Flash-04 wrote:...кстати, раз уж разговор зашел, где можно посмотреть на спецификацию IBM процессора что стоит в этих мейнфреймах? на сайте IBM я не смог найти ничего вразумительного. про Интеловский Pentium сколько хочешь. Я хочу посмотреть в деталях что именно поддерживает IBM-ское железо, а то у нас беспредметный разговор получится.
Dmitry67 wrote:zVlad, ну так что?
В последнем посте я писал что:
Добавив к системе команд IBM всего одну команду - GetCurrentProcessorMode(), мы разрушаем виртуализируемость, но не нарушаем МП/МЗ.
Либо опровергайте, либо соглашайтесь
Мячик на ваей стороне
Flash-04 wrote:я уже не очень хорошо помню все детали, но что именно не нравится в команде POPF? они восстанавливает флаги из стека, за исключением специальных флагов, отражающих состояние 386-го в защищенном режиме. Насколько я помню, один из таких флагов - "работаю в виртуальном x86 режиме".
Tango wrote:Хотите мое определение "виртуализуемости"?
Виртуализуемость OS ето способность выполнять эту OS в виде "задачи" внутри системы (например OS) более высокого уровня. Выполнять полностью - включая все ее аппликационные и привилегированные режимы (если те имеются).
Dmitry67 wrote:zVlad, ну так что?
В последнем посте я писал что:
Добавив к системе команд IBM всего одну команду - GetCurrentProcessorMode(), мы разрушаем виртуализируемость, но не нарушаем МП/МЗ.
Либо опровергайте, либо соглашайтесь
Мячик на ваей стороне
Code: Select all
if (GetCurrentProcessorMode() == 1)
die("Fatal error! Kernel can not be executed in user mode!");
остальной код ядра
Dmitry67 wrote:.....1. Собственно, разработчики процессора Intel так и рассуждали. И Мотороллы. И заложили грабли для будущих поколений.
Итак, каким же образом эта команда разрушает виртуализируемость?
2. Приведу упрощенный пример. Я пишу ОС. Так как ядро ОС выполняется в режиме ядра, то попытка выполонения его в режиме пользователя говорит о фатальной ошибке. Поэтому я вставлю проверку в самом началеCode: Select all
if (GetCurrentProcessorMode() == 1)
die("Fatal error! Kernel can not be executed in user mode!");
остальной код ядра
Теперь запускаем мою ОС в виртуальной машине. Вот и грабли. Виртуальная машина должна имитировать настоящую, то есть в ней GetCurrentProcessorMode должно выдать 0.
3. Но так как с точки зрения железа VM - лишь пользовательский процесс и выполняется в user mode, то выдаст 1, в результате чего моя OS благополучно выскочит на die
Flash-04 wrote:полностью согласен с Dmitry67. к примеру, когда OS (Win или Linux - не важно) стартует на x86, подготавливаются таблицы трансляций адресов, векторов прерываний (GDT, IDT) и процессор переводится в защищенный режим. Если процессор уже в защищенном режиме, то такая попытка вызовет исключение. С другой стороны, можно узнать, в каком режиме процессор и не пытаться переходить в защищенный режим, а вместо этого писать сообщение об ошибке и завершать приложение аварийно. Собственно что описал Dmitry67 выше.
Flash-04 wrote:..... Такая аппаратная VM должна уметь эмулировать виртуальные процессоры в защищенном режиме, и вообще говоря - это сложно, т.к. для реализации такого нужен эмулятор - не меньше. У меня очень большое сомнение, что IBM это реализовала, слишком сложно. Скорее всего (хотя мне это и сложно проверить) z/OS - это именно "хорошая" система в плане того, что она пользуется API предоставляемый ядром системы и не пытается "администрировать" CPU сама.
Flash-04 wrote:.... Такая аппаратная VM должна уметь эмулировать виртуальные процессоры в защищенном режиме, и вообще говоря - это сложно, т.к. для реализации такого нужен эмулятор - не меньше.....
To help avoid the most frequent exits, x86 hardware assistance
includes ideas similar to the s/370 interpretive execution facility
discussed in Section 2.5.Where possible, privileged instructions affect state within the virtual CPU as represented within the VMCB,
rather than unconditionally trapping [24].
Consider again popf. A naive extension of x86 to support classical
virtualization would trigger exits on all guest mode executions
of popf to allow the VMM to update the virtual “interrupts
enabled” bit. However, guests may execute popf very frequently,
leading to an unacceptable exit rate. Instead, the VMCB includes a
hardware-maintained shadow of the guest %eflags register. When
running in guest mode, instructions operating on %eflags operate
on the shadow, removing the need for exits.
