虚拟化技术发展编年史

2019-09-02 02:09:58 作者：责任编辑NO。蔡彩根0465

编者按：本文来自微信大众号“CSDN”（ID：CSDNnews），作者范桂飓，责编屠敏，36氪经授权发布。

前语

我现已想不起来是从什么时分开端的，忽然就对核算机前史发作了稠密的爱好。所以我想着，要不今后一切系列文章的开篇都先和咱们聊聊前史吧。其实说来挺有意思，看曩昔究竟是为了看未来，因为前史总是惊人的类似，简直一切的问题都能够在前史长河中寻得答案。惋惜的是，凡是前史，最是难写，笔者碍于才干有限，还望咱们多点拨一二。

什么是虚拟化？

在核算机科学中，虚拟化技能（Virtualization）是一种资源办理（优化）技能，将核算机的各种物理资源（e.g. CPU、内存以及磁盘空间、网络适配器等 I/O 设备）予以笼统、转化，然后呈现出来的一个可供切开并恣意组合为一个或多个（虚拟）核算机的装备环境。虚拟化技能打破了核算机内部实体结构间不行切开的妨碍，运用户能够以比本来更好的装备办法来运用这些核算机硬件资源。而这些资源的虚拟办法将不受现有架起办法，地域或物理装备所约束。虚拟化技能是一个广义的术语，依据不同的方针类型能够细分为：

渠道虚拟化（Platform Virtualization）：针对核算机和操作体系的虚拟化。
资源虚拟化（Resource Virtualization）：针对特定的体系资源的虚拟化，如内存、存储、网络资源等。
运用程序虚拟化（Application Virtualization）：包含仿真、模仿、解说技能等，如 Java 虚拟机（JVM）。

这儿咱们首要评论的是渠道虚拟化。首要提出榜首个问题：当咱们评论渠道虚拟化技能，实践在评论什么？我以为评论的是 Hypervisor 或称为 VMM（Virtual Machine Monitor），本篇咱们首要回忆 VMM 的开展进程，并考虑之中的原因。

虚拟化技能开展编年史

开篇

1959 年 6 月，牛津大学的核算机教授，克里斯·托弗（Christopher Strachey）在国际信息处理大会（International Conference on Information Processing）上宣告了一篇名为《大型高速核算机中的时刻同享》（Time Sharing in Large Fast Computer）的学术报告，他在文中初次提出了 “虚拟化” 的根本概念，还论说了什么是虚拟化技能。这篇文章被以为是最早的虚拟化技能论说，从此拉开了虚拟化开展的帷幕。

克里斯·托弗还一同提出了 Multi-Processing（多道程序）这一超前的概念。Multi-Processing 处理了运用程序因等候外部设备而导致处理器空转问题，一同也处理了用户怎样调试（Debug）代码的问题。即便在现在看来，多道程序的理念仍是操作体系在 “并发” 范畴中的隗宝。

When I wrote the paper in 1959 I, in common with everyone else, had no idea of the difficulties which would arise in writing the software to control either the time-sharing or multi-programming. If I had I should not have been so enthusiastic about them. – Christopher Strachey

Christopher Strachey

大型机和小型机的虚拟化

1960 年，为了应对物理学范畴的核算需求，美国发动 Atlas 超级核算机（Super Computer）项目。同期的英国全国只要 16 台核算机，日不落帝国的咒骂在核算机范畴也无法逃过。

1961 年，由麻省理工学院的 Fernando Corbato 教授带领团队开端研制 CTSS（Compatible Time Sharing System，兼容性分时体系）项目，并由 IBM 供给硬件设备和工程师进行支撑。分时体系能够说是硬件虚拟化的底子，CTSS 为后来 IBM 的 TSS 打下了根底。

1962 年，榜首台 Atlas 超级核算机 Atlas 1 诞生，Atlas 1 是榜首台完结了虚拟内存（Virtual Memory）概念的核算机，并将其称为一级存储（one-level store）。Atlas 1 仍是榜首个完结了名为 Supervisor 的底层资源办理组件的核算机，Supervisor 能够经过特别的指令或代码来办理物理主机的硬件资源。例如：中央处理器的时刻分配。

没错，操作体系最早的称谓其实是 Supervisor，往后还被叫过一段时刻的 Master Control Program（主控程序），但终究 Operating System 胜出了。此刻你或许能够了解为什么虚拟机办理程序会被统称为 Hypervisor（Super、Hyper 是赞同词，意为超级，但词义上 Hyper 比 Super 还要高档一些）。

1963 年运用打孔机的榜首代 Atlas 超级核算机

1960 中期，IBM 在 Thomas J. Watson Research Center (NY) 进行 M44/44X 核算机研讨项目。M44/44X 项目依据 IBM 7044（M44）完结了多个具有突破性的虚拟化概念，包含部分硬件同享（partial hardware sharing）、时刻同享（time sharing）、内存分页（memory paging）以及完结了虚拟内存办理的 VMM。

经过这些虚拟化技能，运用程序能够运转在这些虚拟的内存之中，完结了在同一台主机上模仿出多个 7044 体系（44X）。M44/44X 项目初次运用了 VM（Virtual Machine）和 VMM（Virtual Machine Monitor）一词，被以为是国际上榜首个支撑虚拟机的体系。

1964 年：IBM 推出了闻名的 System/360。你或许有所耳闻，System/360 的开发进程被视为了核算机开展史上最大的一次豪赌，为了研制 System/360，IBM 决议征召六万多名新员工，创立了五座新工厂。即便如此，其时的出货时刻仍被不断顺延。

吉恩·阿姆达尔是体系主架构师，其时的项目经理佛瑞德·布鲁克斯（Frederick P. Brooks, Jr.）过后依据这项方案的开发经历，写出了相同闻名的《人月神话：软件项目办理之道》（The Mythical Man-Month: Essays on Software Engineering）记叙人类工程史上一项里程碑式的大型杂乱软件体系开发经历。

