X86-Virtualisierung: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(17 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Was ist x86-Virtualisierung?=
+
= Was ist x86-Virtualisierung? =
*hardware- und softwarebasierte Mechanismen zur Unterstützung der Virtualisierung für Prozessoren, die auf der x86-Architektur basieren.
+
* Techniken zur parallelen Ausführung mehrerer Betriebssysteme auf x86-Prozessoren.
*Unter Verwendung eines Hypervisors kann man mehrere Betriebssysteme parallel auf einem x86-Prozessor auszuführen
+
* Ein Hypervisor ermöglicht die effiziente und isolierte Nutzung physischer Ressourcen.
*Man kann die Ressourcen isoliert und effizient zwischen den parallel ausgeführten Betriebssystemen aufteilen.
+
* Ziel: Gastbetriebssysteme bemerken keinen Unterschied zwischen virtueller und physischer Hardware.
*Die (Gast-)Betriebssysteme sollten keinen Unterschied zwischen virtualisiertem und den Betrieb direkt auf der Hardware erkennen können.
+
 
=VT Modell=
+
= VT-x Ausführungs- und Privilegienmodell =
 +
 
 +
== Übersicht ==
 +
Intel VT-x führt zwei grundlegende Betriebsmodi ein:
 +
 
 +
* '''VMX Root Mode''': Hier läuft der Hypervisor (auch Virtual Machine Monitor, VMM). Dieser Modus besitzt die höchste Kontrolle über die Hardware.
 +
* '''VMX Non-Root Mode''': Hier laufen die virtuellen Maschinen (VMs) mit ihren Gastbetriebssystemen.
 +
 
 +
Ziel dieser Trennung ist es, Gastbetriebssysteme nahezu unverändert auszuführen, während der Hypervisor privilegierte Steuer- und Verwaltungsaufgaben übernimmt.
 +
 
 +
== Architektur und Ablauf ==
 +
{{#drawio:Ausführungsebenen}}
 +
 
 +
Dieses Bild zeigt die '''Gesamtabfolge der Ausführungsebenen und Übergänge''':
 +
 
 +
* Unten befindet sich die CPU mit aktivierter VT-x Unterstützung.
 +
* Der Hypervisor (VMM) läuft im '''VMX Root Mode'''. Er hat vollständigen Zugriff auf alle Ressourcen.
 +
* Virtuelle Maschinen laufen im '''VMX Non-Root Mode'''. Jede VM enthält:
 +
** Ein Gastbetriebssystem (beispielsweise Windows oder Linux), das aus seiner Sicht im Ring 0 läuft.
 +
** Anwendungen, die innerhalb der VM im Ring 3 laufen.
 +
* Die Kommunikation zwischen VMs und dem Hypervisor erfolgt über:
 +
** '''VM Entry''': Wechsel von Hypervisor (VMX Root) in die VM (VMX Non-Root).
 +
** '''VM Exit''': Rücksprung von der VM in den Hypervisor, z.B. bei privilegierten Befehlen.
 +
 
 +
Diese Darstellung zeigt die '''technische Ablaufarchitektur und den Wechsel zwischen den Modi'''.
 +
 
 +
== Komponenten im VMX Root Mode (Details zur Architektur) ==
 +
 
 +
=== VMCS (Virtual Machine Control Structure) ===
 +
* Spezielle Datenstruktur für jede VM, die ihren Zustand verwaltet.
 +
* Enthält:
 +
** Gastzustand (Register, Speicherverwaltung)
 +
** Hostzustand (für VM Exit)
 +
** Steuerinformationen (VM Exit Ursachen)
 +
* Aktiv genutzt bei jedem VM Entry und Exit.
 +
 
 +
=== H/W VM Control Structure (VMCS) ===
 +
* Physischer Speicherbereich in der CPU für die VMCS.
 +
* Ermöglicht schnellen Wechsel zwischen Hypervisor und VM.
 +
* Minimiert die Umschaltzeit zwischen Root und Non-Root Modus.
 +
 
 +
=== Memory and I/O Virtualization ===
 +
* Bestandteil des Hypervisors im Root Mode.
 +
* Aufgaben:
 +
** Speicherisolation zwischen VMs.
 +
** Adressübersetzung (Second Level Address Translation, z.B. EPT).
 +
** Emulation oder Weiterleitung von I/O-Zugriffen.
 +
* Schutz vor unerlaubtem Zugriff der VMs untereinander und auf den Hypervisor.
 +
 
 +
== Schutzringe innerhalb der Modi ==
 
{{#drawio:vt-ring}}
 
{{#drawio:vt-ring}}
=Thread 2=
 
*VT-x ist eine CPU-Virtualisierung für die Intel 64- und IA-32-Architektur.
 