Для этого не нужен эмулятор и ИБМ это реализовала еще в 1972 году.
z/OS имеет в своем составе ядро и предоставляет "API" приложениям. API в z/OS называются SVC программами (supervisor call), которыми пользуются приложения когда им нужен доступ к системным ресурсам: CPU, память, ввод-вывод. Пытаться делать это самим приложениям просто безполезно - ничего не получится ни при каких условиях и знаниях машины и системы. Для этого нужен статус "супервизор", который имеет только "ядро" системы. Поэтому и Supervisor Call - SVC. SVC -это машинная команда которая вызывает аппаратное прерывание (не переход, а именно прерывание) c кодом. Аппаратная же обработка этого прерывания вызывает аппаратное переключение статуса в "супервизор" и аппаратное переключение адреса выполнения на программу обработки SVC прерываний в ядре системы.
Goldberg [12] identified the key architectural features
of third generation hardware pertinent to virtual machines:
* two processor modes of operation,
* a method for non-privileged programs to call privileged
system routines,
* a memory relocation or protection mechanism such
as segmentation or paging, and
*asynchronous interrupts to allow the I/O system to
communicate with the CPU.
All of these still apply to the Intel Pentium architecture.
It has four modes of operation, known as rings, or current
privilege level (CPL), 0 through 3. Ring 0, the most
privileged, is occupied by operating systems. Application
programs execute in Ring 3, the least privileged.
The Pentium also has a method to control transfer of
program execution between privilege levels so that nonprivileged
tasks can call privileged system routines: the
call gate. The Pentium also uses both paging and segmentation
to implement its protection mechanisms. Finally,
the Pentium uses both interrupts and exceptions to
allow the I/O system to communicate with the CPU. The
architecture has 16 predefined interrupts and exceptions
and 224 user-defined, or maskable, interrupts.
Despite these features, the ability of the Pentium architecture
to support virtualization is likely to be serendipitous
as the processor was not explicitly designed to support
virtualization.
With respect to the VMM hardware requirements listed
above, Intel meets all three of the main requirements for
virtualization.
Requirement 1: The method of executing nonprivileged
instructions must be roughly equivalent in
both privileged and user mode. Intel meets this requirement
because the method for executing privileged
and non-privileged instructions is the same. The only
difference between the two types of instructions in the
Intel architecture is that privileged instructions cause a
general protection exception if the CPL is not equal to 0.
Requirement 2:There must be a method such as a protection
system or an address translation system to protect
the real system and any other VMs from the active
VM. Intel uses both segmentation and paging to implement
its protection mechanism. Segmentation provides
a mechanism to divide the linear address space into individually
protected address spaces (segments). Segmentshave a descriptor privilege level (DPL) ranging from
0 to 3 that specifies the privilege level of the segment.
The DPL is used to control access to the segment. Using
DPLs, the processor can enforce boundaries between
segments to control whether one program can read from
or write into another program’s segments.
Requirement 3:There must be a way to automatically
signal the VMM when a VM attempts to execute a sensitive
instruction. It must also be possible for the VMM
to simulate the effect of the instruction. The Intel architecture
uses interrupts and traps to redirect program
execution and allow interrupt and exception handlers to
execute when a privileged instruction is executed by an
unprivileged task. However, the Pentium instruction set
contains sensitive, unprivileged instructions. The processor
will execute unprivileged, sensitive instructions
without generating an interrupt or exception. Thus, a
VMM will never have the opportunity to simulate the
effect of the instruction.
After examining each member of the Pentium instruction
set, it was found that seventeen instructions violate
Requirement 3. All seventeen instructions violate either
part B or part C of Requirement 3 and make the Intel
processor non-virtualizable. To construct a truly virtualizable
Pentium chip one must focus on these instructions.
They are discussed in more detail below.
мы будем базировать нашу дискуссию на Ваших притянутых за уши примерах или на реальных ОС?
KP580BE51 wrote:Dmitry67 wrote:я рассматриваю как слив
Либо атакуйте шаги рассуждений, либо соглашайтесь
Гостевую ось можно исполнять в режиме полной интерпретации. В этом случае можно гонять виртуализированную ОС, вообще на процессоре без защиты памяти.