终究，IBM System/360 取得了巨大的商业成功。System/360 不只供给了新式的操作体系（让单一操作体系适用于整个系列的产品，这是 System/360 系列大型机成功的要害），还完结了依据全硬件虚拟化（Full Hardware Virtualization）的虚拟机处理方案，包含：页式虚拟内存（4k 分页虚拟存储体系），虚拟磁盘以及 TSS 分时体系。System/360 最多可供给 14 个虚拟机，每个虚拟机具有 256k 固定虚拟内存。

这儿有必要侧重介绍一下 TSS （Time Sharing System，分时同享体系），它能够让一台主机上衔接多个带有显现器和键盘的终端，一同答应多个用户经过主机的终端，以交互办法运用核算机，同享主机中的资源。分时操作体系实质是一个多用户交互式操作体系。

其间，“分时” 的意义是将 CPU 占用切分为多个极短（e.g. 1/100sec）的时刻片，每个时刻片都履行着不同的使命。经过对这些时刻片的轮询，就能够将一个 CPU “假装”（虚拟化）成多个 vCPU，并且让每颗 vCPU 看起来都是并行运转的。终究到达多个用户同享运用同一台核算机，多个程序分时同享硬件和软件资源的作用。TSS 被以为是最原始的虚拟化技能。

可见，开端虚拟化技能的运用和开展源于大型机对分时体系的需求。这种经过硬件的办法来生成多个能够运转独立操作体系软件的虚拟机实例，处理了前期大型核算机只能单使命处理而不能分时多使命处理的问题。因为这种虚拟化技能是依据硬件设备来完结的，故被称为硬件虚拟化（Hardware virtualization）。

但需求留意的是，这一说法在后来被进一步细分为了狭义的硬件虚拟化技能，如今愈加为人多熟知的硬件虚拟化是指：一种对核算机或操作体系的虚拟化，能够对用户躲藏实在的核算机硬件，体现出另一个笼统的核算渠道。

System/360

The Mythical Man-Month: Essays on Software Engineering

巨大源自于巨大！

1974 年，Gerald J. Popek（杰拉尔德·J·波佩克）和 Robert P. Goldberg（罗伯特·P·戈德堡）在协作论文《可虚拟第三代架构的规范化条件》（Formal Requirements for Virtualizable Third Generation Architectures）中提出了一组称为虚拟化准则的充分条件，又称波佩克与戈德堡虚拟化需求（Popek and Goldberg virtualization requirements）即：虚拟化体系结构的三个根本条件。满意这些条件的操控程序才干够被称为虚拟机监控器（Virtual Machine Monitor，简称 VMM）：

1、资源操控（Resource Control）。操控程序有必要能够办理一切的体系资源。

2、等价性（Equivalence）。在操控程序办理下运转的程序（包含操作体系），除时序和资源可用性之外的行为应该与没有操控程序时的完全共同，且预先编写的特权指令能够自由地履行。

3、功率性（Efficiency）。绝大多数的客户机指令应该由主机硬件直接履行而无需操控程序的参加。

该论文尽管依据简化的假定，但上述条件仍为评判一个核算机体系结构是否能够有用支撑虚拟化供给了一个便当办法，也为规划可虚拟化核算机架构给出了辅导准则。一同，Gerald J. Popek 和 Robert P. Goldberg 还在论文中介绍了两种 Hypervisor 类型，别离是类型 I 和类型 II。

类型 II（旅居或保管 Hypervisor）：VMM 运转在传统的操作体系上，就像其他核算机程序那样运转。 特色：

VMM 作为运用程序运转在主操作体系环境内
运转功率一般较类型 I 低

完结事例：

VMware 5.5 曾经版别
Xen 3.0 曾经版别
Virtual PC 2004

类型 I（原生或裸机 Hypervisor）：这些虚拟机办理程序直接运转在宿主机的硬件上来操控硬件和办理客户机操作体系。

特色：

需求硬件支撑
VMM 作为主操作体系
运转功率高

完结事例：

VMware 5.5 及今后版别
Xen 3.0 及今后版别
Virtual PC 2005
KVM

ps：这儿我特意将类型 I 和 II 的次序调转，至于为什么，从完结事例能够看出类型 I 已然是年代的挑选。再一个，老实说我确实为这个现实感到震动，渠道虚拟化的雏形居然在 1974 年就现已确立了的这个现实。

1979 年，Unix 的第 7 个版别引入了 chroot 机制，意味着榜首个操作体系虚拟化（OS-level virtualization）诞生了。chroot 是直到现在咱们依然在运用的一个体系调用，这个体系调用会让一个进程把指定的目录作为根目录，它的一切文件体系操作都只能在这个指定目录中进行，实质是一种文件体系层的阻隔。

ps：操作体系虚拟化这个说法你或许会感到生疏，但容器（Container）你应该十分了解了。

在上世纪 60~80 年代，因为虚拟化技能使得大型机和小型机取得了空前的成功。并且在适当长的一段时刻里，虚拟化技能只在大型机和小型机上得到了运用，而在 x86 渠道上的运用依然开展缓慢。不过也能够了解，以其时 x86 渠道的处理才干，敷衍一两个运用程序已然绰绰有余，还怎样能够将资源分给更多的虚拟运用呢？然后跟着 x86 的盛行，大型机和小型机在新式的服务器商场中也逐步失去了竞争力。

x86 架构的虚拟化

直到上世纪 80~90 年代，Intel 公司（戈登·摩尔）提出了摩尔定律，Windows、Mac 等 PC（Personal Computer）电脑被广泛运用，Wintel 联盟势不可当，还呈现了神一般的 Linux 服务器操作体系。种种原因，究竟是 x86 赢得了年代的喜爱，成为了服务器的行业规范。或许在那时 Intel 就现已开端考虑为何 “生态” 这件作业了。