*Für Intels Itanium gibt es VT-I.
 
*Für die I/O-Virtualisierung gibt es VT-d.
 
*Unter VT-x arbeitet eine CPU in einem von zwei Modi: Root und Nicht-Root.
 
*Diese Modi sind orthogonal zu Real, Protected, Long usw. und auch orthogonal zu Privileg-Ringen (0–3).
 
*Sie bilden sozusagen eine neue „Ebene“.
 
*Hypervisor wird im Root-Modus ausgeführt und VMs werden im Nicht-Root-Modus ausgeführt.
 
*Im Nicht-Root-Modus wird CPU-gebundener Code meistens genauso ausgeführt wie im Root-Modus,
 
*Was bedeutet, dass die CPU-gebundenen Operationen der VM größtenteils mit nativer Geschwindigkeit ausgeführt werden.
 
*Es hat jedoch keine volle Freiheit.
 
*Privilegierte Befehle bilden eine Teilmenge aller verfügbaren Befehle auf einer CPU.
 
*Dies sind Anweisungen, die nur ausgeführt werden können, wenn sich die CPU in einem höher privilegierten Zustand befindet,
 
*z. aktuelle Berechtigungsebene (CPL) 0 (wobei CPL 3 am wenigsten privilegiert ist).
 
*Eine Teilmenge dieser privilegierten Anweisungen können wir „globale zustandsändernde“ Anweisungen nennen – diejenigen, die den Gesamtzustand der CPU beeinflussen.
 
*Beispiele sind solche Befehle, die Takt- oder Interrupt-Register modifizieren oder auf eine Weise in Steuerregister schreiben, die den Betrieb des Root-Modus ändern.
 
*Diese kleinere Teilmenge sensibler Anweisungen kann der Nicht-Root-Modus nicht ausführen.
 
  
=Softwarebasierte Virtualisierung=
+
Dieses Bild zeigt die '''Privilegienebenen innerhalb der beiden Modi''':
*Es darf nur dem Hypervisor direkter Zugriff auf die Prozessor-Hardware gewährt werden
+
 
*Gastsysteme wie alle anderen Applikationen dürfen nur eingeschränkte Zugriffsrechte auf die Hardware haben.
+
=== VMX Root Mode ===
*Gastsysteme dürfen keine Speicherbereiche sehen bzw. ändern können, die der Hypervisor zur Verwaltung benötigt.
+
* Wird vom Hypervisor genutzt.
 +
* Innerhalb des Root Modes könnte der Hypervisor theoretisch die Ringe 0–3 verwenden, nutzt aber faktisch Ring 0.
 +
 
 +
=== VMX Non-Root Mode ===
 +
* Wird von den virtuellen Maschinen genutzt.
 +
* Gastbetriebssystem läuft im '''Ring 0''' innerhalb der VM.
 +
* Anwendungen laufen im '''Ring 3''' innerhalb der VM.
 +
* Kritische Operationen führen zu einem '''VM Exit'''.
 +
 
 +
Diese Darstellung zeigt die Trennung der Privilegienstufen zwischen Hypervisor und Gastbetriebssystemen.
 +
 
 +
= Funktionsweise verständlich erklärt =
 +
Stelle dir einen Rechner vor, auf dem mehrere Betriebssysteme gleichzeitig laufen:
 +
 
 +
== Hypervisor ==
 +
* Zentrale Steuerinstanz, die alle Ressourcen kontrolliert.
 +
* Zuweisung von CPU, Speicher und Geräten an VMs.
 +
 
 +
== Virtuelle Maschinen ==
 +
* Laufen isoliert wie eigenständige physische Rechner.
 +
* Führen Gastbetriebssysteme und Anwendungen aus.
 +
* Zugriff auf kritische Ressourcen wird vom Hypervisor gesteuert.
 +
 
