当前位置：首页 > article >正文

iommu与virtio

article 2026/4/22 1:58:35

Virtio虚拟机里的 “虚拟设备总线”作用让虚拟机Guest高效使用宿主机Host提供的虚拟设备虚拟网卡virtio-net虚拟磁盘virtio-blk虚拟显卡virtio-gpu虚拟 IOMMUvirtio-iommu本质前后端通信协议共享内存队列Virtqueue特点半虚拟化性能远好于纯模拟e1000、AHCIIOMMUI/O 内存管理单元硬件 / 虚拟作用给外设 DMA 做地址翻译访问控制两种形态物理 IOMMUIntel VT-d / AMD-Vi / ARM SMMU虚拟 IOMMUvirtio-iommu纯软件模拟核心能力设备只能访问指定内存区域隔离设备防止越权 DMA支持 PCI 直通、VFIOVirtio 和 IOMMU 的关系三层关系第一层普通 Virtio 设备不需要IOMMU默认情况下virtio-net、virtio-blk 直接读写 Guest 物理内存GPAHost QEMU 负责翻译 GPA → HPA完全不需要 IOMMU 参与这是绝大多数云主机的默认状态。第二层Virtio 设备可以开启 IOMMU 保护安全模式开启后Guest 内核通过IOMMU 为 virtio 设备分配 IOVA设备 DMA 必须走 IOVA → GPA 翻译即使设备被恶意控制也只能访问限定内存更安全符合虚拟化安全规范QEMU 开启方式-device virtio-net-pci,iommu_platformon第三层专门的虚拟设备 ——virtio-iommu这是一个独立的 virtio 设备功能就是在 Guest 内部模拟一个完整 IOMMU它和其他 virtio 设备是并列关系virtio-net虚拟网卡virtio-blk虚拟磁盘virtio-iommu虚拟 IOMMU为什么要把 Virtio 和 IOMMU 放一起用1. 安全隔离最重要不让虚拟设备能访问整个 Guest 内存防止恶意设备 DMA 攻击满足机密计算、安全容器、可信虚拟化要求2. 兼容 VFIO 框架Guest 内部要用 VFIO 把设备给用户态 / 容器必须有 IOMMU 支持无硬件 IOMMU 时用virtio-iommu模拟3. 跨架构统一 IOMMU 体验x86 VT-d、ARM SMMU 接口不同virtio-iommu 提供一套标准协议虚拟机跨平台迁移兼容性更好4. 嵌套虚拟化需要在虚拟机里再开虚拟机嵌套 KVM需要内层虚拟机看到一个 IOMMU只能用 virtio-iommu 提供数据流对比无 IOMMU 时 Virtio 数据流Guest 驱动 → Virtqueue → QEMU → 直接读写 GPA无翻译、无隔离。有 IOMMU 时物理或虚拟Guest 驱动 → IOMMU 分配 IOVA → 设备用 IOVA 发起 DMA → IOMMU 翻译 IOVA → GPA → QEMU 翻译 GPA → HPA多一层地址翻译权限检查。Virtio 设备物理 IOMMUVT-d/SMMU宿主机开启物理 IOMMU 时Host 用 IOMMU 把虚拟机整体隔离Host 限制虚拟机只能访问自己的内存虚拟机内部再用 virtio 或 virtio-iommu结构Host IOMMU硬件 ↓ VM 隔离 ↓ Guest 内部virtio-iommu虚拟 ↓ Virtio 设备典型用于安全云主机机密虚拟机SEV/TDX强隔离多租户环境物理 IOMMU vs 虚拟 IOMMU一句话先讲透物理 IOMMU真实硬件负责宿主机 → 物理设备的 DMA 安全与隔离虚拟 IOMMU软件模拟QEMU/KVM负责虚拟机 → 虚拟设备的 DMA 安全与隔离对比项物理 IOMMU虚拟 IOMMU实现方式硬件单元CPU/PCIe 根复合体内置纯软件模拟QEMU / 虚拟化栈工作位置Host 侧管理真实物理设备Guest 侧管理虚拟机里的虚拟设备翻译路径IOVA → 物理地址 (PA)IOVA → 虚拟机物理地址 (GPA)性能极高硬件并行翻译无开销较低需要陷入 Hypervisor、队列交互功能完整度完整ATS/PRI/PASID/ 中断重映射基础MAP/UNMAP/ATTACH/ 故障上报依赖条件必须 CPU 主板支持 VT-d / AMD-Vi / SMMU不依赖硬件任何机器都能开主要作用虚拟机独占物理设备PCI 直通虚拟机内部做安全隔离、嵌套虚拟化存在位置不同物理 IOMMU在宿主机硬件上Intel VT-d / AMD-Vi / ARM SMMU管控所有真实 PCIe 设备GPU、网卡、NVMe、HBA虚拟 IOMMU在虚拟机内部由 QEMU 模拟成一个虚拟设备常见两种virtio-iommu标准通用intel-iommu模拟 VT-d仅 x86地址翻译路径完全不同物理 IOMMU 路径设备 DMA → IOVA → 物理IOMMU → 物理内存(PA)虚拟 IOMMU 路径虚拟设备 DMA → IOVA → 虚拟IOMMU → GPA → 物理IOMMU → HPA多一层软件翻译性能自然更低。性能差距巨大物理 IOMMU硬件并行处理自带 IOTLB 缓存几乎无性能损耗虚拟 IOMMU每次映射 / 解绑都要 VM Exit / VM Enter依赖 virtqueue 交互高 I/O 场景性能下降明显功能支持差距物理 IOMMU 支持多级地址翻译Stage1 Stage2PASID / SVA设备共享进程虚拟地址ATS / PRI设备 TLB、缺页中断重映射、防中断注入完整的故障上报与隔离虚拟 IOMMUvirtio-iommu只支持基础功能映射 / 解绑 IOVA设备绑定到域简单故障上报高级功能基本没有。使用场景完全不同物理 IOMMU 用来做什么PCIe 设备直通Passthrough把显卡、网卡直接给虚拟机独占SR-IOV 硬件虚拟化宿主机强安全隔离防止物理 DMA 攻击虚拟 IOMMU 用来做什么虚拟机内部需要IOMMU 驱动的场景虚拟机里跑 VFIO、用户态驱动嵌套虚拟化虚拟机里再开虚拟机不支持硬件 IOMMU 的老机器也要安全 DMA跨平台统一 IOMMU 行为x86 / ARM 都一样总结Virtio虚拟机设备的通用高效通信协议IOMMU给设备 DMA 做地址翻译与内存隔离Virtio IOMMU要么是给 virtio 设备加安全保护要么是用 virtio-iommu 这个虚拟设备在 Guest 里模拟一个 IOMMU

