对IOMMU 和 vIOMMU 的理解

最新推荐文章于 2024-06-16 12:00:00 发布
最新推荐文章于 2024-06-16 12:00:00 发布
阅读量2.2k 收藏 6
点赞数
文章标签: 内存管理 运维
原文链接:http://blog.51cto.com/11527071/2135933
版权

  1. MMU(Memory Management Unit, 内存管理单元): 将虚拟地址转化为物理地址,cpu与主存之间地址转换。

  2. DMA(Direct Memory Access,直接内存存取): 是一种快速传送数据的机制。DMA 传输将数据从一个地址空间复制到另外一个地址空间。包括以下几
    当CPU 初始化这个传输动作,传输动作本身是由 DMA 控制器来实行和完成。最初的DMA地址是物理地址,后来dmar就出现了。 dmar意为DMA remapping,是Intel为支持虚拟机而设计的I/O虚拟化技术,I/O设备访问的DMA地址不再是物理内存地址,而要通过DMA remapping硬件进行转译,DMA remapping硬件会把DMA地址翻译成物理内存地址,并检查访问权限等等。负责DMA remapping操作的硬件称为IOMMU

  3. IOMMU设备访问的虚拟地址转化为物理地址,连接DMA-capable 总线和主存。为了防止设备错误地访问内存,有些IOMMU还提供了访问内存保护机制(检查访问权限)。IOMMU不仅将DMA地址虚拟化,还起到隔离,保护等作用。

  4. vIOMMU: Host 的 iommu 可以保证 host 的关键区域内存不被恶意访问。3种主要的使用场景:
    (1) 对PCI assignment,设备分配到 guest 以后,guest 的内存区域是不受 host iommu 的保护的。如果设备对 guest 的某些地址进行恶意写,可能会导致guest crash(第1和第2种风险)。所以引入vIOMMU,它对guest的作用,相当于IOMMU对host的作用。它会导致guest的performance下降。
    (2) For nested virtualization, an IOMMU is required for device assignment to work, just like assign device from host to L1 guest. (第1和第2种风险)Here, to assign a L1 guest device to a L2 guest, we also need a vIOMMU inside L1 guest to build up the page mappings required for device assignment work. 所以如果L1的guest想要做pci assign给L2 guest, L1 的guest需要enable vIOMMU,即添加一个iommu的设备(DMA remapping),并设置中断重定向(可选)。
    (3) guest 使用DPDK, DPDK是用户空间的driver,host iommu不能防止它对host的内存空间恶意写(下面的第3种风险);
      对于完全emulated的设备如网卡,rtl8139, e1000, 可以跟vIOMMU兼容。不需要做别的设置。只需添加一个iommu的设备(DMA remapping),并设置中断重定向(可选);
      对于pci assgin的设备,还必须打开caching_mode=on;
      对于virtio设备,因为virtio驱动默认绕开了DMA remapping,所以需要设置<driver iommu='on' ats='on'>在virtio设备中,并且在iommu设备中添加iotlb='on';

Q: 按照上面的解释,默认VT-d在物理机上是disable的状态,也就是没有启用IOMMU,对吗?这样会导致物理设备直接访问的是真实的物理地址,没有翻译的过程,没有检查和隔离的过程,那这样是否会对物理机带来安全隐患?
A: 是的。在虚拟化的环境中,情况更加恶劣,因为如果没有IOMMU, 设备可以看到并使用所有的内存,导致可能一个VM 可以访问别的VM以及host的地址空间。

Q: 设备如何发起一个DMA过程?
A: OS 中的设备驱动创建一个DMA descriptors 包含以下信息: 要操作的内存地址,区域长度以及这个设备的状态信息。如果没有IOMMU,这个地址是实际的物理内存地址。设备驱动创建完这个descriptor后将它交给设备,设备将使用这个descriptor来对它所指的内存区域进行异步操作(读/写)。当读/写操作完成后,设备对设备驱动发出中断。

Q: DMA 是用实际的物理地址有哪些种类的风险?
1) 设备驱动创建一个错误的DMA descriptor 指向某个它不该访问的区域(bad-address);
2) DMA descriptor创建以后,OS 对它所指向的区域做了修改,导致设备读写到它不该访问的内容(invalid-use);
3) 设备自己使用了一个非法地址(bad-device);

Q: 在kernel cmdline 中加的iommu=pt intel_iommu=on 中, iommu=pt是什么意思?有什么作用?
A: In addition it is recommended to use iommu=pt option which improves IO performance for devices in the host. To get the best performance, add iommu=pt (pass-through) to the grub file when using SR-IOV. When in pass-through mode, the adapter does not need to use DMA translation to the memory, and this improves the performance. iommu=pt is needed mainly with hypervisor performance is needed. 不太理解。。。这个是iommupt用在dpdk上的影响的讨论 http://mails.dpdk.org/archives/dev/2014-October/007180.html

