早期时，启动一台计算机意味着要给计算机喂一条包含引导程序的纸带，或者手工使用前端面板地址/数据/控制开关来加载引导程序。尽管目前的计算机已经装备了很多工具来简化引导过程，但是这一切并没有对整个过程进行必要的简化。

让我们先从高级的视角来查看 Linux 引导过程，这样就可以看到整个过程的全貌了。然后将回顾一下在各个步骤到底发生了什么。在整个过程中，参考一下内核源代码可以帮助我们更好地了解内核源代码树，并在以后对其进行深入分析。

概述

图 1 是我们在 20,000 英尺的高度看到的视图。

当系统首次引导时，或系统被重置时，处理器会执行一个位于已知位置处的代码。在个人计算机（PC）中，这个位置在基本输入/输出系统（BIOS）中，它保存在主板上的闪存中。嵌入式系统中的中央处理单元（CPU）会调用这个重置向量来启动一个位于闪存/ROM 中的已知地址处的程序。在这两种情况下，结果都是相同的。因为 PC 提供了很多灵活性，BIOS 必须确定要使用哪个设备来引导系统。稍后我们将详细介绍这个过程。

当找到一个引导设备之后，第一阶段的引导加载程序就被装入 RAM 并执行。这个引导加载程序在大小上小于 512 字节（一个扇区），其作用是加载第二阶段的引导加载程序。

当第二阶段的引导加载程序被装入 RAM 并执行时，通常会显示一个动画屏幕，并将 Linux 和一个可选的初始 RAM 磁盘（临时根文件系统）加载到内存中。在加载映像时，第二阶段的引导加载程序就会将控制权交给内核映像，然后内核就可以进行解压和初始化了。在这个阶段中，第二阶段的引导加载程序会检测系统硬件、枚举系统链接的硬件设备、挂载根设备，然后加载必要的内核模块。完成这些操作之后启动第一个用户空间程序（init），并执行高级系统初始化工作。

这就是 Linux 引导的整个过程。现在让我们深入挖掘一下这个过程，并深入研究一下 Linux 引导过程的一些详细信息。

回页首

系统启动

系统启动阶段依赖于引导 Linux 系统上的硬件。在嵌入式平台中，当系统加电或重置时，会使用一个启动环境。这方面的例子包括 U-Boot、RedBoot 和 Lucent 的 MicroMonitor。嵌入式平台通常都是与引导监视器搭配销售的。这些程序位于目标硬件上的闪存中的某一段特殊区域，它们提供了将 Linux 内核映像下载到闪存并继续执行的方法。除了可以存储并引导 Linux 映像之外，这些引导监视器还执行一定级别的系统测试和硬件初始化过程。在嵌入式平台中，这些引导监视器通常会涉及第一阶段和第二阶段的引导加载程序。

在 PC 中，引导 Linux 是从 BIOS 中的地址 0xFFFF0 处开始的。BIOS 的第一个步骤是加电自检（POST）。POST 的工作是对硬件进行检测。BIOS 的第二个步骤是进行本地设备的枚举和初始化。

给定 BIOS 功能的不同用法之后，BIOS 由两部分组成：POST 代码和运行时服务。当 POST 完成之后，它被从内存中清理了出来，但是 BIOS 运行时服务依然保留在内存中，目标操作系统可以使用这些服务。

要引导一个操作系统，BIOS 运行时会按照 CMOS 的设置定义的顺序来搜索处于活动状态并且可以引导的设备。引导设备可以是软盘、CD-ROM、硬盘上的某个分区、网络上的某个设备，甚至是 USB 闪存。

通常，Linux 都是从硬盘上引导的，其中主引导记录（MBR）中包含主引导加载程序。MBR 是一个 512 字节大小的扇区，位于磁盘上的第一个扇区中（0 道 0 柱面 1 扇区）。当 MBR 被加载到 RAM 中之后，BIOS 就会将控制权交给 MBR。

回页首

第一阶段引导加载程序

MBR 中的主引导加载程序是一个 512 字节大小的映像，其中包含程序代码和一个小分区表（参见图 2）。前 446 个字节是主引导加载程序，其中包含可执行代码和错误消息文本。接下来的 64 个字节是分区表，其中包含 4 个分区的记录（每个记录的大小是 16 个字节）。MBR 以两个特殊数字的字节（0xAA55）结束。这个数字会用来进行 MBR 的有效性检查。

主引导加载程序的工作是查找并加载次引导加载程序（第二阶段）。它是通过在分区表中查找一个活动分区来实现这种功能的。当找到一个活动分区时，它会扫描分区表中的其他分区，以确保它们都不是活动的。当这个过程验证完成之后，就将活动分区的引导记录从这个设备中读入 RAM 中并执行它。

回页首

第二阶段引导加载程序

次引导加载程序（第二阶段引导加载程序）可以更形象地称为内核加载程序。这个阶段的任务是加载 Linux 内核和可选的初始 RAM 磁盘。

在 x86 PC 环境中，第一阶段和第二阶段的引导加载程序一起称为 Linux Loader（LILO）或 GRand Unified Bootloader（GRUB）。由于 LILO 有一些缺点，而 GRUB 克服了这些缺点，因此下面让我们就来看一下 GRUB。（有关 GRUB、LILO 和相关主题的更多内容，请参阅本文后面的 参考资料 部分的内容。）

关于 GRUB，很好的一件事情是它包含了有关 Linux 文件系统的知识。GRUB 不像 LILO 一样使用裸扇区，而是可以从 ext2 或 ext3 文件系统中加载 Linux 内核。它是通过将两阶段的引导加载程序转换成三阶段的引导加载程序来实现这项功能的。阶段 1 （MBR）引导了一个阶段 1.5 的引导加载程序，它可以理解包含 Linux 内核映像的特殊文件系统。这方面的例子包括 reiserfs_stage1_5（要从 Reiser 日志文件系统上进行加载）或 e2fs_stage1_5（要从 ext2 或 ext3 文件系统上进行加载）。当阶段 1.5 的引导加载程序被加载并运行时，阶段 2 的引导加载程序就可以进行加载了。

当阶段 2 加载之后，GRUB 就可以在请求时显示可用内核列表（在 /etc/grub.conf 中进行定义，同时还有几个软符号链接/etc/grub/menu.lst 和 /etc/grub.conf）。我们可以选择内核甚至修改附加内核参数。另外，我们也可以使用一个命令行的 shell 对引导过程进行高级手工控制。

将第二阶段的引导加载程序加载到内存中之后，就可以对文件系统进行查询了，并将默认的内核映像和 initrd 映像加载到内存中。当这些映像文件准备好之后，阶段 2 的引导加载程序就可以调用内核映像了。

回页首

内核

当内核映像被加载到内存中，并且阶段 2 的引导加载程序释放控制权之后，内核阶段就开始了。内核映像并不是一个可执行的内核，而是一个压缩过的内核映像。通常它是一个 zImage（压缩映像，小于 512KB）或一个 bzImage（较大的压缩映像，大于 512KB），它是提前使用 zlib 进行压缩过的。在这个内核映像前面是一个例程，它实现少量硬件设置，并对内核映像中包含的内核进行解压，然后将其放入高端内存中，如果有初始 RAM 磁盘映像，就会将它移动到内存中，并标明以后使用。然后该例程会调用内核，并开始启动内核引导的过程。

当 bzImage（用于 i386 映像）被调用时，我们从./arch/i386/boot/head.S 的 start 汇编例程开始执行（主要流程图请参看图 3）。这个例程会执行一些基本的硬件设置，并调用./arch/i386/boot/compressed/head.S 中的 startup_32 例程。此例程会设置一个基本的环境（堆栈等），并清除 Block Started by Symbol（BSS）。然后调用一个叫做 decompress_kernel 的 C 函数（在 ./arch/i386/boot/compressed/misc.c 中）来解压内核。当内核被解压到内存中之后，就可以调用它了。这是另外一个 startup_32 函数，但是这个函数在 ./arch/i386/kernel/head.S 中。

在这个新的 startup_32 函数（也称为清除程序或进程 0）中，会对页表进行初始化，并启用内存分页功能。然后会为任何可选的浮点单元（FPU）检测 CPU 的类型，并将其存储起来供以后使用。然后调用 start_kernel 函数（在 init/main.c 中），它会将您带入与体系结构无关的 Linux 内核部分。实际上，这就是 Linux 内核的 main 函数。

通过调用 start_kernel，会调用一系列初始化函数来设置中断，执行进一步的内存配置，并加载初始 RAM 磁盘。最后，要调用kernel_thread（在 arch/i386/kernel/process.c 中）来启动 init 函数，这是第一个用户空间进程（user-space process）。最后，启动空任务，现在调度器就可以接管控制权了（在调用 cpu_idle 之后）。通过启用中断，抢占式的调度器就可以周期性地接管控制权，从而提供多任务处理能力。

在内核引导过程中，初始 RAM 磁盘（initrd）是由阶段 2 引导加载程序加载到内存中的，它会被复制到 RAM 中并挂载到系统上。这个 initrd 会作为 RAM 中的临时根文件系统使用，并允许内核在没有挂载任何物理磁盘的情况下完整地实现引导。由于与外围设备进行交互所需要的模块可能是 initrd 的一部分，因此内核可以非常小，但是仍然需要支持大量可能的硬件配置。在内核引导之后，就可以正式装备根文件系统了（通过 pivot_root）：此时会将 initrd 根文件系统卸载掉，并挂载真正的根文件系统。

initrd 函数让我们可以创建一个小型的 Linux 内核，其中包括作为可加载模块编译的驱动程序。这些可加载的模块为内核提供了访问磁盘和磁盘上的文件系统的方法，并为其他硬件提供了驱动程序。由于根文件系统是磁盘上的一个文件系统，因此 initrd 函数会提供一种启动方法来获得对磁盘的访问，并挂载真正的根文件系统。在一个没有硬盘的嵌入式环境中，initrd 可以是最终的根文件系统，或者也可以通过网络文件系统（NFS）来挂载最终的根文件系统。

回页首

Init

当内核被引导并进行初始化之后，内核就可以启动自己的第一个用户空间应用程序了。这是第一个调用的使用标准 C 库编译的程序。在此之前，还没有执行任何标准的 C 应用程序。

在桌面 Linux 系统上，第一个启动的程序通常是 /sbin/init。但是这不是一定的。很少有嵌入式系统会需要使用 init 所提供的丰富初始化功能（这是通过 /etc/inittab 进行配置的）。在很多情况下，我们可以调用一个简单的 shell 脚本来启动必需的嵌入式应用程序。

回页首

结束语

与 Linux 本身非常类似，Linux 的引导过程也非常灵活，可以支持众多的处理器和硬件平台。最初，加载引导加载程序提供了一种简单的方法，不用任何花架子就可以引导 Linux。LILO 引导加载程序对引导能力进行了扩充，但是它却缺少文件系统的感知能力。最新一代的引导加载程序，例如 GRUB，允许 Linux 从一些文件系统（从 Minix 到 Reise）上进行引导。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文 。
  
  
• Boot Records Revealed 是有关 MBR 和各种引导加载程序很好的资源。这个资源不仅仅是有关 MBR 的资料的汇编，还讨论了 GRUB、LILO 和各种 Windows® 引导加载程序的问题。 
  
  
• 请查看 Disk Geometry 页面来理解磁盘及其结构。您会发现有关磁盘的有用属性。 
  
  
• live CD 是一个可以从 CD 或 DVD 上引导的操作系统，它不需要使用硬盘。 
  
  
• “引导加载程序之争：了解 LILO 和 GRUB”（developerWorks，2005 年 8 月）详细介绍了 LILO 和 GRUB 引导加载程序。 
  
  
• 在 developerWorks 上的 LPI 考试准备 系列教程中，我们可以学习有关引导 Linux 系统的详细介绍，以及在准备参加系统管理员认证考试时需要准备的 Linux 基础知识。 
  
  
• LILO 是 GRUB 的先驱，但是我们可能发现它依然可以引导 Linux。 
  
  
• mkintrd 命令用来创建初始的 RAM 磁盘映像。这个命令可以用来构建初始的根文件系统，它可以用来引导允许提前加载访问真正根文件系统所需要的块设备的配置。 
  
  
• 在 Debian Linux Kernel Project 中，我们可以找到更多有关 Linux 内核、引导和嵌入式开发的信息。 
  
  
• 在 developerWorks Linux 专区 中可以找到为 Linux 开发人员准备的更多资源。 
  
  
• 随时关注 developerWorks 技术事件和网络广播。 
  
  

获得产品和技术

• MicroMonitor 为各种小型的目标设备提供了引导环境。我们可以使用这个监视器在嵌入式环境中引导 Linux。它已经移植到 ARM、 XScale、MIPS、PowerPC、Coldfire 和 Hitachi 的 Super-H 上了。 
  
  
• GNU GRUB 是一个具有众多选项和灵活性的引导 shell。 
  
  
• LinuxBIOS 是 BIOS 的一个替代品。LinuxBIOS 不但可以引导 Linux，而且它本身就是一个压缩的 Linux 内核。 
  
  
• OpenBIOS 是另一个可移植的 BIOS 项目，可以在很多体系结构上进行操作，例如 x86、Alpha 和 AMD64。 
  
  
• 在 kernel.org 上可以找到最新的内核树。 
  
  
• 使用 IBM 试用版软件 改进您的下一个开发项目，从 developerWorks 上可以直接下载这些软件。 
  
  

讨论

• 通过参与 developerWorks blogs 加入 developerWorks 社区。 
  
  

关于作者

M. Tim Jones 是一名嵌入式软件架构师，他是 GNU/Linux Application Programming、AI Application Programming和 BSD Sockets Programming from a Multilanguage Perspective 等书的作者。他的工程背景涉及从同步太空船开发内核，到嵌入式系统架构和网络协议开发。Tim 是位于科罗拉多州的 Longmont 的 Emulex 公司的一名顾问工程师。