iommu与virtio

相关文章：

iommu与virtio

好写作AI：文献综述的“隐形情报官”，专治“读了100篇文献还是没观点”

静态IPvs动态IP代理：区别解析与多场景选型指南

2026 Google Play开发者上架全攻略：提升审核通过率的10个关键技巧

2026年程序员必看！AI大模型领域薪资狂飙4.2W+，高薪背后人才缺口达47万！

大模型求职必看！26届春招、27届实习秋招时间线+社招新趋势全解析，先上岸再调座！

告别Dev C++！用VScode+MinGW-W64打造你的C++开发环境（附一键配置脚本）

别再傻傻删.m2文件夹了！Maven依赖更新失败的3种优雅解决姿势（含Nexus配置）

Mac新手必看：用Homebrew一键搞定Netcat安装，顺便聊聊这个‘瑞士军刀’能干啥

如何将照片从 iPad 传输到电脑（PC）

6 种简单方法：在 Mac 电脑与安卓手机之间传输文件

告别卡顿！Android布局优化实战：用＜include＞、＜merge＞和ViewStub提升App流畅度

LARS回归模型：高维数据特征选择与Python实现

易语言大漠多线程避坑指南：免注册调用时线程崩溃的3个原因

别再死记硬背CAN协议了！用Python+SocketCAN从零搭建你的第一个车载网络模拟器

别再抠语法细节了：高吞吐 Python 系统里，数据结构选对，往往比“微优化”更重要

nli-MiniLM2-L6-H768行业应用：法律文书前提-结论逻辑链自动验证方案

激活函数原理与实战：从ReLU到GELU的深度解析

测试时数据增强(TTA)技术原理与实战应用

Transformer中跳过连接的作用与优化实践

Keras图像数据增强实战：提升模型泛化能力

别再傻等全量编译了！用gradlew processDebugManifest --stacktrace，3秒定位Android Manifest合并错误

FPGA实战：用Xilinx Vivado给AXI总线时钟做个6.5倍频？聊聊小数分频的另类应用与局限

从数据手册到版图：手把手教你用ADS2022设计433MHz LNA（基于ATF54143）

从警告信息到根因定位：手把手教你用PrimeTime Debug命令排查时序约束问题

网工实战笔记：如何在企业级AP（如Aruba或Cisco）上配置和优化802.11ax的RU分配策略

Harness 中的动态批处理：合并多个轻量请求

RisohEditor：免费Win32资源编辑器解决exe图标修改与对话框编辑难题

Revo Uninstaller：彻底解决软件卸载不干净与顽固程序残留的实用教程

NVIDIA白嫖攻略：3分钟拿到H100算力，6个大模型随便用！