以上内容由一些参考总结而来加上了自己的一些理解,不一定正确。
https://www.ece.rice.edu/~willmann/pubs/cdna_usenix.pdf
https://nanxiao.me/iommu-introduction/
http://linuxperf.com/?p=67
https://wiki.qemu.org/Features/VT-d
https://www.kernel.org/doc/Documentation/Intel-IOMMU.txt

转载于:https://blog.51cto.com/11527071/2135933

weixin_33752045
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
QEMU开启vIOMMU的VFIO设备直通下的地址翻译流程
qq_42138566的博客
03-12 212
此处,iova是GIOVA,vaddr是HVA,这次的ioctl(container->fd, VFIO_IOMMU_MAP_DMA, &map)最终完成了在Host IOMMU页表中的GIOVA到HPA的PFN的映射。IOMMU映射[786432,size=2146697216]IOVA->[0x7ffecfec0000]HVA。IOMMU映射[786432,size=131072]IOVA->[0x7fffd8400000]HVA。4G GPA地址区间和HVA的IOMMU映射关系已全部建立。
RISC-V IOMMU Specification 译文
02-29
RISC-V IOMMU Specification 译文
从virtio看iommu和DMA的关系
lingshengxiyou的博客
12-30 2297
这篇文章主要从virtio和ADMA的角度讲述一下iommu中的一些逻辑。做虚拟化或者网络的人对virtio,iommu或者DMA这些概念都不陌生,但是其中的关联却又有很多人不是很明白,比如在裸金属或物理机上支持虚拟机或安全容器需要开启iommu,那虚拟机前端不支持VIRTIO_F_ACCESS_PLATFORM是否有影响呢?这里就是把iommuviommu搞混了。又比如物理机开启或关闭iommu对应virtio设备的处理逻辑有什么影响?这篇文章主要就是把这些问题讨论清楚。问题1:如果使用设备直通方式在物
Linux系统设置IOMMU
最新发布
qq_27815483的博客
06-16 825
Linux系统下如何开启IOMMU,请看本文,本文经过实际环境验证
VFIO IOMMU简介
flyingnosky的专栏
03-29 1513
1 没有vIOMMU时 在没有使能vIOMMU时,在Guest中设备使用的是GPA(Guest物理地址),通过VFIO在物理IOMMU中建立起GPA到HPA(Host物理地址)的映射,当设备访问GPA时IOMMU将GPA转换成对HPA的访问。 更详细的例子可以看如下所示: 这里更详细描述步骤: (1)在Guest中vCPU进行IO请求; (2)分配DMA buffer,建立DMA映射(GPA->HPA); (3)设备使用GPA进行虚拟...
virtio iommu
flyaaa123的博客
06-08 2263
virtio iommu
vIOMMU两级中断
yq_zeng95的博客
04-18 280
vIOMMU的两级中断
了解 RISC-V IOMMU
jingyu_1的博客
04-09 1497
软件。
iommu-zero-day-labs/riscv-iommu
12-14
了解RISC-V指令集和体系结构对于理解IOMMU在该平台上的实现至关重要。 2. **IOMMU原理**:IOMMU通过硬件辅助的地址转换,将设备使用的物理地址映射到内存的实际地址。它还负责管理和执行设备的内存访问权限,如读写...
pve7.0 5.11.22-4 iommu分组 pve内核编译
07-30
标题 "pve7.0 5.11.22-4 iommu分组 pve内核编译" 指的是在Proxmox VE(PVE)7.0版本中,对5.11.22-4内核进行优化,特别涉及了IOMMU(输入/输出内存管理单元)的分组配置。这一过程是为了提高虚拟化环境的安全性和...
Linux iommu和vfio概念空间解构
01-20
近和一些硬件和相关驱动设计的同学讨论SMMU的设计需求,双方讨论的空间不太一致,我写一个文档澄清一下这些概念。  (不熟悉SMMU的同学可以跳过这一段,后面我会单独解释概念的)我们首先得厘清两个概念,当我们说...
AMD 的iommu 介绍
09-03
AMD 的iommu 介绍
[转]关于Linux grub配置iommu=pt intel_iommu=on
04-25 1万+
原文出处: IOMMU(二)-从配置说起 - 知乎 做过DPDK/SPDK开发或者用kvm做过pci passthrough的一定知道以下的配置: BIOS中enable vt-d,内核参数配置intel_iommu=on iommu=pt 好多人对这些配置很疑惑,不知道这些配置的是做什么的,配或者不配对性能有什么影响。 包括我自己曾经也一知半解,今天整理一下,争取让大家柳暗花明。 enable vt-d 意思很明确,BIOS收集IOMMU硬件相关的信息以及它和PCI设备连接关系的信息,通过..