本文将回顾一下 Linux 2.6 的任务调度器及其最重要的一些属性。在深入介绍调度器的详细信息之前，让我们先来理解一下调度器的基本目标。

什么是调度器？

通常来说，操作系统是应用程序和可用资源之间的媒介。典型的资源有内存和物理设备。但是 CPU 也可以认为是一个资源，调度器可以临时分配一个任务在上面执行（单位是时间片）。调度器使得我们同时执行多个程序成为可能，因此可以与具有各种需求的用户共享 CPU。

调度器的一个重要目标是有效地分配 CPU 时间片，同时提供很好的用户体验。调度器还需要面对一些互相冲突的目标，例如既要为关键实时任务最小化响应时间，又要最大限度地提高 CPU 的总体利用率。下面我们来看一下 Linux 2.6 调度程序是如何实现这些目标的，并与以前的调度器进行比较。

回页首

早期 Linux 调度器的问题

在 2.6 版本的内核之前，当很多任务都处于活动状态时，调度器有很明显的限制。这是由于调度器是使用一个复杂度为 O(n) 的算法实现的。在这种调度器中，调度任务所花费的时间是一个系统中任务个数的函数。换而言之，活动的任务越多，调度任务所花费的时间越长。在任务负载非常重时，处理器会因调度消耗掉大量的时间，用于任务本身的时间就非常少了。因此，这个算法缺乏可伸缩性。

在对称多处理系统（SMP）中，2.6 版本之前的调度器对所有的处理器都使用一个运行队列。这意味着一个任务可以在任何处理器上进行调度 —— 这对于负载均衡来说是好事，但是对于内存缓存来说却是个灾难。例如，假设一个任务正在 CPU-1 上执行，其数据在这个处理器的缓存中。如果这个任务被调度到 CPU-2 上执行，那么数据就需要先在 CPU-1 使其无效，并将其放到 CPU-2 的缓存中。

以前的调度器还使用了一个运行队列锁；因此在 SMP 系统中，选择一个任务执行就会阻碍其他处理器操作这个运行队列。结果是空闲处理器只能等待这个处理器释放出运行队列锁，这样会造成效率的降低。

最后，在早期的内核中，抢占是不可能的；这意味着如果有一个低优先级的任务在执行，高优先级的任务只能等待它完成。

回页首

Linux 2.6 调度器简介

2.6 版本的调度器是由 Ingo Molnar 设计并实现的。Ingo 从 1995 年开始就一直参与 Linux 内核的开发。他编写这个新调度器的动机是为唤醒、上下文切换和定时器中断开销建立一个完全 O(1) 的调度器。触发对新调度器的需求的一个问题是 Java™ 虚拟机（JVM）的使用。Java 编程模型使用了很多执行线程，在 O(n) 调度器中这会产生很多调度负载。O(1) 调度器在这种高负载的情况下并不会受到太多影响，因此 JVM 可以有效地执行。

2.6 版本的调度器解决了以前调度器中发现的 3 个主要问题（O(n) 和 SMP 可伸缩性的问题），还解决了其他一些问题。现在我们将开始探索一下 2.6 版本的调度器的基本设计。

主要的调度结构

首先我们来回顾一下 2.6 版本的调度器结构。每个 CPU 都有一个运行队列，其中包含了 140 个优先级列表，它们是按照先进先出的顺序进行服务的。被调度执行的任务都会被添加到各自运行队列优先级列表的末尾。每个任务都有一个时间片，这取决于系统允许执行这个任务多长时间。运行队列的前 100 个优先级列表保留给实时任务使用，后 40 个用于用户任务（参见图 1）。我们稍后将来看一下为什么这种区别非常重要。

除了 CPU 的运行队列（称为活动运行队列（active runqueue））之外，还有一个过期运行队列。当活动运行队列中的一个任务用光自己的时间片之后，它就被移动到过期运行队列（expired runqueue） 中。在移动过程中，会对其时间片重新进行计算（因此会体现其优先级的作用；稍后会更详细地介绍）。如果活动运行队列中已经没有某个给定优先级的任务了，那么指向活动运行队列和过期运行队列的指针就会交换，这样就可以让过期优先级列表变成活动优先级的列表。

调度器的工作非常简单：它在优先级最高的队列中选择一个任务来执行。为了使这个过程的效率更高，内核使用了一个位图来定义给定优先级列表上何时存在任务。因此，在大部分体系架构上，会使用一条 find-first-bit-set 指令在 5 个 32 位的字（140 个优先级）中哪一位的优先级最高。查找一个任务来执行所需要的时间并不依赖于活动任务的个数，而是依赖于优先级的数量。这使得 2.6 版本的调度器成为一个复杂度为 O(1) 的过程，因为调度时间既是固定的，而且也不会受到活动任务个数的影响。

更好地支持 SMP 系统

那么什么是 SMP 呢？SMP 是一种体系架构，其中多个 CPU 可以用来同时执行各个任务，它与传统的非对称处理系统不同，后者使用一个 CPU 来执行所有的任务。SMP 体系架构对多线程的应用程序非常有益。

尽管优先级调度在 SMP 系统上也可以工作，但是它这种大锁体系架构意味着当一个 CPU 选择一个任务进行分发调度时，运行队列会被这个 CPU 加锁，其他 CPU 只能等待。2.6 版本的调度器不是使用一个锁进行调度；相反，它对每个运行队列都有一个锁。这样允许所有的 CPU 都可以对任务进行调度，而不会与其他 CPU 产生竞争。

另外，由于每个处理器都有一个运行队列，因此任务通常都是与 CPU 密切相关的，可以更好地利用 CPU 的热缓存。

任务抢占

Linux 2.6 版本调度器的另外一个优点是它允许抢占。这意味着当高优先级的任务准备运行时低优先级的任务就不能执行了。调度器会抢占低优先级的进程，并将这个进程放回其优先级列表中，然后重新进行调度。

回页首

但是请等一下，还有更多功能呢！

似乎 2.6 版本调度器的 O(1) 特性和抢占特性还不够，这个调度器还提供了动态任务优先级和 SMP 负载均衡功能。下面就让我们来讨论一下这些功能都是什么，以及它们分别提供了哪些优点。

动态任务优先级

为了防止任务独占 CPU 从而会饿死其他需要访问 CPU 的任务，Linux 2.6 版本的调度器可以动态修改任务的优先级。这是通过惩罚 CPU 绑定的任务而奖励 I/O 绑定的任务实现的。I/O 绑定的任务通常使用 CPU 来设置 I/O，然后就睡眠等待 I/O 操作完成。这种行为为其他任务提供了 CPU 的访问能力。

由于 I/O 绑定型的任务对于 CPU 访问来说是无私的，因此其优先级减少（奖励）最多 5 个优先级。CPU 绑定的任务会通过将其优先级增加最多 5 个优先级进行惩罚。

任务到底是 I/O 绑定的还是 CPU 绑定的，这是根据交互性 原则确定的。任务的交互性指标是根据任务执行所花费的时间与睡眠所花费的时间的对比程度进行计算的。注意，由于 I/O 任务先对 I/O 进行调度，然后再进行睡眠，因此 I/O 绑定的任务会在睡眠和等待 I/O 操作完成上面花费更多的时间。这会提高其交互性指标。

有一点值得注意，优先级的调整只会对用户任务进行，对于实时任务来说并不会对其优先级进行调整。

SMP 负载均衡

在 SMP 系统中创建任务时，这些任务都被放到一个给定的 CPU 运行队列中。通常来说，我们无法知道一个任务何时是短期存在的，何时需要长期运行。因此，最初任务到 CPU 的分配可能并不理想。

为了在 CPU 之间维护任务负载的均衡，任务可以重新进行分发：将任务从负载重的 CPU 上移动到负载轻的 CPU 上。Linux 2.6 版本的调度器使用负载均衡（load balancing） 提供了这种功能。每隔 200ms，处理器都会检查 CPU 的负载是否不均衡；如果不均衡，处理器就会在 CPU 之间进行一次任务均衡操作。

这个过程的一点负面影响是新 CPU 的缓存对于迁移过来的任务来说是冷的（需要将数据读入缓存中）。

记住 CPU 缓存是一个本地（片上）内存，提供了比系统内存更快的访问能力。如果一个任务是在某个 CPU 上执行的，与这个任务有关的数据都会被放到这个 CPU 的本地缓存中，这就称为热的。如果对于某个任务来说，CPU 的本地缓存中没有任何数据，那么这个缓存就称为冷的。

不幸的是，保持 CPU 繁忙会出现 CPU 缓存对于迁移过来的任务为冷的情况。

回页首

挖掘更多潜能

2.6 版本调度器的源代码都很好地封装到了 /usr/src/linux/kernel/sched.c 文件中。我们在表 1 中对在这个文件中可以找到的一些有用的函数进行了总结。

运行队列的结构也可以在 /usr/src/linux/kernel/sched.c 文件中找到。2.6 版本的调度器还可以提供一些统计信息（如果启用了CONFIG_SCHEDSTATS）。这些统计信息可以从 /proc 文件系统中的 /proc/schedstat 看到，它为系统中的每个 CPU 都提供了很多数据，包括负载均衡和进程迁移的统计信息。

回页首

展望

Linux 2.6 调度器从早先的 Linux 调度器已经跨越了一大步。它极大地改善了最大化利用 CPU 的能力，同时还为用户提供了很好的响应体验。抢占和对多处理器体系架构的更好支持使整个系统更接近于多桌面和实时系统都非常有用的操作系统。Linux 2.8 版本的内核现在谈论还为时尚早，但是从 2.6 版本的变化中，我们可以期望会有更多的好东西。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文 。
  
  
• “改善 Linux 内核性能和可伸缩性”（developerWorks，2003 年 1 月）解释了如何确定 Linux 内核系统的性能，这样我们就可以对系统进行评测和调优（包括调度器调优）。 
  
  
• Open Source Development Labs 上的 Linux Process Scheduler Improvements in Version 2.6.0 文章给出了 2.6 版本的调度器对 2.4 版本的调度器在各种多处理器系统配置上的改进。 
  
  
• “Linux Kernel 2.6: the Future of Embedded Computing”（Linux Journal，2004 年 3 月）简要介绍了 2.6 版本内核的一些重要特性，包括调度器及其在嵌入式系统中的影响。 
  
  
• “内核比较: 从 2.4 到 2.6 内核开发中的改进”（developerWorks，2004 年 2 月）对让 2.6 版本更好的工具、测试和技术进行了介绍。 
  
  
• IBM 红皮书 An Application Centric Performance Evaluation of the Linux 2.6 Operating System（2004 年 7 月）重点介绍了围绕着实际应用程序和 Linux 2.6 框架周围的与可伸缩性和性能有关的问题。 
  
  
• “在 iSeries 和 pSeries 上将 Linux 内核从 2.4 迁移到 2.6”（developerWorks，2004 年 7 月）重点介绍了 2.4 版本和 2.6 版本的 Linux 内核在 POWER 架构上的区别。 
  
  
• “Linux 2.6 for Embedded Systems -- Closing in on Real Time”（RTC Magazine，2003 年 11 月）讨论了具有实时属性的嵌入式系统如何从 2.6 版本的调度器中获得最多优势。 
  
  
• 在 What's New in Linux 2.6（Ulrich Weigand 博士的一篇演示文稿），我们可以看到 Linux 2.6 是如何帮助 IBM zSeries 开发的。 
  
  
• 在 developerWorks Linux 专区 可以找到为 Linux 开发人员准备的更多资源。 
  
  
• 随时关注 developerWorks 技术事件和网络广播。 
  
  

获得产品和技术

• 在 Linux Kernel Archives 上，查找最新的 Linux 内核。 
  
  
• 在您的下一个开发项目中采用 IBM 试用软件，这可以从 developerWorks 上直接下载。 
  
  

讨论

• 通过参与 developerWorks blogs 加入 developerWorks 社区。 
  
  

关于作者

Tim Jones 是一名嵌入式软件工程师，他是 GNU/Linux Application Programming、AI Application Programming 以及 BSD Sockets Programming from a Multilanguage Perspective 等书的作者。他的工程背景非常广泛，从同步宇宙飞船的内核开发到嵌入式架构设计，再到网络协议的开发。Tim 是 Emulex Corp. 的一名顾问工程师。

最初开发 /proc 文件系统是为了提供有关系统中进程的信息。但是由于这个文件系统非常有用，因此内核中的很多元素也开始使用它来报告信息，或启用动态运行时配置。

/proc 文件系统包含了一些目录（用作组织信息的方式）和虚拟文件。虚拟文件可以向用户呈现内核中的一些信息，也可以用作一种从用户空间向内核发送信息的手段。实际上我们并不会同时需要实现这两点，但是本文将向您展示如何配置这个文件系统进行输入和输出。

尽管像本文这样短小的一篇文章无法详细介绍 /proc 的所有用法，但是它依然对这两种用法进行了展示，从而可以让我们体会一下 /proc 是多么强大。清单 1 是对 /proc 中部分元素进行一次交互查询的结果。它显示的是 /proc 文件系统的根目录中的内容。注意，在左边是一系列数字编号的文件。每个实际上都是一个目录，表示系统中的一个进程。由于在 GNU/Linux 中创建的第一个进程是 init进程，因此它的 process-id 为 1。然后对这个目录执行一个 ls 命令，这会显示很多文件。每个文件都提供了有关这个特殊进程的详细信息。例如，要查看 init 的 command-line 项的内容，只需对 cmdline 文件执行 cat 命令。

/proc 中另外一些有趣的文件有：cpuinfo，它标识了处理器的类型和速度；pci，显示在 PCI 总线上找到的设备；modules，标识了当前加载到内核中的模块。

