我是虛擬機內核我困惑？！

內核，是指的操作系統內核。

 

所有的操作系統都有內核，無論是Windows還是Linux，都管理着三個重要的資源：計算，網絡，存儲。

 

計算指CPU和內存，網絡即網絡設備，存儲即硬盤之類的。

 

內核是個大管家，想象你的機器上跑着很多的程序，有word，有excel，看着視頻，聽着音樂，每個程序都要使用CPU和內存，都要上網，都要存硬盤，如果沒有一個大管家管着，大家隨便用，就亂了。所以需要管家來協調調度整個資源，誰先用，誰后用，誰用多少，誰放在這里，誰放在那里，都需要管家操心。

 

所以在這個計算機大家庭里面，管家有着比普通的程序更高的權限，運行在內核態，而其他的普通程序運行在用戶態，用戶態的程序一旦要申請公共的資源，就需要向管家申請，管家幫它分配好，它才能用。

 

為了區分內核態和用戶態，CPU專門設置四個特權等級0,1,2,3 來做這個事情。

 

 

 

當時寫Linux內核的時候，估計大牛們還不知道將來虛擬機會大放異彩，大牛們想，一共兩級特權，一個內核態，一個用戶態，卻有四個等級，好奢侈，好富裕，就敞開了用，內核態運行在第0等級，用戶態運行在第3等級，占了兩頭，太不會過日子了。

 

大牛們在寫Linux內核的時候，如果用戶態程序做事情，就將扳手掰到第3等級，一旦要申請使用更多的資源，就需要申請將扳手掰到第0等級，內核才能在高權限訪問這些資源，申請完資源，返回到用戶態，扳手再掰回去。

 

這個程序一直非常順利的運行着，直到虛擬機的出現。

 

如果大家用過Vmware桌面版，或者Virtualbox桌面版，你可以用這個虛擬化軟件創建虛擬機，在虛擬機里面安裝一個Linux或者windows，外面的操作系統也可以是Linux或者Windows。

 

當你使用虛擬機軟件的時候，和你的excel一樣，都是在你的任務欄里面並排的放着，是一個普通的應用。

 

當你進入虛擬機的時候，虛擬機里面的excel也是一個普通的應用。

 

但是當你設身處地的站在虛擬機里面的內核的角度思考一下人生，你就困惑了，我到底個啥？

 

在硬件上的操作系統來看，我是一個普通的應用，只能運行在用戶態。可是大牛們生我的時候，我的每一行代碼，都告訴我，我是個內核啊，應該運行在內核態，當虛擬機里面的excel要訪問網絡的時候，向我請求，我的代碼就要努力的去操作網絡資源，我努力，但是我做不到，我沒有權限！

 

我分裂了。

 

虛擬化層，也就是Vmware或者Virtualbox需要幫我解決這個問題。

 

第一種方式，完全虛擬化，其實就是騙我。虛擬化軟件模擬假的CPU，內存，網絡，硬盤給我，讓我自我感覺良好，終於又像個內核了。

 

真正的工作模式是這樣的。

 

虛擬機內核：我要在CPU上跑一個指令！

虛擬化軟件：沒問題，你是內核嘛，可以跑

虛擬化軟件轉過頭去找物理機內核：報告管家，我管理的虛擬機里面的一個要執行一個CPU指令，幫忙來一小段時間空閑的CPU時間，讓我代他跑個指令。

物理機內核：你等着，另一個跑着呢。好嘞，他終於跑完了，該你了。

虛擬化軟件：我代他跑，終於跑完了，出來結果了

虛擬化軟件轉頭給虛擬機內核：哥們，跑完了，結果是這個，我說你是內核吧，絕對有權限，沒問題，下次跑指令找我啊。

虛擬機內核：看來我真的是內核呢。可是哥，好像這點指令跑的有點慢啊。

虛擬化軟件：這就不錯啦，好幾個排着隊跑呢。

 

內存的申請模式如下。

 

虛擬機內核：我啟動需要4G內存，我好分給我上面的應用。

虛擬化軟件：沒問題，才4G，你是內核嘛，馬上申請好。

虛擬化軟件轉頭給物理機內核：報告，管家，我啟動了一個虛擬機，需要4G內存，給我4個房間唄。

物理機內核：怎么又一個虛擬機啊，好吧，給你90,91,92,93四個房間。

虛擬化軟件轉頭給虛擬機內核：哥們，內存有了，0,1,2,3這個四個房間都是你的，你看，你是內核嘛，獨占資源，從0編號的就是你的。

虛擬機內核：看來我真的是內核啊，能從頭開始用。那好，我就在房間2的第三個櫃子里面放個東西吧。

虛擬化軟件：要放東西啊，沒問題。心里想：我查查看，這個虛擬機是90號房間開頭的，他要在房間2放東西，那就相當於在房間92放東西。

虛擬化軟件轉頭給物理機內核：報告，管家，我上面的虛擬機要在92號房間的第三個櫃子里面放個東西。

 

好了，說完了CPU和內存的例子，不細說網絡和硬盤了，也是類似，都是虛擬化軟件模擬一個給虛擬機內核看的，其實啥事兒都需要虛擬化軟件轉一遍。

 

這種方式一個壞處，就是慢，往往慢到不能忍受。

 

於是虛擬化軟件想，我能不能不當傳話筒，還是要讓虛擬機內核正視自己的身份，別說你是內核，你還真喘上了，你不是物理機，你是虛擬機。

 

但是怎么解決權限等級的問題呢？於是Intel的VT-x和AMD的AMD-V從硬件層面幫上了忙。當初誰讓你們這些寫內核的大牛用等級這么奢侈，用完了0，就是3，也不省着點用，沒辦法，只好另起爐灶弄一個新的標志位，表示當前是在虛擬機狀態下，還是真正的物理機內核下。

 

對於虛擬機內核來講，只要將標志位設為虛擬機狀態，則可以直接在CPU上執行大部分的指令，不需要虛擬化軟件在中間轉述，除非遇到特別敏感的指令，才需要將標志位設為物理機內核態運行，這樣大大提高了效率。

 

所以安裝虛擬機的時候，務必要將物理CPU的這個標志位打開，是否打開對於Intel可以查看grep "vmx" /proc/cpuinfo，對於AMD可以查看grep "svm" /proc/cpuinfo

 

這叫做硬件輔助虛擬化。

 

另外就是訪問網絡或者硬盤的時候，為了取得更高的性能，也需要讓虛擬機內核加載特殊的驅動，也是讓虛擬機內核從代碼層面就重新定位自己的身份，不能像訪問物理機一樣訪問網絡或者硬盤，而是用一種特殊的方式：我知道我不是物理機內核，我知道我是虛擬機，我沒那么高的權限，我很可能和很多虛擬機共享物理資源，所以我要學會排隊，我寫硬盤其實寫的是一個物理機上的文件，那我的寫文件的緩存方式是不是可以變一下，我發送網絡包，根本就不是發給真正的網絡設備，而是給虛擬的設備，我可不可以直接在內存里面拷貝給他，等等等等。

 

一旦我知道我不是物理機內核，痛定思痛，只好重新認識自己，反而能找出很多方式來優化我的資源訪問。

 

這叫做類虛擬化或者半虛擬化。

 

如果您想更技術的了解本文背后的原理，請看書《系統虛擬化——原理與實現》

 

 

歡迎關注微信公眾號