《深入浅出DPDK》——学习笔记——X86平台上的I/O虚拟化
qq_41976997的博客
11-17 2064
X86平台上的I/O虚拟化 什么是虚拟化? 抽象来说,虚拟化是资源的逻辑表示,它不受物理设备的约束。 具体来说,虚拟化技术的实现形式是在系统中加入一个虚拟化层,虚拟化层将下层的资源抽象成另一种形式资源,提供给上层使用。通过空间上的分割,时间上的分时以及模拟,虚拟化可以将一份资源抽象成多份。反过来说,虚拟化也可以将多份资源抽象成一份。总的来说,虚拟化抽象了硬件层,允许多种不同的负载能共享一组资源。 虚拟化的好处是什么?各大企业和商业机构从虚拟化中可以得到非常大的效率提升,因为虚拟化可以显著提高服务器的
iommu相关
weixin_51627652的博客
08-15 1119
IOMMU开启的情况下,I/O设备访问内存时需要进行地址转换,这可能会影响I/O设备的性能,从而影响整个系统的性能。如果系统的I/O负载较轻,建议关闭IOMMU以提高系统性能。由于IOMMU通过把I/O设备的访问映射到虚拟内存上,能够有效地减少不必要的内存访问,提高了I/O设备的性能。通过IOMMU的地址映射机制,可以避免I/O设备访问未授权的内存地址,保障了系统的稳定性与安全性。如果系统中有需要保密的数据,或者需要防止恶意软件/恶意用户直接访问物理内存的情况,建议开启IOMMU,以增强系统的安全性。
iommu=pt内核参数解析
qq_42138566的博客
03-04 1217
PCI总线的地址位宽是32位,所以可能存在设备无法访问到4GB以上内存地址空间的问题。但是,PCIe 3.0的总线地址位宽是64位。这意味着它可以支持高达8TB(2^64字节)的寻址空间。完全可以覆盖目前的内存地址空间范围。在linux内核中,iommu=pt是一个默认项,不添加改参数也是开启的pt模式。即device访问的DMA地址就是内存物理地址。没有iommu二级翻译转换(IOVA->PA),所以性能比开启iommu二级翻译转换高。
linux开启IOMMU方法
热门推荐
rayylee
06-05 3万+
1. 修改/etc/default/grub, 调整GRUB_CMDLINE_LINUX内容 GRUB_CMDLINE_LINUX="crashkernel=auto rhgb quiet amd_iommu=on iommu=pt" (amd_iommu/intel_iommu/AuthenticAMD) 2. 重新创建引导 如果服务器时UEFI启动 grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg 普通模式启动 grub2-mkco
用户态虚拟化IO通道实现概览及实践(上)
weixin_37097605的博客
06-01 1046
自虚拟化技术诞生起,提升虚拟化场景中IO设备性能和驱动的兼容性、可扩展性一直是备受关注和追求的目标。随着半虚拟化技术的出现,virtio设备及驱动也很快流行并逐步变成了虚拟化应用中的主要IO通道形态。例如,virtio现已支持实现的设备涵盖了网络设备(virtio-net)、块设备(virtio-blk)、串口设备在(virtio-console)等等。其后,通过DPDK...
OVS DPDK vhost-user详解(十一)
bob的博客
06-21 1701
这篇文章是对vhost-user / virtio-pmd架构的深入技术研究,该架构针对基于DPDK的高性能用户空间网络,面向所有有兴趣了解这些基本细节的架构师和开发人员。 介绍 本文将在读者熟悉vhost-net架构的基础上展示使用vhost-net协议将网络处理从qemu移出并移入内核驱动程序的好处。在本文中,我们将更进一步,展示如何在客户机和主机上使用DPDK(数据平面开发包)将数据平面从内核中移出,并移入用户空间来提高网络性能使用。为实现此目标,我们还将详细研究vhost协议的新实现:vhost-u
sr-iov和iommu如何打开
07-12
要打开 SR-IOV(Single Root I/O Virtualization)和 IOMMU(Input-Output Memory Management Unit),你需要在计算机的 BIOS 或 UEFI 设置中进行相应的配置。以下是一般步骤: 1. 开机并进入计算机的 BIOS 或 UEFI 设置。通常在开机时按下特定的按键(如 F2、Delete、F10 等)即可进入设置界面。具体按键可能因计算机品牌和型号而异。 2. 在 BIOS 或 UEFI 设置中,找到与虚拟化相关的选项。这通常位于“Advanced”、“Advanced Features”、“Advanced Settings”或类似的选项中。 3. 找到 SR-IOV 和 IOMMU 相关的选项,并将其设置为启用(Enable)。这些选项的具体名称可能因计算机的硬件和 BIOS/UEFI 版本而异。 4. 保存设置并退出 BIOS 或 UEFI。通常可以使用快捷键(如 F10)保存设置并退出。 请注意,SR-IOV 和 IOMMU 的可用性取决于计算机的硬件支持和 BIOS/UEFI 版本。因此,如果你的计算机不支持这些特性,你可能无法在设置中找到相关选项。在启用这些特性之前,还请确保你了解它们对系统的影响,并在必要时咨询计算机制造商的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值