Kể từ ngày 27 tháng 3 năm 2025, bạn nên sử dụng android-latest-release thay vì aosp-main để xây dựng và đóng góp cho AOSP. Để biết thêm thông tin, hãy xem phần Thay đổi đối với AOSP.

Trang này được dịch bởi Cloud Translation API.

Triển khai mô-đun nhà cung cấp pKVM

Trang này giải thích cách triển khai mô-đun nhà cung cấp máy ảo (pKVM) dựa trên nhân được bảo vệ.

Đối với android16-6.12 trở lên, khi hoàn tất các bước này, bạn sẽ có một cây thư mục tương tự như:

BUILD.bazel
el1.c
hyp/
    BUILD.bazel
    el2.c

Để xem ví dụ đầy đủ, hãy xem phần Tạo mô-đun pKVM bằng DDK.

Đối với android15-6.6 trở xuống:

Makefile
el1.c
hyp/
    Makefile
    el2.c

Thêm mã trình điều khiển ảo EL2 (el2.c). Ít nhất, mã này phải khai báo một hàm khởi tạo chấp nhận tham chiếu đến cấu trúc pkvm_module_ops:
```
#include <asm/kvm_pkvm_module.h>

int pkvm_driver_hyp_init(const struct pkvm_module_ops *ops)
{
  /* Init the EL2 code */

  return 0;
}
```
API mô-đun nhà cung cấp pKVM là một cấu trúc đóng gói các lệnh gọi lại đến trình điều khiển ảo hoá pKVM. Cấu trúc này tuân theo các quy tắc ABI giống như giao diện GKI.

Lưu ý: Không giống như hạt nhân, không có biểu tượng nào được xuất và tất cả các lệnh gọi đến trình điều khiển ảo hoá phải diễn ra thông qua các lệnh gọi lại trong cấu trúc pkvm_module_ops.

Tạo hyp/Makefile để tạo mã trình điều khiển ảo hoá:

hyp-obj-y := el2.o
include $(srctree)/arch/arm64/kvm/hyp/nvhe/Makefile.module

Thêm mã hạt nhân EL1 (el1.c). Phần khởi chạy của mã này phải chứa lệnh gọi đến pkvm_load_el2 module để tải mã trình điều khiển ảo EL2 từ bước 1.

#include <linux/init.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <asm/kvm_pkvm_module.h>

int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops);

static int __init pkvm_driver_init(void)
{
    unsigned long token;

    return pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init, &token);
}
module_init(pkvm_driver_init);

Cuối cùng, hãy tạo các quy tắc bản dựng.

Đối với android16-6.12 trở lên, hãy tham khảo phần Tạo mô-đun pKVM bằng DDK để tạo ddk_library() cho EL2 và ddk_module() cho EL1.

Đối với android15-6.6 trở xuống, hãy tạo tệp makefile gốc để liên kết mã EL1 và EL2 với nhau:

ifneq ($(KERNELRELEASE),)
clean-files := hyp/hyp.lds hyp/hyp-reloc.S

obj-m := pkvm_module.o
pkvm_module-y := el1.o hyp/kvm_nvhe.o

$(PWD)/hyp/kvm_nvhe.o: FORCE
         $(Q)$(MAKE) $(build)=$(obj)/hyp $(obj)/hyp/kvm_nvhe.o
else
all:
        make -C $(KDIR) M=$(PWD) modules
clean:
        make -C $(KDIR) M=$(PWD) clean
endif

Tải mô-đun pKVM

Cũng như các mô-đun nhà cung cấp GKI, bạn có thể tải các mô-đun nhà cung cấp pKVM bằng modprobe. Tuy nhiên, vì lý do bảo mật, quá trình tải phải diễn ra trước khi thu hồi đặc quyền. Để tải mô-đun pKVM, bạn phải đảm bảo các mô-đun của mình có trong hệ thống tệp gốc (initramfs) và bạn phải thêm nội dung sau vào dòng lệnh hạt nhân:

kvm-arm.protected_modules=mod1,mod2,mod3,...

Các mô-đun nhà cung cấp pKVM được lưu trữ trong initramfs kế thừa chữ ký và tính năng bảo vệ của initramfs.

Nếu một trong các mô-đun nhà cung cấp pKVM không tải được, thì hệ thống sẽ được coi là không an toàn và bạn sẽ không thể khởi động máy ảo được bảo vệ.

Gọi hàm EL2 (trình điều khiển ảo hoá) từ EL1 (mô-đun hạt nhân)

Lệnh gọi trình điều khiển ảo hoá (HVC) là một lệnh cho phép nhân gọi trình điều khiển ảo hoá. Với việc ra mắt các mô-đun nhà cung cấp pKVM, bạn có thể sử dụng HVC để gọi một hàm chạy ở EL2 (trong mô-đun trình điều khiển ảo hoá) từ EL1 (mô-đun hạt nhân):

Trong mã EL2 (el2.c), hãy khai báo trình xử lý EL2:

Android-14

  void pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx)
  {
    /* Handle the call */

    cpu_reg(ctx, 1) = 0;
  }

Android-15

  void pkvm_driver_hyp_hvc(struct user_pt_regs *regs)
  {
    /* Handle the call */

    regs->regs[0] = SMCCC_RET_SUCCESS;
    regs->regs[1] = 0;
  }

Trong mã EL1 (el1.c), hãy đăng ký trình xử lý EL2 trong mô-đun nhà cung cấp pKVM:

int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops);
void __kvm_nvhe_pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx); // Android14
void __kvm_nvhe_pkvm_driver_hyp_hvc(struct user_pt_regs *regs);   // Android15

static int hvc_number;

static int __init pkvm_driver_init(void)
{
  long token;
  int ret;

  ret = pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init,token);
  if (ret)
    return ret;

  ret = pkvm_register_el2_mod_call(__kvm_nvhe_pkvm_driver_hyp_hvc, token)
  if (ret < 0)
    return ret;

  hvc_number = ret;

  return 0;
}
module_init(pkvm_driver_init);

Trong mã EL1 (el1.c), hãy gọi HVC:
```
pkvm_el2_mod_call(hvc_number);
```

Triển khai mô-đun nhà cung cấp pKVM Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Tải mô-đun pKVM

Gọi hàm EL2 (trình điều khiển ảo hoá) từ EL1 (mô-đun hạt nhân)

Triển khai mô-đun nhà cung cấp pKVM