x86平台三种不同的虚拟化之路

x86平台三种不同的虚拟化之路

从1998年开始，VMware创造性的将虚拟化引入x86平台，通过二进制翻译（BT，Binary Translation）和直接执行的模式，让x86芯片可以同时运行不同的几种操作系统，并且确保性能、稳定性和安全性。从那时起，数以万计的企业已经从虚拟化中获得了极大的收益。但是，关于虚拟化的几种实现方式，引起了很多误解，为此，希望通过此文澄清几种虚拟化道路的优缺点，以及VMware公司对几种虚拟化之路的支持情况。图1总结了x86虚拟化技术的进展情况，从VMware的BT最近的内核部分虚拟化和硬件辅助虚拟化。

1. x86虚拟化概览

所谓x86服务器的虚拟化，就是在硬件和操作系统之间引入了虚拟化层，如图2所示。虚拟化层允许多个操作系统实例同时运行在一台物理服务器上，动态分区和共享所有可用的物理资源，包括：CPU、内存、存储和I/O设备。

图2. x86架构上的虚拟化层

近年来，随着服务器和台式机的计算能力急剧增加，虚拟化技术应用广泛普及，很多用户已经在开发/测试、服务器整合、数据中心优化和业务连续性方面证实了虚拟化的效用。虚拟架构已经可以将操作系统和应用从硬件上分离出来，打包成独立的、可移动的虚拟机，从来带来了极大的灵活性。例如：现在可以通过虚拟架构，让服务器7x24x365运行，避免因为备份或服务器维护而带来的停机。已经有用户在VMware平台上运行3年而没有发生任何的停机事件。

对于x86虚拟化，有两种常见的架构：寄居架构和裸金属架构。寄居架构将虚拟化层运行在操作系统之上，当作一个应用来运行，对硬件的支持很广泛。相对的，裸金属架构直接将虚拟化层运行在x86的硬件系统上，可以直接访问硬件资源，无需通过操作系统来实现硬件访问，因此效率更高。VMware Player、ACE、Workstation和VMware Server都是基于寄居架构而实现的，而VMware ESX Server是业界第一个裸金属架构的虚拟化产品，目前已经发布了第四代产品。ESX Server需要运行在VMware认证的硬件平台上，可以提供出色的性能，完全可以满足大型数据中心对性能的要求。

为了更好的理解x86平台虚拟化，在此简要介绍一下部件虚拟化的背景。虚拟化层是运行在虚拟机监控器（VMM，Virtual Machine Monitor）上面、负责管理所有虚拟机的软件。如图3所示，虚拟化层就是hypervisor（管理程序）直接运行在硬件上，因此，hypervisor 的功能极大地取决于虚拟化架构和实现。运行在hypervisor（管理程序）上的每个VMM进行了硬件抽取，负责运行传统的操作系统。每个VMM必须进行分区和CPU、内存和I/O设备的共享，从而实现系统的虚拟化。

图3. Hypervisor通过VMM管理虚拟机

2. CPU虚拟化

根据原来的设计，x86上的操作系统需要直接运行在裸机上，因此默认拥有和控制所有的硬件。如图4所示，x86架构提供了四种特权级别Ring 0、1、2和3，通过这四种级别来控制和管理对硬件的访问。通常，用户级的应用一般运行在Ring 3级别，操作系统需要直接访问内存和硬件，需要在Ring 0执行它的特权指令。为了虚拟x86架构，需要在操作系统下面运行虚拟化层，由虚拟化层来创建和管理虚拟机，进行共享资源分配。而有些敏感指令不能很好的进行虚拟化，它们在Ring 0以外级别执行时，会出现不同的结果。如何在运行时捕获和翻译这些敏感指令成为x86虚拟化的一大挑战，使得x86架构虚拟化最初是不可能的。