摩尔定律的传统界说是：半导体芯片上的晶体管密度，均匀每 18-24 个月翻一番。

Wintel 联盟：即微软与英特尔的协作，自 20 世纪 80 年代以来，Wintel 联盟就主导着全球 PC 商场。

GNU/Linux：开源天主。

跟着 x86 服务器和桌面布置的增加也为企业 IT 根底架构带来了新的难题：

根底架构运用率低
根底架构本钱高
IT 运维本钱高
毛病切换和灾祸保护短少
终究用户桌面的保护本钱昂扬

而处理这些难题便是新年代赋予虚拟化技能的前史使命，整个 80~90 年代，虚拟化技能及公司好像漫山遍野般呈现。

1987 年：Insignia Solutions 公司演示了一个称为 SoftPC 的软件模仿器，这个模仿器答运用户在 Unix Workstations 上运转 DOS 运用。其时一个能够运转 Microsoft DOS 的 PC 需求 1,500 美金，而运用 SoftPC 模仿，就能够直接在大型作业站上运转 Microsoft DOS 了。

1989 年，Insignia Solutions 发布了 Mac 版的 SoftPC，使苹果用户不只能运转 DOS，还能运转 Windows 操作体系。

1990 年，Keir Fraser 和 Ian Pratt 创立了 XenServer 的初始代码工程（项目）。

1997 年，苹果开发了 Virtual PC，后来又卖给了 Connectix 公司。

1998 年，闻名的 x86 仿真模仿器 Bochs 发布。

1999 年，VMware 公司首要推出针对 x86 渠道推出了能够流通运转的商业虚拟化软件 VMaware Workstation。 2000 年，FreeBSD jail，实在意义上的榜首个功用完好的操作体系虚拟化技能。运用这个技能，FreeBSD 的体系办理者，能够创造出几个小型的软件体系，这些软件体系被称为 jails（监狱，即容器。ps：不由慨叹，取名真的很重要）。

2001 年，VMWare 发布 ESX 和 GSX，是 ESXi 的前身。同年，Fabrice Bellard 也发布了现在最盛行的，选用了动态二进制翻译（Binary Translation）技能的开源虚拟化软件 QEMU（Quick EMUlator）的榜首个版别。

依据二进制翻译的全虚拟化

此刻，虚拟化技能的一同方针便是将 x86 架构转变为通用的同享硬件根底架构，使运用程序运转环境在阻隔性、移动性和操作体系类型方面都有挑选的空间。首要了解一下 x86 架构的特色。

CPU 为了确保程序代码履行的安全性，多用户的独立性以及确保操作体系的稳定性，提出了 CPU 履行状况的概念。它有用的约束了不同程序之间的数据拜访才干，防止了不合法的内存数据操作，一同也防止了运用程序过错操作核算机的物理设备。一般的，CPU 都会划分为用户态和内核态，而 x86 CPU 更是细分为了 Ring 0~3 四种履行状况。

Ring0 中心态（Kernel Mode）：是操作体系内核的履行状况（运转办法），运转在中心态的代码能够无约束的对体系内存、设备驱动程序、网卡接口、显卡接口等外部设备进行拜访。

显着，只要操作体系能够无约束的拜访内存、磁盘、鼠键等外围硬件设备的数据，因为操作体系便是作为核算机硬件资源办理器而存在的，操作体系便是为了让多个一般运用程序能够更简略、安全的运转在同一台核算机上而存在的 “特别的运用程序”。

Ring3 用户态（User Mode）：运转在用户态的程序代码需求遭到 CPU 的查看，用户态程序代码只能拜访内存页表项中规则能被用户态程序代码拜访的页面虚拟地址（受限的内存拜访），并且还只能拜访 I/O Permission Bitmap 中规则的能被用户态程序代码拜访的端口，不能直接拜访外围硬件设备、不能抢占 CPU。

也很显着，一切的运用程序都应该运转在用户态中。当运用程序需求拜访外围硬件设备时，CPU 会经过特别的接口去调用中心态的代码，以这种旁路的办法来运用程序对硬件设备的调用。假如用户态的运用程序直接调用硬件设备的话，就会被操作体系捕捉到并触发反常，弹出正告窗口。

可见，x86 架构与大型机不同，其时的 x86 体系结构短少必要的针对虚拟化的硬件支撑，难以直接满意波佩克与戈德堡的虚拟化需求，所以 x86 架构天然不是一个可虚拟化的架构。x86 架构的 CPU 中有 17 条指令成为了虚拟化最大的妨碍，过错履行这些指令会导致操作体系显现正告、停止运用程序乃至完全溃散。

其时 VMware 提出了处理这个问题的思路：在虚拟机生成这些特别的指令时将它们 “困住”，然后将它们转化成可虚拟化的安全指令，一同确保其他一切的指令不遭到搅扰地履行。这样就发作了一种与主机硬件匹配并坚持软件完全兼容性的高功用虚拟机。

这便是全虚拟化（Full virtualization）技能诞生的布景 —— 有必要运用纯软件完结的办法结构 VMM。VMware 创始了这项技能，一举稳坐虚拟化龙头老大。

全虚拟化是指虚拟机模仿了完好的底层硬件，包含处理器、物理内存、时钟、外设等，使得为原始硬件规划的操作体系或其它体系软件完全不做任何修正就能够在虚拟机中运转。

客户机操作体系（Guest OS）与实在硬件之间的交互能够看成是经过一个预先规则的硬件接口进行的。全虚拟化 VMM 以完好模仿硬件的办法供给悉数接口（一同还有必要模仿特权指令的履行进程）。

全虚拟化的作业原理：虚拟机是对实在核算环境的笼统和模仿，VMM 需求为每个虚拟机分配一套数据结构来办理它们状况，包含 vCPU 的全套寄存器，物理内存的运用状况，虚拟设备的状况等等。VMM 调度虚拟机时，会将其部分状况康复到 Host OS 中。