        
[root@plato]# ls /proc
1     2040  2347  2874  474          fb           mdstat      sys
104   2061  2356  2930  9            filesystems  meminfo     sysrq-trigger
113   2073  2375  2933  acpi         fs           misc        sysvipc
1375  21    2409  2934  buddyinfo    ide          modules     tty
1395  2189  2445  2935  bus          interrupts   mounts      uptime
1706  2201  2514  2938  cmdline      iomem        mtrr        version
179   2211  2515  2947  cpuinfo      ioports      net         vmstat
180   2223  2607  3     crypto       irq          partitions
181   2278  2608  3004  devices      kallsyms     pci
182   2291  2609  3008  diskstats    kcore        self
2     2301  263   3056  dma          kmsg         slabinfo
2015  2311  2805  394   driver       loadavg      stat
2019  2337  2821  4     execdomains  locks        swaps
[root@plato 1]# ls /proc/1
auxv     cwd      exe  loginuid  mem     oom_adj    root  statm   task
cmdline  environ  fd   maps      mounts  oom_score  stat  status  wchan
[root@plato]# cat /proc/1/cmdline
init [5]
[root@plato]#

清单 2 展示了对 /proc 中的一个虚拟文件进行读写的过程。这个例子首先检查内核的 TCP/IP 栈中的 IP 转发的目前设置，然后再启用这种功能。

        
[root@plato]# cat /proc/sys/net/ipv4/ip_forward
0
[root@plato]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@plato]# cat /proc/sys/net/ipv4/ip_forward
1
[root@plato]#

另外，我们还可以使用 sysctl 来配置这些内核条目。有关这个问题的更多信息，请参阅 参考资料 一节的内容。

顺便说一下，/proc 文件系统并不是 GNU/Linux 系统中的惟一一个虚拟文件系统。在这种系统上，sysfs 是一个与 /proc 类似的文件系统，但是它的组织更好（从 /proc 中学习了很多教训）。不过 /proc 已经确立了自己的地位，因此即使 sysfs 与 /proc 相比有一些优点，/proc 也依然会存在。还有一个 debugfs 文件系统，不过（顾名思义）它提供的更多是调试接口。debugfs 的一个优点是它将一个值导出给用户空间非常简单（实际上这不过是一个调用而已）。

内核模块简介

可加载内核模块（LKM）是用来展示 /proc 文件系统的一种简单方法，这是因为这是一种用来动态地向 Linux 内核添加或删除代码的新方法。LKM 也是 Linux 内核中为设备驱动程序和文件系统使用的一种流行机制。

如果您曾经重新编译过 Linux 内核，就可能会发现在内核的配置过程中，有很多设备驱动程序和其他内核元素都被编译成了模块。如果一个驱动程序被直接编译到了内核中，那么即使这个驱动程序没有运行，它的代码和静态数据也会占据一部分空间。但是如果这个驱动程序被编译成一个模块，就只有在需要内存并将其加载到内核时才会真正占用内存空间。有趣的是，对于 LKM 来说，我们不会注意到有什么性能方面的差异，因此这对于创建一个适应于自己环境的内核来说是一种功能强大的手段，这样可以根据可用硬件和连接的设备来加载对应的模块。

下面是一个简单的 LKM，可以帮助您理解它与在 Linux 内核中看到的标准（非动态可加载的）代码之间的区别。清单 3 给出了一个最简单的 LKM。（可以从本文的 下载 一节中下载这个代码）。

清单 3 包括了必须的模块头（它定义了模块的 API、类型和宏）。然后使用 MODULE_LICENSE 定义了这个模块使用的许可证。此处，我们定义的是 GPL，从而防止会污染到内核。

清单 3 然后又定义了这个模块的 init 和 cleanup 函数。my_module_init 函数是在加载这个模块时被调用的，它用来进行一些初始化方面的工作。my_module_cleanup 函数是在卸载这个模块时被调用的，它用来释放内存并清除这个模块的踪迹。注意此处 printk 的用法：这是内核的 printf 函数。KERN_INFO 符号是一个字符串，可以用来对进入内核回环缓冲区的信息进行过滤（非常类似于syslog）。

最后，清单 3 使用 module_init 和 module_exit 宏声明了入口函数和出口函数。这样我们就可以按照自己的意愿来对这个模块的 init和 cleanup 函数进行命名了，不过我们最终要告诉内核维护函数就是这些函数。

        
#include <linux/module.h>
/* Defines the license for this LKM */
MODULE_LICENSE("GPL");
/* Init function called on module entry */
int my_module_init( void )
{
  printk(KERN_INFO "my_module_init called.  Module is now loaded.\n");
  return 0;
}
/* Cleanup function called on module exit */
void my_module_cleanup( void )
{
  printk(KERN_INFO "my_module_cleanup called.  Module is now unloaded.\n");
  return;
}
/* Declare entry and exit functions */
module_init( my_module_init );
module_exit( my_module_cleanup );

清单 3 尽管非常简单，但它却是一个真正的 LKM。现在让我们对其进行编译并在一个 2.6 版本的内核上进行测试。2.6 版本的内核为内核模块的编译引入了一种新方法，我发现这种方法比原来的方法简单了很多。对于文件 simple-lkm.c，我们可以创建一个 makefile，其惟一内容如下：

obj-m += simple-lkm.o

要编译 LKM，请使用 make 命令，如清单 4 所示。

        
[root@plato]# make -C /usr/src/linux-`uname -r` SUBDIRS=$PWD modules
make: Entering directory `/usr/src/linux-2.6.11'
  CC [M]  /root/projects/misc/module2.6/simple/simple-lkm.o
  Building modules, stage 2.
  MODPOST
  CC      /root/projects/misc/module2.6/simple/simple-lkm.mod.o
  LD [M]  /root/projects/misc/module2.6/simple/simple-lkm.ko
make: Leaving directory `/usr/src/linux-2.6.11'
[root@plato]#

结果会生成一个 simple-lkm.ko 文件。这个新的命名约定可以帮助将这些内核对象（LKM）与标准对象区分开来。现在可以加载或卸载这个模块了，然后可以查看它的输出。要加载这个模块，请使用 insmod 命令；反之，要卸载这个模块，请使用 rmmod 命令。lsmod可以显示当前加载的 LKM（参见清单 5）。

        
[root@plato]# insmod simple-lkm.ko
[root@plato]# lsmod
Module                  Size  Used by
simple_lkm              1536  0
autofs4                26244  0
video                  13956  0
button                  5264  0
battery                 7684  0
ac                      3716  0
yenta_socket           18952  3
rsrc_nonstatic          9472  1 yenta_socket
uhci_hcd               32144  0
i2c_piix4               7824  0
dm_mod                 56468  3
[root@plato]# rmmod simple-lkm
[root@plato]#

注意，内核的输出进到了内核回环缓冲区中，而不是打印到 stdout 上，这是因为 stdout 是进程特有的环境。要查看内核回环缓冲区中的消息，可以使用 dmesg 工具（或者通过 /proc 本身使用 cat /proc/kmsg 命令）。清单 6 给出了 dmesg 显示的最后几条消息。

        
[root@plato]# dmesg | tail -5
cs: IO port probe 0xa00-0xaff: clean.
eth0: Link is down
eth0: Link is up, running at 100Mbit half-duplex
my_module_init called.  Module is now loaded.
my_module_cleanup called.  Module is now unloaded.
[root@plato]#

可以在内核输出中看到这个模块的消息。现在让我们暂时离开这个简单的例子，来看几个可以用来开发有用 LKM 的内核 API。

回页首

集成到 /proc 文件系统中

内核程序员可以使用的标准 API，LKM 程序员也可以使用。LKM 甚至可以导出内核使用的新变量和函数。有关 API 的完整介绍已经超出了本文的范围，因此我们在这里只是简单地介绍后面在展示一个更有用的 LKM 时所使用的几个元素。

创建并删除 /proc 项

要在 /proc 文件系统中创建一个虚拟文件，请使用 create_proc_entry 函数。这个函数可以接收一个文件名、一组权限和这个文件在 /proc 文件系统中出现的位置。create_proc_entry 的返回值是一个 proc_dir_entry 指针（或者为 NULL，说明在 create 时发生了错误）。然后就可以使用这个返回的指针来配置这个虚拟文件的其他参数，例如在对该文件执行读操作时应该调用的函数。create_proc_entry 的原型和 proc_dir_entry 结构中的一部分如清单 7 所示。

        
struct proc_dir_entry *create_proc_entry( const char *name, mode_t mode,
                                             struct proc_dir_entry *parent );
struct proc_dir_entry {
	const char *name;			// virtual file name
	mode_t mode;				// mode permissions
	uid_t uid;				// File's user id
	gid_t gid;				// File's group id
	struct inode_operations *proc_iops;	// Inode operations functions
	struct file_operations *proc_fops;	// File operations functions
	struct proc_dir_entry *parent;		// Parent directory
	...
	read_proc_t *read_proc;			// /proc read function
	write_proc_t *write_proc;		// /proc write function
	void *data;				// Pointer to private data
	atomic_t count;				// use count
	...
};
void remove_proc_entry( const char *name, struct proc_dir_entry *parent );

稍后我们就可以看到如何使用 read_proc 和 write_proc 命令来插入对这个虚拟文件进行读写的函数。

要从 /proc 中删除一个文件，可以使用 remove_proc_entry 函数。要使用这个函数，我们需要提供文件名字符串，以及这个文件在 /proc 文件系统中的位置（parent）。这个函数原型如清单 7 所示。

parent 参数可以为 NULL（表示 /proc 根目录），也可以是很多其他值，这取决于我们希望将这个文件放到什么地方。表 1 列出了可以使用的其他一些父 proc_dir_entry，以及它们在这个文件系统中的位置。

回调函数

我们可以使用 write_proc 函数向 /proc 中写入一项。这个函数的原型如下：

int mod_write( struct file *filp, const char __user *buff,
               unsigned long len, void *data );

filp 参数实际上是一个打开文件结构（我们可以忽略这个参数）。buff 参数是传递给您的字符串数据。缓冲区地址实际上是一个用户空间的缓冲区，因此我们不能直接读取它。len 参数定义了在 buff 中有多少数据要被写入。data 参数是一个指向私有数据的指针（参见 清单 7）。在这个模块中，我们声明了一个这种类型的函数来处理到达的数据。

Linux 提供了一组 API 来在用户空间和内核空间之间移动数据。对于 write_proc 的情况来说，我们使用了 copy_from_user 函数来维护用户空间的数据。

读回调函数

我们可以使用 read_proc 函数从一个 /proc 项中读取数据（从内核空间到用户空间）。这个函数的原型如下：

int mod_read( char *page, char **start, off_t off,
              int count, int *eof, void *data );

page 参数是这些数据写入到的位置，其中 count 定义了可以写入的最大字符数。在返回多页数据（通常一页是 4KB）时，我们需要使用 start 和 off 参数。当所有数据全部写入之后，就需要设置 eof（文件结束参数）。与 write 类似，data 表示的也是私有数据。此处提供的 page 缓冲区在内核空间中。因此，我们可以直接写入，而不用调用 copy_to_user。

其他有用的函数

我们还可以使用 proc_mkdir、symlinks 以及 proc_symlink 在 /proc 文件系统中创建目录。对于只需要一个 read 函数的简单 /proc 项来说，可以使用 create_proc_read_entry，这会创建一个 /proc 项，并在一个调用中对 read_proc 函数进行初始化。这些函数的原型如清单 8 所示。

        
/* Create a directory in the proc filesystem */
struct proc_dir_entry *proc_mkdir( const char *name,
                                     struct proc_dir_entry *parent );
/* Create a symlink in the proc filesystem */
struct proc_dir_entry *proc_symlink( const char *name,
                                       struct proc_dir_entry *parent,
                                       const char *dest );
/* Create a proc_dir_entry with a read_proc_t in one call */
struct proc_dir_entry *create_proc_read_entry( const char *name,
                                                  mode_t mode,
                                                  struct proc_dir_entry *base,
                                                  read_proc_t *read_proc,
                                                  void *data );
/* Copy buffer to user-space from kernel-space */
unsigned long copy_to_user( void __user *to,
                              const void *from,
                              unsigned long n );
/* Copy buffer to kernel-space from user-space */
unsigned long copy_from_user( void *to,
                                const void __user *from,
                                unsigned long n );
/* Allocate a 'virtually' contiguous block of memory */
void *vmalloc( unsigned long size );
/* Free a vmalloc'd block of memory */
void vfree( void *addr );
/* Export a symbol to the kernel (make it visible to the kernel) */
EXPORT_SYMBOL( symbol );
/* Export all symbols in a file to the kernel (declare before module.h) */
EXPORT_SYMTAB

回页首

通过 /proc 文件系统实现财富分发

下面是一个可以支持读写的 LKM。这个简单的程序提供了一个财富甜点分发。在加载这个模块之后，用户就可以使用 echo 命令向其中导入文本财富，然后再使用 cat 命令逐一读出。

清单 9 给出了基本的模块函数和变量。init 函数（init_fortune_module）负责使用 vmalloc 来为这个点心罐分配空间，然后使用memset 将其全部清零。使用所分配并已经清空的 cookie_pot 内存，我们在 /proc 中创建了一个 proc_dir_entry 项，并将其称为fortune。当 proc_entry 成功创建之后，对自己的本地变量和 proc_entry 结构进行了初始化。我们加载了 /proc read 和 write 函数（如清单 9 和清单 10 所示），并确定这个模块的所有者。cleanup 函数简单地从 /proc 文件系统中删除这一项，然后释放cookie_pot 所占据的内存。

cookie_pot 是一个固定大小（4KB）的页，它使用两个索引进行管理。第一个是 cookie_index，标识了要将下一个 cookie 写到哪里去。变量 next_fortune 标识了下一个 cookie 应该从哪里读取以便进行输出。在所有的 fortune 项都读取之后，我们简单地回到了next_fortune。

