Xen虚拟化技术

Xen的整体框架如下图所示。它分为三层，从底层到上层依次是物理层、VMM、Domain。VMM层也就是Xen Hypervisor，负责为上层操作系统提供虚拟化的硬件资源，负责管理和分配这些资源，并确保上层虚拟机（也称为虚拟域Domain）之间的相互隔离。Xen采用混合模式，因而设定了一个特权域用以辅助Xen管理其他的域，并提供虚拟资源服务，该特权域称为Domain0，而其余的域则称为DomainU。

下面按层次来介绍Xen的结构。底层硬件不进行过多赘述。

VMM层

• 控制接口

控制接口也称为特权控制接口，仅能被Dom0使用，用于帮助Domain0控制管理其他Domain。控制接口提供的具体功能包括Domain的创建。控制接口的具体功能包括Domain的创建、销毁、暂停、恢复及迁移，对其他Domain的CPU调度，内存分配以及设备访问等。

• 安全硬件接口

提供除虚拟CPU、MMU之外的所有硬件虚拟工作，包括DMA/IO、驱动程序、虚拟的PCI地址配置、虚拟硬件中断等。该接口只能被具有原生设备驱动的Domain使用，而对于其他Domain仅通过设备通道提供虚拟硬件服务。

• VCPU

Xen为每个Domain建立了VCPU结构，用以接收Guest OS中传递的指令，其中大部分的指令被VCPU直接提交到屋里CPU执行，而对于特权指令则需要经过确认之后交由Xen代为执行。

• 虚拟MMU

用于帮助Guest OS完成虚拟地址到物理地址的转换。Xen系统中增加了客户物理地址层，因而地址由原来的二层结构变为三层结构。Xen通过虚拟MMU仍能使用硬件MMU来完成地址转换。

• 事件通道

是用于Domain和Xen之间、Domain相互之间的一种异步事件通知机制，用于处理Guest OS的虚拟中断、物理中断以及Domain之间的通信。事件通道是Xen系统的基本机制，与超级调用一起在Xen各个虚拟子系统中起到重要的作用。

虚拟域层

在硬件虚拟化技术诞生之后，从Xen3.0开始就能够支持不修改内核的Guest OS。运行未修改内核的操作系统的Domain称为硬件虚拟机（HVM）。现在，运行在Xen上的虚拟域包括四种类型：特权域（Domain0）、独立设备驱动域（IDD）、硬件虚拟域、非特权域（DomainU）。

• 特权域

上述已经提到过了特权域，特权域Domain0在整个Xen系统中是独一无二的。Domain0随着Xen的启动而被创建，是第一个被创建的Domain。Domain0拥有原生设备驱动，具有直接访问硬件设备的特权，并通过和Xen提供的控制接口进行交互来控制和管理其他虚拟域。

运行在Dom0中的控制面板能够控制其它Domain的创建、销毁、配置和迁移;设备管理器则负责设备驱动的初始化和管理设备的访问，在访问设备过程中， 与直接模拟真实的物理设备不同，Xen向其他Domain提供的是抽象的设备，例如，其它Domain通过网卡的前端驱动所看到的网卡设备仅仅是一个通用 的网卡类设备，而非具体的某一个网卡，在接收到其它Domain通过网卡的前端驱动发送的I/O请求后，Dom0则利用网卡的后端驱动来确定具体的网卡， 并交由原生驱动完成I/O请求。

• 独立设备驱动域（IDD）

在最简单的Xen结构中，只存在一个特权域Dom0,这时Xen就好像一个硬件设备抽象层，将复杂的x86架构隐藏起来，所有的硬件设备被Dom0的 Guest OS控制，但这种结构存在很大的问题，若一个特殊设备驱动包含了一些漏洞，那它就有可能摧毁整个Dom0的内核，从而导致整个系统崩溃，为此，将设备驱动 由Dom0移入另一个虚拟域中，一方面可降低Dom0的运行负载，另一个方面杨也可减低系统的风险，一旦虚拟域由于使用设备驱动出面故障，Dom0就可以 很方便地重启该虚拟域，这些经过Dom0授权、能够使用特定设备驱动的虚拟域称为独立设备驱动域（Isolated Driver Domain,IDD）。可以避免由于DMA需求和I/O中断对Guest OS造成的影响。

• 硬件虚拟域（HVM）

Xen3.0支持运行未修改内核的Guest OS，但这需要使用特殊硬件技术的支技，例如Intel的VT-x或AMD的ADM-V技术。运行这些Guest OS的虚拟域称为硬件虚拟域;由于Guest OS没有修改内核，因此Guest OS不能直接支持Xen在半虚拟化下采用的分离设备驱动模型，这意味着Xen必须模拟出Guest OS能够支持的环境。若HVM中的Guest OS要使用Xen的半虚拟化技术，则必须先通过执行CPUID指令支访问一个特殊的虚拟寄存器和超级调用页面，然后同其他Domain中的Guest OS一样，通过修改超级调用页表来发布新的超级调用。

