Armv8架构及虚拟化介绍
0、armv8架构
1)armv8基本概念
(1)执行状态(execution state):处理器运行时的环境,包括寄存器的位宽、支持的指令集、异常模型、内存管理及编程模型等。armv8体系结构定义了两个执行状态:
aarch64:64位的执行状态
提供31个64位的通用寄存器。
提供64位程序计数指针寄存器(program counter,pc)、栈指针寄存器(stack pointer,sp)及异常链接寄存器(exception link register,elr)。
提供a64精简指令集。
定义armv8异常模型,支持4个异常等级:el0~el3。
提供64位的内存模型。
定义一组处理器状态(pstate),用来保存pe(processing element,处理机)的状态。
aarch32:32位的执行状态
提供13个32位的通用寄存器、pc指针寄存器、sp寄存器、链接寄存器。
支持a32和t32两套指令集。
支持armv7-a异常模型。
提供32位的虚拟内存访问机制。
定义一组处理器状态(pstate),用来保存pe的状态。
aarch64状态的异常等级
armv8处理器支持两种执行状态:aarch64状态和aarch32状态。其中aarch64状态是armv8新增的64位执行状态,该状态下运行a64指令集。aarch32状态是为了兼容armv7的32位执行状态,该状态下运行a32指令集或者t32指令集。
aarch64状态的异常等级,决定了处理器当前运行的特权级别,类似于armv7中的特权等级。
el0:用户特权,用于运行普通用户程序。
el1:系统特权,通常用于操作系统内核,比如linux、rtos。如果系统使能了虚拟化扩展,运行虚拟机操作系统内核。
el2:运行虚拟化扩展的虚拟机监控器(hypervisor)。
el3:运行安全世界中的安全监控器(secure monitor)。
armv8允许切换应用程序的运行模式,在一个64位操作系统的armv8处理器中,我们可以同时运行a64指令集和a32指令集的应用程序,但是32位操作系统的armv8处理器中,就不能运行a64指令集的应用程序了。
armv8体系结构提供2种安全状态:secure和non-secure。secure state和non-secure state将运行环境划分为normal world和secure world,el3只存在于secure state。每种安全状态有独立的物理地址空间范围,在secure state,处理器可以访问secure和non-secure的物理地址空间范围。在non-secure state,处理器只能访问non-secure的物理地址空间范围。
异常等级之间的切换:
supervisor call(svc)指令:el0的软件向el1(os service)申请软件服务。
hypervisor call(hvc)指令:主要被el1(guest os)请求hypervisor(el2)服务。
secure monitor caller(smc)指令:el3用来切换安全非安全世界。
eret指令用于异常返回,返回地址和处理器状态是从当前el(exception level)下的elr和spsr寄存器中恢复的。eret 指令可用于返回到 cpu 支持的相同或任何较低的异常级别。如果存储在 spsr_el3.m[4:0] 中的已保存模式字段,设置为 0b00101 或 0b00100,其中位m[ 3:2] 将异常级别编码为1,然后在 el3 执行的 eret 指令将返回到 el1。
(2)armv8指令集:根据不同的执行状态,提供不同的指令集支持,支持如下指令集。
a64指令集:运行在aarch64状态下,提供64位指令集支持。a64指令集是armv8新增的,和a32采用了不同的指令编码,所以跟a32不兼容。a64可以处理64位宽的寄存器和数据,使用64位的指针来访存,但是a64指令集的指令宽度是32位。
a32指令集:运行在aarch32状态下,提供32位a32指令集支持。
t32指令集:运行在aarch32状态下,提供16位和32位thumb指令集支持。
2)armv8特性
使用64位体系结构,因此处理器可以访问远超4gb的物理地址空间。虽然是64位体系结构,但是一般并不使用64位地址总线,例如使用48位,即可以访问256tb的物理地址空间。在32位arm体系结构中,如果不使能lpae(large physical address extension)功能,最多只能访问4gb物理地址空间。即使使能了lpae功能,也只是将物理地址空间的寻址能力扩展到40位,也就是1tb。
提供64位的虚拟地址寻址,从而扩大了进程的虚拟地址空间。在32位arm体系结构中,即使使能了lape功能,也只是扩展了物理地址空间,但是进程的虚拟地址空间还是只有4gb。扩大虚拟地址空间之后,可以使用memory map的方式映射更大的文件到进程虚拟地址空间中,从而提高io的效率。
通过automatic event signaling机制,实现高性能低功耗的spinlock。
提供31个64位通用寄存器,可减少对栈的使用,减少访存的频率,从而提升性能。在armv7体系结构的aapcs(arm architecture procedure call standard)中,前4个参数使用寄存器传递,大于4个的参数部分需要使用栈传递,也就是需要访问内存。而在armv8体系结构中,可以使用寄存器传递前8个参数,从而减少了对栈的使用。