        
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/proc_fs.h>
#include <linux/string.h>
#include <linux/vmalloc.h>
#include <asm/uaccess.h>
MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("Fortune Cookie Kernel Module");
MODULE_AUTHOR("M. Tim Jones");
#define MAX_COOKIE_LENGTH       PAGE_SIZE
static struct proc_dir_entry *proc_entry;
static char *cookie_pot;  // Space for fortune strings
static int cookie_index;  // Index to write next fortune
static int next_fortune;  // Index to read next fortune
int init_fortune_module( void )
{
  int ret = 0;
  cookie_pot = (char *)vmalloc( MAX_COOKIE_LENGTH );
  if (!cookie_pot) {
    ret = -ENOMEM;
  } else {
    memset( cookie_pot, 0, MAX_COOKIE_LENGTH );
    proc_entry = create_proc_entry( "fortune", 0644, NULL );
    if (proc_entry == NULL) {
      ret = -ENOMEM;
      vfree(cookie_pot);
      printk(KERN_INFO "fortune: Couldn't create proc entry\n");
    } else {
      cookie_index = 0;
      next_fortune = 0;
      proc_entry->read_proc = fortune_read;
      proc_entry->write_proc = fortune_write;
      proc_entry->owner = THIS_MODULE;
      printk(KERN_INFO "fortune: Module loaded.\n");
    }
  }
  return ret;
}
void cleanup_fortune_module( void )
{
  remove_proc_entry("fortune", &proc_root);
  vfree(cookie_pot);
  printk(KERN_INFO "fortune: Module unloaded.\n");
}
module_init( init_fortune_module );
module_exit( cleanup_fortune_module );

向这个罐中新写入一个 cookie 非常简单（如清单 10 所示）。使用这个写入 cookie 的长度，我们可以检查是否有这么多空间可用。如果没有，就返回 -ENOSPC，它会返回给用户空间。否则，就说明空间存在，我们使用 copy_from_user 将用户缓冲区中的数据直接拷贝到 cookie_pot 中。然后增大 cookie_index（基于用户缓冲区的长度）并使用 NULL 来结束这个字符串。最后，返回实际写入cookie_pot 的字符的个数，它会返回到用户进程。

        
ssize_t fortune_write( struct file *filp, const char __user *buff,
                        unsigned long len, void *data )
{
  int space_available = (MAX_COOKIE_LENGTH-cookie_index)+1;
  if (len > space_available) {
    printk(KERN_INFO "fortune: cookie pot is full!\n");
    return -ENOSPC;
  }
  if (copy_from_user( &cookie_pot[cookie_index], buff, len )) {
    return -EFAULT;
  }
  cookie_index += len;
  cookie_pot[cookie_index-1] = 0;
  return len;
}

对 fortune 进行读取也非常简单，如清单 11 所示。由于我们刚才写入数据的缓冲区（page）已经在内核空间中了，因此可以直接对其进行操作，并使用 sprintf 来写入下一个 fortune。如果 next_fortune 索引大于 cookie_index（要写入的下一个位置），那么我们就将 next_fortune 返回为 0，这是第一个 fortune 的索引。在将这个 fortune 写入用户缓冲区之后，在 next_fortune 索引上增加刚才写入的 fortune 的长度。这样就变成了下一个可用 fortune 的索引。这个 fortune 的长度会被返回并传递给用户。

        
int fortune_read( char *page, char **start, off_t off,
                   int count, int *eof, void *data )
{
  int len;
  if (off > 0) {
    *eof = 1;
    return 0;
  }
  /* Wrap-around */
  if (next_fortune >= cookie_index) next_fortune = 0;
  len = sprintf(page, "%s\n", &cookie_pot[next_fortune]);
  next_fortune += len;
  return len;
}

从这个简单的例子中，我们可以看出通过 /proc 文件系统与内核进行通信实际上是件非常简单的事情。现在让我们来看一下这个 fortune 模块的用法（参见清单 12）。

        
[root@plato]# insmod fortune.ko
[root@plato]# echo "Success is an individual proposition.  
          Thomas Watson" > /proc/fortune
[root@plato]# echo "If a man does his best, what else is there?  
                Gen. Patton" > /proc/fortune
[root@plato]# echo "Cats: All your base are belong to us.  
                      Zero Wing" > /proc/fortune
[root@plato]# cat /proc/fortune
Success is an individual proposition.  Thomas Watson
[root@plato]# cat /proc/fortune
If a man does his best, what else is there?  General Patton
[root@plato]#

/proc 虚拟文件系统可以广泛地用来报告内核的信息，也可以用来进行动态配置。我们会发现它对于驱动程序和模块编程来说都是非常完整的。在下面的 参考资料 中，我们可以学习到更多相关知识。

简介

虚拟化 概念很早就已出现。简单来说，虚拟化就是使用某些程序，并使其看起来类似于其他程序的过程。将这个概念应用到计算机系统中可以让不同用户看到不同的单个系统（例如，一台计算机可以同时运行 Linux 和 Microsoft® Windows®）。这通常称为全虚拟化（full virtualization）。

虚拟化也可以使用更加复杂的格式，其中单个计算机看上去具有多个架构（对于一个用户来说，它是一个标准的 x86 平台；对于另外一个用户来说，它是 IBM Power PC® 平台）。这种虚拟化形式通常被称为 硬件仿真。

最后，更加简单的一种虚拟化是操作系统虚拟化，其中一台计算机可以运行相同类型的多个操作系统。这种虚拟化可以将一个操作系统的多个服务器隔离开来（这意味着全都必须使用相同类型和版本的操作系统）。有关虚拟化方法的更多信息，请参看 参考资料。

虚拟化和准虚拟化（para-virtualization）

虚拟化最常使用的两种方法是全虚拟化 和准虚拟化。使用全虚拟化，在虚拟化的操作系统和硬件之间存在一个层，用于决定访问。这个层称为系统管理程序 或虚拟机监视器（VMM）。准虚拟化与之类似，但是系统管理程序会以一种更具协作性的方式进行操作。这是因为每个客户操作系统都了解自己正在虚拟化模式中运行，因此每个系统都与系统管理程序协作，来实现底层硬件的虚拟化。

全虚拟化的例子包括商业虚拟化解决方案 VMware，以及商业 IBM zSeries® 计算机上使用的 IBM System z9 Virtual Machine（z/VM）操作系统。准虚拟化的例子有 Xen 和 User-Mode-Linux (UML)。 KVM 也被认为是一个全虚拟化解决方案，不过我们稍后再介绍这个问题。

回页首

虚拟化的工作原理

我们首先简要介绍一下虚拟化技术及其涉及的元素。虚拟化解决方案的底部是要进行虚拟化的机器。这台机器可能直接支持虚拟化，也可能不会直接支持虚拟化；那么就需要系统管理程序 层的支持。系统管理程序，或称为 VMM，可以看作是平台硬件和操作系统的抽象化。在某些情况中，这个系统管理程序就是一个操作系统；此时，它就称为主机操作系统，如 图 1 所示。

系统管理程序之上是客户机操作系统，也称为虚拟机（VM）。这些 VM 都是一些相互隔离的操作系统，将底层硬件平台视为自己所有。但是实际上，是系统管理程序为它们制造了这种假象。

目前使用虚拟化解决方案的问题是，并非所有硬件都可以很好地支持虚拟化。较老的 x86 处理器根据执行范围对特定指令会产生不同结果。这就产生了一个问题，因为系统管理程序应该只能在一个最受保护的范围中执行。由于这个原因，诸如 VMWare 之类的虚拟化解决方案会提前扫描要执行的代码，从而将这些指令替换为一些陷阱指令（trap instruction），这样系统管理程序就可以正确地处理它们。Xen 可以支持一种协作的虚拟化方法，它不需要任何修改，因为客户机知道自己正在进行虚拟化，并已经进行了修改。KVM 会简单地忽略这个问题，如果您希望进行虚拟化，就强制必须在更新的硬件上运行。

刚开始会觉得这有些不方便，但是考虑到目前上市的较新机器都可以支持虚拟化（例如 Intel® VT 和 AMD SVM），用不了多久，这将成为标准方法而不是少数例外情况。有关可以支持虚拟化的处理器的更多信息，请参看 参考资料 和侧栏 处理器对于虚拟化的支持。

回页首

KVM 系统管理程序

考虑到虚拟化技术的发展时间并不长，KVM 实际上还是一种相对来说比较新的技术。目前存在各具功能的开源技术，例如 Xen、Bochs、UML、Linux-VServer 和 coLinux，但是 KVM 目前正在被大量使用。另外，KVM 不再仅仅是一个全虚拟化解决方案，而将成为更大的解决方案的一部分。

KVM 所使用的方法是通过简单地加载内核模块而将 Linux 内核转换为一个系统管理程序。这个内核模块导出了一个名为 /dev/kvm 的设备，它可以启用内核的客户模式（除了传统的内核模式和用户模式）。有了 /dev/kvm 设备，VM 使自己的地址空间独立于内核或运行着的任何其他 VM 的地址空间。设备树（/dev）中的设备对于所有用户空间进程来说都是通用的。但是每个打开 /dev/kvm 的进程看到的是不同的映射（为了支持 VM 间的隔离）。

KVM 然后会简单地将 Linux 内核转换成一个系统管理程序（在安装 kvm 内核模块时）。由于标准 Linux 内核就是一个系统管理程序，因此它会从对标准内核的修改中获益良多（内存支持、调度程序等）。对这些 Linux 组件进行优化（例如 2.6 版本内核中的新 O(1) 调度程序）都可以让系统管理程序（主机操作系统）和 Linux 客户操作系统同时受益。但是 KVM 并不是第一个这样做的程序。UML 很久以前就将 Linux 内核转换成一个系统管理程序了。使用内核作为一个系统管理程序，您就可以启动其他操作系统，例如另一个 Linux 内核或 Windows 系统。

回页首

KVM

安装 KVM 之后，您可以在用户空间启动客户操作系统。每个客户操作系统都是主机操作系统（或系统管理程序）的一个单个进程。图 2 提供了一个使用 KVM 进行虚拟化的视图。底部是能够进行虚拟化的硬件平台（目前指的是 Intel VT 或 AMD-SVM 处理器）。在裸硬件上运行的是系统管理程序（带有 KVM 模块的 Linux 内核）。这个系统管理程序与可以运行其他应用程序的普通 Linux 内核类似。但是这个内核也可以支持通过 kvm 工具加载的客户操作系统。最后，客户操作系统可以支持主机操作系统所支持的相同应用程序。

记住 KVM 只是虚拟化解决方案的一部分。处理器直接提供了虚拟化支持（可以为多个操作系统虚拟化处理器）。内存可以通过 kvm 进行虚拟化（这在下一节中将会讨论）。最后，I/O 通过一个稍加修改的 QEMU 进程（执行每个客户操作系统进程的一个拷贝）进行虚拟化。

KVM 向 Linux 中引入了一种除现有的内核和用户模式之外的新进程模式。这种新模式就称为客户 模式，顾名思义，它用来执行客户操作系统代码（至少是一部分代码）。回想一下内核模式表示代码执行的特权模式，而用户模式则表示非特权模式（用于那些运行在内核之外的程序）。根据运行内容和目的，执行模式可以针对不同的目的进行定义。客户模式的存在就是为了执行客户操作系统代码，但是只针对那些非 I/O 的代码。在客户模式中有两种标准模式，因此客户操作系统在客户模式中运行可以支持标准的内核，而在用户模式下运行则支持自己的内核和用户 空间应用程序。客户操作系统的用户模式可以用来执行 I/O 操作，这是单独进行管理的。

在客户操作系统上执行 I/O 的功能是由 QEMU 提供的。QEMU 是一个平台虚拟化解决方案，允许对一个完整的 PC 环境进行虚拟化（包括磁盘、图形适配器和网络设备）。客户操作系统所生成的任何 I/O 请求都会被中途截获，并重新发送到 QEMU 进程模拟的用户模式中。

KVM 通过 /dev/kvm 设备提供了内存虚拟化。每个客户操作系统都有自己的地址空间，并且是在实例化客户操作系统时映射的。映射给客户操作系统的物理内存实际上是映射给这个进程的虚拟内存。为了支持客户物理地址到主机物理地址的转换，系统维护了一组影子页表（shadow page table）。处理器也可以通过在访问未经映射的内存位置时使用系统管理程序（主机内核）来支持内存转换进程。

回页首

实例化新客户操作系统

新客户操作系统的实例化是由一个名为 kvm 的工具提供的。这个工具可以与 kvm 模块协同工作，使用 /dev/kvm 来加载客户操作系统，将它与虚拟磁盘（主机操作系统中的一个普通文件）关联起来，然后启动客户操作系统。

通过一组在 /dev/kvm 设备上执行的 ioctls 可以提供控制支持。当第一次打开这个特殊文件时，就会创建一个新的 VM 对象，它与一个虚拟 CPU 关联在一起。您然后可以使用几个 ioctls 来创建一个虚拟 CPU，检查 kvm 版本，创建内存区域，然后启动一个虚拟 CPU。您可以使用 kvm 命令实现这种功能。在接下来的几节中，我们将介绍 kvm 命令，并给出几个受支持的 ioctls 的示例。

回页首

使用 KVM

如果硬件支持的话，使用 KVM 实际上非常简单。您需要一个具有虚拟化支持的处理器。通过查看 /proc/cpuinfo 可以知道系统是否支持虚拟化。这个文件指定了是否支持 vmx（Intel）或 svm（AMD）扩展。

接下来，您需要一个启用了 KVM 支持的 Linux 内核。您可以在 Device Drivers > Virtualization 下的内核配置中完成这种配置。还必须启用处理器对环境的支持。另外，还必须具有 kvm 和 qemu 用户空间应用程序。更多信息请参见 参考资料。

有了启用了虚拟化支持的引导内核，接下来的一个步骤是为客户操作系统创建一个磁盘映像。您可以使用 qeumu-img 来完成此操作，如下所示。注意这个映像的大小是 4GB，但是使用 QEMU 的写时复制格式（copy-on-write，qcow）时，整个文件将根据需要增长，而不是完全占据这 4 GB 的空间。

$ qemu-img create -f qcow vm-disk.img 4G
			

在创建虚拟磁盘之后，就可以将客户操作系统加载到其上。下面的例子假设客户操作系统是在 CD-ROM 上。除了使用 CD-ROM ISO 映像来填充虚拟磁盘之外，还必须在结束时启动这个映像。

$ kvm -no-acpi -m 384 -cdrom guestos.iso -hda vm-disk.img -boot d
			

Ari Kivity 已经编写了一组测试工具来测试 KVM，而不需要全部的设备模型。下面的代码片断（来自于 kvm-12/user/main.c）从较高的层次上查看了 VM 的启动（请参见 清单 1）。控制特性是由内核中的 ioctls 提供的（具体来说，在 ./linux-2.6.20/drivers/kvm/kvm_main.c 文件中）。

