UEFI 启动原理及qemu 虚拟化中使用

UEFI 启动原理及qemu 虚拟化中使用

1. 什么是BIOS？
2. 什么是 UEFI？

什么是BIOS？

计算机启动时会加载 BIOS，以初始化和测试硬件功能。它使用 POST 或 Power On Self Test 来确保硬件配置有效且工作正常，然后寻找存储引导设备的 MBR（Master Boot Records），并使用它来启动引导加载程序，然后是内核，然后操作系统。

所有这些在 BIOS 上的启动过程都称为 Legacy Boot，下面简单介绍一下 BIOS 上的启动过程。

BIOS > MBR > Bootloader > Kernel > Operating System

BIOS 被认为是旧的和过时的固件，尽管总会有人使用它。 BIOS 对于当今的计算机和现代 PC 而言功能有限，它必须在只有 1 MB 空间的 16 位处理器上运行。此外，它会同时初始化多个硬件，这使得启动过程变慢。

BIOS 的固件替代品是 UEFI，它在现代主板上可用。

什么是 UEFI？

UEFI 或统一可扩展固件接口被认为是 BIOS 的固件替代品。它具有更多受 BIOS 限制的特性和功能，并且在当今的主板和现代 PC 上可用。

尽管它被认为是 BIOS 的替代品，但 UEFI 的工作方式不同并且具有与 BIOS 相反的概念。 UEFI 将所有关于初始化和启动的信息存储在.efi 文件中，该文件存储在ESP（EFI System Partition）分区中。 ESP还会存储计算机上安装的操作系统的引导加载程序。

UEFI 使用 GPT 来存储有关分区的所有信息，而不是 MBR。并在下面简单说明操作系统如何在 UEFI 上启动。

UEFI > GPT/ESP > Kernel > Operating System

以下是传统 BIOS 所不具备的一些值得注意的 UEFI 功能：

• 启动更快

• 处理超过 2TB 或驱动器（这对当今环境来说很重要）

• 支持4个以上带GUID分区表的分区

• 支持安全启动

• 支持 64 位现代固件设备

• 具有简单的图形用户界面

KVM 虚拟化固件

默认情况下，KVM 虚拟化使用 BIOS 作为来宾虚拟机的默认固件。要在 KVM 上启用 UEFI 支持，您必须在主机系统上安装 OVMF（开放虚拟机固件）包。

OVMF 项目是 qemu 虚拟机的 intels tianocore 固件的一部分。

对于基于 RHEL 的系统，如 CentOS/Fedora，您需要使用 DNF/Yum 命令安装包 edk2-ovmf 包。

使用 virt-install 创建UEFI启动的虚拟机

sudo virt-install --name=Artix \
--os-type=Linux \
--os-variant=archlinux \
--vcpu=2 \
--ram=1024 \
--disk path=/var/lib/libvirt/images/Artix.img,size=15 \
--graphics spice \
--cdrom=/home/user/Desktop/artix-base-openrc-20210726-x86_64.iso \
--network network=default \
--boot uefi  (主要是添加此参数)

虚拟机 XML 中 loader 分析

x86

  <os>
    <type arch='x86_64' machine='pc-i440fx-7.2'>hvm</type>
    <loader readonly='yes' type='pflash'>/usr/share/OVMF/OVMF_CODE.fd</loader>
    <nvram>/var/lib/libvirt/qemu/nvram/uefi_test_VARS.fd</nvram>
    <boot dev='hd'/>
  </os>

arm

  <os>
    <type arch='aarch64' machine='virt-7.2'>hvm</type>
    <loader readonly='yes' type='pflash'>/usr/share/AAVMF/AAVMF_CODE.fd</loader>
    <nvram>/var/lib/libvirt/qemu/nvram/j_test_VARS.fd</nvram>
    <boot dev='hd'/>
  </os>

x86

# ll /usr/share/OVMF/OVMF_CODE.fd
lrwxrwxrwx. 1 root root 25 Apr 28  2023 /usr/share/OVMF/OVMF_CODE.fd -> ../edk2/ovmf/OVMF_CODE.fd

arm

# ll /usr/share/AAVMF/AAVMF_CODE.fd
lrwxrwxrwx. 1 root root 42 Jun 12  2023 /usr/share/AAVMF/AAVMF_CODE.fd -> ../edk2/aarch64/QEMU_EFI-silent-pflash.raw

• OVMF_VARS.fd : 这是持久化的UEFI变量的firmware卷，即firmware存储所有配置(引导条目和引导顺序、安全引导密钥等)。通常这个文件用作空变量存储的模板，每个VM都有自己的私有副本。例如 Libvirt虚拟机管理器 将文件存储在 /var/lib/libvirt/qemu/nvram 中。
• OVMF_CODE.fd : 带有代码的firmware卷。将它和 VARS 分开可以:
  • 确保轻松更新固件
  • 允许将只读代码映射到guest操作系统

