VFIO简介

最新推荐文章于 2025-03-05 11:40:03 发布
最新推荐文章于 2025-03-05 11:40:03 发布
阅读量2.4w 收藏 47
点赞数 4
分类专栏: 虚拟化和云计算 Linux 文章标签: VFIO IOMMU

Many modern system now provide DMA and interrupt remapping facilities to help ensure I/O devices behave within the boundaries they’ve been allotted. The VFIO driver is an IOMMU/device agnostic framework for exposing direct device access to userspace, in a secure, IOMMU protected environment. In other words, this allows safe, non-privileged, userspace drivers.

概念

VFIO

VFIO是一个可以安全的把设备I/O、中断、DMA等暴露到用户空间(userspace),从而可以在用户空间完成设备驱动的框架。用户空间直接设备访问,虚拟机设备分配可以获得更高的IO性能。

IOMMU

实现用户空间设备驱动,最困难的在于如何将DMA以安全可控的方式暴露到用户空间:
- 提供DMA的设备通常可以写内存的任意页,因此使用户空间拥有创建DMA的能力就等同于用户空间拥有了root权限,恶意的设备可能利用此发动DMA攻击。
- I/O memory management unit(IOMMU)的引入对设备进行了限制,设备I/O地址需要经过IOMMU重映射为内存物理地址。恶意的或存在错误的设备不能读写没有被明确映射过的内存,运行在cpu上的操作系统以互斥的方式管理MMU与IOMMU,物理设备不能绕行或污染可配置的内存管理表项。


IOMMU的其他好处:
- IOMMU可以将连续的虚拟地址映射到不连续的多个物理内存片段,从而支持vectored I/O(scatter-gather list);
- 对于不能寻址全部物理地址空间的设备,通过IOMMU的重映射,从而避免了将数据从设备可访问的外围地址空间拷入拷出设备无法访址的物理地址空间的额外开销(避免了bounce buffer)。

实现

VFIO由平台无关的接口层与平台相关的实现层组成。接口层将服务抽象为IOCTL命令,规化操作流程,定义通用数据结构,与用户态交互。实现层完成承诺的服务。据此,可在用户态实现支持DMA操作的高性能驱动。在虚拟化场景中,亦可借此完全在用户态实现device passthrough。

接口

与KVM一样,用户态通过IOCTL与VFIO交互。可作为操作对象的几种文件描述符有:
- Container文件描述符
打开/dev/vfio字符设备可得
- IOMMU group文件描述符
打开/dev/vfio/N文件可得 (详见后文)
- Device文件描述符
向IOMMU group文件描述符发起相关ioctl可得
由于device本身的特性、互连(interconnect)及IOMMU的拓扑等,IOMMU提供device 隔离(ioslation)的最小粒度是group,而不是device。如一个pci device可能包括多个function,而这些function之间数据传递可以通过专用通道(backdoor),而不经过IOMMU等等,所以device并不适合做隔离的最小单元。container可以包含多个group,这些group共享页表信息。
逻辑上来说,IOMMU group是IOMMU操作的最小对象。某些IOMMU硬件支持将若干IOMMU group组成更大的单元。VFIO据此做出container的概念,可容纳多个IOMMU group。打开/dev/vfio文件即新建一个空的container。在VFIO中,container是IOMMU操作的最小对象。要使用VFIO,需先将设备与原驱动拨离,并与VFIO绑定。
用VFIO访问硬件的步骤:
- 打开设备所在IOMMU group在/dev/vfio/目录下的文件
- 使用VFIO_GROUP_GET_DEVICE_FD得到表示设备的文件描述 (参数为设备名称,一个典型的PCI设备名形如0000:03.00.01)
- 对设备进行read/write/mmap等操作
用VFIO配置IOMMU的步骤:
- 打开/dev/vfio,得到container文件描述符
- 用VFIO_SET_IOMMU绑定一种IOMMU实现层
- 打开/dev/vfio/N,得到IOMMU group文件描述符
- 用VFIO_GROUP_SET_CONTAINER将IOMMU group加入container
- 用VFIO_IOMMU_MAP_DMA将此IOMMU group的DMA地址映射至进程虚拟地址空间