• 非特权域（DomainU）

严格来讲，DomU是指除了Dom0之外的Domain，但由于IDD经过Dom0授权后能够使用设备驱动直接访问物理设备，因而IDD也属于“特权 域”，因此，DomU是除了Dom0和IDD之外的Domain，包括前面提到的HVM;相对Dom0 来说，DomU受到了许多限制，首当其冲的是对硬件访问，无论是HVM还是一般的DomU都不能直接访问物理设备，必须借助于Dom0或IDD才能完成。

虚拟域内部功能模块

• 设备管理器

设备管理器位于Domian0和IDD（Independent Device Domain）中，可作为系统BIOS的扩展，用于向所有的设备提供通用的管理接口，并负责在Domain启动时加载特定的设备驱动、建立管理设备通道、提供硬件配置接口并处理设备访问的错误。

• 控制面板

控制面板是运行在Dom0中的一系列软件集合，用于同Xen中的控制接口交互，完成对整个Xen系统的管理工作，相当于系统的总控制台。它能够控制其他Domain的创建、销毁、配置和迁移。

• 原生设备驱动

原生设备驱动是指原来操作系统中所使用的普通设备驱动。在Xen系统中，只有经过授权的Domain才有权使用原生的设备驱动访问真实的硬件设备。通过支持原生设备驱动，Xen能够最大限度地利用操作系统中个设备驱动，减少Xen的开发难度，提高了效率，通过安全硬件接口，这些原生设备驱动能够限定在特定的I/O空间中，为Domain提供设备访问服务。

• 前端/后端设备驱动

前端/后端设备驱动共同组成了Xen的分离设备驱动模型，其负责完成Domain对硬件设备的访问。其中，位于其它Domain内的前端设备驱动将I/O将I/O请求发送给Domain0（或IDD）内的后端设备驱动，后端设备驱动接收I/O请求，并对其进行安全检查，然后将通过安全检查的I/O请求交由原生设备驱动处理。

• 设备模型

设备模型是在Xen支持硬件虚拟化技术后被引入Domain0的，它主要用来处理硬件虚拟机（即VT技术使Guest OS不用修改）Guest OS对设备的访问，设备模型访问的模型主要基于QEMU。

Xen虚拟化技术

Xen从系统的三个方面进行虚拟化：CPU虚拟化、内存虚拟化、I/O虚拟化

CPU虚拟化

（1）半虚拟化

前面提到x86体系结构中，部分敏感指令不是特权指令，这些指令不能自动产生异常，因此想要系统正常运行就必须要捕获这些指令。于是Xen采用修改Guest OS内核的方法对这些有缺陷的指令进行替换。在这种模式下，Xen位于操作系统和硬件之间，为其上运行的Guest OS内核提供虚拟化的硬件环境。这时候，Xen运行在最高特权级的ring0，操作系统被特权解除，运行在ring1，ring3运行应用程序，构成虚拟机系统中的“0/1/3模型”。当Xen占据最高特权级时，在Xen下运行的Guest OS内核将无法运行某些特权指令，并将产生一般保护错误，Xen必须通过超级调用向提供执行这些特权指令的接口。下图是虚拟化前后的特权级的变化。

（2）硬件虚拟化

上述的半虚拟化方法是在最开始没有硬件虚拟化技术支持的情况下的一种解决方案。不过为了克服半虚拟化带来的不便，如：修改Guest OS、性能开销。现在Intel、AMD都在硬件层面上支持虚拟化了，就是我们熟知的Intel VT、AMD VT等技术。在硬件虚拟化技术的支持下，那些原本有缺陷的指令能够直接通过硬件被捕获，也就不需要修改Guest OS内核，从而提高了系统的可移植性。

内存虚拟化

在半虚拟化模式下，Xen的内存虚拟化通过内存分段保护机制，使得Xen和Guest OS共存于同一个内存地址空间中，简化了Xen对Domain内存的分配和管理工作，同时利用内存分页机制，Xen可保证各Domain在内存上的有效隔离（这是利用了分页机制隔离进程的思想）。下图就是Xen和Guest OS共存的内存地址空间。

I/O虚拟化

在半虚拟化模式下，Xen采用了分离设备驱动模型来实现I/O的虚拟化。该模型将设备驱动划分为前端驱动程序、后端驱动程序和原生驱动三个部分，其中前端驱动在DomU中运行，而后端驱动和原生驱动在Dom0（IDD）中运行。前端驱动负责将Guest OS的I/O请求传递到Dom0（IDD）中的后端驱动，后端驱动对I/O请求解析并映射到物理设备，提交给相应的设备驱动程序控制硬件完成I/O操作。

后端驱动检查接收到的I/O请求的有效性，并进行虚拟设备地址到物理设备地址的转换。转换之后，后端驱动将通过Dom0（IDD）中Guest OS提供I/O接口，间接地控制原生设备驱动完成提交的请求。

前端驱动和后端驱动之间I/O请求的传递是通过Xen内部的一个环形队列（I/O环）来实现的，其结构如下图所示。I/O环实际上是Xen提供的一块供DomU和Dom0（IDD）访问的共享内存。