图4. x86架构虚拟化前的特权级别

VMware在1998年成功克服了这个难点，开发出了BT技术，从而将操作系统移到Ring 3的用户模式运行，而VMM运行在Ring 0级别实现隔离和性能提升。尽管VMware通过BT技术实现的全虚拟化已经成为默认的业界标准，超过2万家的VMware用户都在这种技术的支持下可靠、高效运行，但整个业界还没有统一定义的行业标准，因此每家公司都在自由发挥，来试图解决这个技术难点，不同的方案都有自己的优势和劣势。

到今天为止，有三种典型的技术来解决x86虚拟化的难题：

通过BT实现的全虚拟化

操作系统帮助下的虚拟化，也叫半虚拟化

硬件帮助的虚拟化

a. 技术1 –通过BT实现的全虚拟化

VMware可以通过BT和直接执行技术的结合来实现任何x86操作系统的虚拟化。如图5所示，BT可以翻译核心指令来代替那些不能虚拟化的指令，通过翻译后的指令直接访问虚拟硬件。同时，所有用户级指令还是可以直接在CPU上执行来确保虚拟化的性能。每个VMM为每个虚拟机提供完整的硬件支持服务，包括虚拟BIOS、虚拟设备和虚拟内存管理。

图5. BT实现x86架构虚拟化

BT和直接执行技术的结合实现了全虚拟化，此时客户操作系统可以通过虚拟化层从物理硬件上完全抽取出来，客户操作系统感知不到是否发生了虚拟化，完全不需要进行修改。全虚拟化是迄今为止唯一不需要硬件或操作系统协助来进行敏感和特权指令虚拟化的技术，Hypervisor（管理程序）可以翻译所有的操作系统特权指令，并保存在缓存里备用，而用户级的指令完全可以全速直接执行。

全虚拟化提供了最好的虚拟机隔离和安全性，简化了客户操作系统迁移和移植能力。VMware ESX Server就是通过全虚拟化技术来实现的最好案例。

b. 技术2 –半虚拟化

该文中我们将Para-Virtualization翻译为半虚拟化。Para是来自希腊语的英语前缀，意指“和”、“在边上”、“一道”等。因此，“半虚拟化”指得是客户操作系统和hypervisor之间的通讯如何提高性能和有效性。如图6所示，半虚拟化需要修改操作系统内核，替换掉不

能虚拟化的指令，通过超级调用（hypercall）直接和底层的虚拟化层hypervisor来通讯，hypervisor同时也提供了超级调用接口来满足其他关键内核操作，比如内存管理、中断和时间保持。

图6. 操作系统协助的x86架构虚拟化

半虚拟化和全虚拟化不同，全虚拟化不需要修改上面的操作系统，敏感的操作系统指令直接通过BT进行处理。半虚拟化的价值在于降低了虚拟化的损耗，但是半虚拟化的性能优势很大程度上依赖于运行的负载。由于半虚拟化不支持未修改的操作系统(例如：Windows 2000/XP)，它的兼容性和可移植性差。在实际的生产环境中，半虚拟化也会导致操作系统支持和维护的艰难，因为半虚拟化往往要深入修改操作系统内核。开源的Xen项目是半虚拟化的代表，它可以通过修改Linux的内核来实现CPU和内存的虚拟化，通过定制的操作系统驱动来实现I/O的虚拟化。

为了实现全虚拟化，需要构建复杂的BT技术，这往往比直接修改客户操作系统来启用半虚拟化更艰难。VMware实际上已经在产品中使用了半虚拟化的一些技术，来构建VMware Tools和优化虚拟设备驱动。VMware tools服务为VMM Hypervisor提供了一个后门服务，用来同步时间、记录日志和客户操作系统关机等。Vmxnet是半虚拟化的I/O设备驱动程序，它可以和hypervisor共享数据结构。这些半虚拟化技术的应用改善了设备的兼容能力，提高了数据吞吐速率，降低了CPU利用率。需要重点澄清的是：VMware tools 服务和vmxnet 设备驱动并不是CPU半虚拟化解决方案，它们紧紧对客户操作系统进行了微小的、非关键