提供基于pc寄存器±4gb的相对寻址范围,提高了相对寻址效率,可以提升动态库和位置无关代码的执行效率。
支持16kb & 64kb的分页粒度,可以减少页表级数,同时提高tlb命中率。
全新的异常处理模型,更加利于操作系统和虚拟化的实现。
设计了全新的load-acquire和store-release指令,在线程安全的代码中,不再需要显式的内存屏障指令,从而提升了性能。
3)armv8寄存器
(1)通用寄存器
aarch64执行状态支持31个64位通用寄存器(x0~x30),aarch32状态支持16个32位通用寄存器。
通用寄存器
(2)状态寄存器
状态寄存器
(3)特殊寄存器
特殊寄存器
当运行异常处理程序时,处理器会把pstate寄存器的值暂时保存在spsr(saved program status register,spsr)里。当异常处理完返回时,再把spsr的值恢复到pstate寄存器。
(4)系统寄存器
通过访问和设置这些系统寄存器,来完成对处理器不同的功能配置。armv8支持7类系统寄存器:
通用系统控制寄存器
调试寄存器
性能监控寄存器
活动监控寄存器
统计扩展寄存器
ras寄存器
通用定时器寄存器
系统寄存器支持不同的异常等级访问,具体的访问规则如下:
reg_el1:处理器处于el1、el2、el3时,都可以访问该寄存器。
reg_el2:处理器处于el2、el3时,可以访问寄存器。
大部分系统寄存器不支持处理器处于el0时访问,但也有例外,比如ctr_el0。
通过msr、mrs指令访问系统寄存器。
1 综述
本文描述了armv8-a aarch64的虚拟化支持。包括stage 2页表转换,虚拟异常,以及陷阱。本文介绍了一些基础的硬件辅助虚拟化理论以及一些hypervisor如何利用这些虚拟化特性的例子。文本不会讲述某一具体的hypervisor软件是如何工作的以及如何开发一款hypervisor软件。通过阅读本文,你可以学到两种类型的hypervisor以及它们是如何映射到arm的异常级别。你将能解释陷阱是如何工作的以及其是如何被用来进行各种模拟操作。你将能描述hypervisor可以产生什么虚拟异常以及产生这些虚拟异常的机制。理解本文内容需要一定基础,本文假定你熟悉armv8体系结构的异常模型和内存管理。 1.1 虚拟化简介 这里我们将介绍一些基础的hypervisor和虚拟化的理论知识。如果你已经有一定的基础或是已经熟悉了这些概念,可以跳过这部分内容。我们用hypervisor这个词来定义一种负责创建,管理以及调度虚拟机(virtual machines, vms)的软件。
虚拟化为什么重要
虚拟化是一种在现代云计算和企业基础架构中广泛使用的技术。开发人员用虚拟机在一个硬件平台上运行多个不同的操作系统来开发和测试软件,以避免对主计算环境造成可能的破坏。虚拟化技术在服务器上非常流行,大多数面向服务器的处理器都需要支持虚拟化功能,这是因为虚拟化能给数据中心服务器带来如下一些需要的特性:
隔离:利用虚拟化可以对同一个物理核上运行的虚拟机进行隔离。这使得相互间不可信的的计算环境可以共享同一套硬件环境。例如,两个竞争对手可以共享同一个物理机器而又不能访问对方的数据。
高可用性:虚拟化可以在不同的物理机器之间无缝透明地迁移负载。这个技术广泛用于将负载从出错的硬件平台迁移至其他可用平台,以便维护和替换出错的硬件而不影响服务。
负载均衡:为了降低数据中心硬件和功耗成本,需要尽可能充分地利用硬件平台资源。将负载均衡地迁移到不同地物理机上,有利用充分利用物理机资源,降低功耗,同时为租户提供最佳性能。
沙箱:虚拟机可以作为一个沙箱来为运行在其中的应用屏蔽其他软件的干扰,或者避免其干扰其他软件。例如在虚拟机中运行特定软件,可以避免该软件的bug或病毒导致物理机器上的其他软件损坏。
1.2 hypervisor的两种类型
hypervisor通常被分成两种类型,独立类型type 1和寄生类型 type 2。我们先看看type 2类型的hypervisor。对于type 2类型的hypervisor,其寄生的宿主操作系统拥有对硬件平台和资源(包括cpu和物理内存…)的全部控制权。下图展示了type 2类型的hypervisor。
图1:type 2 hypervisor 宿主操作系统,指的是直接运行在硬件平台上并为type 2类型的hypervisor提供运行环境的操作系统。这类hypervisor可以充分利用宿主操作系统对物理硬件的管理功能,而hypervisor只需提供虚拟化相关功能即可。不知你是否使用过virtual box或是vmware workstation, 这类软件就是type 2类型的hypervisor。 接下来,看看独立类型的type 1 hypervisor, 如图2。这类hypervisor没有宿主操作系统。其直接运行在物理硬件之上,直接管理各种物理资源,同时管理并运行客户机操作系统。
图2:type 1 hypervisor 在开源社区常见的hypervisor, xen (type 1) 和 kvm (type 2)就分属这两种不同的类型。其他开源的或知识产权的hypervisor,可参见wiki。
1.3 全虚拟化和半虚拟化