但并非一切的状况都需求康复，例如主机 CR3 寄存器中寄存的是 VMM 设置的页表物理地址，而不是 Guest OS 设置的值。pCPU 直接运转 Guest OS 的机器指令时，因为 Guest OS 运转在低特权等级（Ring 1），假如 Guest OS 直接拜访 Host OS 的特权状况（如写 GDT 寄存器），就会因为权限短少导致 pCPU 发作反常，然后将运转权主动交还给 VMM。

此外，外部中止的到来也会影响 VMM 的运转。VMM 或许需求先将该虚拟机的其时状况写回到状况数据结构中，剖析虚拟机被挂起的原因，然后代表 Guest OS 履行相应的特权操作。最简略的状况，如 Guest OS 对 CR3 寄存器的修正，只需求更新虚拟机的状况数据结构即可。

一般来说，大部分状况下，VMM 需求经过杂乱的流程才干完本钱来简略的操作。终究 VMM 将运转权还给 Guest OS，Guest OS 从前次被中止的当地持续履行，或处理 VMM “塞”入的虚拟中止和反常。这种经典的虚拟机运转办法被称为 Trap-And-Emulate（捕获-模仿），虚拟机关于 Guest OS 完全通明，Guest OS 不需求任何修正，可是 VMM 的规划会比较杂乱，体系全体功用遭到显着的危害。

举例来说：x86 渠道中，操作体系履行切换进程页表的操作，实在硬件会经过供给一个特权 CR3 寄存器来完结该接口，操作体系只需履行 mov pgtable, %%cr3 汇编指令即可。

而全虚拟化 VMM 就有必要要完好地模仿该接口履行的全进程。假如硬件（首要是 CPU）不供给虚拟化的特别支撑的话，那么这个模仿进程将会十分杂乱：一般来说，VMM 有必要运转在最高优先级来完全操控宿主机操作体系（Host OS），而 Guest OS 需求降级运转，然后不能履行特权操作。

当 Guest OS 履行前面的特权汇编指令时，Host OS 发作反常（General Protection Exception），履行操控权从头从 Guest OS 转到 VMM 手中。VMM 事前分配一个变量作为影子 CR3 寄存器给 Guest OS，将 pgtable（页表）代表的 Guest OS 物理地址（Guest Physical Address）填入影子 CR3 寄存器，然后 VMM 还需求 pgtable 翻译成主机物理地址（Host Physical Address）并填入物理 CR3 寄存器，终究回来到 Guest OS中。随后 VMM 还将处理杂乱的 Guest OS 缺页反常（Page Fault）。

简略来说便是全虚拟化需求在 VMM 中模仿出一颗包含了操控单元、运算单元、存储单元、IS（指令集）的 CPU；此外，还需求模仿一张进行虚拟存储地址和物理存储地址转化的页表；此外，还需求在 VMM 模仿磁盘设备操控器、网络适配器等等各种 I/O 外设接口。

如此依靠，Guest OS 就不知道自己其实是个虚拟机了呀，它收到了诈骗。能够幻想得到，全虚拟化这种处理器密集型的虚拟化技能完结是反常困难且低效的。比较闻名的全虚拟化 VMM 有 Microsoft Virtual PC、VMware Workstation、Sun Virtual Box、Parallels Desktop for Mac 和 QEMU。

QEMU 在本年（2019）对外声称能够模仿一切设备，天啊，这简直是个奇观般的巨大软件。但依据这样的条件，全虚拟化 VMM 有必要要战胜许多难以处理的问题。例如：

