בדף הזה מוסבר איך להטמיע מודול ספק של מכונה וירטואלית (pKVM) מוגנת מבוססת ליבה (kernel). בסיום השלבים האלה, אמור להיות לכם עץ ספריות שדומה לזה:
Makefile
el1.c
hyp/
Makefile
el2.c
מוסיפים את קוד ה-hypervisor של EL2 (
el2.c
). לכל הפחות, הקוד הזה צריך להצהיר על פונקציה התחלתית שמקבלת הפניה למבנהpkvm_module_ops
:#include <asm/kvm_pkvm_module.h> int pkvm_driver_hyp_init(const struct pkvm_module_ops *ops) { /* Init the EL2 code */ return 0; }
ה-API של מודול ספק ה-pKVM הוא מבנה שמסתיר קריאות חוזרות (callback) אל pKVM hypervisor. המבנה הזה פועל לפי אותם כללי ABI כמו בממשקי GKI.
כדי ליצור את הקוד של Hypervisor, יוצרים את
hyp/Makefile
:hyp-obj-y := el2.o include $(srctree)/arch/arm64/kvm/hyp/nvhe/Makefile.module
מוסיפים את קוד הליבה של EL1 (
el1.c
). הקטע ההתחלתי של הקוד הזה חייב להכיל קריאה ל-pkvm_load_el2 module
כדי לטעון את קוד ה-hypervisor של EL2 משלב 1.#include <linux/init.h> #include <linux/module.h> #include <linux/kernel.h> #include <asm/kvm_pkvm_module.h> int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops); static int __init pkvm_driver_init(void) { unsigned long token; return pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init, &token); } module_init(pkvm_driver_init);
לבסוף, יוצרים את קובץ ה-makefile ברמה הבסיסית כדי לקשר בין הקוד EL1 ו-EL2:
ifneq ($(KERNELRELEASE),) clean-files := hyp/hyp.lds hyp/hyp-reloc.S obj-m := pkvm_module.o pkvm_module-y := el1.o hyp/kvm_nvhe.o $(PWD)/hyp/kvm_nvhe.o: FORCE $(Q)$(MAKE) $(build)=$(obj)/hyp $(obj)/hyp/kvm_nvhe.o else all: make -C $(KDIR) M=$(PWD) modules clean: make -C $(KDIR) M=$(PWD) clean endif
טעינת מודול pKVM
בדומה למודולים של ספקים של GKI, אפשר לטעון מודולים של ספקי pKVM באמצעות modprobe.
עם זאת, מטעמי אבטחה, צריך לבצע טעינה לפני הפסילה.
כדי לטעון מודול pKVM, צריך לוודא שהמודולים כלולים
מערכת קובצי השורש (initramfs
) וצריך להוסיף את הדברים הבאים
שורת הפקודה בליבה (kernel):
kvm-arm.protected_modules=mod1,mod2,mod3,...
מודולים של ספקי pKVM שמאוחסנים ב-initramfs
יורשים את החתימה ואת ההגנה של initramfs
.
אם אחד מהמודולים של ספק ה-pKVM נכשל, המערכת נחשבת לא מאובטחת ולא ניתן יהיה להפעיל מכונה וירטואלית מוגנת.
קריאה לפונקציית EL2 (hypervisor) מ-EL2 (מודול ליבה)
קריאת hypervisor (HVC) היא הוראה שמאפשרת לליבה (kernel) לקרוא ל-hypervisor. הצגת המודולים של ספקי pKVM מאפשרת להשתמש ב-HVC כדי להפעיל פונקציה להרצה ב-EL2 (במודול hypervisor) מ-EL1 (מודול הליבה):
- בקוד EL2 (
el2.c
), מצהירים על ה-handler של EL2:
Android-14
void pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx)
{
/* Handle the call */
cpu_reg(ctx, 1) = 0;
}
Android-15
void pkvm_driver_hyp_hvc(struct user_pt_regs *regs)
{
/* Handle the call */
regs->regs[0] = SMCCC_RET_SUCCESS;
regs->regs[1] = 0;
}
בקוד ה-EL1 (
el1.c
), יש לרשום את ה-handler של EL2 בספק ה-pKVM מודול:int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops); void __kvm_nvhe_pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx); // Android14 void __kvm_nvhe_pkvm_driver_hyp_hvc(struct user_pt_regs *regs); // Android15 static int hvc_number; static int __init pkvm_driver_init(void) { long token; int ret; ret = pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init,token); if (ret) return ret; ret = pkvm_register_el2_mod_call(__kvm_nvhe_pkvm_driver_hyp_hvc, token) if (ret < 0) return ret; hvc_number = ret; return 0; } module_init(pkvm_driver_init);
בקוד ה-EL1 (
el1.c
), קוראים ל-HVC:pkvm_el2_mod_call(hvc_number);