逻辑

VFIO设备实现层与Linux设备模型紧密相连,当前,VFIO中仅有针对PCI的设备实现层(实现在vfio-pci模块中)。设备实现层的作用与普通设备驱动的作用类似。普通设备驱动向上穿过若干抽象层,最终以Linux里广为人知的抽象设备(网络设备,块设备等等)展现于世。VFIO设备实现层在/dev/vfio/目录下为设备所在IOMMU group生成相关文件,继而将设备暴露出来。两者起点相同,最终呈现给用户态不同的接口。欲使设备置于VFIO管辖之下,需将其与旧驱动解除绑定,由VFIO设备实现层接管。用户态能感知到的,是一个设备的消失(如eth0),及/dev/vfio/N文件的诞生(其中N为设备所在IOMMU group的序号)。由于IOMMU group内的设备相互影响,只有组内全部设备被VFIO管理时,方能经VFIO配置此IOMMU group。
把设备归于IOMMU group的策略由平台决定。在PowerNV平台,一个IOMMU group与一个PE对应。PowerPC平台不支持将多个IOMMU group作为更大的IOMMU操作单元,故而container只是IOMMU group的简单包装而已。对container进行的IOMMU操作最终会被路由至底层的IOMMU实现层,这实际上将用户态与内核里的IOMMU驱动接连了起来。

原文链接

https://www.kernel.org/doc/Documentation/vfio.txt
https://www.ibm.com/developerworks/community/blogs/5144904d-5d75-45ed-9d2b-cf1754ee936a/entry/20160605?lang=en
https://www.ibm.com/developerworks/community/blogs/5144904d-5d75-45ed-9d2b-cf1754ee936a/entry/vfio?lang=en