确保 VMM 操控一切的体系资源：x86 处理器有 4 个特权等级，Ring 0 ~ Ring 3，只要运转在 Ring 0 ~ 2 时，处理器才干够拜访特权资源或履行特权指令；运转在 Ring 0 级时，处理器能够拜访一切的特权状况。x86 渠道上的操作体系一般只运用 Ring 0 和 Ring 3 这两个等级，操作体系运转在 Ring 0 级，用户进程运转在 Ring 3 级。为了满意资源操控（Resource Control）虚拟化需求条件，VMM 就有必要运转在 Ring 0 级，一同为了防止 Guest OS 操控体系资源，Guest OS 不得不下降自身的运转等级，运转在 Ring 1 或 Ring 3 级（Ring 2 不运用）。
特权级紧缩（Ring Compression）：VMM 运用分页或段约束的办法来保护物理内存的拜访，可是 64 位办法下段约束不起作用，而分页又不差异 Ring 0, 1, 2。为了统一和简化 VMM的规划，Guest OS 只能和 Guest 进程相同运转在 Ring 3 级。VMM 有必要监督 Guest OS 对 GDT、IDT 等特权资源的设置，防止 Guest OS 运转在 Ring 0级，一同又要保护降级后的 Guest OS 不受 Guest 进程的主动攻击或无意损坏。
特权等级名（Ring Alias）：特权等级名是指 Guest OS 在虚拟机中运转的等级并不是它所期望的。VMM 有必要确保 Guest OS 不能获悉正在虚拟机中运转这一现实，不然或许打破等价性（Equivalence）虚拟化需求条件。例如，x86 处理器的特权等级寄存在 CS 代码段寄存器内，Guest OS 能够运用非特权 push 指令将 CS 寄存器压栈，然后 pop 出来查看该值。又如，Guest OS 在低特权等级时读取特权寄存器 GDT、LDT、IDT 和 TR，并不发作反常，然后或许发现这些值与自己期望的不相同。
为了处理这个应战，VMM 能够运用动态二进制翻译（Binary Translation）的技能，例如预先把 push %%cs 指令替换，在栈上寄存一个影子 CS 寄存器值；又如，能够把读取 GDT 寄存器的操作 sgdt dest 改为 movl fake_gdt, dest。
地址空间紧缩（Address Space Compression）：地址空间紧缩是指 VMM 有必要在 Guest OS 的地址空间中保存一部分供其运用。例如，中止描绘表寄存器（IDT Register）中寄存的是中止描绘表的线性地址，假如 Guest OS 运转进程中来了外部中止或触发处理器反常，有必要确保运转权立刻转移到 VMM 中，因而 VMM 需求将 Guest OS 的一部分线性地址空间映射成自己的中止描绘表的主机物理地址。
VMM 能够完全运转在 Guest OS 的地址空间中，也能够具有独立的地址空间，后者的话，VMM 只占用 Guest OS 很少的地址空间，用于寄存中止描绘表和大局描绘符表（GDT）等重要的特权状况。不管怎样哪种状况，VMM 应该防止 Guest OS 直接读取和修正这部分地址空间。
处理 Guest OS 的缺页反常：内存是一种十分重要的体系资源，VMM 有必要全权办理，Guest OS 了解的物理地址仅仅客户机物理地址（Guest Physical Address），并不是终究的主机物理地址（Host Physical Address）。当 Guest OS 发作缺页反常时，VMM 需求知道缺页反常的原因，是 Guest 进程企图拜访没有权限的地址，或是客户机线性地址（Guest Linear Address）没有翻译成客户机物理地址，仍是客户机物理地址没有翻译成主机物理地址。一种可行的处理办法是 VMM 为 Guest OS 的每个进程的页表结构一个影子页表（Shadow Page Table），保护 Guest Linear Address 到 Host Physical Address 的映射，主机 CR3 寄存器寄存这个影子页表的物理内存地址。
VMM 一同保护一个 Guest OS 大局的 Guest Physical Address 到 Host Physical Address 的映射表。发作缺页反常的地址总是 Guest Linear Address，VMM 先去 Guest OS 中的页表查看原因，假如页表项现已树立，即对应的 Guest Physical Address 存在，阐明没有树立到 Host Physical Address 的映射，那么 VMM 分配一页物理内存，将影子页表和映射表更新；不然，VMM 回来到 Guest OS，由 Guest OS 自己处理该反常。
处理 Guest OS 中的体系调用（System Call）：体系调用是操作体系供给给用户的服务例程，运用十分频频。最新的操作体系一般运用 SYSENTER/SYSEXIT 指令对来完结快速体系调用。SYSENTER 指令经过 IA32_SYSENTER_CS，IA32_SYSENTER_EIP 和 IA32_SYSENTER_ESP 这 3 个 MSR（Model Specific Register）寄存器直接转到 Ring 0 级；而 SYSEXIT 指令不在 Ring 0 级履行的话将触发反常。因而，假如 VMM 只能采纳 Trap-And-Emulate 的办法处理这 2 条指令的话，全体功用将会遭到极大危害。
转发虚拟的中止和反常：一切的外部中止和 pCPU 的反常直接由 VMM 接收，VMM 结构必需的虚拟中止和反常，然后转发给 Guest OS。VMM 需求模仿硬件和操作体系对中止和反常的完好处理流程，例如 VMM 先要在 Guest OS 其时的内核栈上压入一些信息，然后找到 Guest OS 相应处理例程的地址，并跳转曩昔。
VMM 有必要对不同的 Guest OS 的内部作业流程比较清楚，这增加了 VMM 的完结难度。一同，Guest OS 或许频频地屏蔽中止和启用中止，这两个操作拜访特权寄存器 EFLAGS，有必要由 VMM 模仿完结，功用因而会遭到危害。Guest OS 从头启用中止时，VMM 需求及时地获悉这一状况，并将堆集的虚拟中止转发。
Guest OS 频频拜访特权资源：Guest OS 对特权资源的每次拜访都会触发 CPU 反常，然后由 VMM 模仿履行，假如拜访过于频频，则体系全体功用将会遭到极大危害。比方对中止的屏蔽和启用，cli（Clear Interrupts）指令在 Pentium 4 处理器上需求花费 60 个时钟周期（cycle）。
又比方，处理器本地高档可编程中止处理器（Local APIC）上有一个操作体系可修正的使命优先级寄存器（Task-Priority Register），IO-APIC 将外部中止转发到 TPR 值最低的处理器上（期望该处理器正在履行低优先级的线程），然后优化中止的处理。TPR 是一个特权寄存器，某些操作体系会频频设置（Linux Kernel 只在初始化阶段为每个处理器的 TPR 设置相同的值）。

显着，依据 Trap-And-Emulate 处理办法的全虚拟化虽能够以纯软件的办法完结虚拟化并处理了许多问题，但一同也带来了极大的规划杂乱性和功用下降。而关于这两个问题，半虚拟化（Partial virtualization）想到了一个好办法：改造 Guest OS，将 Guest OS 本来一切需求被 VMM 截获、模仿的指令和操作悉数改形成与 VMM 协同作业的指令（hypercall）和操作。VMM 不再隐瞒了，因为你（Guest OS）现已知道自己便是个虚拟机了。其间心思维是：动态或静态地改动 Guest OS 对特权状况拜访的操作，尽量削减发作不必要的硬件反常，一同简化 VMM 的规划。

半虚拟化

半虚拟化是一种经过修正 Guest OS 部分拜访特权状况的代码以便直接与 VMM 交互的技能。在半虚拟化虚拟机中，部分硬件接口以软件的办法供给给 Guest OS，这能够经过 Hypercall（VMM 供给给 Guest OS 的直接调用，与体系调用类似）的办法来供给。

例如，Guest OS 把切换页表的代码修正为调用 Hypercall 来直接完结修正影子 CR3 寄存器和翻译地址的作业。因为不需求发作额定的反常和模仿部分硬件履行流程，半虚拟化能够大幅度进步功用，比较闻名的 VMM 有 Denali、Xen。