关于虚拟机,经典定义是:虚拟机是一个独立的隔离的计算环境,这种计算环境让使用者看起来就像在使用真实的物理机器一样。尽管我们可以在基于arm的硬件平台上模拟真实硬件,但这通常不是最有效的做法,因此我们常常不这么做。例如,模拟一个真实的以太网设备是非常慢的,这是因为对任何一个模拟寄存器的访问都会陷入到hypervisor当中进行模拟。比起直接访问物理寄存器来说,这种操作的代价要昂贵得多。一个替代方案是修改客户操作系统,使之意识到自身运行在虚拟机当中,通过在hypervisor中模拟一个虚拟设备来给客户机使用。以此来换取更好得i/o性能。严格来说,全虚拟化需要完全模拟真实硬件,性能上会比较差。开源项目xen推进了半虚拟化,通过修改客户机操作系统的核心部分使其更适合在虚拟环境中运行,以此来提高性能。 另一个使用半虚拟化的原因是早期的体系结构并不是为虚拟化而设计的,存在虚拟化漏洞。因为虚拟化要求所有敏感指令或访问敏感资源的指令都能被截获模拟。对于存在虚拟化漏洞的体系结构,则需要通过半虚拟化的方案来填补漏洞。而今,大多数体系机构都支持硬件辅助虚拟化,包括arm。这使得操作系统的核心部分无需修改也能获得较好得性能。只有少数存储和网络相关的i/o设备仍然采用半虚拟化的方案来改善性能,这类半虚拟化的方案如,virtio 和 xen pv bus。
1.4 虚拟机(vm)和虚拟cpu (vcpu)
有必要区分虚拟机(vm)和虚拟cpu(vcpu)。这有利于理解本文的后续部分。例如,一个内存页面可以分配给一个虚拟机,因此所有属于该vm的vcpus都可以访问它。而一个虚拟中断只是针对某个vcpu,因此只有该vcpu可以收到。虚拟机(vm)和虚拟cpu(vcpu)的关系如图3所示。
图3:vm vs vcpu 注意:arm体系结构定义了处理单元(processing element, pe)一词,现代cpu可能包含多个内核或线程,pe用来指代单一的执行单元。同样的这里的vcpu严格来说应该是vpe。
2 aarch64的虚拟化
对于armv8, hypervisor运行在el2异常级别。只有运行在el2或更高异常级别的软件才可以访问并配置各项虚拟化功能。
stage 2转换
el1/0指令和寄存器访问
注入虚拟异常
安全状态和非安全状态下的异常级别及可运行的软件如图4所示
图4:aarch64的虚拟化 注意:安全状态的el2用灰色显示是因为,安全状态的el2并不总是可用,这是armv8.4-a引入的特性。
2.1 stage 2 转换
什么是stage 2 转换
stage 2 转换允许hypervisor控制虚拟机的内存视图。具体来说,其可以控制虚拟机是否可以访问特定的某一块物理内存,以及该内存块出现在虚拟机内存空间的位置。这种能力对于虚拟机的隔离和沙箱功能来说至关重要。这使得虚拟机只能看到分配给它自己的物理内存。为了支持stage 2 转换, 需要增加一个页表,我们称之为stage 2页表。操作系统控制的页表转换称之为stage 1转换,负责将虚拟机视角的虚拟地址转换为虚拟机视角的物理地址。而stage 2页表由hypervisor控制,负责将虚拟机视角的物理地址转换为真实的物理地址。虚拟机视角的物理地址在armv8中有特定的词描述,叫中间物理地址(intermediate physical address, ipa)。 stage 2转换表的格式和stage 1的类似,但也有些属性的处理不太一样,例如,判断内存类型 是normal 还是 device的信息被直接编码进了表里,而不是通过查询mair_elx寄存器。
图5:地址转换, va to ipa to pa
vmid
每一个虚拟机都被分配一个id号,称之为vmid。这个id号用于标记某个特定的tlb项属于哪一个vm。vmid使得不同的vm可以共享同一块tlb缓存。vmid存储在寄存器vttbr_el2中,可以是8或16比特,由vtcr_el2.vs比特位控制,其中16比特的vmid支持是在armv8.1-a中扩展的,是可选的。需注意,el2和el3的地址转换不需要vmid标记,因为它们不需要stage 2转换。
vmid vs asid
tlb项也可以用asid(address space identifier)标记,每个应用都被操作系统分配有一个asid,所有属于同一个应用的tlb项都有相同的asid。这使得不同应用可以共享同一块tlb缓存。每一个vm有它自己的asid空间。例如两个不同的vms同时使用asid 5,但指的是不同的东西。对于虚拟机而言,通常vmid会结合asid同时使用。
属性整合和覆盖
stage 1 和 stage 2映射都包含属性,例如存储类型,访问权限等。内存管理单元(mmu)会将两个阶段的属性整合成一个最终属性,整合的原则是选择更有限制的属性。且看如下例子:
图6:映射属性整合 在上面的例子中,device属性比起normal属性更具限制性,因此最终结果是device属性。同样的原理,如果你将顺序调换一下也不会改变最终的属性。 属性整合在大多数情况下都可以工作。但有些时候,例如在vm的早期启动阶段,hypervisor希望改变默认的行为,则可以通过如下寄存器比特来实现。
hcr_el2.cd: 控制所有stage 1属性为non-cacheable。
hcr_el2.dc:强制所有stage 1属性为normal,write-back cacheable。