vfio概述(vfio/iommu/device passthrough)
yiyeguzhou100的专栏
03-04 8857
vfio
I/O 虚拟化技术 — VFIO
烟云的计算
06-24 2240
VFIO(Virtual Function I/O)就是 UIO 和 IOMMU 的升级版,兼顾两者的优点,实现了:2012 年,随着 Linux Kernel 引入了 VFIO 模块,以及 Device Passthrough 技术的成熟,GPU 虚拟化之路正式开启。次年,VFIO 模块的社区维护者在 KVM Forum 上正式发布了 VGA(图像显示卡)的 Assignment(https://www.linux-kvm.org/images/e/ed/Kvm-forum-2013-VFIO-VGA.p
IOMMU配置过程
inquisiter
03-05 935
函数位于。
VFIO
zheng的博客
11-22 1532
FROM: https://lwn.net/Articles/474088/ As a general rule, most developers feel that device drivers belong in the kernel. Kernel-space drivers are (hopefully) widely reviewed, implement standard de
VFIO概述
OnePiece
01-18 7634
文章目录1.IOMMU1.1 IOMMU功能简介1.2 IOMMU作用1.3 IOMMU工作原理1.4 Source Identifier2.VFIO2.1 概念介绍2.2 使用示例3.设备透传分析3.1 虚机地址映射3.2 设备透传实现 1.IOMMU 1.1 IOMMU功能简介 IOMMU主要功能包括DMA Remapping和Interrupt Remapping,这里主要讲解DMA Rem...
vfio
热门推荐
cybertan的专栏
11-07 1万+
VFIO is a new method of doing PCI device assignment ("PCI passthrough"aka "") available in newish kernels (3.6?; it's in Fedora 18 atany rate) and via the "vfio-pci" device in qemu-1.4+. In contrast t
vfio-uld-开源
05-01
- README:通常会包含项目简介、安装指南、使用说明等重要信息。 - tools:可能包含了辅助工具或脚本,用于编译、测试或调试。 - Makefile:是构建项目的重要文件,定义了如何编译和链接源代码。 通过这个项目,...
基于DPDK的用户态协议栈(1)DPKD简介及环境配置
jinbaotong的博客
01-06 832
DPDK(Data Plane Development Kit)是一个由Intel主导开发的,主要用于高性能数据包处理。绕过了Linux网络协议栈,直接在用户空间中对数据包处理过程,以减少数据包处理的延迟和提高吞吐量。Linux内核将DPDK应用程序看作是一个普通的用户态进程,包括它的编译、连接和加载方式和普通程序没有什么两样。DPDK程序启动后只能有一个主线程,然后创建一些子线程并绑定到指定CPU核心上运行。
Windows下的GPU虚拟化 - GPU-PV实现原理简介(1)
tianxilink的博客
01-13 2320
GPU PV是一个非常复杂指令流系统, 有兴趣的同学可以IDA中查看dxgkrnl.sys是如何处理其他图形指令的本文也只是一个引子简单介绍了一下GPU-PV实现原理。后续如果有时间还会写一系列文章来介绍如何调试GPU PV,更加全面分析GPU PV的原理。
CPU虚拟化技术及QEMU/KVM虚拟机安装实践
tugouxp的专栏
11-21 6398
计算机可虚拟化的原因是因为计算机是一个离散的系统,由于资源有限,计算机只能描述有限数量的事务,只能计算到某个固定数,然后就会用尽计算机上的所有东西。在离散系统上,让另外一个事务去虚拟化一个已经存在的事物,只不过是复制创造一个和已存在事务完全一样的事件序列。现代物理告诉我们,我们的宇宙是离散和有限的,人们首先发现了自然数,接着是0,然后又发现了自然数的对立面负数,进而宣告整数的发现。后来人们觉得整数还是不够用,就发明了比例,也就是分数,所有之前发现的数在一起构成有理数集合。
vfio-pci-passthrough
01-05
1. What is VFIO/IOMMU? Why want them? 2. VFIO – qemu part code 3. VFIO – kernel part code 4. VFIO usage: how to passthrough a pci device
qemu-igdvfio:扩展 VFIO 框架以支持 Intel 集成图形设备
07-14
项目已搬迁 该项目已搬迁。 这里的信息可能不正确,代码没有维护。 新项目可以在这里找到: qemu-igdvfio 扩展 VFIO 框架以支持英特尔集成显卡设备 本项目中的代码是专门为以下平台编写的: 英特尔 DQ67OW 主机桥:8086:0100 图形处理器:8086:0102 LPC:8086:1c4e 然而,它应该适用于任何 Core i IGD 平台,前提是 SeaBIOS hack(如下所述)正确完成。 核心 请注意!! 从内核 3.15 开始,内核命令行选项 igfx_off 会导致启动问题。 请使用最新的 3.14 用法 示例 qemu 命令行: qemu-system-x86_64 -cpu host -M q35 -L biosdir -bios biosdir/bios.bin -acpitable file=biosdir/q35-acpi-ds
DPDK的VFIO
weixin_60043341的博客
08-31 1878
VFIO是一种设备直通方案,可以在用户态直接通过VFIO驱动访问硬件。相比UIO,VFIOIOMMU的保护,非特权用户也可以直接使用,还提供了更多的中断支持。可以使用MMIO寄存器,通过PCI的配置空间来访问。主要由3部分组成,group,device,iommu(对应container)。vfio一般用于绑定VF,PF拥有完全的配置资源,可用于配置VF。图中的PF和所有VF共享PCIe端口的带宽.VF不支持IO空间,需要映射到系统内存。...
crosvm Hypervisor:VFIO
stray2b的博客
04-21 1572