 +
= Softwarebasierte Virtualisierung (klassische Methode) =
 +
* Keine spezielle Prozessorunterstützung.
 +
* Hypervisor kontrolliert Hardwarezugriff direkt.
 +
* Gastbetriebssysteme laufen deprivilegiert.
 +
* Höherer Overhead durch häufiges Abfangen von Befehlen.
 +
 
 +
= Modernes Privilegienmodell (VT-x/AMD-V) =
 +
== Historisches Modell (Protected Mode) ==
 +
* Vier Schutzringe (Ring 0–3).
 +
* Betriebssystem läuft auf Ring 0.
 +
* Anwendungen laufen auf Ring 3.
 +
* Ringe 1 und 2 wurden selten genutzt.
 +
 
 +
== Aktuelles VT-x/AMD-V-Modell ==
 +
* Zwei Betriebsmodi durch Prozessorerweiterungen:
 +
** '''VMX Root Mode''' („Ring -1“): Hypervisor mit voller Kontrolle.
 +
** '''VMX Non-Root Mode''' („virtueller Ring 0“): Gastbetriebssystem eingeschränkt.
 +
* Anwendungen innerhalb der VM bleiben in Ring 3.
 +
* Deutlich geringerer Overhead und höhere Effizienz.
 +
 
 +
= Hardwareerweiterungen =
 +
== Intel VT-x ==
 +
* Codename „Vanderpool“.
 +
* Einführung des VMX Root/Non-Root Modes.
 +
* Unterstützung von „Trap-and-Emulate“ für privilegierte Befehle.
 +
 
 +
== AMD-V ==
 +
* Codename „Pacifica“.
 +
* Vergleichbare Technik zu VT-x.
 +
* Unterstützung für Ring Aliasing und effizientere Virtualisierung.
 +
 
 +
= Praxis-Beispiele =
 +
* [[KVM]] (Kernel-based Virtual Machine, Linux)
 +
* VMware vSphere (ESXi)
 +
* Microsoft Hyper-V
 +
* Citrix XenServer
  
=Protected Mode=
+
= Weiterführende Informationen =
*Es gibt vier verschiedene als Ringe bezeichnete Schutzebenen bzw. Befugnisstufen
+
* [https://tuxthink.blogspot.com/2011/12/kvm-introduction.html Einführung in KVM (tuxthink)]
*Ablaufenden Codesegmenten wird unterschiedliche Rechte gewährt.
+
* [https://wiki.archlinux.org/title/KVM Arch Linux KVM Wiki]
*Im Protected Mode läuft der Betriebssystem-Kernel in einem höher privilegierten Modus, der als Ring 0 bezeichnet wird
+
==Präsentation==
*Applikationen in einem weniger privilegierten Modus, in der Regel entweder Ring 1 oder Ring 3.
+
*https://hedgedoc.xinux.net/p/sC9T6-hrS#/
*Hypervisor bzw. das Hostbetriebssystem werden aufgrund ihrer privilegierten Stellung bei der Ressourcenverwaltung mit Ring-0-Berechtigung ausgeführt.
+
[[Kategorie:Virtualisierung]]
*Gastsysteme müssen, um den Schutz der Hypervisor-Ressourcen zu gewährleisten, folglich entweder auf Berechtigungslevel Ring 1 oder Ring 3 ausgeführt werden.
 
=Deprivilegierung=
 
*x86-Betriebssysteme sind so implementiert, dass sie von der Ring-0-Berechtigung ausgehen
 
*Um in einer Virtualisierungslösung zu funktionieren müssen zwei Features implementiert sein
 
*Ring-Deprivilegierung
 
**Sie sorgt dafür, dass das Gastsystem alle Befehle so ausführen kann, als hätte es Ring-0-Berechtigungen auf der Hardware
 
**Obwohl es durch die Virtualisierung weniger privilegierte Berechtigungen hat.
 
*Ring Aliasing
 
**Es sorgt dafür, dass das Gastsystem, wenn es eine Aktion ausführt, immer die Antwort erhält, die es erhalten würde, wenn der Befehl mit Ring-0-Berechtigungen ausgeführt worden wäre.
 
** Beispielsweise existiert ein Befehl zur Abfrage des Privilegierungslevels, der mit allen Berechtigungsleveln aufgerufen werden darf.
 