hcr_el2.fwb (armv8.4-a引入):使用stage 2属性覆盖stage 1属性,而不是使用默认的限制性整合原则。
模拟mmio
与物理机器的物理地址空间类似,vm的ipa地址空间包含了内存与外围设备两种区域。如下图所示
图7:模拟mmio vm使用外围设备区域来访问其看到的物理外围设备,这其中包含了直通设备和虚拟外围设备。虚拟设备完全由hypervisor模拟,如下图所示
图8:stage 2映射 一个直通设备被直接分配给vm并映射到ipa地址空间,这使得vm中的软件可用直接访问真实的物理硬件。一个虚拟的外围设备由hypervisor模拟,其stage 2的转换项被标记为fault。虽然vm中的软件看来其是直接与物理设备交互,但实际上这一访问会导致stage 2转换fault,从而进入相应的异常处理程序由hypervisor模拟。 为了模拟一个外围设备,hypervisor需要知道哪一个外围设备被访问,外围设备的哪一个寄存器被访问,是读访问还是写访问,访问长度是多少,以及使用哪些寄存器来传送数据。 当处理stage 1 faults时,far_elx寄存器包含了触发异常的虚拟地址。但虚拟地址不是给hypervisor用的,hypervisor通常不会知道客户操作系统如何配置虚拟地址空间的映射。对于stage 2 faults,有一个专门的寄存器hpfar_el2,该寄存器会报告发生错误的ipa地址。ipa地址空间由hypervisor控制,因此可用利用此寄存器里的信息来进行必要的模拟。 esr_elx寄存器用于报告发生异常的相关信息。当loads或stores一个通用寄存器触发stage 2 fault时,相关异常信息由这些寄存器提供。这些信息包含了,访问的长度,访问的原地址或目的地址。hypervisor可以以此来判断对虚拟外围设备访问的权限。下图展示了一个陷入(trapping) – 模拟(emulating)的访问过程。
图9:外围设备模拟
vm里的软件尝试访问虚拟外围设备,这个例子当中是虚拟uart的接收fifo。
该访问被stage 2转换block住,导致一个abort异常被路由到el2。
异常处理程序查询esr_el2关于异常的信息,如访问长度,目的寄存器,是load还是store操作。
异常处理程序查询hpfar_el2,取得发生abort的ipa地址。
hypervisor通过esr_el2和hpfar_el2里的相关信息对相关虚拟外围设备作模拟,模拟完成后通过eret指令返回vcpu,并从发生异常的下一条指令继续执行。
系统内存管理单元(system memory management units, smmus)
到目前为止,我们只考虑了从处理器发起的各种访问。我们还需要考虑其他主设备如dma控制器发起的访问。我们需要一种方法来扩展stage 2映射以保护这些主设备的地址空间。如果一个dma控制器没有使用虚拟化,那它看起来应该如下图所示
图10:没有虚拟化的dma访问 dma控制器通常由内核驱动编程控制。内核驱动会确保不违背操作系统层面的内存保护原则,即一个应用不能使用dma访问其没有权限访问的其他应用的内存。 下面让我们考虑操作系统运行在虚拟机中的场景。
图11:虚拟化下没有smmu的dma访问 在这个系统中,hyperviosr通过stage 2映射来隔离不同vms的地址空间。这是基于hypervisor控制的stage 2映射表实现的。而驱动则直接与dma控制器交互,这会产生两个问题:
隔离:dma控制器访问在虚拟机之间没有了隔离,这破坏了虚拟机的沙箱功能。
地址空间:利用两级映射转换,使内核看到的pas实际上是ipas。但dma控制器看到的仍然是pas。因此dma控制器和内核看到的是不同的地址空间,为了解决这个问题,每当vm与dma控制器交互时就需要陷入到hypervisor中做必要的转换。这种处理方式是极其没有效率的,且容易出错。
解决的办法是将stage 2的机制推广到dma控制器。这么做的话,这些主设备控制器也需要一个mmu,armv8称之为smmu(通常也称为iommu)。
图12:虚拟化下通过smmu的dma访问 hypervisor负责配置smmu,以使dma控制器看到的物理地址空间与kenrel看到的物理地址空间相同。这样就能解决上述两个问题。 转自:https://calinyara.github.io/technology/2019/11/03/armv8-virtualization.html 相关文章:
简单的移动SoC设计(入门级)
人脸追踪、双目活体对齐……系统梳理人脸识别开发的硬核技巧
商汤科技在北京举办一年一度的人工智能峰会,发布了多款新产品
倍加福积极开拓“轨道交通”应用于新的领域
东莞工业互联网发力共建广东工业互联网产业示范基地
Armv8架构及虚拟化介绍
智能监控系统构建智慧交通
欧普照明发布2018年度业绩快报 行业增速放缓有利于行业洗牌
整流栅的作用及原理介绍
结合了 Go 和 Rust 特性的新语言——Vlang登顶GitHub
电涌保护器外部专用脱离器(SCB)后备保护器产品说明
诺基亚6上市之后卖得还不错!还有分屏多任务功能
预计虚拟现实行业规模2020年将达到1100亿美元,前景可观
电路设计时应该如何考虑偏置电流和失调电流的影响呢?
金鉴实验室提供卤素检测服务
诺基亚8也学小米6的耍猴,说好的和华为p10同一天发布的呢?