Dmitry67 wrote:Безусловно вы правы, но мы самого начала исключили полную интерпретацию из рассмотрения. Очевидно, в режиме полной интерпретации можно сделать все - если только есть достаточно ресурсов. Просто будет очень долго
Ну тогда можно все страницы, которые гостевая ось собирается исполнять, просматривать на наличие команд типа "получить текущий статус" и заменять их другими, которые генерят исключение. Проверять там кажись просто (смутно помню), можно предварительно на страницу не ставить флаг что она исполняемая, потом (при генерации исключения) просматривать ее,ставить флаг что она исполнимая, и уже запускать
Dmitry67 wrote:Ну да, в общем, VMware именно такого рода труками и занимается
Чтобы было еще интереснее, рассмотрите вариант самомодифицирующегося кода
Flash-04 wrote:......
0. я вас удивлю, но 386 и выше работают точно так же
1. то что вы описали постом выше - это описание."послушной" ОС, которая знает что все привелигированные команды - выделение страниц виртуальной памяти, изменение страниц дескрипторов и т.д. и т.п. делает не она, а стоящий в иерархии выше - т.н. виртуальный монитор
2. Так вот, полная виртуализация должна позволять выполняться и "непослушной" ОС, которая сама хочет быть виртуальным монитором и распоряжаться полностью ресурсами процессора, как Windows к примеру. Кстати, я не знаю, так ли все в ней плохо на самом деле, но скорее всего скорее плохо чем хорошо.
3. То что вы описали - это режим виртуальной ОС, которая может выполнять виртуальный машины только с той же самой ОС, которая знает про виртуальный монитор и умеет им пользоваться. До полной виртуализации - это как до Луны. Но учитывая что нам не важен сам принцип добится полной виртуализации любой ценой, а нужно просто устойчивая работа многих экземпляров самой ОС без побочных конфликтов и падения производительности, то этот вариант - самый лучший.
4. Самое интересное, zVlad, что последние ваши посты окончательно меня уверили что "железо" IBM работает точно так же как Intel-овское.
..."послушной" ОС, которая знает что все привелигированные команды - выделение страниц виртуальной памяти, изменение страниц дескрипторов и т.д. и т.п. делает не она, а стоящий в иерархии выше - т.н. виртуальный монитор
Flash-04 wrote:zVlad, все не так плохо как вы думаетеДля этого не нужен эмулятор и ИБМ это реализовала еще в 1972 году.
z/OS имеет в своем составе ядро и предоставляет "API" приложениям. API в z/OS называются SVC программами (supervisor call), которыми пользуются приложения когда им нужен доступ к системным ресурсам: CPU, память, ввод-вывод. Пытаться делать это самим приложениям просто безполезно - ничего не получится ни при каких условиях и знаниях машины и системы. Для этого нужен статус "супервизор", который имеет только "ядро" системы. Поэтому и Supervisor Call - SVC. SVC -это машинная команда которая вызывает аппаратное прерывание (не переход, а именно прерывание) c кодом. Аппаратная же обработка этого прерывания вызывает аппаратное переключение статуса в "супервизор" и аппаратное переключение адреса выполнения на программу обработки SVC прерываний в ядре системы.
я вас удивлю, но 386 и выше работают точно так же
то что вы описали постом выше - это описание "послушной" ОС......
Code: Select all
* 1.2.1 DIAGNOSE Code X'00' - Store Extended-Identification Code
* 1.2.2 DIAGNOSE Code X'04' - Examine Host Storage
* 1.2.3 DIAGNOSE Code X'08' - Virtual Console Function
* 1.2.4 DIAGNOSE Code X'0C' - Pseudo Timer
* 1.2.5 DIAGNOSE Code X'10' - Release Pages
* 1.2.6 DIAGNOSE Code X'14' - Input Spool File Manipulation
* 1.2.7 DIAGNOSE Code X'18' - Standard DASD I/O
* 1.2.8 DIAGNOSE Code X'20' - 370 Synchronous I/O for DIAGNOSE Support
* 1.2.9 DIAGNOSE Code X'24' - Device Type and Features