2003 年，英国剑桥大学的一位讲师发布了开源虚拟化项目 Xen，并建立 XenSource 公司，经过半虚拟化技能为 x86-64 供给虚拟化支撑。同年，Intel 正式发布将在 x86 渠道的 CPU 上支撑虚拟化技能 VT。同年 VMWare 也被 EMC 收买，成为 EMC 迄今最成功的一笔收买。同年，微软收买 Connectix 公司取得 Virtual PC 虚拟化技能。

相较于全虚拟化，半虚拟化 VMM 只需求模仿部分底层硬件，因而 Guest OS 不做修正是无法在虚拟机中运转的，乃至运转在虚拟机中的其它程序也需求进行修正，如此价值，换来的便是接近于物理机的虚拟机功用。

有意思的是，半虚拟化其实也很为难，关于 Linux 而言天然是改了就改了，但 Windows 你要怎样改？人家可是闭源的。写到这儿，不由会想起自己写过的代码，拆东墙补西墙可不值得发起，要从本源上处理问题。而这个本源天然便是 —— CPU。

已然全虚拟化功用低的首要原因是花费了太多的精力去捕获 CPU 反常并模仿 CPU 行为，那么假如 CPU 自身就为 VMM 供给了便当，那岂不是从底子上处理了这个问题？这便是硬件辅佐虚拟化（Hardware-assisted virtualization）。

依据硬件辅佐的全虚拟化

Intel-VT（Intel Virtualization Technology）和 AMD-V 是现在 x86 渠道上可用的两种硬件辅佐虚拟化技能。VT-x 为 IA 32 处理器增加了两种操作办法：VMX root operation 和 VMX non-root operation。VMM 自己运转在 VMX root operation 办法，VMX non-root operation 办法则由 Guest OS 运用。两种操作办法都支撑 Ring 0~3 这 4 个特权级，因而 VMM 和 Guest OS 都能够自由挑选它们所期望的运转等级。

这两种操作办法能够相互转化。运转在 VMX root operation 办法下的 VMM 经过显式调用 VMLAUNCH 或 VMRESUME 指令切换到 VMX non-root operation 办法，硬件主动加载 Guest OS 的上下文，所以 Guest OS 取得运转，这种转化称为 VM entry。

Guest OS 运转进程中遇到需求 VMM 处理的事情，例如外部中止或缺页反常，或许主动调用 VMCALL 指令调用 VMM 的服务的时分（与体系调用类似），硬件主动挂起 Guest OS，切换到 VMX root operation 办法，康复 VMM 的运转，这种转化称为 VM exit。

VMX root operation 办法下软件的行为与在没有 VT-x 技能的处理器上的行为根本共同；而 VMX non-root operation 办法则有很大不同，最首要的差异是此刻运转某些指令或遇到某些事情时，发作 VM exit。

例如：在上面的比方中，Guest OS 能够履行修正页表的汇编指令，再无需 VMM 进行捕获、模仿。然后削减了相关的功用开支，也极大简化了 VMM 规划，进而使 VMM 能够按通用规范进行编写，功用愈加强壮。

又因为 VMM 和 Guest OS 同享底层的处理器资源，所以硬件需求一个物理内存区域来主动保存或康复相互履行的上下文。这个区域称为虚拟机操控块（VMCS），包含客户机状况区（Guest State Area），主机状况区（Host State Area）和履行操控区。

VM entry 时，硬件主动从客户机状况区加载 Guest OS 的上下文。并不需求保存 VMM 的上下文，原因与中止处理程序类似，因为 VMM 假如开端运转，就不会遭到 Guest OS的搅扰，只要 VMM 将作业完全处理完毕才或许自行切换到 Guest OS。

而 VMM 的下次运转必定是处理一个新的事情，因而每次 VMM entry 时， VMM 都从一个通用事情处理函数开端履行；VM exit 时，硬件主动将 Guest OS 的上下文保存在客户机状况区，从主机状况区中加载 VMM 的通用事情处理函数的地址，VMM 开端履行。而履行操控区寄存的则是能够操控 VM entry 和 exit 的标志位，例如符号哪些事情能够导致 VM exit，VM entry 时预备主动给 Guest OS “塞” 入哪种中止等等。

客户机状况区和主机状况区都应该包含部分物理寄存器的信息，例如操控寄存器 CR0，CR3，CR4；ESP 和 EIP（假如处理器支撑 64 位扩展，则为 RSP，RIP）；CS，SS，DS，ES，FS，GS 等段寄存器及其描绘项；TR，GDTR，IDTR 寄存器；IA32_SYSENTER_CS，IA32_SYSENTER_ESP，IA32_SYSENTER_EIP 和 IA32_PERF_GLOBAL_CTRL 等 MSR 寄存器。

客户机状况区并不包含通用寄存器的内容，VMM 自行决议是否在 VM exit 的时分保存它们，然后进步了体系功用。客户机状况区还包含非物理寄存器的内容，比方一个 32 位的 Active State 值标明 Guest OS 履行时处理器所在的活泼状况，假如正常履行指令便是处于 Active 状况，假如触发了三重毛病（Triple Fault）或其它严重过错就处于 Shutdown 状况，等等。

履行操控区用于寄存能够操控 VM entry 和 VM exit 的标志位，包含：

External-interrupt exiting：用于设置是否外部中止能够触发 VM exit，而不管 Guest OS 是否屏蔽了中止。
Interrupt-window exiting：假如设置，当 Guest OS 免除中止屏蔽时，触发 VM exit。
Use TPR shadow：经过 CR8 拜访 Task Priority Register（TPR）的时分，运用 VMCS 中的影子 TPR，能够防止触发 VM exit。一同履行操控区还有一个 TPR 阈值的设置，只要当 Guest OS 设置的 TR 值小于该阈值时，才触发 VM exit。
CR masks and shadows：每个操控寄存器的每一位都有对应的掩码，操控 Guest OS 是否能够直接写相应的位，或是触发 VM exit。一同 VMCS 中包含影子操控寄存器，Guest OS 读取操控寄存器时，硬件将影子操控寄存器的值回来给 Guest OS。