基于感测电流串联放置IR电压的光隔离双极电流检测设计方案
锂电巨头于微米间见功夫 宁德时代铸就“大国重器”
安博会首日:海康威视终揭神秘面纱
Maxim推出电池反接及过压保护控制器MAX16914/MA
1)armv8基本概念
(1)执行状态(execution state):处理器运行时的环境,包括寄存器的位宽、支持的指令集、异常模型、内存管理及编程模型等。armv8体系结构定义了两个执行状态:
aarch64:64位的执行状态
提供31个64位的通用寄存器。
提供64位程序计数指针寄存器(program counter,pc)、栈指针寄存器(stack pointer,sp)及异常链接寄存器(exception link register,elr)。
提供a64精简指令集。
定义armv8异常模型,支持4个异常等级:el0~el3。
提供64位的内存模型。
定义一组处理器状态(pstate),用来保存pe(processing element,处理机)的状态。
aarch32:32位的执行状态
提供13个32位的通用寄存器、pc指针寄存器、sp寄存器、链接寄存器。
支持a32和t32两套指令集。
支持armv7-a异常模型。
提供32位的虚拟内存访问机制。
定义一组处理器状态(pstate),用来保存pe的状态。
aarch64状态的异常等级
armv8处理器支持两种执行状态:aarch64状态和aarch32状态。其中aarch64状态是armv8新增的64位执行状态,该状态下运行a64指令集。aarch32状态是为了兼容armv7的32位执行状态,该状态下运行a32指令集或者t32指令集。
aarch64状态的异常等级,决定了处理器当前运行的特权级别,类似于armv7中的特权等级。
el0:用户特权,用于运行普通用户程序。
el1:系统特权,通常用于操作系统内核,比如linux、rtos。如果系统使能了虚拟化扩展,运行虚拟机操作系统内核。
el2:运行虚拟化扩展的虚拟机监控器(hypervisor)。
el3:运行安全世界中的安全监控器(secure monitor)。
armv8允许切换应用程序的运行模式,在一个64位操作系统的armv8处理器中,我们可以同时运行a64指令集和a32指令集的应用程序,但是32位操作系统的armv8处理器中,就不能运行a64指令集的应用程序了。
armv8体系结构提供2种安全状态:secure和non-secure。secure state和non-secure state将运行环境划分为normal world和secure world,el3只存在于secure state。每种安全状态有独立的物理地址空间范围,在secure state,处理器可以访问secure和non-secure的物理地址空间范围。在non-secure state,处理器只能访问non-secure的物理地址空间范围。
异常等级之间的切换:
supervisor call(svc)指令:el0的软件向el1(os service)申请软件服务。
hypervisor call(hvc)指令:主要被el1(guest os)请求hypervisor(el2)服务。
secure monitor caller(smc)指令:el3用来切换安全非安全世界。
eret指令用于异常返回,返回地址和处理器状态是从当前el(exception level)下的elr和spsr寄存器中恢复的。eret 指令可用于返回到 cpu 支持的相同或任何较低的异常级别。如果存储在 spsr_el3.m[4:0] 中的已保存模式字段,设置为 0b00101 或 0b00100,其中位m[ 3:2] 将异常级别编码为1,然后在 el3 执行的 eret 指令将返回到 el1。
(2)armv8指令集:根据不同的执行状态,提供不同的指令集支持,支持如下指令集。
a64指令集:运行在aarch64状态下,提供64位指令集支持。a64指令集是armv8新增的,和a32采用了不同的指令编码,所以跟a32不兼容。a64可以处理64位宽的寄存器和数据,使用64位的指针来访存,但是a64指令集的指令宽度是32位。
a32指令集:运行在aarch32状态下,提供32位a32指令集支持。
t32指令集:运行在aarch32状态下,提供16位和32位thumb指令集支持。
2)armv8特性
使用64位体系结构,因此处理器可以访问远超4gb的物理地址空间。虽然是64位体系结构,但是一般并不使用64位地址总线,例如使用48位,即可以访问256tb的物理地址空间。在32位arm体系结构中,如果不使能lpae(large physical address extension)功能,最多只能访问4gb物理地址空间。即使使能了lpae功能,也只是将物理地址空间的寻址能力扩展到40位,也就是1tb。
提供64位的虚拟地址寻址,从而扩大了进程的虚拟地址空间。在32位arm体系结构中,即使使能了lape功能,也只是扩展了物理地址空间,但是进程的虚拟地址空间还是只有4gb。扩大虚拟地址空间之后,可以使用memory map的方式映射更大的文件到进程虚拟地址空间中,从而提高io的效率。
通过automatic event signaling机制,实现高性能低功耗的spinlock。