对 kvm_init 的调用会打开 /dev/kvm 设备，检查版本号（由 KVM 内核模块导出），然后分配一个 KVM 上下文对象并填充一些回调函数。kvm_create 函数会建立并映射两个内存区域，然后使用 ioctl（KVM_CREATE_VCPU）创建一个虚拟 CPU（VCPU）。

load_file 函数然后会将映像加载到给定的 VM 的地址空间中，然后调用 kvm_run 执行该 VM（使用 ioctl KVM_RUN）。尽管这个过程非常简单，但是它解释了如何使用 KVM 实例化新客户操作系统。

				
int main()
{
	void *vm_mem;

	kvm = kvm_init(&test_callbacks, 0);
	if (!kvm) {
	    fprintf(stderr, "kvm_init failed\n");
	    return 1;
	}
	if (kvm_create(kvm, 128 * 1024 * 1024, &vm_mem) < 0) {
	    kvm_finalize(kvm);
	    fprintf(stderr, "kvm_create failed\n");
	    return 1;
	}
	if (ac > 1)
	    if (strcmp(av[1], "-32") != 0)
		load_file(vm_mem + 0xf0000, av[1]);
	    else
		enter_32(kvm);
	if (ac > 2)
	    load_file(vm_mem + 0x100000, av[2]);
	kvm_show_regs(kvm, 0);

	kvm_run(kvm, 0);

	return 0;
}

回页首

结束语

KVM 是解决虚拟化问题的一个有趣的解决方案，但是由于它是第一个进入内核的虚拟化解决方案，很难想象它会很快用于服务器虚拟化。还有其他一些方法一直在为进入内核而竞争（例如 UML 和 Xen），但是由于 KVM 需要的修改较少，并且可以将标准内核转换成一个系统管理程序，因此它的优势不言而喻。

KVM 的另外一个优点是它是内核本身的一部分，因此可以利用内核的优化和改进。与其他独立的系统管理程序解决方案相比，这种方法是一种不会过时的技术。KVM 两个最大的缺点是需要较新的能够支持虚拟化的处理器，以及一个用户空间的 QEMU 进程来提供 I/O 虚拟化。但是不论好坏，KVM 位于内核中，这对于现有解决方案来说是一个巨大的飞跃。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球网站上的 英文原文。
  
  
• 有很多方法都可以提供虚拟化，您可以从 “虚拟 Linux” 一文中了解更多内容（developerWorks，2007 年 1 月）。 
  
  
• 包括 IBM、 Intel 和 AMD 在内的一些公司都提供了虚拟化硬件。您可以查看各自的站点了解更多信息。 
  
  
• 有关 KVM 的最新新闻，请查看 KVM wiki，这是由 Qumranet 提供的。 
  
  
• 尽管 KVM 的出现时间非常短，但是您可以找到一些介绍其各个方面性能的文章。其中两篇非常有趣的文章是由 Phoronix 和KernelNewbies 提供的。 
  
  
• KernelNewbies 上的另外一篇有趣文章对 虚拟化方法进行了很好的比较（包括 KVM）。 
  
  
• V2.6 Linux 调度程序是由 Ingo Molnar 创建，实现了 O(1) 调度。您可以通过阅读 “Linux 调度器内幕”（M. Tim Jones，developerWorks，2006 年 9 月）了解更多有关这个调度程序的内容 。 
  
  
• 一种协作虚拟化方法 coLinux 让您可以在 Windows 上运行 Linux。 
  
  
• QEMU 是一个开源处理器仿真器，它也可以为 KVM 提供 PC 环境虚拟化功能。 
  
  
• 在 developerWorks 中国网站 Linux 专区 中可找到适合 Linux 开发人员的更多资源。 
  
  
• 随时关注 developerWorks 技术活动 和 网络广播。
  
  

获得产品和技术

• 要下载 KVM 所必须的应用程序，请查看 Debian。 
  
  
• 获取 SEK for Linux，共包含两张 DVD，其中有用于 Linux 的最新 IBM 试用软件，包括 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere®。 
  
  
• 利用 IBM 试用版本软件 在 Linux 上构建您的下一个开发项目，可直接从 developerWorks 下载。 
  
  

讨论

• 通过参与 developerWorks blog 加入 developerWorks 社区。
  
  

关于作者

M. Tim Jones 是一名嵌入式软件工程师，他是 GNU/Linux Application Programming、AI Application Programming以及 BSD Sockets Programming from a Multilanguage Perspective 等书的作者。他的工程背景非常广泛，从同步宇宙飞船的内核开发到嵌入式架构设计，再到网络协议的开发。Tim 是位于科罗拉多州 Longmont 的 Emulex Corp. 的一名顾问工程师。

本文探索了一些支持实时特性的 Linux 架构，并探讨了实时架构 的含意是什么。有许多种解决方案赋予 Linux 实时能力，本文将对瘦内核（或微内核）方法、超微内核方法以及资源内核（resource-kernel）方法进行考查。最后,描述了标准 2.6 内核的实时功能，并向您示范如何启用并使用这种功能。

实时的定义及要求

下列实时 的定义为探讨实时 Linux 架构提供了基础。定义由 Donal Gillies 在 Realtime Computing FAQ 中提出（参见 参考资料 的链接）。

实时系统指系统的计算正确性不仅取决于计算的逻辑正确性，还取决于产生结果的时间。如果未满足系统的时间约束，则认为系统失效。

换句话说，系统面对变化的负载（从最小到最坏的情况）时必须确定性地保证满足时间要求。注意，上述定义并未提到性能，原因是实时性与速度关系不大：它与可预见性有关。例如，使用快速的现代处理器时，Linux 可以提供 20 μ 微秒的典型中断响应，但有时候响应会变得很长。这是一个基本的问题：并不是 Linux 不够快或效率不够高，而是因为它不能提供确定性。

一些例子将演示全部这些内容的含意。图 1 显示的是中断延迟指标。当中断到达时（event），CPU 发生中断并转入中断处理。执行一些工作以确定发生了什么事件，然后执行少量工作分配必需的任务以处理此事件（上下文切换）。中断到达与分发必需任务之间的时间（假设分配的是优先级最高的任务）称为响应时间。对于实时性要求，响应时间应是确定的并应当在已知的最坏情况的时间内完成。

有关这个过程的一个例子就是目前汽车中使用的气囊。当报告车辆碰撞的传感器中断 CPU 后，操作系统应快速地分配展开气囊的任务，并且不允许其他非实时处理进行干扰。晚一秒钟展开气囊比没有气囊的情况更糟糕。

除为中断处理提供确定性外，实时处理也需要支持周期性间隔的任务调度。考虑图 2。本图演示了周期性任务调度。大量控制系统要求周期性采样与处理。某个特定任务必须按照固定的周期（p）执行，从而确保系统的稳定性。考虑一下汽车的防抱死系统（ABS）。控制系统对车辆的每个车轮的转速进行采样（每秒最多 20 次）并控制每个制动器的压力（防止它锁死）。为了保持控制系统的正常工作，传感器的采样与控制必须按照一定的周期间隔。这意味着必须抢占其他处理，以便 ABS 任务能按照期望的周期执行。

硬实时与软实时系统

能够在指定的期限完成实时任务（即便在最坏的处理负载下也能如此）的操作系统称为硬实时 系统。但并不是任何情况下都需要硬实时支持。如果操作系统在平均情况下能支持任务的执行期限，则称它为软实时 系统。硬实时系统指超过截止期限后将造成灾难性后果（例如展开气囊过晚或制动压力产生的滑行距离过长）的系统。软实时系统超过截止期限后并不会造成系统整体失败（如丢失视频中的一帧）。

现在您已经对实时性要求有了一些深入了解，让我们查看一些实时 Linux 架构各支持哪个级别的实时性以及如何做到这一点。

回页首

瘦内核方法

瘦内核（或微内核）方法使用了第二个内核作为硬件与 Linux 内核间的抽象接口（见图 3）。非实时 Linux 内核在后台运行，作为瘦内核的一项低优先级任务托管全部非实时任务。实时任务直接在瘦内核上运行。

瘦内核主要用于（除了托管实时任务外）中断管理。瘦内核截取中断以确保非实时内核无法抢占瘦内核的运行。这允许瘦内核提供硬实时支持。

虽然瘦内核方法有自己的优势（硬实时支持与标准 Linux 内核共存），但这种方法也有缺点。实时任务和非实时任务是独立的，这造成了调试困难。而且，非实时任务并未得到 Linux 平台的完全支持（瘦内核执行称为瘦 的一个原因）。

使用这种方法的例子有 RTLinux (现在由 Wind River Systems 专有），实时应用程序接口（RTAI）和 Xenomai。

回页首

超微内核方法

这里瘦内核方法依赖于包含任务管理的最小内核，而超微内核法对内核进行更进一步的缩减。通过这种方式，它不像是一个内核而更像是一个硬件抽象层（HAL）。超微内核为运行于更高级别的多个操作系统提供了硬件资源共享（见图 4）。因为超微内核对硬件进行了抽象，因此它可为更高级别的操作系统提供优先权，从而支持实时性。

注意，这种方法和运行多个操作系统的虚拟化方法有一些相似之处。使用这种方法的情况下，超微内核在实时和非实时内核中对硬件进行抽象。这与 hypervisor 从客户（guest）操作系统对裸机进行抽象的方式很相似。更多信息参见 参考资料 。

关于超微内核的示例是操作系统的 Adaptive Domain Environment for Operating Systems (ADEOS)。ADEOS 支持多个并发操作系统同步运行。当发生硬件事件后，ADEOS 对链中的每个操作系统进行查询以确定使用哪一个系统处理事件。

回页首

资源内核法

另一个实时架构是资源内核法。这种方法为内核增加一个模块，为各种资源提供预留（reservation）。这种机制保证了对时分复用（time-multiplexed）系统资源的访问（CPU、网络或磁盘带宽）。这些资源拥有多个预留参数，如循环周期、需要的处理时间（也就是完成处理所需的时间），以及截止时间。

资源内核提供了一组应用程序编程接口（API），允许任务请求这些预留资源（见图 5）。然后资源内核可以合并这些请求，使用任务定义的约束定义一个调度，从而提供确定的访问（如果无法提供确定性则返回错误）。通过调度算法，如 Earliest-Deadline-First (EDF)，内核可以处理动态的调度负载。

资源内核法实现的一个示例是 CMU 公司的 Linux/RK，它把可移植的资源内核集成到 Linux 中作为一个可加载模块。这种实现演化成商用的 TimeSys Linux/RT 产品。

回页首

标准 2.6 内核中的实时

目前探讨的这些方法在架构上都很有趣，但是它们都在内核的外围运行。然而，如果对标准 Linux 内核进行必要的修改使其支持实时性，结果会怎么样呢？

今天，在 2.6 内核中，通过对内核进行简单配置使其完全可抢占（见图 6），您就可以得到软实时功能。在标准 2.6 Linux 内核中，当用户空间的进程执行内核调用时（通过系统调用），它便不能被抢占。这意味着如果低优先级进程进行了系统调用后，高优先级进程必须等到调用结束后才能访问 CPU。新的配置选项 CONFIG_PREEMPT 改变了这一内核行为，在高优先级任务可用的情况下（即使此进程正在进行系统调用），它允许进程被抢占。

但这种配置选项也是一种折衷。虽然此选项实现了软实时性能并且即使在负载条件下也可使操作系统顺利地运行，但这样做也付出了代价。代价就是略微减低了吞吐量以及内核性能，原因是 CONFIG_PREEMPT 选项增加了开销。这种选项对桌面和嵌入式系统而言是有用的，但并不是在任何场景下都有用（例如，服务器）。

在 2.6 内核中另一项有用的配置选项是高精度定时器。这个新选项允许定时器以 1μs 的精度运行（如果底层硬件支持的话），并通过红黑树实现对定时器的高效管理。通过红黑树，可以使用大量的定时器而不会对定时器子系统（O(log n)）的性能造成影响。

只需要一点额外的工作，您就可以通过 PREEMPT_RT 补丁实现硬实时。PREEMPT_RT 补丁提供了多项修改，可实现硬实时支持。其中一些修改包括重新实现一些内核锁定原语，从而实现完全可抢占，实现内核互斥的优先级继承，并把中断处理程序转换为内核线程以实现线程可抢占。

回页首

结束语

Linux 不仅是一个实验和描述实时算法的理想平台，目前在标准的 2.6 内核中也实现了实时功能。从标准内核中您可以实现软实时功能，再执行一些额外的工作（内核补丁）您就可以构建硬实时应用程序。

本文简要介绍了一些为 Linux 内核提供实时计算的技术。很多早期的尝试使用瘦内核方法把实时任务与标准内核分离。后来，出现了超微内核法，它与如今的虚拟化解决方案中使用的 hypervisor 非常相似。最后，Linux 内核提供了自己的实时方法，包括软实时和硬实时。

虽然本文只是对 Linux 的实时方法进行了简单介绍，但 参考资料 一节中提供了更多的信息，可以从中获得额外的信息和其他有用的实时技术。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文。
  
  
• 在 Tim 的文章 “虚拟 Linux”（developerWorks，2006 年 12 月）中，了解从虚拟化架构中借鉴而来的实现实时性的瘦内核和超微内核法是多么流行。 
  
  
• 在 Tim 的文章 “Linux 调度器内幕”（developerWorks，2006 年 6 月）中，了解 2.6 内核中 O(1) 调度程序的更多内容。
  
  
• 阅读 developerWorks 上的 Tim 的全部 Anatomy of... 文章 。 
  
  
• Realtime Computing FAQ 是一个很棒的学习实时计算的起点。它涵盖了可移植操作系统接口（POSIX）、实时操作系统的基础知识，以及一些实时分析技巧。 
  
