עקרונות כלליים של פעולת QEMU-KVM

ההבנה הנוכחית שלי:

1) KVM

KVM (מחשב וירטואלי מבוסס ליבה) הוא היפרוויזר (VMM - Virtual Machine Manager) הפועל כמודול במערכת ההפעלה לינוקס. יש צורך ב-Hypervisor על מנת להפעיל תוכנה כלשהי בסביבה לא קיימת (וירטואלית) ובמקביל להסתיר מתוכנה זו את החומרה הפיזית האמיתית עליה תוכנה זו פועלת. ה-Hypervisor פועל כ"מרווח" בין החומרה הפיזית (מארח) למערכת ההפעלה הוירטואלית (אורח).

מכיוון ש-KVM הוא מודול סטנדרטי של ליבת לינוקס, הוא מקבל את כל הטובים הנדרשים מהקרנל (ניהול זיכרון, מתזמן וכו'). ובהתאם לכך, בסופו של דבר, כל ההטבות הללו מגיעות לאורחים (שכן האורחים עובדים על היפרוויזר שפועל על/בקרנל של מערכת ההפעלה Linux).

KVM הוא מהיר מאוד, אבל כשלעצמו זה לא מספיק כדי להפעיל מערכת הפעלה וירטואלית, כי... זה דורש אמולציית I/O. עבור I/O (CPU, דיסקים, רשת, וידאו, PCI, USB, יציאות טוריות וכו') KVM משתמש ב-QEMU.

2) QEMU

QEMU (Quick Emulator) הוא אמולטור למכשירים שונים המאפשר להריץ מערכות הפעלה המיועדות לארכיטקטורה אחת על אחרת (לדוגמה, ARM -> x86). בנוסף למעבד, QEMU מחקה מכשירים היקפיים שונים: כרטיסי רשת, HDD, כרטיסי מסך, PCI, USB וכו'.

זה עובד ככה:

הוראות/קוד בינארי (לדוגמה, ARM) מומרים לקוד ביניים בלתי תלוי בפלטפורמה באמצעות ממיר TCG (Tiny Code Generator) ואז הקוד הבינארי הבלתי תלוי בפלטפורמה מומר להוראות/קוד יעד (לדוגמה, x86).

ARM –> intermediate_code –> x86

בעיקרון, אתה יכול להריץ מכונות וירטואליות על QEMU על כל מארח, אפילו עם דגמי מעבדים ישנים יותר שאינם תומכים ב-Intel VT-x (טכנולוגיית וירטואליזציה של אינטל) / AMD SVM (AMD Secure Virtual Machine). עם זאת, במקרה זה, זה יעבוד לאט מאוד, בשל העובדה שיש צורך להדר מחדש את הקוד הבינארי המבצע פעמיים, באמצעות TCG (TCG הוא מהדר Just-in-Time).

הָהֵן. QEMU עצמו הוא מגה מגניב, אבל זה עובד לאט מאוד.

3) טבעות הגנה

קוד תוכנית בינארי במעבדים עובד מסיבה מסוימת, אבל הוא ממוקם ברמות שונות (טבעות / טבעות הגנה) עם רמות שונות של גישה לנתונים, מהמועדפים ביותר (טבעת 0), ועד המוגבלים ביותר, המוסדרים ו"עם האומים מהודקים " (טבעת 3).

מערכת ההפעלה (קרנל OS) פועלת על Ring 0 (מצב ליבה) ויכולה לעשות מה שהיא רוצה עם כל נתונים ומכשיר. יישומי משתמש פועלים ברמת הטבעת 3 (מצב משתמש) ואינם מורשים לעשות מה שהם רוצים, אלא חייבים לבקש גישה בכל פעם כדי לבצע פעולה מסוימת (לפיכך, ליישומי משתמש יש גישה רק לנתונים שלהם ואינם יכולים "לקבל לתוך" ארגז החול של מישהו אחר). טבעת 1 ו-2 מיועדות לשימוש על ידי נהגים.

לפני המצאת Intel VT-x / AMD SVM, היפרוויזורים פעלו על צלצול 0, והאורחים רצו על צלצול 1. מכיוון שלצלצול 1 אין מספיק זכויות לפעולה רגילה של מערכת ההפעלה, עם כל שיחה מוסמכת ממערכת האורחת, hypervisor היה צריך לשנות את הקריאה הזו תוך כדי תנועה ולבצע אותה על טבעת 0 (בדומה ל-QEMU). הָהֵן. אורח בינארי לא בוצע ישירות על המעבד, וכל פעם עבר כמה שינויים ביניים תוך כדי תנועה.

התקורה הייתה משמעותית וזו הייתה בעיה גדולה, ואז יצרני המעבדים, ללא תלות זה בזה, פרסמו סט הוראות מורחב (Intel VT-x / AMD SVM) שאפשרו ביצוע קוד מערכת הפעלה אורחים בצורה ישירה על המעבד המארח (עקיפת כל שלבי ביניים יקרים, כפי שהיה לפני כן).

עם כניסתו של Intel VT-x / AMD SVM, נוצרה טבעת חדשה מיוחדת ברמה -1 (מינוס אחת). ועכשיו ה-Hypervisor פועל עליו, והאורחים פועלים על Ring 0 ומקבלים גישה מועדפת ל-CPU.

הָהֵן. בסופו של דבר:

• המארח פועל על טבעת 0
• אורחים עובדים על טבעת 0
• hypervisor פועל על טבעת -1

4) QEMU-KVM

KVM נותן לאורחים גישה ל-Ring 0 ומשתמש ב-QEMU כדי לחקות את ה-I/O (מעבד, דיסקים, רשת, וידאו, PCI, USB, יציאות טוריות וכו' שהאורחים "רואים" ועובדים איתן).

מכאן QEMU-KVM (או KVM-QEMU) :)

קרדיטים
תמונה למשוך תשומת לב
תמונה של טבעות הגנה

נ.ב. הטקסט של מאמר זה פורסם במקור בערוץ הטלגרם @RU_Voip כתשובה לשאלה של אחד ממשתתפי הערוץ.

כתבו בתגובות איפה אני לא מבין נכון את הנושא או אם יש מה להוסיף.

תודה לך!

מקור: www.habr.com