O操作o VMM接纳到的中断信号转到主操作系统下处置o VMDriver控制VMM和主操作系统之间的切换硬件辅助的全虚拟化o 指令的虚拟化o 用户指令直接在硬件上执行o 部分特权指令直接执行VMX non-rooto 部分特权指令转到VMM方式下执行VMX rooto 存储器的虚拟化o 影子页表硬件上没有提供支持的内存虚拟化技术o NPT(AMD硬件支持的存储器虚拟化)EPTIntel硬件支持的存储器虚拟化o I/O设备的虚拟化o 指令模拟运用QEMU的模拟技术o Intel VT-d和AMD

6、 IOMMU硬件辅助的全虚拟化之指令虚拟化o Guest OS内核运转在Ring 0,运用程序运转在Ring 3o 运转部分指令由硬件自动产生异常o 一些指令无条件产生异常o 根据VMCS中配置来产生异常(一些指令和事件)o VMCS控制VMX root与VMX non-root之间的切换半虚拟化o 指令的虚拟化 o 将敏感指令交换为超级调用o 将在用户态运转产生异常指令由VMM替代执行o 存储器虚拟化o SPT(影子页表)o I/O设备虚拟化o 事件通道半虚拟化之设备虚拟化Domain0直接访问硬件资源的操作系统DomainU经过前端驱动访问设备VMM为DomainU和Domain0建立事件通道虚拟技术总结o 指令虚拟化o 软件模拟QEMUo 混合运用o 硬件辅助的虚拟化o 内存虚拟化o SPTo EPT或NPTo I/O设备虚拟化o 仿真设备模型Qemu，Xeno 直接分配模型硬件协助o 虚拟设备模型o 宿主操作系统辅助虚拟化在平安方面的运用o 虚拟机满足平安的2个条件o 隔离o 隔离不平安的域o 容错性较高o 管理分级来实现o 高特权Qubes操作系统的设计o VM被分为2类o AppVMs:被用来运转用户运用程序