提供31个64位通用寄存器,可减少对栈的使用,减少访存的频率,从而提升性能。在armv7体系结构的aapcs(arm architecture procedure call standard)中,前4个参数使用寄存器传递,大于4个的参数部分需要使用栈传递,也就是需要访问内存。而在armv8体系结构中,可以使用寄存器传递前8个参数,从而减少了对栈的使用。
提供基于pc寄存器±4gb的相对寻址范围,提高了相对寻址效率,可以提升动态库和位置无关代码的执行效率。
支持16kb & 64kb的分页粒度,可以减少页表级数,同时提高tlb命中率。
全新的异常处理模型,更加利于操作系统和虚拟化的实现。
设计了全新的load-acquire和store-release指令,在线程安全的代码中,不再需要显式的内存屏障指令,从而提升了性能。
3)armv8寄存器
(1)通用寄存器
aarch64执行状态支持31个64位通用寄存器(x0~x30),aarch32状态支持16个32位通用寄存器。
通用寄存器
(2)状态寄存器
状态寄存器
(3)特殊寄存器
特殊寄存器
当运行异常处理程序时,处理器会把pstate寄存器的值暂时保存在spsr(saved program status register,spsr)里。当异常处理完返回时,再把spsr的值恢复到pstate寄存器。
(4)系统寄存器
通过访问和设置这些系统寄存器,来完成对处理器不同的功能配置。armv8支持7类系统寄存器:
通用系统控制寄存器
调试寄存器
性能监控寄存器
活动监控寄存器
统计扩展寄存器
ras寄存器
通用定时器寄存器
系统寄存器支持不同的异常等级访问,具体的访问规则如下:
reg_el1:处理器处于el1、el2、el3时,都可以访问该寄存器。
reg_el2:处理器处于el2、el3时,可以访问寄存器。
大部分系统寄存器不支持处理器处于el0时访问,但也有例外,比如ctr_el0。
通过msr、mrs指令访问系统寄存器。
1 综述
本文描述了armv8-a aarch64的虚拟化支持。包括stage 2页表转换,虚拟异常,以及陷阱。本文介绍了一些基础的硬件辅助虚拟化理论以及一些hypervisor如何利用这些虚拟化特性的例子。文本不会讲述某一具体的hypervisor软件是如何工作的以及如何开发一款hypervisor软件。通过阅读本文,你可以学到两种类型的hypervisor以及它们是如何映射到arm的异常级别。你将能解释陷阱是如何工作的以及其是如何被用来进行各种模拟操作。你将能描述hypervisor可以产生什么虚拟异常以及产生这些虚拟异常的机制。理解本文内容需要一定基础,本文假定你熟悉armv8体系结构的异常模型和内存管理。 1.1 虚拟化简介 这里我们将介绍一些基础的hypervisor和虚拟化的理论知识。如果你已经有一定的基础或是已经熟悉了这些概念,可以跳过这部分内容。我们用hypervisor这个词来定义一种负责创建,管理以及调度虚拟机(virtual machines, vms)的软件。
虚拟化为什么重要
虚拟化是一种在现代云计算和企业基础架构中广泛使用的技术。开发人员用虚拟机在一个硬件平台上运行多个不同的操作系统来开发和测试软件,以避免对主计算环境造成可能的破坏。虚拟化技术在服务器上非常流行,大多数面向服务器的处理器都需要支持虚拟化功能,这是因为虚拟化能给数据中心服务器带来如下一些需要的特性:
隔离:利用虚拟化可以对同一个物理核上运行的虚拟机进行隔离。这使得相互间不可信的的计算环境可以共享同一套硬件环境。例如,两个竞争对手可以共享同一个物理机器而又不能访问对方的数据。
高可用性:虚拟化可以在不同的物理机器之间无缝透明地迁移负载。这个技术广泛用于将负载从出错的硬件平台迁移至其他可用平台,以便维护和替换出错的硬件而不影响服务。
负载均衡:为了降低数据中心硬件和功耗成本,需要尽可能充分地利用硬件平台资源。将负载均衡地迁移到不同地物理机上,有利用充分利用物理机资源,降低功耗,同时为租户提供最佳性能。
沙箱:虚拟机可以作为一个沙箱来为运行在其中的应用屏蔽其他软件的干扰,或者避免其干扰其他软件。例如在虚拟机中运行特定软件,可以避免该软件的bug或病毒导致物理机器上的其他软件损坏。
1.2 hypervisor的两种类型
hypervisor通常被分成两种类型,独立类型type 1和寄生类型 type 2。我们先看看type 2类型的hypervisor。对于type 2类型的hypervisor,其寄生的宿主操作系统拥有对硬件平台和资源(包括cpu和物理内存…)的全部控制权。下图展示了type 2类型的hypervisor。
图1:type 2 hypervisor 宿主操作系统,指的是直接运行在硬件平台上并为type 2类型的hypervisor提供运行环境的操作系统。这类hypervisor可以充分利用宿主操作系统对物理硬件的管理功能,而hypervisor只需提供虚拟化相关功能即可。不知你是否使用过virtual box或是vmware workstation, 这类软件就是type 2类型的hypervisor。 接下来,看看独立类型的type 1 hypervisor, 如图2。这类hypervisor没有宿主操作系统。其直接运行在物理硬件之上,直接管理各种物理资源,同时管理并运行客户机操作系统。
图2:type 1 hypervisor 在开源社区常见的hypervisor, xen (type 1) 和 kvm (type 2)就分属这两种不同的类型。其他开源的或知识产权的hypervisor,可参见wiki。
1.3 全虚拟化和半虚拟化