  
• “Real-time Control Systems”（PDF）是由 A. Gambier 撰写的有趣教程，它介绍了实时控制系统的设计并探讨了各种调度算法。 
  
  
• 第六届实时 Linux 研讨会（2007 年 11 月举办）的会议记录中包含的论文和参考资料可以帮助您了解实时 Linux 的最新发展。 
  
  
• 早期的 RTLinux以及 Xenomai 都应用了瘦内核方法。虽然运用方式略有不同，但整体方法被证明是有价值的。 
  
  
• ADEOS 是一个在 Linux 内核中提供实时功能的硬件抽象层（HAL）或超微内核。它也已应用到对称多处理器（SMP）集群和内核调试中。 
  
  
• “Portable RK: A Portable Resource Kernel for Guaranteed and Enforced Timing Behavior” 描述了一个通过预留 API 提供对时分复用资源（如 CPU、网络或磁盘）的可靠访问的组件。 
  
  
• 红黑树 是一个自平衡的二叉查找树。虽然算法本身很复杂，但它在实践应用中的效率很高，可以按照 O(log n) 的时间操作。 
  
  
• PREEMPT_RT 补丁为标准 2.6 Linux 内核提供了硬实时功能。这些页面详细地说明了 安装与使用 RT_PREEMPT 配置的方法以及一些有用的 FAQ。 
  
  
• 在这个 优先级反转 场景中，低优先级的任务占有着高优先级任务需要的资源（这个问题出现在 使用风河公司 VxWorks 系统的火星开拓者探测器上）。此问题的解决方法是 优先级继承，这增加了低优先级任务的优先级，允许它运行从而释放资源。
  
  
• Novell 公司最近公布了它们的 SUSE Linux Enterprise Real-Time (SLERT) 1.0 版。这个发行版包含内核更新以及对实时应用程序的 POSIX 实时支持。两项改进包括 CPU 屏蔽和 动态优先级分配 。 
  
  
• Xenomai/SOLO 宣布不使用内核共存法，而转向使用与 Linux 内核层更加紧密集成的方法。这种方法支持传统的 POSIX （用户空间）编程。
  
  
• 在 developerWorks Linux 专区 找到更多面向 Linux 开发人员的资源，并请浏览 最受欢迎的文章和教程。 
  
  
• 查看 developerWorks 上所有的 Linux 技巧和 Linux 教程。 
  
  
• 随时关注 developerWorks 技术活动和网络广播。 
  
  

获得产品和技术

• 定购 SEK for Linux，共含两张 DVD，包含来自 DB2®、 Lotus®、 Rational®、 Tivoli® 和 WebSphere® 的面向 Linux 的最新 IBM 试用软件。 
  
  
• 使用 IBM 试用软件 改进您的下一个 Linux 开发项目，可以从 developerWorks 直接下载获得。 
  
  

讨论

• 通过 新 developerWorks 空间 上的博客、论坛、podcast 和社区主题加入 developerWorks 社区。 
  
  

关于作者

M. Tim Jones 是一名嵌入式软件工程师，他是 GNU/Linux Application Programming、AI Application Programming以及 BSD Sockets Programming from a Multilanguage Perspective 等书的作者。他的工程背景非常广泛，从同步宇宙飞船的内核开发到嵌入式架构设计，再到网络协议的开发。Tim 是位于科罗拉多州 Longmont 的 Emulex Corp. 的一名顾问工程师。

协议简介

虽然对于网络的正式介绍一般都参考了 OSI（Open Systems Interconnection）模型，但是本文对 Linux 中基本网络栈的介绍分为四层的 Internet 模型（如图 1 所示）。

这个栈的最底部是链路层。链路层是指提供对物理层访问的设备驱动程序，这可以是各种介质，例如串口链路或以太网设备。链路层上面是网络层，它负责将报文定向到目标位置。再上一层称为传输层，负责端到端的通信（例如，在一台主机内部）。尽管网络层负责管理主机之间的通信，但是传输层需要负责管理主机内部各端之间的通信。最后一层是应用层，它通常是一个语义层，能够理解要传输的数据。例如，超文本传输协议（HTTP）就负责传输服务器和客户机之间对 Web 内容的请求与响应。

实际来说，网络栈的各个层次有一些更为人所熟知的名字。在链路层上，可以找到以太网，这是最常用的一种高速介质。更早的链路层协议包括一些串口协议，例如 SLIP（Serial Line Internet Protocol）、CSLIP（Compressed SLIP）和PPP（Point-to-Point Protocol）。最常见的网络层协议是 IP（Internet Protocol），但是网络层中还存在一些满足其他需求的协议，例如 ICMP（Internet Control Message Protocol）和ARP（ Address Resolution Protocol）。在传输层上是 TCP（Transmission Control Protocol）和 UDP（User Datagram Protocol）。最后，应用层中包含很多大家都非常熟悉的协议，包括标准的 Web 协议 HTTP 和电子邮件协议 SMTP（Simple Mail Transfer Protocol）。

回页首

核心网络架构

现在继续了解 Linux 网络栈的架构以及如何实现这种 Internet 模型。图 2 提供了 Linux 网络栈的高级视图。最上面是用户空间层，或称为应用层，其中定义了网络栈的用户。底部是物理设备，提供了对网络的连接能力（串口或诸如以太网之类的高速网络）。中间是内核空间，即网络子系统，也是本文介绍的重点。流经网络栈内部的是 socket 缓冲区（sk_buffs），它负责在源和汇点之间传递报文数据。您很快就将看到 sk_buff 的结构。

首先，让我们来快速浏览一下 Linux 网络子系统的核心元素，后续章节中会更详细进行介绍。顶部（请参阅图 2）是系统调用接口。它简单地为用户空间的应用程序提供了一种访问内核网络子系统的方法。位于其下面的是一个协议无关层，它提供了一种通用方法来使用底层传输层协议。然后是实际协议，在 Linux 中包括内嵌的协议 TCP、UDP，当然还有 IP。然后是另外一个协议无关层，提供了与各个设备驱动程序通信的通用接口，最下面是设备驱动程序本身。

回页首

系统调用接口

系统调用接口可以从两个角度进行描述。用户发起网络调用时，通过系统调用接口进入内核的过程应该是多路的。最后调用 ./net/socket.c 中的 sys_socketcall 结束该过程，然后进一步将调用分路发送到指定目标。系统调用接口的另一种描述是使用普通文件操作作为网络 I/O。例如，典型的读写操作可以在网络 socket 上执行（socket 使用一个文件描述符表示，与一个普通文件一样）。因此，尽管有很多操作是网络专用的（使用 socket 调用创建一个 socket，使用 connect 调用连接一个收信方，等等），但是也有一些标准的文件操作可以应用于网络对象，就像操作普通文件一样。最后，系统调用接口提供了在用户空间应用程序和内核之间转移控制的方法。

回页首

协议无关接口

socket 层是一个协议无关接口，它提供了一组通用函数来支持各种不同协议。socket 层不但可以支持典型的 TCP 和 UDP 协议，而且还可以支持 IP、裸以太网和其他传输协议，例如 SCTP（Stream Control Transmission Protocol）。

通过网络栈进行的通信都需要对 socket 进行操作。Linux 中的 socket 结构是 struct sock，这个结构是在 linux/include/net/sock.h 中定义的。这个巨大的结构中包含了特定 socket 所需要的所有状态信息，其中包括 socket 所使用的特定协议和在 socket 上可以执行的一些操作。

网络子系统可以通过一个定义了自己功能的特殊结构来了解可用协议。每个协议都维护了一个名为 proto 的结构（可以在 linux/include/net/sock.h 中找到）。这个结构定义了可以在从 socket 层到传输层中执行特定的 socket 操作（例如，如何创建一个 socket，如何使用 socket 建立一个连接，如何关闭一个 socket 等等）。

回页首

网络协议

网络协议这一节对一些可用的特定网络协议作出了定义（例如 TCP、UDP 等）。它们都是在 linux/net/ipv4/af_inet.c 文件中一个名为inet_init 的函数中进行初始化的（因为 TCP 和 UDP 都是 inet 簇协议的一部分）。 inet_init 函数使用 proto_register 函数来注册每个内嵌协议。这个函数是在 linux/net/core/sock.c 中定义的，除了可以将这个协议添加到活动协议列表中之外，如果需要，该函数还可以选择分配一到多个 slab 缓存。

通过 linux/net/ipv4/ 目录中 udp.c 和 raw.c 文件中的 proto 接口，您可以了解各个协议是如何标识自己的。这些协议接口每个都按照类型和协议映射到 inetsw_array，该数组将内嵌协议与操作映射到一起。inetsw_array 结构及其关系如图 3 所示。最初，会调用inet_init 中的 inet_register_protosw 将这个数组中的每个协议都初始化为 inetsw。函数 inet_init 也会对各个 inet 模块进行初始化，例如 ARP、ICMP 和 IP 模块，以及 TCP 和 UDP 模块。

注意在 图 3 中，proto 结构定义了传输特有的方法，而 proto_ops 结构则定义了通用的 socket 方法。可以通过调用 inet_register_protosw将其他协议加入到 inetsw 协议中。例如，SCTP 就是通过调用 linux/net/sctp/protocol.c 中的 sctp_init 加入其中的。有关 SCTP 的更多信息，请参阅 参考资料 一节的内容。

socket 中的数据移动是使用一个所谓的 socket 缓冲区（sk_buff）的核心结构实现的。sk_buff 中包含了报文数据，以及涉及协议栈中多个层次的状态数据。所发送或接收的每个报文都是使用一个 sk_buff 表示的。sk_buff 结构是在 linux/include/linux/skbuff.h 中定义的，如图 4 所示。

如图所示，多个 sk_buff 可以针对某个给定连接链接在一起。每个 sk_buff 都在设备结构（net_device）中标识报文发送的目的地，或者接收报文的来源地。由于每个报文都是使用一个 sk_buff 表示的，因此报文头都可以通过一组指针（th、iph 和 mac[用于 Media Access Control 或者 MAC 头]）方便地进行定位。由于 sk_buff 是 socket 数据管理的中心，因此创建了很多支持函数来对它们进行管理。其中有些函数用于创建和销毁 sk_buff 结构，或对它进行克隆或排队管理。

针对给定的 socket，Socket 缓冲区可以链接在一起，这样可以包含众多信息，包括到协议头的链接、时间戳（报文是何时发送或接收的），以及与这个报文相关的设备。

回页首

设备无关接口

协议层下面是另外一个无关接口层，它将协议与具有很多各种不同功能的硬件设备连接在一起。这一层提供了一组通用函数供底层网络设备驱动程序使用，让它们可以对高层协议栈进行操作。

首先，设备驱动程序可能会通过调用 register_netdevice 或 unregister_netdevice 在内核中进行注册或注销。调用者首先填写net_device 结构，然后传递这个结构进行注册。内核调用它的 init 函数（如果定义了这种函数），然后执行一组健全性检查，并创建一个 sysfs 条目，然后将新设备添加到设备列表中（内核中的活动设备链表）。在 linux/include/linux/netdevice.h 中可以找到这个net_device 结构。这些函数都是在 linux/net/core/dev.c 中实现的。

要从协议层向设备中发送 sk_buff，就需要使用 dev_queue_xmit 函数。这个函数可以对 sk_buff 进行排队，从而由底层设备驱动程序进行最终传输（使用 sk_buff 中引用的 net_device 或 sk_buff->dev 所定义的网络设备）。dev 结构中包含了一个名为hard_start_xmit 的方法，其中保存有发起 sk_buff 传输所使用的驱动程序函数。

报文的接收通常是使用 netif_rx 执行的。当底层设备驱动程序接收一个报文（包含在所分配的 sk_buff 中）时，就会通过调用netif_rx 将 sk_buff 上传至网络层。然后，这个函数通过 netif_rx_schedule 将 sk_buff 在上层协议队列中进行排队，供以后进行处理。可以在 linux/net/core/dev.c 中找到 dev_queue_xmit 和 netif_rx 函数。

最近，内核中引入了一种新的应用程序编程接口（NAPI），该接口允许驱动程序与设备无关层（dev）进行交互。有些驱动程序使用的是 NAPI，但是大多数驱动程序仍然在使用老式的帧接收接口（比例大约是 6 比 1）。NAPI 在高负载的情况下可以产生更好的性能，它避免了为每个传入的帧都产生中断。

回页首

设备驱动程序

网络栈底部是负责管理物理网络设备的设备驱动程序。例如，包串口使用的 SLIP 驱动程序以及以太网设备使用的以太网驱动程序都是这一层的设备。

在进行初始化时，设备驱动程序会分配一个 net_device 结构，然后使用必须的程序对其进行初始化。这些程序中有一个是 dev->hard_start_xmit，它定义了上层应该如何对 sk_buff 排队进行传输。这个程序的参数为 sk_buff。这个函数的操作取决于底层硬件，但是通常 sk_buff 所描述的报文都会被移动到硬件环或队列中。就像是设备无关层中所描述的一样，对于 NAPI 兼容的网络驱动程序来说，帧的接收使用了 netif_rx 和 netif_receive_skb 接口。NAPI 驱动程序会对底层硬件的能力进行一些限制。有关更详细的信息，请参阅 参考资料 一节的内容。

设备驱动程序在 dev 结构中配置好自己的接口之后，调用 register_netdevice 便可以使用该配置。在 linux/drivers/net 中可以找出网络设备专用的驱动程序。

回页首

展望

Linux 源代码是学习有关大多数设备类型的设备驱动程序设计最佳方法，包括网络设备驱动程序。在这里可以找到的是各种设计的变化以及对可用内核 API 的使用，但是所学到的每一点都会非常有用，都可以作为新设备驱动程序的起点。除非您需要一种新协议，否则网络栈中的其余代码都是通用的，都会非常有用。即使现在，TCP（用于流协议）或 UDP（用于基于消息的协议）的实现都可以作为开始新开发有用模块使用。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文。
  
  
• 请查阅 www.linuxjunkies.org 上的 “Introduction to the Internet Protocols” ，获得有关 TCP/IP、UDP 和 ICMP 的简要介绍。
  
