系統(tǒng)虛擬化技術(shù)ppt課件

1、系統(tǒng)虛擬化技術(shù)Virtual Machine is a fully protected and isolated copy of the underlying physical machines hardware -IBM 姜輝 2021-1-4提綱o 虛擬化技術(shù)簡介o 回想x86體系構(gòu)造o 虛擬化技術(shù)分類o 虛擬化在網(wǎng)絡(luò)平安領(lǐng)域的運(yùn)用虛擬化技術(shù)簡介o 誕生于60年代的IBM system/360 Model 40 VMMo 1999年Vmware展現(xiàn)了第一款基于X86體系構(gòu)造的虛擬機(jī)o 2005年Intel 和 AMD公司分別在芯片上提供了對虛擬化的支持回想x86體系構(gòu)造o X86體系構(gòu)造回

2、想o 系統(tǒng)分為四個(gè)特權(quán)級 o 用戶指令和系統(tǒng)指令o 用戶指令：計(jì)算o 系統(tǒng)指令：資源管理o 操作系統(tǒng)構(gòu)造回想o 將內(nèi)存空間分為用戶態(tài)和內(nèi)核態(tài) o 用戶態(tài)運(yùn)用特權(quán)級3，內(nèi)核態(tài)運(yùn)用特權(quán)級0回想x86體系構(gòu)造nGoldberg和Popek論證了可虛擬化的3條件 n等效性。除一些例外，虛擬機(jī)上的任何程序的執(zhí)行行為必需和它在硬件上直接運(yùn)轉(zhuǎn)時(shí)一樣n高效性。一切的無害必需在本地硬件上直接執(zhí)行而不需求VMM的干涉注：對于系統(tǒng)管理不產(chǎn)生影響，即非特權(quán)指令n資源控制。VMM擁有對一切資源的控制。任何客戶軟件都不能改動(dòng)VMM對它分配的資源份額。n高效VMM必需滿足的條件n敏感指令集是特權(quán)指令集的子集回想x86體系構(gòu)

3、造o X86體系構(gòu)造虛擬化的挑戰(zhàn)o 指令:處置器不支持虛擬化 o 部分敏感指令不屬于特權(quán)指令o I/O設(shè)備:PC機(jī)上設(shè)備多樣性o 內(nèi)存:減少多級頁表查詢的時(shí)間開銷o 回想x86體系構(gòu)造o 敏感指令的一個(gè)例子popfo 作用是在內(nèi)存棧頂彈出一個(gè)值，將堆棧指針加2，并將值存儲(chǔ)到EFLAGS存放器的低16位o 用戶態(tài)運(yùn)轉(zhuǎn)沒有任何操作 o 內(nèi)核態(tài)運(yùn)轉(zhuǎn)產(chǎn)生實(shí)踐的操作o 虛擬化技術(shù)分類o 全虛擬化技術(shù)o 操作系統(tǒng)輔助的全虛擬化 VMware Workstation o 硬件輔助的虛擬化技術(shù)xen3.0之后、VMware ESXo 純指令模擬的虛擬化技術(shù)Qemuo 半虛擬化技術(shù)o Xen ， VMware

4、ESX Server 3.5 之后支持半虛擬化 操作系統(tǒng)輔助的全虛擬化o 指令的虛擬化o 用戶指令直接運(yùn)轉(zhuǎn)o 敏感指令翻譯執(zhí)行o 特權(quán)指令異常處置o 存儲(chǔ)器的虛擬化o SPT(影子頁表)o I/O設(shè)備的虛擬化o 利用操作系統(tǒng)協(xié)助來處置外部設(shè)備操作系統(tǒng)輔助的全虛擬化之內(nèi)存虛擬化o SPT(影子頁表)o Guest OS Logic Address - Physical Addresso VMM Physical Address - Machine Address o TLB(旁路轉(zhuǎn)換緩沖)用來減少地址轉(zhuǎn)換中對內(nèi)存的訪問操作系統(tǒng)輔助的全虛擬化之I/O設(shè)備的虛擬化o 宿主操作系統(tǒng)支持的I/O設(shè)備的虛

5、擬化o VMM攔截Guest OS 的I/O操作o VMApp在主操作系統(tǒng)替代Guest OS執(zhí)行I/O操作o VMM接納到的中斷信號(hào)轉(zhuǎn)到主操作系統(tǒng)下處置o VMDriver控制VMM和主操作系統(tǒng)之間的切換硬件輔助的全虛擬化o 指令的虛擬化o 用戶指令直接在硬件上執(zhí)行o 部分特權(quán)指令直接執(zhí)行VMX non-rooto 部分特權(quán)指令轉(zhuǎn)到VMM方式下執(zhí)行VMX rooto 存儲(chǔ)器的虛擬化o 影子頁表硬件上沒有提供支持的內(nèi)存虛擬化技術(shù)o NPT(AMD硬件支持的存儲(chǔ)器虛擬化)EPTIntel硬件支持的存儲(chǔ)器虛擬化o I/O設(shè)備的虛擬化o 指令模擬運(yùn)用QEMU的模擬技術(shù)o Intel VT-d和AMD

6、 IOMMU硬件輔助的全虛擬化之指令虛擬化o Guest OS內(nèi)核運(yùn)轉(zhuǎn)在Ring 0,運(yùn)用程序運(yùn)轉(zhuǎn)在Ring 3o 運(yùn)轉(zhuǎn)部分指令由硬件自動(dòng)產(chǎn)生異常o 一些指令無條件產(chǎn)生異常o 根據(jù)VMCS中配置來產(chǎn)生異常(一些指令和事件)o VMCS控制VMX root與VMX non-root之間的切換半虛擬化o 指令的虛擬化 o 將敏感指令交換為超級調(diào)用o 將在用戶態(tài)運(yùn)轉(zhuǎn)產(chǎn)生異常指令由VMM替代執(zhí)行o 存儲(chǔ)器虛擬化o SPT(影子頁表)o I/O設(shè)備虛擬化o 事件通道半虛擬化之設(shè)備虛擬化Domain0直接訪問硬件資源的操作系統(tǒng)DomainU經(jīng)過前端驅(qū)動(dòng)訪問設(shè)備VMM為DomainU和Domain0建立事件通道虛擬技術(shù)總結(jié)o 指令虛擬化o 軟件模擬QEMUo 混合運(yùn)用o 硬件輔助的虛擬化o 內(nèi)存虛擬化o SPTo EPT或NPTo I/O設(shè)備虛擬化o 仿真設(shè)備模型Qemu，Xeno 直接分配模型硬件協(xié)助o 虛擬設(shè)備模型o 宿主操作系統(tǒng)輔助虛擬化在平安方面的運(yùn)用o 虛擬機(jī)滿足平安的2個(gè)條件o 隔離o 隔離不平安的域o 容錯(cuò)性較高o 管理分級來實(shí)現(xiàn)o 高特權(quán)Qubes操作系統(tǒng)的設(shè)計(jì)o VM被分為2類o AppVMs:被用來運(yùn)轉(zhuǎn)用戶運(yùn)用程序