关于虚拟机,经典定义是:虚拟机是一个独立的隔离的计算环境,这种计算环境让使用者看起来就像在使用真实的物理机器一样。尽管我们可以在基于arm的硬件平台上模拟真实硬件,但这通常不是最有效的做法,因此我们常常不这么做。例如,模拟一个真实的以太网设备是非常慢的,这是因为对任何一个模拟寄存器的访问都会陷入到hypervisor当中进行模拟。比起直接访问物理寄存器来说,这种操作的代价要昂贵得多。一个替代方案是修改客户操作系统,使之意识到自身运行在虚拟机当中,通过在hypervisor中模拟一个虚拟设备来给客户机使用。以此来换取更好得i/o性能。严格来说,全虚拟化需要完全模拟真实硬件,性能上会比较差。开源项目xen推进了半虚拟化,通过修改客户机操作系统的核心部分使其更适合在虚拟环境中运行,以此来提高性能。 另一个使用半虚拟化的原因是早期的体系结构并不是为虚拟化而设计的,存在虚拟化漏洞。因为虚拟化要求所有敏感指令或访问敏感资源的指令都能被截获模拟。对于存在虚拟化漏洞的体系结构,则需要通过半虚拟化的方案来填补漏洞。而今,大多数体系机构都支持硬件辅助虚拟化,包括arm。这使得操作系统的核心部分无需修改也能获得较好得性能。只有少数存储和网络相关的i/o设备仍然采用半虚拟化的方案来改善性能,这类半虚拟化的方案如,virtio 和 xen pv bus。
1.4 虚拟机(vm)和虚拟cpu (vcpu)
有必要区分虚拟机(vm)和虚拟cpu(vcpu)。这有利于理解本文的后续部分。例如,一个内存页面可以分配给一个虚拟机,因此所有属于该vm的vcpus都可以访问它。而一个虚拟中断只是针对某个vcpu,因此只有该vcpu可以收到。虚拟机(vm)和虚拟cpu(vcpu)的关系如图3所示。
图3:vm vs vcpu 注意:arm体系结构定义了处理单元(processing element, pe)一词,现代cpu可能包含多个内核或线程,pe用来指代单一的执行单元。同样的这里的vcpu严格来说应该是vpe。
2 aarch64的虚拟化
对于armv8, hypervisor运行在el2异常级别。只有运行在el2或更高异常级别的软件才可以访问并配置各项虚拟化功能。
stage 2转换
el1/0指令和寄存器访问
注入虚拟异常
安全状态和非安全状态下的异常级别及可运行的软件如图4所示
图4:aarch64的虚拟化 注意:安全状态的el2用灰色显示是因为,安全状态的el2并不总是可用,这是armv8.4-a引入的特性。
2.1 stage 2 转换
什么是stage 2 转换
stage 2 转换允许hypervisor控制虚拟机的内存视图。具体来说,其可以控制虚拟机是否可以访问特定的某一块物理内存,以及该内存块出现在虚拟机内存空间的位置。这种能力对于虚拟机的隔离和沙箱功能来说至关重要。这使得虚拟机只能看到分配给它自己的物理内存。为了支持stage 2 转换, 需要增加一个页表,我们称之为stage 2页表。操作系统控制的页表转换称之为stage 1转换,负责将虚拟机视角的虚拟地址转换为虚拟机视角的物理地址。而stage 2页表由hypervisor控制,负责将虚拟机视角的物理地址转换为真实的物理地址。虚拟机视角的物理地址在armv8中有特定的词描述,叫中间物理地址(intermediate physical address, ipa)。 stage 2转换表的格式和stage 1的类似,但也有些属性的处理不太一样,例如,判断内存类型 是normal 还是 device的信息被直接编码进了表里,而不是通过查询mair_elx寄存器。
图5:地址转换, va to ipa to pa
vmid
每一个虚拟机都被分配一个id号,称之为vmid。这个id号用于标记某个特定的tlb项属于哪一个vm。vmid使得不同的vm可以共享同一块tlb缓存。vmid存储在寄存器vttbr_el2中,可以是8或16比特,由vtcr_el2.vs比特位控制,其中16比特的vmid支持是在armv8.1-a中扩展的,是可选的。需注意,el2和el3的地址转换不需要vmid标记,因为它们不需要stage 2转换。
vmid vs asid
tlb项也可以用asid(address space identifier)标记,每个应用都被操作系统分配有一个asid,所有属于同一个应用的tlb项都有相同的asid。这使得不同应用可以共享同一块tlb缓存。每一个vm有它自己的asid空间。例如两个不同的vms同时使用asid 5,但指的是不同的东西。对于虚拟机而言,通常vmid会结合asid同时使用。
属性整合和覆盖
stage 1 和 stage 2映射都包含属性,例如存储类型,访问权限等。内存管理单元(mmu)会将两个阶段的属性整合成一个最终属性,整合的原则是选择更有限制的属性。且看如下例子:
图6:映射属性整合 在上面的例子中,device属性比起normal属性更具限制性,因此最终结果是device属性。同样的原理,如果你将顺序调换一下也不会改变最终的属性。 属性整合在大多数情况下都可以工作。但有些时候,例如在vm的早期启动阶段,hypervisor希望改变默认的行为,则可以通过如下寄存器比特来实现。
hcr_el2.cd: 控制所有stage 1属性为non-cacheable。
hcr_el2.dc:强制所有stage 1属性为normal,write-back cacheable。
hcr_el2.fwb (armv8.4-a引入):使用stage 2属性覆盖stage 1属性,而不是使用默认的限制性整合原则。