  
• “使用 Linux 系统调用的内核命令”（developerWorks，2007 年 3 月）介绍了 Linux 系统调用接口，它是 Linux 内核中很重要的一层，GNU C Library（glbic）提供了对用户空间支持，这样便可以在用户空间和内核之间进行函数调用。
  
  
• “使用 /proc 文件系统来访问 Linux 内核的内容”（developerWorks，2006 年 3 月）介绍了 /proc 文件系统，它是一个虚拟文件系统，为用户空间的应用程序与内核进行通信提供了一种创新的方法。这篇文章展示 /proc 的应用，并演示可加载的内核模块。
  
  
• 如果对网络协议感兴趣，Linux 是一个非常不错的操作系统，这一点与 BSD 类似。“使用 SCTP 优化网络”（developerWorks，2006 年 2 月）介绍了最有趣的网络协议之一 SCTP，它的操作方式和 TCP 类似，但是却增加了一些有用的特性，例如消息、多宿主和多流特性。
  
  
• “Linux slab 分配器详解”（developerWorks，2007 年 5 月）介绍了 Linux 中内存管理的最有趣特性之一：slab 分配器。这种机制源自于 SunOS，但是它在 Linux 内核中找到了一个友好的家园。
  
  
• NAPI 驱动程序与使用老式报文处理框架的驱动程序相比，具有很多优点，从终端管理到报文处理都要好很多。在 OSDL 上的NAPI 接口和设计 中可以了解更多内容。
  
  
• 有关 Linux 用户空间编程的更多信息，请参考 Tim 撰写的 GNU/Linux Application Programming 一书。
  
  
• 在 Tim 撰写的 BSD Sockets Programming from a Multi-Language Perspective 一书中，可以学习有关使用 BSD socket API 进行 socket 编程的知识。
  
  
• 在 Free Software Foundation Web 站点上学习更多有关自由软件的内容。由于 Linux 是一个自由软件，因此任何希望从事相关工作的人都可以装配和发行自己的发行版。
  
  
• 在 developerWorks Linux 专区 中可找到适合 Linux 开发人员的更多资源，包括 Linux 教程。
  
  
• 随时关注 developerWorks 技术活动和网络广播。
  
  

获得产品和技术

• 利用可直接从 developerWorks 下载的 IBM 试用软件 在 Linux 上构建您的下一个开发项目。
  
  

讨论

• 通过参与 developerWorks blog 加入 developerWorks 社区。
  
  

关于作者

M. Tim Jones 是一名嵌入式软件工程师，他是 GNU/Linux Application Programming、AI Application Programming以及 BSD Sockets Programming from a Multilanguage Perspective 等书的作者。他的工程背景非常广泛，从同步宇宙飞船的内核开发到嵌入式架构设计，再到网络协议的开发。Tim 是位于科罗拉多州 Longmont 的 Emulex Corp. 的一名顾问工程师

简介

公共网络（比如 Internet）充满着危险。只要将电脑连接到 Internet（即使只连接很短的时间），您就会感受到这一点。攻击者可以利用不安全性来获得对一个系统的访问，获得对信息的未授权访问，或者对一台计算机进行改造，以利用它发送垃圾邮件或攻击其他高端系统（使用 SYN 泛洪攻击，一种分布式拒绝服务攻击）。

分布式拒绝服务攻击（DDoS）通过 Internet 上的多个系统来实现（所以也称为僵尸电脑），这些系统消耗目标系统上的资源，（利用 TCP 的三向握手）使其不能被合法的用户访问。一种带有 cookie 的四向握手协议（Stream Control Transmission Protocol [SCTP]）可以防御这种攻击，更多信息请参见 参考资料 一节。

GNU/Linux 非常安全，但它也非常动态：所做的更改会为操作系统带来新的漏洞，这些漏洞可能被攻击者利用，尽管人们都非常关心阻止未授权访问，但是发生入侵后会发生什么呢？

本文将探究 SELinux 背后的思想及其基本架构。关于 SELinux 的完整描述涉及一整本书的内容（参见 参考资料 一节），所以本文只关注其基本原理，使您了解 SELinux 的重要性及其实现过程。

访问控制方法

大多数操作系统使用访问控制来判断一个实体（用户或程序）是否能够访问给定资源。基于 UNIX® 的系统使用一种自主访问控制（discretionary access control，DAC）的形式。此方法通常根据对象所属的分组来限制对对象的访问。例如，GNU/Linux 中的文件有一个所有者、一个分组和一个权限集。权限定义谁可以访问给定文件、谁可以读取它、谁可以向其写入，以及谁可以执行它。这些权限被划分到三个用户集中，分别表示用户（文件所有者）、分组（一个用户组的所有成员）和其他（既不是文件所有者，又不是该分组的成员的所有用户）。

很多这样的访问控制都会带来一个问题，因为所利用的程序能够继承用户的访问控制。这样，该程序就可以在用户的访问层进行操作。与通过这种方式定义约束相比，使用最小特权原则 更安全：程序只能执行完成任务所需的操作。例如，如果一个程序用于响应 socket 请求，但不需要访问文件系统，那么该程序应该能够监听给定的 socket，但是不能访问文件系统。通过这种方式，如果该程序被攻击者利用，其访问权限显然是最小的。这种控制类型称为强制访问控制（MAC）。

另一种控制访问的方法是基于角色的访问控制（RBAC）。在 RBAC 中，权限是根据安全系统所授予的角色来提供的。角色的概念与传统的分组概念不同，因为一个分组代表一个或多个用户。一个角色可以代表多个用户，但它也代表一个用户集可以执行的权限。

SELinux 将 MAC 和 RBAC 都添加到了 GNU/Linux 操作系统中。下一节将探讨 SELinux 实现，以及如何将安全增强透明地添加到 Linux 内核中。

回页首

Linux 安全实现

在早期的 SELinux 中，它还是一个补丁集，它提供了自己的安全性框架。这存在着一些问题，因为它将 GNU/Linux 限制到一个单独的访问控制架构。Linux 内核继承了一种通用框架，将策略从实现中分离了出来，而不是采用单一的方法。该解决方案就是 Linux 安全模块（Linux Security Module，LSM）框架。LSM 提供了一种通用的安全框架，允许将安全模型实现为可载入内核模块（参见图 1）。

在访问内部对象之前对内核代码进行修改，以调用一个代表实施函数的钩子，该实施函数实现安全策略。该函数根据预定义的策略验证操作能否继续进行。安全函数存储在一个安全操作结构中，该结构包含必须受到保护的基本操作。例如，security_socket_create钩子（security_ops->socket_create）在创建新 socket 之前检查权限，并考虑协议集、类型、协议，以及 socket 是在内核中创建还是在用户空间中创建。清单 1 提供了 socket.c 中用于创建 socket 的示例代码（参见 ./linux/net/socket.c）。

                
static int __sock_create(int family, int type, int protocol, 
                          struct socket **res, int kern)
{
        int err;
        struct socket *sock;

        /*
         *      Check protocol is in range
         */
        if (family < 0 || family >= NPROTO)
                return -EAFNOSUPPORT;
        if (type < 0 || type >= SOCK_MAX)
                return -EINVAL;

        err = security_socket_create(family, type, protocol, kern);
        if (err)
                return err;

        ...

security_socket_create 函数在 ./linux/include/linux/security.h 中定义。它提供了从 security_socket_create 到 security_ops 结构中动态安装的函数的间接调用（参见清单 2）。

                
static inline int security_socket_create (int family, int type,
                                          int protocol, int kern)
{
        return security_ops->socket_create(family, type, protocol, kern);
}

security_ops 结构中的函数通过安全模块安装。在本例中，这些钩子在可载入的 SELinux 内核模块中定义。每个 SELinux 调用在 hooks 文件内部定义，该文件实现从内核函数到特定安全模块的动态调用的间接性（参见清单 3 中的 .../linux/security/selinux/hooks.c 代码）。

                
static int selinux_socket_create(int family, int type,
                                 int protocol, int kern)
{
        int err = 0;
        struct task_security_struct *tsec;

        if (kern)
                goto out;

        tsec = current->security;
        err = avc_has_perm(tsec->sid, tsec->sid,
                           socket_type_to_security_class(family, type,
                           protocol), SOCKET__CREATE, NULL);

out:
        return err;
}

清单 3 的核心部分是一个调用，用于验证当前操作是否是当前任务（通过 current->security 定义，其中 current 代表当前正在执行的任务）所允许的。访问向量缓存（Access Vector Cache，AVC）缓存了之前的 SELinux 决策（提高进程的性能）。此调用包括源安全标识符（sid）、安全类（根据请求操作的详细信息构造）、特定 socket 调用，以及可选的辅助审计数据。如果未在缓存中找到决策，那么会调用安全服务器来获取决策（此过程如图 2 所示）。

初始化到 security_ops 中的回调钩子被动态定义为一个可载入内核模块（通过 register_security()），但是在没有载入安全模块时，这些钩子包含伪桩（dummy stub）函数（参见 ./linux/security/dummy.c）。这些桩函数实现标准 Linux DAC 策略。始终存在回调钩子，其中必须提供对象中介（mediation）来保证安全性。这包括任务管理（创建、通知、等待）、程序载入（execve）、文件系统管理（超级块、inode、文件钩子）、IPC（消息队列、共享内存、信号量（semaphore）操作）、模块钩子（插入和删除）、网络钩子（覆盖 socket、netlink、网络设备和其他协议接口）。更多信息请参见 参考资料 小节或回顾 security.h 文件。

本文不打算讨论 SELinux 策略的管理，但您可以在 参考资料 小节找到关于 SELinux 配置的更多信息。

回页首

其他方法

SELinux 是目前最全面的安全框架之一，但它不是惟一的。本节回顾其他一些可用的方法。

AppArmor

AppArmor 最初由 Immunix 开发，随后由 Novell 维护，它是 SELinux 的替代方法，也使用了 Linux 安全模块（LSM）框架。由于 SELinux 和 AppArmor 使用了同样的框架，所以它们可以互换。AppArmor 的开发初衷是因为人们认为 SELinux 太过复杂，不适合普通用户管理。AppArmor 包含一个完全可配置的 MAC 模型和一个学习模式，在学习模式中，程序的典型行为可以转换为一个配置文件。

SELinux 的一个问题在于，它需要一个支持扩展属性的文件系统；而 AppArmor 对文件系统没有任何要求。您可以在 SUSE、OpenSUSE，以及 Ubuntu 的 Gutsy Gibbon 中找到 AppArmor。

Solaris 10（是受信任的 Solaris）

Solaris 10 操作系统通过其增强了安全性的 Trusted Extensions 组件提供了强制访问控制。该功能适用于 MAC 和 RBAC。Solaris 通过向所有对象添加敏感性标签实现了这一点，使您能够控制设备、文件、连网访问，甚至窗口管理服务。Solaris 10 中的 RBAC 的优点在于，它通过提供对管理任务（可在以后进行分配）的细粒度控制最小化了对根访问的需求。

TrustedBSD

TrustedBSD 是一个正在进行中的项目，主要开发可靠的操作系统扩展，这些扩展最终会加入 FreeBSD 操作系统。它包括构建在 Flux Advanced Security Kernel (Flask) 安全架构之上的强制访问控制，后者包括以插件模块形式提供的类型强制和多级安全（MLS）。TrustedBSD 还合并了来自 Apple Darwin 操作系统的开源 Basic Security Module (BSM) 审计实现（BSM 最初由 Sun 引入）。BSM 是一个审计 API 和文件格式，它支持普通的审计跟踪处理。TrustedBSD 还构成了供 Security Enhanced Darwin (SEDarwin) 使用的框架。

操作系统虚拟化

增强操作系统内部安全性的最后一个选择是操作系统虚拟化（也称为虚拟专用服务器（virtual private servers））。一个操作系统拥有多个独立的用户空间实例，可以实现功能分离。操作系统虚拟化对在独立用户空间内部运行的应用程序功能进行了限制。例如，一个用户空间实例也许不能修改内核（载入或移除内核模块），也不能挂载或卸载文件系统。并且不允许修改内核参数（例如，通过 proc 文件系统）。任何修改其他用户实例环境的操作都是不允许的。

许多操作系统都能实现操作系统虚拟化。GNU/Linux 支持 VServer、Parallels Viruozzo Container 和 OpenVZ。在其他操作系统中，您可以找到容器（Solaris）和 jail（BSD）。在 Linux-VServer 中，每个单独的用户空间实例称为一个安全上下文。在每个安全上下文中，会为专用服务器实例启动一个新的 init。关于操作系统虚拟化和其他虚拟化方法的更多信息，请参见 参考资料 一节。

回页首

结束语

对于 Linux 内核来说，强制访问控制和基于角色的访问控制都是相对较新的功能。随着 LSM 框架的引入，新的安全模块将会出现。除了对框架的增强，还可以堆叠安全模块，从而允许多个安全模块共存，而且最大限度地覆盖了 Linux 的安全需求。随着对操作系统安全性的深入研究，将会引入新的访问控制方法。关于 LSM 和 SELinux 中的功能的详细介绍，请查阅 参考资料 一节中的文章和论文。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文。
  
  
• 访问 NSA SELinux Web 站点，其中包含关于 SELinux 思想的大量信息。此站点提供了形成 SELinux 的相关项目的详细信息，以及与 SELinux 相关的有关安全性的大量技术论文和演示。
  
  
• 查阅 使用 SCTP 优化网络（developerWorks，2006 年 2 月），了解初始化保护的信息。TCP 存在一个已知的三向握手问题，允许拒绝服务攻击消耗资源和降低系统（外部连通性方面）性能。SCTP 使用四向握手解决了该问题。
  
  
• 在 Wikipedia 上可以找到对 访问控制方法 的优秀介绍，包括物理访问和计算机安全。您还会找到本文讨论的三种访问控制方法的详细信息，包括 自主访问控制、强制访问控制 和 基于角色的访问控制。 
  
  
• SELinux 依靠 Linux 安全模块框架 提供了标准内核调用中的强制调用。这篇 LSM 文章提供了关于 LSM 及其实现领域的大量细节。
  
  
• LSM Flask 安全架构 的部分实现，最初是为 Fluke 微内核操作系统开发的。您可以在犹他州大学的网站上了解 Flask、Flux 和 Fluke 的更多信息。 
  
