Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Menerapkan modul vendor pKVM

Halaman ini menjelaskan cara mengimplementasikan modul vendor mesin virtual berbasis kernel (pKVM) yang dilindungi. Ketika Anda selesai dengan langkah-langkah ini, Anda akan memiliki pohon direktori yang mirip dengan:

Makefile
el1.c
hyp/
    Makefile
    el2.c

Tambahkan kode hypervisor EL2 ( el2.c ). Minimal, kode ini harus mendeklarasikan fungsi init yang menerima referensi ke struct pkvm_module_ops :
```
#include <asm/kvm_pkvm_module.h>

int pkvm_driver_hyp_init(const struct pkvm_module_ops *ops)
{
  /* Init the EL2 code */

  return 0;
}
```
API modul vendor pKVM adalah struct yang merangkum callback ke hypervisor pKVM. Struktur ini mengikuti aturan ABI yang sama dengan antarmuka GKI.
Catatan: Berbeda dengan kernel, tidak ada simbol yang diekspor dan semua panggilan ke hypervisor harus dilakukan melalui callback di struct pkvm_module_ops .

Buat hyp/Makefile untuk membuat kode hypervisor:

hyp-obj-y := el2.o
include $(srctree)/arch/arm64/kvm/hyp/nvhe/Makefile.module

Tambahkan kode kernel EL1 ( el1.c ). Bagian init kode ini harus berisi panggilan ke pkvm_load_el2 module untuk memuat kode hypervisor EL2 dari langkah 1.

#include <linux/init.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <asm/kvm_pkvm_module.h>

int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops);

static int __init pkvm_driver_init(void)
{
    unsigned long token;

    return pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init, &token);
}
module_init(pkvm_driver_init);

Terakhir, buat root makefile untuk menyatukan kode EL1 dan EL2:

ifneq ($(KERNELRELEASE),)
clean-files := hyp/hyp.lds hyp/hyp-reloc.S

obj-m := pkvm_module.o
pkvm_module-y := el1.o hyp/kvm_nvhe.o

$(PWD)/hyp/kvm_nvhe.o: FORCE
         $(Q)$(MAKE) $(build)=$(obj)/hyp $(obj)/hyp/kvm_nvhe.o
else
all:
        make -C $(KDIR) M=$(PWD) modules
clean:
        make -C $(KDIR) M=$(PWD) clean
endif

Muat modul pKVM

Seperti halnya modul vendor GKI, modul vendor pKVM dapat dimuat menggunakan modprobe. Namun demi alasan keamanan, pemuatan harus dilakukan sebelum melakukan pencabutan. Untuk memuat modul pKVM, Anda harus memastikan modul Anda disertakan dalam sistem file root ( initramfs ) dan Anda harus menambahkan yang berikut ke baris perintah kernel Anda:

kvm-arm.protected_modules= mod1 , mod2 , mod3 , ...

Modul vendor pKVM yang disimpan di initramfs mewarisi tanda tangan dan perlindungan initramfs .

Jika salah satu modul vendor pKVM gagal dimuat, sistem dianggap tidak aman dan mesin virtual yang dilindungi tidak dapat dijalankan.

Memanggil fungsi EL2 (hypervisor) dari EL2 (modul kernel)

Panggilan hypervisor (HVC) adalah instruksi yang memungkinkan kernel memanggil hypervisor. Dengan diperkenalkannya modul vendor pKVM, HVC dapat digunakan untuk memanggil fungsi agar dijalankan di EL2 (dalam modul hypervisor) dari EL1 (modul kernel):

Dalam kode EL2 ( el2.c ), deklarasikan pengendali EL2:
```
void pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx)
{
  /* Handle the call */

  cpu_reg(ctx, 1) = 0;
}
```
Catatan: Kode EL2 tidak dapat digantikan. Oleh karena itu, bagian ini harus dibuat sesingkat mungkin.

Dalam kode EL1 Anda ( el1.c ), daftarkan pengendali EL2 di modul vendor pKVM Anda:

int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops);
void __kvm_nvhe_pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx);

static int hvc_number;

static int __init pkvm_driver_init(void)
{
  long token;
  int ret;

  ret = pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init,token);
  if (ret)
    return ret;

  ret = pkvm_register_el2_mod_call(__kvm_nvhe_pkvm_driver_hyp_hvc, token)
  if (ret < 0)
    return ret;

  hvc_number = ret;

  return 0;
}
module_init(pkvm_driver_init);

Dalam kode EL1 Anda ( el1.c ), hubungi HVC:
```
pkvm_el2_mod_call(hvc_number);
```