UEFI 虚拟机启动流程分析

在引导安装过程中由于使用 UEFI 方式，所以需要去寻找固件 OVMF_VARS.fd 和 OVMF_CODE.fd，会先遍历 /usr/share/qemu/firmware/ 目录，如果里面有 50-edk2-ovmf-x64-nosb.json 或 60-edk2-aarch64.json（安装包可能会提供 edk2-ovmf/edk2-aarch64），会读取其中文件，内容主要包含固件路径，如果没有这两个 json 文件，就使用 qemu.conf 默认路径，如果有这两个 json 文件，就使用 json 文件中路径，最终路径会写入虚拟机 XML。

！！！这里会存在一个问题！！！

问题描述：

A ARM 环境使用自动部署脚本创建虚拟机不能启动，BARM 环境可以正常启动

# virsh start az2-ct2
error: Failed to start domain 'az2-ct2'
error: operation failed: unable to find any master var store for loader: /usr/share/edk2/aarch64/QEMU_EFI-silent-pflash.raw

问题分析：

A ARM 环境中不存在 json（edk2-aarch64-202002-9.ctl3.noarch 不提供），但自动化部署的虚拟机 XML 中固定使用 /usr/share/edk2/aarch64/QEMU_EFI-silent-pflash.raw 与 qemu 默认路径 /usr/share/AAVMF/AAVMF_CODE.fd 不一致，会导致启动失败；

B ARM 环境中存在 json（edk2-aarch64-20200602gitca407c7246bf-3.el8.noarch 提供），json 中指定路径为/usr/share/edk2/aarch64/QEMU_EFI-silent-pflash.raw，启动时会优先使用 json 中的路径，所以没有问题

解决方式：

方式一，修改虚拟机 XML 中 loader 路径，/usr/share/AAVMF/AAVMF_CODE.fd

方式二，手动创建 /usr/share/qemu/firmware/xxx.json 写入默认路径，/usr/share/edk2/aarch64/QEMU_EFI-silent-pflash.raw

/etc/libvirt/qemu.conf 默认路径

#nvram = [
#   "/usr/share/OVMF/OVMF_CODE.fd:/usr/share/OVMF/OVMF_VARS.fd",
#   "/usr/share/OVMF/OVMF_CODE.secboot.fd:/usr/share/OVMF/OVMF_VARS.fd",
#   "/usr/share/AAVMF/AAVMF_CODE.fd:/usr/share/AAVMF/AAVMF_VARS.fd",
#   "/usr/share/AAVMF/AAVMF32_CODE.fd:/usr/share/AAVMF/AAVMF32_VARS.fd"
#]

/usr/share/qemu/firmware/60-edk2-aarch64.json

{
    "description": "UEFI firmware for ARM64 virtual machines",
    "interface-types": [
        "uefi"
    ],
    "mapping": {
        "device": "flash",
        "executable": {
            "filename": "/usr/share/edk2/aarch64/QEMU_EFI-silent-pflash.raw",
            "format": "raw"
        },
        "nvram-template": {
            "filename": "/usr/share/edk2/aarch64/vars-template-pflash.raw",
            "format": "raw"
        }
    },
    "targets": [
        {
            "architecture": "aarch64",
            "machines": [
                "virt-*"
            ]
        }
    ],
    "features": [

    ],
    "tags": [

    ]
}

/usr/share/qemu/firmware/50-edk2-ovmf-x64-nosb.json

{
    "description": "OVMF without SB+SMM, empty varstore",
    "interface-types": [
        "uefi"
    ],
    "mapping": {
        "device": "flash",
        "executable": {
            "filename": "/usr/share/edk2/ovmf/OVMF_CODE.fd",
            "format": "raw"
        },
        "nvram-template": {
            "filename": "/usr/share/edk2/ovmf/OVMF_VARS.fd",
            "format": "raw"
        }
    },
    "targets": [
        {
            "architecture": "x86_64",
            "machines": [
                "pc-i440fx-*",
                "pc-q35-*"
            ]
        }
    ],
    "features": [
        "acpi-s3",
        "amd-sev",
        "amd-sev-es",
        "verbose-dynamic"
    ],
    "tags": [

    ]
}

Q&A

Q：qemu编译edk2组件时会编译其它架构的固件，我只想编译aarch64架构怎么办？
A：修改/path/to/qemu/Makefile.edk2 中的flashdevs变量，注释掉其它架构

Q：edk2中常出现的OVMF和AAVMF，以及edk2，它们之间什么关系？
A：虚拟化应用组件最开始使用seabios引导虚机内核，Indel为使UEFI可以引导虚机，发起EDK/EDK2（Intel’s EFI Development Kit II）项目。OVMF（Open Virtual Machine Firmware）作为edk2的子项目，用于在X86平台使用UEFI引导虚机，AAVMF用于在aarch64平台应用UEFI固件引导虚机。

参考：

[在 KVM 虚拟化中启用 UEFI 支持 (linux-console.net)](https://cn.linux-console.net/?p=3254#:~:text=要使用命令行 virt-install 创建带有 UEFI 固件的虚拟机，请在命令选项中添加选项 --boot uefi,。 下面是使用 virt-install 命令创建带有 UEFI 固件的新虚拟机 Artix 的示例。)

编译QEMU+OVMF(ARM架构) — Cloud Atlas beta 文档 (cloud-atlas.readthedocs.io)