芯片輔助為虛擬化鋪平道路

 

基于Hypervisor的服務(wù)器虛擬化和操作系統(tǒng)分區(qū)(OS partITioning)是當(dāng)前的兩大主要軟件虛擬化方法，但前者面臨的問題更多。操作系統(tǒng)分區(qū)可以讓宿主操作系統(tǒng)(host OS)訪問所有的硬件資源，消除了hypervisor固有的許多問題，但對操作系統(tǒng)的種類數(shù)量有限制。

 

而基于Hypervisor的虛擬化在支持多操作系統(tǒng)方面的靈活性更好，但在CPU、內(nèi)存和I/O資源分配方面卻產(chǎn)生了大量的技術(shù)問題，需要通過大量的軟件手段來調(diào)配。Vmware之所以成為X86虛擬化領(lǐng)域的領(lǐng)導(dǎo)者，不僅僅因?yàn)樗�是最早的廠商，更重要是因?yàn)閂mware能夠克服這些硬件問題，從而為大規(guī)模虛擬化提供可行的管理環(huán)境。

 

但從架構(gòu)上來說，傳統(tǒng)的X86平臺并不是為支持多操作系統(tǒng)并行而設(shè)計(jì)的。因此，AMD和Intel需要重新設(shè)計(jì)CPU，增加虛擬化特性，以解決上述問題。

 

ring轉(zhuǎn)換：Intel VT-x和AMD-V異曲同工

 

在傳統(tǒng)的x86運(yùn)行環(huán)境下，操作系統(tǒng)運(yùn)行在CPU中受保護(hù)的ring 0位置。在沒有處理器輔助的虛擬化中，ring 0還需要運(yùn)行VMM(virtual machine monITor，虛擬機(jī)監(jiān)控器)或Hypervisor，以幫助VM(虛擬機(jī))及其VOS(虛擬操作系統(tǒng))管理硬件資源。

 

因此，芯片廠商引入了一個新的、具有超級特權(quán)和受保護(hù)的ring -1位置來運(yùn)行虛擬機(jī)監(jiān)控器(VMM)。這個新位置可以讓VOS和平共存于ring 0，而通信改道于ring -1，并且，VOS并不知道正在和同一系統(tǒng)的其他OS共享物理資源。

 

芯片上的這一重要創(chuàng)新消除了操作系統(tǒng)的ring轉(zhuǎn)換問題，降低了虛擬化門檻，支持任何操作系統(tǒng)的虛擬化而無須修改OS內(nèi)核或run-time。Intel和AMD分別推出了VT-x和 AMD-V(即Pacifica)芯片輔助技術(shù)，并得到了虛擬化軟件廠商的支持。

 

Intel VT-x技術(shù)是在芯片內(nèi)創(chuàng)建新的ring -1，并且提供了新的指令集，用來建立、管理和退出各種VM。在帶有虛擬化功能的芯片中，Hypervisor處于ring-1位置，它生成一個VM控制結(jié)構(gòu)來支持每個新VM。可見，這提供了一種機(jī)制，可以根據(jù)需要來啟動、恢復(fù)和退出VM，并且在VMM和大量的VM之間提供了內(nèi)容交換框架(framework for context-swITching)。

 

對VM的控制，Intel稱之為VMXs，而AMD稱之為SVMs(secure VMs)，雖然名稱不同，但兩家芯片的處理方式是比較相似的。更重要的是，都允許客機(jī)操作系統(tǒng)(guest OS)進(jìn)駐ring 0，從而消除了ring轉(zhuǎn)換問題。由于許多指令對位置具有敏感性(location-sensITive)，而且被設(shè)計(jì)為只能在ring 0和ring 3之間轉(zhuǎn)化，因此，如果VOS運(yùn)行在ring 0之外的地方，就可能會導(dǎo)致關(guān)鍵進(jìn)程的運(yùn)行出現(xiàn)無法預(yù)知的錯誤，或者在應(yīng)該出錯的時候卻沒有出錯。

 

以往，虛擬化廠商都是通過軟件機(jī)制來截取和糾正相應(yīng)問題�，F(xiàn)在，由于虛擬機(jī)可以安全地運(yùn)行在ring 0位置，因此，這一軟件機(jī)制也就無須再考慮了。當(dāng)VM發(fā)生錯誤時，處理器可以將控制權(quán)轉(zhuǎn)給受保護(hù)的VMM，從而解決問題和重新控制VM，或者終止出錯進(jìn)程但不影響同一系統(tǒng)上的其他VM。

 

內(nèi)存管理：AMD和Intel的不同之處

 

Intel和AMD的不同之處在于：Intel處理器使用外部內(nèi)存控制器，因此VT-x技術(shù)不提供虛擬內(nèi)存管理功能，這就意味著仍然需要通過軟件來解決物理/虛擬內(nèi)存資源之間的地址轉(zhuǎn)換問題。這種方法雖然有效，但不是最好的。

 

集成內(nèi)存控制器的AMD Opteron 處理器，增加處理器數(shù)量就能增加內(nèi)存帶寬

 

