Stage-2
从系统安全的角度来看,hypervisor的主要功能是内存管理和中断拦截,通过这两种方式,hypervisor可以很好地监控kernel的运行。先看看怎么把一个的简单的内存管理模块加入到hypervisor中。
通常情况下,PL0和PL1 在MMU打开的情况下,只会进行一层翻译Stage-1:VA->PA。但是在hypervisor可以令PL0和PL1开启第二层MMU的翻译Stage-2(EPT on x86),这时候地址翻译就先通过Stage-1:VA->IPA, 再由Stage-2:IPA->PA. Hypervisor可以通过设置HCR寄存器来控制Stage-2的开启或者关闭,Stage-2的这层翻译对于kernel或者user space来说是透明,它们认为IPA就是真正的“物理地址”,全然不知道还有第二层翻译的存在。我对Stage-2 translation的理解是它虚拟化技术最核心部分,hypervisor通过Stage-2来实现内存管理,VMs的隔离等。需要强调的一点是:Stage-2只对kernel和user space有效,它和hypervisor自己的memory space毫无关系。
和Stage-2相关的寄存器主要有三个:HCR, VTTBR, VTCR. VTCR决定Stage-2 page table的格式,VTTBR指向了Stage-2 page table的入口地址,HCR的最后一位决定了Stage-2 MMU的开关。打开Stage-2这一层翻译的步骤是:分配内存填写好mapping,在HYP mode配置好这三个寄存器,flush TLB。(具体的code可以参考KVM/ARM中的interrupt.S,寄存器的介绍可以参考ARM手册)
扫一扫
1523
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