VMCS 还包含一组位图以供给更好的适应性：

Exception bitmap：挑选哪些反常能够触发 VM exit，
I/O bitmap：对哪些 16 位的 I/O 端口的拜访触发 VM exit。
MSR bitmaps：与操控寄存器掩码类似，每个 MSR 寄存器都有一组“读”的位图掩码和一组“写”的位图掩码。

每次发作 VM exi t时，硬件主动在 VMCS 中存入丰厚的信息，便利 VMM 鉴别事情的品种和原因。VM entry 时，VMM 能够便利地为 Guest OS 注入事情（中止和反常），因为 VMCS 中存有 Guest OS 的中止描绘表（IDT）的地址，因而硬件能够主动地调用 Guest OS 的处理程序。

传统的全虚拟化完结在有了硬件的辅佐之后，因为 CPU 引入了新的操作办法，VMM 和 Guest OS 的履行由硬件主动阻隔开来，任何要害的事情都能够将体系操控权主动转移到 VMM，因而 VMM 能够完全操控体系的悉数资源。Guest OS 也能够运转在它所期望的最高特权等级，因而特权级紧缩和特权等级名的问题方便的处理，并且 Guest OS 中的体系调用也不会触发 VM exit。

硬件运用物理地址拜访虚拟机操控块（VMCS），而 VMCS 保存了 VMM 和 Guest OS 各自的 IDTR 和 CR3 寄存器，因而 VMM 能够具有独立的地址空间，Guest OS 能够完全操控自己的地址空间，地址空间紧缩的问题也不存在了。中止和反常虚拟化的问题也得到了很好的处理。VMM 只用简略地设置需求转发的虚拟中止或反常，在 VM entry 时，硬件主动调用 Guest OS 的中止和反常处理程序，大大简化 VMM 的规划。

一同，Guest OS 对中止的屏蔽及免除能够不触发 VM exit，然后进步了功用。并且 VMM 还能够设置当 Guest OS 免除中止屏蔽时触发 VM exit，因而能够及时地转发堆集的虚拟中止和反常。别的，纯软件完结的 VMM 现在短少对 64 位客户操作体系的支撑，而 CPU 的虚拟化技能除支撑广泛的传统操作体系类型之外，还支撑 64 位客户操作体系。硬件辅佐虚拟技能进步了虚拟机的功用以及兼容性。

需求留意的是，上文中咱们提到了全虚拟化、半虚拟化和硬件辅佐的全虚拟化，但这种分类实践上并不肯定，一个优异的 VMM 往往交融了多项技能。例如 VMware Workstation 是一个闻名的全虚拟化的 VMM，可是它运用了一种被称为动态二进制翻译（Binary Translation）的技能把对特权状况的拜访转化成对影子状况的操作，然后防止了低效的 Trap-And-Emulate 的处理办法，这与半虚拟化类似，只不过半虚拟化是静态地修正程序代码。

看得出硬件辅佐虚拟化技能必定是未来的方向，Intel-VT 的处理器级虚拟化技能还需求进行以下优化：

进步操作办法间的转化速度：两种操作办法间的转化发作之如此频频，假如不能有用削减其转化速度，即便充分运用硬件特性，虚拟机的全体功用也会大打折扣。前期的支撑硬件辅佐虚拟化技能的 Pentium 4 处理器需求花费 2409 个时钟周期处理 VM entry，花费 508 个时钟周期处理由缺页反常触发的 VM exit，价值适当高。跟着 Intel 技能的不断完善，在新的 Core 架构上，相应时刻现已削减到 937 和 446 个时钟周期。未来硬件厂商还需求进一步进步办法的转化速度，并供给更多的硬件特性来削减不必要的转化。
优化翻译后援缓冲器（TLB）的功用：每次 VM entry 和 VM exit 发作时，因为需求从头加载 CR3 寄存器，因而 TLB（Translation Lookaside Buffer）被完全清空。虚拟化体系中操作办法的转化发作频率适当高，因而体系的全体功用遭到显着危害。一种可行的方案是为 VMM 和每个虚拟机分配一个大局仅有 ID，TLB 的每一项附加该 ID 信息来索引线性地址的翻译。
供给内存办理单元（MMU）虚拟化的硬件支撑：即便运用 Intel-VT 技能，VMM 仍是得用老办法来处理 Guest OS 中发作的缺页反常以及Guest OS 的客户机物理地址到主机物理地址的翻译，实质原因是 VMM 完全操控主机物理内存，因而 Guest OS 中的线性地址的翻译一同牵涉到 VMM 和 Guest OS 的地址空间，而硬件只能看到其间的一个。Intel 和 AMD 提出了各自的处理方案，别离叫做 EPT（Extended Page Table）和 Nested Paging。这两种技能的根本思维是，不管何时遇到客户机物理地址，硬件主动查找 VMM 供给的关于该 Guest OS 的一个页表，翻译成主机物理地址，或发作缺页反常来触发 VM exit。
支撑高效的 I/O 虚拟化：I/O 虚拟化需求考虑功用、可用性、可扩展性、可靠性和本钱等多种要素。最简略的办法是 VMM 为虚拟机模仿一个常见的 I/O 设备，该设备的功用由 VMM 用软件或复用主机 I/O 设备的办法完结。例如 Virtual PC 虚拟机供给的是一种比较陈旧的 S3 Trio64显卡。这种办法进步了兼容性，并充分运用 Guest OS 自带的设备驱动程序，可是虚拟的 I/O 设备功用有限且功用低下。
为了进步功用，VMM 能够直接将主机 I/O 设备分配给虚拟机，这会带来两个首要应战：1. 假如多个虚拟机能够复用同一个设备，VMM 有必要确保它们对设备的拜访不会相互搅扰。2. 假如 Guest OS 运用 DMA 的办法拜访 I/O 设备，因为 Guest OS 给出的地址并不是主机物理地址，VMM 有必要确保在发动 DMA 操作前将该地址正确转化。Intel 和 AMD 别离提出了各自的处理方案，别离称为 Direct I/O（VT-d）和 IOMMU，期望用硬件的手法处理这些问题，下降 VMM 完结的难度。