* 1.2.10 DIAGNOSE Code X'28' - Dynamic Channel Program Modification
* 1.2.11 DIAGNOSE Code X'34' - Read System Dump Spool File
* 1.2.12 DIAGNOSE Code X'3C' - Activate z/VM CP Directory
* 1.2.13 DIAGNOSE Code X'44' - Voluntary Time Slice End
* 1.2.14 DIAGNOSE Code X'48' - Second Level SVC 76
* 1.2.15 DIAGNOSE Code X'4C' - Generate Accounting Records
* 1.2.16 DIAGNOSE Code X'54' - Control the Function of the PA2 Key
* 1.2.17 DIAGNOSE Code X'58' - 3270 Virtual Console Interface
* 1.2.18 DIAGNOSE Code X'5C' - Error Message Editing
* 1.2.19 DIAGNOSE Code X'60' - Determine Virtual Machine Storage Size
* 1.2.20 DIAGNOSE Code X'64' - Named Saved Segment Manipulation
* 1.2.21 DIAGNOSE Code X'70' - Time-of-Day Clock Accounting Interface
* 1.2.22 DIAGNOSE Code X'74' - Saving and Loading an Image Library File
* 1.2.23 DIAGNOSE Code X'7C' - Logical Device Support Facility
* 1.2.24 DIAGNOSE Code X'84' - Directory Update-in-Place
* 1.2.25 DIAGNOSE Code X'88' - Validate User Authorization/Link Minidisk
* 1.2.26 DIAGNOSE Code X'8C' - Access 3270 Display Device Information
* 1.2.27 DIAGNOSE Code X'90' - Read Symbol Table
* 1.2.28 DIAGNOSE Code X'94' - VMDUMP and Symptom Record Service
* 1.2.29 DIAGNOSE Code X'98' - Real I/O
* 1.2.30 DIAGNOSE Code X'9C' - Voluntary Time Slice Yield
* 1.2.31 DIAGNOSE Code X'A0' - Obtain ACI Groupname
* 1.2.32 DIAGNOSE Code X'A4' - Synchronous I/O (Standard CMS Blocksize)
* 1.2.33 DIAGNOSE Code X'A8' - Synchronous I/O (for All Devices)
* 1.2.34 DIAGNOSE Code X'B0' - Access Re-IPL Data
* 1.2.35 DIAGNOSE Code X'B4' - Read/Write/Erase the Virtual Printer XAB
* 1.2.36 DIAGNOSE Code X'B8' - Spool File XAB Manipulation
* 1.2.37 DIAGNOSE Code X'BC' - Open and Query Spool File Characteristics
* 1.2.38 DIAGNOSE Code X'C8' - Set Language
* 1.2.39 DIAGNOSE Code X'CC' - Save Message Repository
* 1.2.40 DIAGNOSE Code X'D0' - Volume Serial Support
* 1.2.41 DIAGNOSE Code X'D4' - Set Alternate User ID
* 1.2.42 DIAGNOSE Code X'D8' - Read Spool File Blocks on System Queues
* 1.2.43 DIAGNOSE Code X'DC' - Control Application Monitor Record Collection
* 1.2.44 DIAGNOSE Code X'E0' - System Trace File Interface
* 1.2.45 DIAGNOSE Code X'E4' - Return Minidisk Information/Define Full-Pack Overlay
* 1.2.46 DIAGNOSE Code X'EC' - Query GUEST Trace Status
* 1.2.47 DIAGNOSE Code X'F8' - Spool File Origin Information
* 1.2.48 DIAGNOSE Code X'FC' - Channel Path Reconfiguration Interface
* 1.2.49 DIAGNOSE Code X'210' - Retrieve Device Information
* 1.2.50 DIAGNOSE Code X'218' - Retrieve Real CPU Identification
* 1.2.51 DIAGNOSE Code X'238' - Time-Based Unique Identifiers
* 1.2.52 DIAGNOSE Code X'248' - Copy-To-Primary Service
* 1.2.53 DIAGNOSE Code X'250' - Block I/O (Standard Blocksize)
* 1.2.54 DIAGNOSE Code X'258' - Page-Reference Services
* 1.2.55 DIAGNOSE Code X'260' - Access Certain Virtual Machine Information
* 1.2.56 DIAGNOSE Code X'268' - 370 Accommodation Services
* 1.2.57 DIAGNOSE Code X'26C' - Access Certain System Information
* 1.2.58 DIAGNOSE Code X'270' - Pseudo Timer Extended
* 1.2.59 DIAGNOSE Code X'274' - Set Timezone Interrupt Flag
* 1.2.60 DIAGNOSE Code X'27C' -Product Enablement Verification
* 1.2.61 DIAGNOSE Code X'288' - Control Virtual Machine Time Bomb
* 1.2.62 DIAGNOSE Code X'290' - Perform Privileged Spool Functions
Dmitry67 wrote:....
Собственно, мой план доказательства был таков. Раз zVlad считает, что виртуализируемость = МЗ/МП, то докажем от противного, Intel он считает изначально ущербной архитектурой, чтоже, возьмем z и "испортим" ее, добавив всего одну "плохую" инструкцию.
Я преджил такую инструкцию G -- (GetCurrentProcessorMode()) и спросил zVlad - согласен ли он, что она не нарушает МЗ/МП, что было им безусловно подтверждено. Таким образом, z+G удовлетворяет МЗ/МП
....