ARM系列 -- 虚拟化（三）

为了实现虚拟化，虚拟机需要控制系统资源。但是实际的系统资源是在hypervisor直接控制之下，为了实现隔离和安全等方面的考虑，不可能让虚拟机直接控制这些系统资源。

比如，虚拟机想根据具体情况去做电源管理。一个解决办法就是利用“陷入和模拟（Trap and Emulate）”模型。当虚拟机想要执行特权指令时，会触发异常，陷入到hypervisor，随后由hypervisor模拟执行。

对于VM来说，一个直接分配的外设是真实的物理设备，并映射到IPA地址空间，所以VM可以直接软件访问该设备。

但是对于VM来说，一个虚拟设备是hypervisor模拟出来的，VM认为可以通过软件直接访问，但实际上是要通过hypervisor的。为了模拟一个外围设备，hypervisor不仅需要知道访问了哪个外设，还需要知道访问了该外设中的哪个寄存器，访问是读还是写，访问的大小，以及用于传输数据的寄存器。

从地址开始，异常模型引入了FAR_ELx寄存器。在处理stage 1 faults时，这些寄存器报告触发异常的虚拟地址。虚拟地址对hypervisor没有帮助，因为hypervisor通常不知道guest OS如何配置其虚拟地址空间。

对于stage 2 faults，还有一个附加寄存器HPFAR_EL2，用于报告中止的地址的IPA。

由于IPA空间由hypervisor控制，因此它可以使用此信息来确定需要模拟的寄存器。

异常模型显示ESR_ELx寄存器如何报告有关异常的信息。对于触发stage2 fault的单个通用寄存器加载或存储，提供了附加的综合征信息。此信息包括访问的大小和源或目标寄存器，并允许hypervisor确定对虚拟外设的访问类型。

下图展示了一个陷入，然后模拟访问的过程。

VM的软件尝试访问虚拟外设，这个例子当中是虚拟UART的接收FIFO。
该访问被stage 2转换block住，导致一个abort异常被送到EL2。

异常处理程序查询ESR_EL2关于异常的信息，如访问长度，目的寄存器，是load或store操作。

异常处理程序查询HPFAR_EL2，取得发生abort的IPA地址。
Hypervisor使用来自ESR_EL2和HPFAR_EL2的信息来标识所访问的虚拟外围设备寄存器。此信息允许hypervisor模拟该操作。然后通过ERET返回vCPU。指令在LDR之后重新执行。

到目前为止，我们已经考虑了来自处理器的不同访问类型。系统中的其它主机（如DMA控制器）可能分配给VM使用。我们也需要一些方法来将stage 2的保护延伸到那些主机上。考虑一个不使用虚拟化的DMA控制器的系统，如下图所示：

DMA控制器将通过驱动程序编程，通常在内核空间中。内核空间驱动程序可以确保操作系统级内存保护不被破坏。这意味着一个应用程序不能使用DMA访问它不应该看到的内存。

让我们考虑同一个系统，但是操作系统运行在一个虚拟机中，如下图所示：

在此系统中，hypervisor使用stage 2在虚拟机之间提供隔离。软件查看内存的能力受到hypervisor的限制。允许VM中的驱动程序直接与DMA控制器交互会产生两个问题：

隔离：DMA控制器不受stage 2表的约束，可以用来破坏VM的沙箱。
地址空间：有两个转换阶段，内核认为是PAs的是IPAs。DMA控制器仍然可以看到PAs，因此内核和DMA控制器具有不同的内存视图。为了克服这个问题，hypervisor可以捕获VM和DMA控制器之间的每个交互，提供必要的转换。但是当内存碎片化时，此过程效率低下且存在问题。

除了捕获和模拟驱动程序访问之外，另一种方法是扩展stage 2机制，以覆盖其它主机，如我们的DMA控制器。当这种情况发生时，这些主机还需要一个MMU。这称为系统内存管理单元（System Memory Management，SMMU）：