इस पेज में, सुरक्षित किए गए कर्नेल-आधारित वर्चुअल मशीन (pKVM) वेंडर मॉड्यूल को लागू करने का तरीका बताया गया है. इन चरणों को पूरा करने के बाद, आपके पास इससे मिलता-जुलता डायरेक्ट्री ट्री होना चाहिए:
Makefile
el1.c
hyp/
Makefile
el2.c
EL2 हायपरवाइज़र कोड (
el2.c
) जोड़ें. इस कोड को कम से कमpkvm_module_ops
निर्देश का रेफ़रंस स्वीकार करने वाले init फ़ंक्शन के बारे में बताना चाहिए:#include <asm/kvm_pkvm_module.h> int pkvm_driver_hyp_init(const struct pkvm_module_ops *ops) { /* Init the EL2 code */ return 0; }
pKVM वेंडर मॉड्यूल एपीआई एक ऐसा स्ट्रक्चर है, जो कॉलबैक को pKVM हाइपरवाइज़र. यह स्ट्रक्चर, एबीआई के उन ही नियमों का पालन करता है जो जीकेआई इंटरफ़ेस में होते हैं.
Hypervisor कोड बनाने के लिए,
hyp/Makefile
बनाएं:hyp-obj-y := el2.o include $(srctree)/arch/arm64/kvm/hyp/nvhe/Makefile.module
EL1 कर्नेल कोड (
el1.c
) जोड़ें. इस कोड के init सेक्शन में, पहले चरण में EL2 हाइपरवाइज़र कोड लोड करने के लिए,pkvm_load_el2 module
को कॉल करना ज़रूरी है.#include <linux/init.h> #include <linux/module.h> #include <linux/kernel.h> #include <asm/kvm_pkvm_module.h> int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops); static int __init pkvm_driver_init(void) { unsigned long token; return pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init, &token); } module_init(pkvm_driver_init);
आखिर में, EL1 और EL2 कोड को एक साथ जोड़ने के लिए रूट Makefile बनाएं:
ifneq ($(KERNELRELEASE),) clean-files := hyp/hyp.lds hyp/hyp-reloc.S obj-m := pkvm_module.o pkvm_module-y := el1.o hyp/kvm_nvhe.o $(PWD)/hyp/kvm_nvhe.o: FORCE $(Q)$(MAKE) $(build)=$(obj)/hyp $(obj)/hyp/kvm_nvhe.o else all: make -C $(KDIR) M=$(PWD) modules clean: make -C $(KDIR) M=$(PWD) clean endif
pKVM मॉड्यूल लोड करें
GKI वेंडर मॉड्यूल की तरह, pKVM वेंडर मॉड्यूल को modprobe का इस्तेमाल करके लोड किया जा सकता है.
हालांकि, सुरक्षा कारणों से, सुविधा उपलब्ध न होने से पहले लोडिंग होना ज़रूरी है.
pKVM मॉड्यूल लोड करने के लिए, आपको यह पक्का करना होगा कि आपके मॉड्यूल
रूट फ़ाइलसिस्टम (initramfs
) और आपको इसे अपने
कर्नेल कमांड-लाइन:
kvm-arm.protected_modules=mod1,mod2,mod3,...
initramfs
में सेव किए गए pKVM वेंडर मॉड्यूल पर, initramfs
के हस्ताक्षर और सुरक्षा लागू होती है.
अगर pKVM वेंडर मॉड्यूल में से कोई एक मॉड्यूल लोड नहीं हो पाता है, तो सिस्टम को असुरक्षित माना जाता है. इसलिए, सुरक्षित वर्चुअल मशीन को चालू नहीं किया जा सकता.
EL2 (कर्नेल मॉड्यूल) से EL2 (हायपरवाइज़र) फ़ंक्शन को कॉल करें
हायपरवाइज़र कॉल (एचवीसी) एक निर्देश होता है, जिसकी मदद से कर्नेल हाइपरवाइज़र को कॉल कर सकता है. pKVM वेंडर मॉड्यूल की शुरुआत होने के बाद, EL1 (कर्नेल मॉड्यूल में) से EL2 (हाइपरवाइज़र मॉड्यूल में) पर फ़ंक्शन चलाने के लिए, एचवीसी का इस्तेमाल किया जा सकता है:
- EL2 कोड (
el2.c
) में, EL2 हैंडलर का एलान करें:
Android-14
void pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx)
{
/* Handle the call */
cpu_reg(ctx, 1) = 0;
}
Android-15
void pkvm_driver_hyp_hvc(struct user_pt_regs *regs)
{
/* Handle the call */
regs->regs[0] = SMCCC_RET_SUCCESS;
regs->regs[1] = 0;
}
अपने EL1 कोड (
el1.c
) में, EL2 हैंडलर को pKVM वेंडर में रजिस्टर करें मॉड्यूल:int __kvm_nvhe_pkvm_driver_hyp_init(const struct pkvm_module_ops *ops); void __kvm_nvhe_pkvm_driver_hyp_hvc(struct kvm_cpu_context *ctx); // Android14 void __kvm_nvhe_pkvm_driver_hyp_hvc(struct user_pt_regs *regs); // Android15 static int hvc_number; static int __init pkvm_driver_init(void) { long token; int ret; ret = pkvm_load_el2_module(__kvm_nvhe_pkvm_driver_hyp_init,token); if (ret) return ret; ret = pkvm_register_el2_mod_call(__kvm_nvhe_pkvm_driver_hyp_hvc, token) if (ret < 0) return ret; hvc_number = ret; return 0; } module_init(pkvm_driver_init);
अपने EL1 कोड (
el1.c
) में, एचवीसी को कॉल करें:pkvm_el2_mod_call(hvc_number);