**Würde ein Gastsystem diesen Befehl ohne Ring Aliasing aufrufen, würde es Ring 1 oder 3 als Antwort erhalten, mit Ring Aliasing erhält es Ring 0
 
=Prozessor Erweiterungen=
 
==Intel-Virtualisierungstechnologie (VT-x)==
 
*Codenamen „Vanderpool“ geführt, stellt die schließlich „VT-x“ genannte Technologie Hardwareunterstützung für die Virtualisierung auf Intel-x86-Prozessoren bereit.
 
*Ring Aliasing
 
*Ring Deprevilegierung
 
*Neuerungen durch VT-x ist die Einführung eines weiteren, ausschließlich für die Virtualisierung gedachten Berechtigungskonzepts
 
*Es werden zwei neue Berechtigungslevels „VMX Root Operation“ und „VMX non Root Operation“ eingeführt.
 
*Der Hypervisor wird im „VMX Root Operation“ ausgeführt, VMs dagegen im „VMX non Root Operation“.
 
*In beiden Modi sind Ring-0 bis Ring-3 als Berechtigungen vorhanden
 
*Jedoch können Ring-0-Instruktionen, die im „VMX non Root Operation“ durch VMs ausgeführt werden, nun durch den Hypervisor im „VMX Root Operation“ gefangen werden
 
*Es handelt sich also um eine Implementierung des „trap-and-emulate“-Verfahrens.
 
*Damit ist das Problem der Deprivilegierung gelöst und muss nicht mehr über Binär-Translation softwareseitig implementiert werden.
 
==AMD-Virtualisierung (AMD-V)==
 
*AMD entwickelte die erste Generation von Befehlssatzerweiterungen für die Virtualisierungsunterstützung unter dem Namen „Pacifica“
 
*Ring Aliasing
 
*Ring Deprevilegierung
 
=Links=
 
*https://tuxthink.blogspot.com/2011/12/kvm-introduction.html
 

Aktuelle Version vom 5. Mai 2025, 05:13 Uhr

Was ist x86-Virtualisierung?

  • Techniken zur parallelen Ausführung mehrerer Betriebssysteme auf x86-Prozessoren.
  • Ein Hypervisor ermöglicht die effiziente und isolierte Nutzung physischer Ressourcen.
  • Ziel: Gastbetriebssysteme bemerken keinen Unterschied zwischen virtueller und physischer Hardware.

VT-x Ausführungs- und Privilegienmodell

Übersicht

Intel VT-x führt zwei grundlegende Betriebsmodi ein:

  • VMX Root Mode: Hier läuft der Hypervisor (auch Virtual Machine Monitor, VMM). Dieser Modus besitzt die höchste Kontrolle über die Hardware.
  • VMX Non-Root Mode: Hier laufen die virtuellen Maschinen (VMs) mit ihren Gastbetriebssystemen.

Ziel dieser Trennung ist es, Gastbetriebssysteme nahezu unverändert auszuführen, während der Hypervisor privilegierte Steuer- und Verwaltungsaufgaben übernimmt.

Architektur und Ablauf

Dieses Bild zeigt die Gesamtabfolge der Ausführungsebenen und Übergänge:

  • Unten befindet sich die CPU mit aktivierter VT-x Unterstützung.
  • Der Hypervisor (VMM) läuft im VMX Root Mode. Er hat vollständigen Zugriff auf alle Ressourcen.
  • Virtuelle Maschinen laufen im VMX Non-Root Mode. Jede VM enthält:
    • Ein Gastbetriebssystem (beispielsweise Windows oder Linux), das aus seiner Sicht im Ring 0 läuft.
    • Anwendungen, die innerhalb der VM im Ring 3 laufen.
  • Die Kommunikation zwischen VMs und dem Hypervisor erfolgt über:
    • VM Entry: Wechsel von Hypervisor (VMX Root) in die VM (VMX Non-Root).
    • VM Exit: Rücksprung von der VM in den Hypervisor, z.B. bei privilegierten Befehlen.

Diese Darstellung zeigt die technische Ablaufarchitektur und den Wechsel zwischen den Modi.