Intel平臺上的所有Xeon處理器都共享一個外部內(nèi)存控制器

 

而AMD的處理器集成了內(nèi)存控制器，所以AMD-V虛擬化技術(shù)引入了獨(dú)特的新指令，可以實(shí)現(xiàn)獨(dú)特的內(nèi)存模式和特性。其中大部分指令都是針對MMU(內(nèi)存管理單元 memory management unIT)設(shè)計(jì)的，可以進(jìn)行內(nèi)存分配。在虛擬化環(huán)境下，當(dāng)需要映射多操作系統(tǒng)和運(yùn)行多個應(yīng)用程序時，MMU可以對物理內(nèi)存尋址進(jìn)行大量有效的跟蹤協(xié)調(diào)。AMD-V提供了更高級的內(nèi)存特性，如Tagged Translation Look-Aside Buffers，可通過幫助VM識別最近訪問的內(nèi)存頁表來提升性能。AMD-V還提供了Paged Real Mode，支持某些需要在虛擬環(huán)境下以真實(shí)模式(real-mode)進(jìn)行尋址的應(yīng)用程序。

 

另外，最有意思的特性可能是AMD對各種嵌套頁表(NPT，nested page table)的支持。與Intel的軟件方法不同，NPT允許每個VM通過獨(dú)立于硬件、虛擬的CR3內(nèi)存寄存器對其內(nèi)部內(nèi)存管理進(jìn)行更有力的控制。雖然使用NPT增加了內(nèi)存查找的數(shù)量，但NPT卻消除了VT-x必須的軟件層。這種方法通過硬件管理內(nèi)存的方式大大提高了VM的內(nèi)存性能。在內(nèi)存密集型應(yīng)用，特別是在多個VM共存的環(huán)境下，這一方法的效果最為明顯。

 

I/O：芯片/硬件廠商的共同困境

 

CPU和VMM內(nèi)存管理只是問題的一部分。對于硬件廠商來說，下一個巨大挑戰(zhàn)是要改善共享I/O設(shè)備的內(nèi)存交互和安全性�？赡茏钇D巨的任務(wù)會落在I/O硬件廠商身上，需要開發(fā)可以在多個VM之間共享存取通道的設(shè)備。當(dāng)前的存儲、網(wǎng)絡(luò)和圖形卡等設(shè)備都只能向OS提供單一接口界面。這意味著，對于具有多個VM的系統(tǒng)來說，只有通過軟件方法來處理IRQ中斷、內(nèi)存和記時器功能，除非I/O硬件可以支持多個功能性接口。

 

從處理器的角度來看，挑戰(zhàn)在于要為共享設(shè)備開發(fā)處理器級的架構(gòu)。目前，AMD和Intel已經(jīng)制定了非常相似的規(guī)劃，已在06年春季公布，并得到了虛擬化廠商的支持。

 

在這方面，AMD可能率先推出IOMMU(I/O memory mapping unit ，I/O內(nèi)存映射單元)技術(shù)，可以提供額外的指令來支持硬件虛擬化。相應(yīng)的新特性可以改進(jìn)DMA(direct memory access，直接內(nèi)存讀取)映射和硬件設(shè)備的訪問，取代當(dāng)前的圖形尋址機(jī)制，支持VM對設(shè)備的直接控制，同時在VM中可以直接訪問相應(yīng)用戶的I/O。

 

Intel的VT-d(Virtualization Technology for Directed I/O，定向I/O虛擬化技術(shù))標(biāo)準(zhǔn)也非常關(guān)注直接設(shè)備訪問和內(nèi)存保護(hù)的問題。跟IOMMU相似，VT-d提供了在多個VM和I/O設(shè)備之間進(jìn)行直接通信的架構(gòu)。

 

不過，就目前來說，這些對于推動虛擬化應(yīng)用還是有名無實(shí)，因?yàn)镮/O虛擬化本身還在探討中。當(dāng)前的I/O設(shè)備還不能管理共享VM對硬件資源的訪問。實(shí)際上，現(xiàn)在連通過PCI總線來實(shí)現(xiàn)設(shè)備共享的合適標(biāo)準(zhǔn)還沒有。可能需要經(jīng)過2-4年，普遍的、基于設(shè)備的I/O硬件虛擬化解決方案才會出現(xiàn)。到那時，虛擬化廠商需要提供一個提取層，來支持對存儲、網(wǎng)絡(luò)和其他設(shè)備的共享訪問。

 

總的來說，虛擬化象旋風(fēng)一樣席卷全球IT市場。特別是在Intel和AMD在各自新推出的x86處理器中內(nèi)置了虛擬化功能，更是為X86平臺虛擬化的廣泛普及鋪平了道路。我們認(rèn)為AMD的虛擬化策略可能比Intel的更具潛力。微軟和XEN開源廠商推出的基于hypervisor的虛擬化產(chǎn)品都會建立在這種芯片輔助技術(shù)之上，但VMware仍會繼續(xù)支持沒有芯片輔助的老系統(tǒng)。