2004 年，微软发布 Virtual Server 2005 方案，标志着虚拟化技能正式进入干流商场。

2005 年，OpenVZ 发布，这是 Linux 操作体系的容器化技能完结，一同也是 LXC 的中心完结。

2006 年，Intel 和 AMD 等厂商相继将对虚拟化技能的支撑参加到 x86 体系结构的中央处理器中（AMD-V，Intel VT-x），使本来纯软件完结的各项功用能够用凭借硬件的力气完结提速。

同年，红帽将 Xen 作为 RHEL 的默许特性。同年，Amazon Web Services（AWS）开端以 Web 服务的办法向企业供给 IT 根底设施服务，现在一般称为云核算。

ps：虚拟化和云核算不解的根由自此开端了。

2007 年 1 月，Sun 公司发布了开源虚拟化软件 VirtualBox。同年 Xen 被 Citrix（思杰）收买。

2007 年 2 月，Linux Kernel 2.6.20 合入了由以色列公司 Qumranet 开发的虚拟化内核模块 KVM（Kernel-based Virtual Machine，依据内核的虚拟机），支撑 KVM 的条件是 CPU 有必要要支撑虚拟化技能。 2008 年榜首季度，微软一同发布了 Windows Server 2008 R2 及虚拟化产品 Hyper-V。2008 年 6 月，Linux Container（LXC）发布 0.1.0 版别，其能够供给轻量级的虚拟化，用来阻隔进程和资源。是 Docker 开端运用的容器技能支撑。

2008 年 9 月 4 日，Red Hat 收买以色列公司 Qumranet，并着手运用 KVM 替换在 Red Hat 中的运用的 Xen。

2009 年 9 月，红帽发布 RHEL 5.4，在原先的 Xen 虚拟化机制之上，将 KVM 添加了进来。同年，阿里云写下榜首行代码。

2010年11月，红帽发布 RHEL 6.0，这个版别将默许装置的 Xen 虚拟化机制完全去除，仅供给 KVM 虚拟化机制。

当年，Xen 尽管作为一项广泛运用于 Linux 发行版中的虚拟化技能，但却迟迟没有集成到 Linux 内核中，红帽也许是出于对这种脱离内核的保护办法感到不爽，加之其时思杰和微软体现的很十分密切，导致红帽萌生了抛弃 Xen 的主意，并在正式选用 KVM 的一年后，就宣告完全抛弃 Xen。硬件辅佐虚拟化的到来，Xen 引以为傲的半虚拟化技能也随之在干流 Linux 发行厂商中式微了。

2010 年 10 月 21 日，NASA 发布了能够 IaaS（根底设施即服务）云操作体系 OpenStack，榜首个版别便是众所周知 Austin（奥斯丁）。OpenStack 挽手自主可控的标语，推动了云核算在国内的全面迸发。

2011 年头，IBM 找上老搭档红帽，表明 KVM 这个东西值得加大力度去做。所以到了 5 月，IBM 和红帽，联合惠普和英特尔一同，建立了敞开虚拟化联盟（Open Virtualization Alliance），加快 KVM 投入商场的速度，由此防止 VMware 一家独大的状况呈现。联盟建立之时，红帽的发言人表明：“咱们都期望除 VMware 之外还有一种开源挑选。未来的云根底设施一定会依据开源。咱们想要营建一个小厂商们能够轻松参加的生态环境。”

ps：现在回头再看，企业之所以能够长盛不衰，久远的洞察力至关重要。

操作体系虚拟化（容器）

2013 年 3 月 15 日，在加利福尼亚州圣克拉拉举行的 Python 开发者大会上，DotCloud 的创始人兼首席履行官 Solomon Hvkes 在一场仅五分钟的微型讲演中，初次提出了 Docker 这一概念，并于会后将其源码开源并保管到 Github。开端的 Docker 便是运用了 LXC 再封装了其他的一些功用。能够看出，Docker 的成功，与其说是技能的立异，还不如说是一次组合式的立异。

2014 年 6 月，Docker 发布了榜首个正式版别 v1.0。同年，Redhat 和 AWS 就宣告了为 Docker 供给官方支撑。

在传统操作体系中，一切用户的进程实质上是在同一个操作体系的实例中运转，因而内核或运用程序的缺点或许影响到其它进程。操作体系虚拟化（OS-level virtualization）是一种在服务器操作体系中运用的、没有 VMM 层的轻量级虚拟化技能，内核经过创立多个虚拟的操作体系实例（内核和库）来阻隔不同的进程（容器），不同实例中的进程完全不了解对方的存在。

操作体系虚拟化看似与上述提到过的几种硬件虚拟化办法相同，都是发作多个操作体系，但操作体系虚拟化与硬件虚拟化之间仍是有许多不同之处，其间最中心的差异便是：操作体系虚拟化是操作体系的虚拟化，而硬件虚拟化是核算机的虚拟化。前者阻隔操作体系资源，然后者阻隔核算机硬件资源。

ps：容器技能之所以炽热，是因为容器阻隔性封装的特性，为运维才干引入了 “可编程性”，开发人员凭借容器得以 Software Define Operation。

2015 年 7 月 21 日：Kubernetes v1.0 发布！进入云原生年代。

2018 年，IBM 正式收买 Redhat 以补偿在云核算商场的战略失利。同年，微软收买 Github。开源的前史会铭记这一天。 2019 年，全球最大的开源盛会 KubeCon + CloudNativeCon + Open Source Summit、Open Infrastructure Summit 相继在上海举行。我国的开源会铭记这一天。注：本篇文章将会一向更新下去！