前言 背景。虚拟化环境中,为提高虚拟机性能,需要将主机设备直通给虚拟机(vm),即:设备透传技术(也叫设备直通技术),该技术需要主机支持Intel(VT-d)或AMD (AMD-Vi)或ARM(SMMU) 硬件虚拟化加速技术。 VFIO.简称虚拟功能I/O,VFIO是一套完整的用户态驱动(userspace driver)方案,它可以安全地把设备I/O、中断、DMA等能力呈现给用户空间。 目的。VFIO驱动程序框架旨在替换KVM PCI特定设备分配代码,并提供比UIO更安全、功能更强大的用户空间驱动程序环境
VFIO代码分析(1)VFIO基本框架
flyingnosky的专栏
03-21 4253
·VFIO是一个用户态驱动框架,它利用硬件层面的IO虚拟化技术,将设备直通给虚拟机上。VFIO将物理设备上的资源(设备的配置空间,BAR空间,中断等)分解,并提供接口导出到用户空间,QEMU等用户层软件可以利用这些接口来获取硬件的资源。 这里仅介绍PCI设备对应的VFIO框架图。 其中: (1)VFIO API接口用于向应用层导出接口,QEMU等用户程序可以通过相应的ioctl与VFIO进行交互; (2)VFIO IOMMU接口调用IOMMU驱动接口,作DMA重映...
VFIO的使用及原理
千墨 的CSDN《断剑情雪》
11-02 2880
vfio设备透传主要用于将设备直通给虚拟机以提高性能,本篇以一张网卡为例讲述VFIO设备的配置使用及底层原理。其中涉及的技术背景主要有linux+qemu+kvm+vfio
VFIO软件依赖——VFIO协议
Take Easy,Work Hard!
02-13 1852
文章主要介绍VFIO协议产生的背景和具体内容,并做简单实验感性认识
x86 IOMMU VFIO
最新发布
03-14
<think>好的,我现在需要帮用户了解x86架构下IOMMUVFIO的实现原理和应用。首先,我得回忆一下IOMMUVFIO的基本概念。 IOMMU全称是Input-Output Memory Management Unit,主要功能是将设备访问的虚拟地址转换成物理地址,同时提供DMA重映射和隔离。这在虚拟化环境中非常重要,因为它能防止设备直接访问宿主机的内存,增强安全性。x86架构中的IOMMU实现是Intel的VT-d和AMD的AMD-Vi,两者功能类似,但具体实现可能有所不同。 然后是VFIO,全称Virtual Function I/O。VFIO允许用户空间程序直接访问设备,同时利用IOMMU来保证隔离。这样用户态驱动就可以安全地操作硬件,而无需内核特权。这在虚拟化中用于将物理设备直接分配给虚拟机,提高性能。 接下来需要整理实现原理。首先,IOMMU在硬件层面提供DMA重映射,VFIO则在内核中利用这一功能。VFIO驱动程序将设备分组(group),每个组可以分配给不同的容器(container),容器对应虚拟机。这样,每个虚拟机只能访问分配给它的设备,确保隔离。 应用方面,VFIO常用于PCI设备的直通,比如GPU或网卡直通给虚拟机,提升性能。比如KVM虚拟化中,通过VFIO将GPU直接分配给虚拟机,支持图形密集型应用。 还需要考虑用户可能关心的问题,比如如何配置VFIO、安全性如何保证、性能如何优化。引用中的资料提到VFIO支持多种架构,用户态驱动非特权运行,设备分配灵活,这些都可以在回答中引用。 可能用户还想知道具体的操作步骤,比如如何绑定设备到VFIO驱动,如何配置虚拟机使用直通设备。不过用户的问题主要是原理和应用,所以需要保持回答在理论层面,但可以简要提及应用实例。 需要检查是否有遗漏点,比如IOMMU的工作流程,VFIO与设备、group、container的关系,以及用户态驱动的好处。同时确保引用正确,比如引用[3]提到VFIO支持多种IOMMU硬件,引用[4]关于设备分配的灵活性。 最后,生成相关问题时要围绕IOMMUVFIO,例如与其他技术的对比,配置步骤,性能优化,安全性等。</think>### x86架构下IOMMUVFIO的实现原理及应用 #### 一、IOMMU的核心功能与实现 IOMMU(Input-Output Memory Management Unit)是x86架构中用于管理设备直接内存访问(DMA)的关键硬件模块,主要功能包括: 1. **地址转换**:将设备的虚拟地址(IOVA)转换为物理地址(PA),类似CPU的MMU功能。 2. **隔离保护**:为不同虚拟机或用户空间进程分配独立的地址空间,防止设备越界访问[^4]。 3. **DMA重映射**:通过IOMMU页表控制设备对内存的访问权限,例如Intel VT-d和AMD-Vi的实现[^3]。 #### 二、VFIO的框架与工作原理 VFIO(Virtual Function I/O)是基于IOMMU的用户态设备驱动框架,其核心逻辑关系为: - **设备(Device)**:物理或虚拟的I/O设备。 - **组(Group)**:IOMMU隔离的最小单位,组内设备共享同一隔离域[^2]。 - **容器(Container)**:资源管理单元,绑定到虚拟机或进程,包含多个组。 VFIO通过以下机制实现安全访问: 1. **用户态驱动**:允许非特权用户空间程序直接操作设备寄存器。 2. **IOMMU绑定**:将设备组与IOMMU域关联,确保DMA仅在授权内存范围内进行。 3. **中断映射**:将设备中断路由到指定虚拟机或进程。 #### 三、典型应用场景 1. **设备直通(Passthrough)** 将物理设备(如GPU、网卡)直接分配给虚拟机,绕过Hypervisor层,性能接近原生。例如使用KVM时,通过VFIO绑定NVIDIA GPU: ```bash # 将设备绑定到vfio-pci驱动 echo "0000:01:00.0" > /sys/bus/pci/drivers/vfio-pci/bind ``` 2. **用户态驱动开发** 开发高性能网络或存储驱动(如DPDK)时,通过VFIO直接控制设备,避免内核态开销。 3. **安全隔离** 在云环境中,为不同租户分配独立设备组,防止通过DMA攻击宿主内存[^1]。 #### 四、配置示例(x86平台) ```bash # 1. 加载VFIO内核模块 modprobe vfio-pci # 2. 绑定网卡到VFIO(以PCI设备0000:02:00.0为例) echo 8086 10fb > /sys/bus/pci/drivers/vfio-pci/new_id echo 0000:02:00.0 > /sys/bus/pci/devices/0000:02:00.0/driver/unbind echo 0000:02:00.0 > /sys/bus/pci/drivers/vfio-pci/bind # 3. 在QEMU中透传设备 qemu-system-x86_64 -device vfio-pci,host=0000:02:00.0 ``` #### 五、性能与安全权衡 - **优势**:DMA延迟降低30%-50%,吞吐量接近硬件极限。 - **风险**:需严格配置IOMMU组,避免组内设备被恶意利用发起DMA攻击[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值