模拟mmio
与物理机器的物理地址空间类似,vm的ipa地址空间包含了内存与外围设备两种区域。如下图所示
图7:模拟mmio vm使用外围设备区域来访问其看到的物理外围设备,这其中包含了直通设备和虚拟外围设备。虚拟设备完全由hypervisor模拟,如下图所示
图8:stage 2映射 一个直通设备被直接分配给vm并映射到ipa地址空间,这使得vm中的软件可用直接访问真实的物理硬件。一个虚拟的外围设备由hypervisor模拟,其stage 2的转换项被标记为fault。虽然vm中的软件看来其是直接与物理设备交互,但实际上这一访问会导致stage 2转换fault,从而进入相应的异常处理程序由hypervisor模拟。 为了模拟一个外围设备,hypervisor需要知道哪一个外围设备被访问,外围设备的哪一个寄存器被访问,是读访问还是写访问,访问长度是多少,以及使用哪些寄存器来传送数据。 当处理stage 1 faults时,far_elx寄存器包含了触发异常的虚拟地址。但虚拟地址不是给hypervisor用的,hypervisor通常不会知道客户操作系统如何配置虚拟地址空间的映射。对于stage 2 faults,有一个专门的寄存器hpfar_el2,该寄存器会报告发生错误的ipa地址。ipa地址空间由hypervisor控制,因此可用利用此寄存器里的信息来进行必要的模拟。 esr_elx寄存器用于报告发生异常的相关信息。当loads或stores一个通用寄存器触发stage 2 fault时,相关异常信息由这些寄存器提供。这些信息包含了,访问的长度,访问的原地址或目的地址。hypervisor可以以此来判断对虚拟外围设备访问的权限。下图展示了一个陷入(trapping) – 模拟(emulating)的访问过程。
图9:外围设备模拟
vm里的软件尝试访问虚拟外围设备,这个例子当中是虚拟uart的接收fifo。
该访问被stage 2转换block住,导致一个abort异常被路由到el2。
异常处理程序查询esr_el2关于异常的信息,如访问长度,目的寄存器,是load还是store操作。
异常处理程序查询hpfar_el2,取得发生abort的ipa地址。
hypervisor通过esr_el2和hpfar_el2里的相关信息对相关虚拟外围设备作模拟,模拟完成后通过eret指令返回vcpu,并从发生异常的下一条指令继续执行。
系统内存管理单元(system memory management units, smmus)
到目前为止,我们只考虑了从处理器发起的各种访问。我们还需要考虑其他主设备如dma控制器发起的访问。我们需要一种方法来扩展stage 2映射以保护这些主设备的地址空间。如果一个dma控制器没有使用虚拟化,那它看起来应该如下图所示
图10:没有虚拟化的dma访问 dma控制器通常由内核驱动编程控制。内核驱动会确保不违背操作系统层面的内存保护原则,即一个应用不能使用dma访问其没有权限访问的其他应用的内存。 下面让我们考虑操作系统运行在虚拟机中的场景。
图11:虚拟化下没有smmu的dma访问 在这个系统中,hyperviosr通过stage 2映射来隔离不同vms的地址空间。这是基于hypervisor控制的stage 2映射表实现的。而驱动则直接与dma控制器交互,这会产生两个问题:
隔离:dma控制器访问在虚拟机之间没有了隔离,这破坏了虚拟机的沙箱功能。
地址空间:利用两级映射转换,使内核看到的pas实际上是ipas。但dma控制器看到的仍然是pas。因此dma控制器和内核看到的是不同的地址空间,为了解决这个问题,每当vm与dma控制器交互时就需要陷入到hypervisor中做必要的转换。这种处理方式是极其没有效率的,且容易出错。
解决的办法是将stage 2的机制推广到dma控制器。这么做的话,这些主设备控制器也需要一个mmu,armv8称之为smmu(通常也称为iommu)。
图12:虚拟化下通过smmu的dma访问 hypervisor负责配置smmu,以使dma控制器看到的物理地址空间与kenrel看到的物理地址空间相同。这样就能解决上述两个问题。 转自:https://calinyara.github.io/technology/2019/11/03/armv8-virtualization.html 相关文章:
简单的移动SoC设计(入门级)
人脸追踪、双目活体对齐……系统梳理人脸识别开发的硬核技巧
商汤科技在北京举办一年一度的人工智能峰会,发布了多款新产品
倍加福积极开拓“轨道交通”应用于新的领域
东莞工业互联网发力共建广东工业互联网产业示范基地
Armv8架构及虚拟化介绍
智能监控系统构建智慧交通
欧普照明发布2018年度业绩快报 行业增速放缓有利于行业洗牌
整流栅的作用及原理介绍
结合了 Go 和 Rust 特性的新语言——Vlang登顶GitHub
电涌保护器外部专用脱离器(SCB)后备保护器产品说明
诺基亚6上市之后卖得还不错!还有分屏多任务功能
预计虚拟现实行业规模2020年将达到1100亿美元,前景可观
电路设计时应该如何考虑偏置电流和失调电流的影响呢?
金鉴实验室提供卤素检测服务
诺基亚8也学小米6的耍猴,说好的和华为p10同一天发布的呢?
基于感测电流串联放置IR电压的光隔离双极电流检测设计方案
锂电巨头于微米间见功夫 宁德时代铸就“大国重器”
安博会首日:海康威视终揭神秘面纱
Maxim推出电池反接及过压保护控制器MAX16914/MA