Komponenten im VMX Root Mode (Details zur Architektur)

VMCS (Virtual Machine Control Structure)

  • Spezielle Datenstruktur für jede VM, die ihren Zustand verwaltet.
  • Enthält:
    • Gastzustand (Register, Speicherverwaltung)
    • Hostzustand (für VM Exit)
    • Steuerinformationen (VM Exit Ursachen)
  • Aktiv genutzt bei jedem VM Entry und Exit.

H/W VM Control Structure (VMCS)

  • Physischer Speicherbereich in der CPU für die VMCS.
  • Ermöglicht schnellen Wechsel zwischen Hypervisor und VM.
  • Minimiert die Umschaltzeit zwischen Root und Non-Root Modus.

Memory and I/O Virtualization

  • Bestandteil des Hypervisors im Root Mode.
  • Aufgaben:
    • Speicherisolation zwischen VMs.
    • Adressübersetzung (Second Level Address Translation, z.B. EPT).
    • Emulation oder Weiterleitung von I/O-Zugriffen.
  • Schutz vor unerlaubtem Zugriff der VMs untereinander und auf den Hypervisor.

Schutzringe innerhalb der Modi

Dieses Bild zeigt die Privilegienebenen innerhalb der beiden Modi:

VMX Root Mode

  • Wird vom Hypervisor genutzt.
  • Innerhalb des Root Modes könnte der Hypervisor theoretisch die Ringe 0–3 verwenden, nutzt aber faktisch Ring 0.

VMX Non-Root Mode

  • Wird von den virtuellen Maschinen genutzt.
  • Gastbetriebssystem läuft im Ring 0 innerhalb der VM.
  • Anwendungen laufen im Ring 3 innerhalb der VM.
  • Kritische Operationen führen zu einem VM Exit.

Diese Darstellung zeigt die Trennung der Privilegienstufen zwischen Hypervisor und Gastbetriebssystemen.

Funktionsweise verständlich erklärt

Stelle dir einen Rechner vor, auf dem mehrere Betriebssysteme gleichzeitig laufen:

Hypervisor

  • Zentrale Steuerinstanz, die alle Ressourcen kontrolliert.
  • Zuweisung von CPU, Speicher und Geräten an VMs.

Virtuelle Maschinen

  • Laufen isoliert wie eigenständige physische Rechner.
  • Führen Gastbetriebssysteme und Anwendungen aus.
  • Zugriff auf kritische Ressourcen wird vom Hypervisor gesteuert.

Softwarebasierte Virtualisierung (klassische Methode)

  • Keine spezielle Prozessorunterstützung.
  • Hypervisor kontrolliert Hardwarezugriff direkt.
  • Gastbetriebssysteme laufen deprivilegiert.
  • Höherer Overhead durch häufiges Abfangen von Befehlen.

Modernes Privilegienmodell (VT-x/AMD-V)

Historisches Modell (Protected Mode)

  • Vier Schutzringe (Ring 0–3).
  • Betriebssystem läuft auf Ring 0.
  • Anwendungen laufen auf Ring 3.
  • Ringe 1 und 2 wurden selten genutzt.

Aktuelles VT-x/AMD-V-Modell

  • Zwei Betriebsmodi durch Prozessorerweiterungen:
    • VMX Root Mode („Ring -1“): Hypervisor mit voller Kontrolle.
    • VMX Non-Root Mode („virtueller Ring 0“): Gastbetriebssystem eingeschränkt.
  • Anwendungen innerhalb der VM bleiben in Ring 3.
  • Deutlich geringerer Overhead und höhere Effizienz.

Hardwareerweiterungen

Intel VT-x

  • Codename „Vanderpool“.
  • Einführung des VMX Root/Non-Root Modes.
  • Unterstützung von „Trap-and-Emulate“ für privilegierte Befehle.

AMD-V

  • Codename „Pacifica“.
  • Vergleichbare Technik zu VT-x.
  • Unterstützung für Ring Aliasing und effizientere Virtualisierung.

Praxis-Beispiele

  • KVM (Kernel-based Virtual Machine, Linux)
  • VMware vSphere (ESXi)
  • Microsoft Hyper-V
  • Citrix XenServer

Weiterführende Informationen

Präsentation

Abgerufen von „http://wiki.ixheim.de/index.php?title=X86-Virtualisierung&oldid=62432