  
• 阅读 使用 Linux 系统调用的内核命令（developerWorks，2007 年 3 月），了解 Linux 内核中的系统调用实现的更多信息。本文讨论了系统调用实现和如何向内核添加新的系统调用。在 Linux 内核剖析（developerWorks，2007 年 6 月）中也能了解到 Linux 及其架构的更多信息。 
  
  
• NSA 站点对 SELinux 策略配置 进行了出色的介绍，包括基本主题以及配置细节。策略管理是 SELinux 的最复杂部分之一，但幸运的是，存在大量文档和可操作的标准配置。Tresys Technology 在 SELinux Reference Policy 中提供了一个非常有用的页面，其中包含更多 SELinux 信息。
  
  
• AppArmor 是基于 LSM 的另一个安全模块。您会发现许多操作系统都支持 AppArmor，包括 openSUSE 和 Ubuntu。直到最近， Novell 还是其主要的开发者，但该公司最近解散了它的 AppArmor 人员。 
  
  
• 在 architectural overview of Solaris Trusted 中，可以找到 Extensions（Solaris 10 操作系统的一部分）的更多信息。此论文提供了 Solaris 的安全增强方法的实用介绍。在 Solaris Trusted Extensions 页面 上还有更多信息。 
  
  
• TrustedBSD 的许多目标与 SELinux 相同，还有一些特定的设计元素（比如 Flask 安全架构）。TrustedBSD 实现也与Security Enhanced Darwin 操作系统相同。
  
  
• 查阅 虚拟 Linux（developerWorks，2006 年 12 月），回顾虚拟化方法，包括操作系统虚拟化。本文介绍了虚拟化的各种方法及其历史。Wikipedia 上也有一个关于 操作系统虚拟化 的介绍，包括各种实现的比较。
  
  
• 在 developerWorks Linux 专区 查找面向 Linux 开发人员的更多资源，浏览 最流行的文章和教程。 
  
  
• 在 developerWorks 上查看所有 Linux 技巧 和 Linux 教程。 
  
  
• 随时关注 developerWorks 技术活动和网络广播。 
  
  

获得产品和技术

• 订购 SEK for Linux，共含两张 DVD，包含来自 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere® 的最新的 IBM Linux 试用软件。 
  
  
• 使用 IBM 试用软件 构建您的下一个 Linux 开发项目，可直接从 developerworks 下载获得。 
  
  

讨论

• 通过 全新的 developerWorks 空间 中的博客、论坛、podcast 和社区主题加入 developerWorks 社区。 
  
  

关于作者

M. Tim Jones 是一名嵌入式软件工程师，他是 GNU/Linux Application Programming、AI Application Programming以及 BSD Sockets Programming from a Multilanguage Perspective 等书的作者。他的工程背景非常广泛，从同步宇宙飞船的内核开发到嵌入式架构设计，再到网络协议的开发。Tim 是位于科罗拉多州 Longmont 的 Emulex Corp. 的一名顾问工程师。

固态驱动器当前非常流行，但是嵌入式系统很久以前就开始使用固态驱动器进行存储。您可以看到 flash 系统被用于个人数字助理（PDA）、手机、MP3 播放器、数码相机、USB flash 驱动（UFD），甚至笔记本电脑。 很多情况下，商业设备的文件系统可以进行定制并且是专有的，但是它们会遇到以下挑战。

基于 Flash 的文件系统形式多种多样。本文将探讨几种只读文件系统，并回顾目前可用的各种读/写文件系统及其工作原理。但是，让我们先看看 flash 设备及其所面对的挑战。

Flash 内存技术

Flash 内存（可以通过几种不同的技术实现）是一种非挥发性内存，这意味着断开电源之后其内容仍然保持下来。要了解 flash 内存的辉煌历史，请参阅 参考资料。

两种最常见的 flash 设备类型为：NOR 和 NAND。基于 NOR 的 flash 技术比较早，它支持较高的读性能，但以降低容量为代价。NAND flash 提供更大容量的同时实现快速的写擦性能。NAND 还需要更复杂的输入/输出（I/O）接口。

Flash 部件通常分为多个分区，允许同时进行多个操作（擦除某个分区的同时读取另一个分区）。分区再划分为块（通常大小为 64KB 或 128KB）。使用分区的固件可以进一步对块进行独特的分段 — 例如，一个块中有 512 字节的分段，但不包括元数据。

Flash 设备有一个常见的限制，即与其他存储设备（如 RAM 磁盘）相比，它需要进行设备管理。flash 内存设备中惟一允许的 Write 操作是将 1 修改为 0。如果需要撤销操作，那么必须擦除整个块（将所有数据重置回状态 1）。这意味着必须删除该块中的其他有效数据来实现持久化。NOR flash 内存通常一次可以编写一个字节，而 NAND flash 内存必须编写多个字节（通常为 512 字节）。

这两种内存类型在擦除块方面有所不同。每种类型都需要一个特殊的 Erase 操作，该操作可以涵盖 flash 内存中的一个整块。NOR 技术需要通过一个准备步骤将所有值清零，然后再开始 Erase 操作。Erase 是针对 flash 设备的特殊操作，非常耗费时间。擦除操作与电有关，它将整个块的所有单元中的电子放掉。

NOR flash 设备通常需要花费几秒时间来执行 Erase 操作，而 NAND 设备只需要几毫秒。flash 设备的一个关键特性是可执行的 Erase 操作的数量。在 NOR 设备中，flash 内存中的每个块可被擦除 100,000 次，而在 NAND flash 内存中可达到一百万次。

回页首

Flash 内存面临的挑战

除了前面提到的一些限制以外，管理 flash 设备还面临很多挑战。三个最重大的挑战分别是垃圾收集、管理坏块和平均读写。

垃圾收集

垃圾收集 是一个回收无效块的过程（无效块中包含了一些无效数据）。回收过程包括将有效数据移动到新块，然后擦除无效块从而使它变为可用。如果文件系统的可用空间较少，那么通常将在后台执行这一过程（或者根据需要执行）。

管理坏块

用的时间长了，flash 设备就会出现坏块，甚至在出厂时就会因出现坏块而不能使用。如果 flash 操作（例如 Erase）失败，或者 Write 操作无效（通过无效的错误校正代码发现，Error Correction Code，ECC），那么说明出现了坏块。

识别出坏块后，将在 flash 内部将这些坏块标记到一个坏块表中。具体操作取决于设备，但是可以通过一组独立的预留块来（不同于普通数据块管理）实现。对坏块进行处理的过程 — 不管是出厂时就有还是在使用过程中出现 — 称为坏块管理。在某些情况下，可以通过一个内部微控制器在硬件中实现，因此对于上层文件系统是透明的。

平均读写

前面提到 flash 设备属于耗损品：在变成坏块以前，可以执行有限次数的反复的 Erase 操作（因此必须由坏块管理进行标记）。平均读写算法能够最大化 flash 的寿命。平均读写有两种形式：动态平均读写 和静态平均读写 。

动态平均读写解决了块的 Erase 周期的次数限制。动态平均读写算法并不是随机使用可用的块，而是平均使用块，因此，每个块都获得了相同的使用机会。静态平均读写算法解决了一个更有趣的问题。除了最大化 Erase 周期的次数外，某些 flash 设备在两个 Erase 周期之间还受到最大化 Read 周期的影响。这意味着如果数据在块中存储的时间太长并且被读了很多次，数据会逐渐消耗直至丢失。静态平均读写算法解决了这一问题，因为它可以定期将数据移动到新块。

回页首

系统架构

到目前为止，我已经讨论了 flash 设备及其面临的基本挑战。现在，让我们看看这些设备如何组合成为一个分层架构的一部分（参加图 1）。架构的顶层是虚拟文件系统（VFS），它为高级应用程序提供通用接口。VFS 下面是 flash 文件系统（将在下节介绍）。接下来是 Flash 转换层（Flash Translation Layer，FTL），它整体管理 flash 设备，包括从底层 flash 设备分配块、地址转换、动态平均读写和垃圾收集。在某些 flash 设备中，可以在硬件中实现一部分 FTL 。

Linux 内核使用内存技术设备（Memory Technology Device，MTD）接口，这是针对 flash 系统的通用接口。MTD 可以自动检测 flash 设备总线的宽度以及实现总线宽度所需设备的数量。

回页首

Flash 文件系统

Linux 可以使用多种 flash 文件系统。下一小节将解释每种文件系统的设计和优点。

Journaling Flash File System

Journaling Flash File System 是针对 Linux 的最早 flash 文件系统之一。 JFFS 是一种专门为 NOR flash 设备设计的日志结构文件系统。它非常独特，能够解决许多 flash 设备问题，但同时也导致一些新问题。

JFFS 将 flash 设备视为一种循环的块日志。写入 flash 的数据被写到了空间的末尾，开始部分的块则被收回，而两者之间的空间是空闲的；当空间变少时，将执行垃圾收集。垃圾收集器将有效块移动到日志的尾部，跳过无效或废弃块，并擦除它们（参见图 2）。因此这种文件系统可以自动实现静态和动态平均读写。这种架构的主要缺点是过于频繁地执行擦除操作（而没有使用最佳擦除策略），从而使设备迅速磨损。

挂载 JFFS 时结构细节将读取到内存中，这将延缓挂载时间并消耗更多的内存。

Journaling Flash File System 2

尽管 JFFS 在早期非常有用，但是它的平均读写算法容易缩短 NOR flash 设备的寿命。因此重新设计了底层算法，去掉了循环日志。JFFS2 算法专门为 NAND flash 设备设计，并且改善压缩性能。

在 JFFS2 中，flash 中的每个块都是单独处理的。JFFS2 通过维护块列表来充分地对设备执行平均读写。clean 列表表示设备中的块全部为有效节点。dirty 列表中的块至少包含有一个废弃节点。最后，free 列表包含曾经执行过擦除操作并且可以使用的块。

垃圾收集算法通过合理的方法智能地判断应该回收的块。目前，这个算法根据概率从 clean 或 dirty 列表中选择。dirty 列表的选择概率为 99%（将有效内容移到另一个块），而 clean 列表的选择概率为 1%（将内容移到新的块）。在这两种情况中，对选择的块执行擦除操作，然后将其置于 free 列表（参见图 3）。这允许垃圾收集器重用废弃的块，但是仍然围绕 flash 移动数据，以支持静态平均读写。

Yet Another Flash File System

YAFFS 是针对 NAND flash 开发的另一种 flash 文件系统。最早的版本（YAFFS）支持 512 字节页面的 flash 设备，但是较新的版本（YAFFS2）支持页面更大的新设备以及更大的 Write 限制。

大多数 flash 文件系统会对废弃块进行标记，但是 YAFFS2 使用单调递增数字序列号额外地标记块。在挂载期间扫描文件系统时，可以快速标识有效的 inode。YAFFS 保留在 RAM 中的树以表示 flash 设备的块结构，包括通过检查点（checkpointing）实现快速挂载 — 这个过程将在正常卸载时将 RAM 树结构保存到 flash 设备，以在挂载时快速读取和恢复到 RAM（参见图 4）。与其他 flash 文件系统相比，YAFFS2 的挂载时性能是它的最大优势。

回页首

只读式压缩文件系统

在某些嵌入式系统中，没有必要提供可更改的文件系统：一个不可更改（immutable）的文件系统已经足够。Linux 支持多种只读文件系统，最有用的两种是 cramfs 和 SquashFS。

Cramfs

cramfs 文件系统是一种可用于 flash 设备的压缩式 Linux 只读文件系统。cramfs 的主要特点是简单和较高的空间利用率。这种文件系统用于内存占用较小的嵌入式设计。

虽然 cramfs 元数据没有经过压缩，但是 cramfs 针对每个页面使用 zlib 压缩，从而允许随机的页面访问（访问时对页面进行解压缩）。

您可以通过 mkcramfs 实用工具和 loopback 设备尝试使用 cramfs。

SquashFS

SquashFS 是另一种可用于 flash 设备的压缩式 Linux 只读文件系统。您可以在很多 Live CD Linux 发行版中找到 SquashFS。除了支持 zlib 压缩外，SquashFS 还使用 Lembel-Ziv-Markov chain Algorithm (LZMA) 改善压缩并提高速度。

和 cramfs 一样，您可以通过 mksquashfs 和 loopback 设备在标准 Linux 系统上使用 SquashFS。

回页首

结束语

和大多数开放源码一样，软件在不断演变，并且新的 flash 文件系统正在开发之中。一种还处于开发阶段的有趣的备选文件系统是 LogFS，它包含了一些非常新颖的想法。例如，LogFS 在 flash 设备中保持了一个树结构，因此挂载时间和传统的文件系统差不多（比如 ext2）。它还使用一种复杂的树实现垃圾收集（一种 B+树形式）。然而，LogFS 最有趣的地方是它具有出色的可伸缩性并且支持大型 flash 部件。

随着 flash 文件系统的日益流行，您将看到针对它们的大量研究。LogFS 就是一个例子，但是其他类似于 UbiFS 的文件系统也在不断发展。Flash 文件系统的架构非常有趣，并在还将是未来技术创新的源泉。

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文。
  
  
• 查看 Wikipedia 中的 overview of flash 内存技术概述 和 文件系统列表，包括基于磁盘的文件系统、分布式文件系统和特殊用途的文件系统（包括固态介质文件系统）。 
  
  
• 了解更多关于 NAND vs. NOR flash 技术 的信息。 
  
  
• Tim 撰写的 “Linux 文件系统剖析”（developerWorks，2007 年 10 月）介绍了 VFS 及其主要结构和架构。同时还介绍了文件系统并演示了 Linux 如何同时支持多种文件系统。 
  
  
• 了解 JFFS 及其后继者 JFFS2（PDF 文件）如何使用各种方法进行 flash 设备管理。 
  
  
• 比较 YAFFS 和其他流行的 flash 文件系统。 
  
  
• LogFS 和 UbiFS 是两种新的 flash 文件系统，可以解决与目前的 flash 文件系统有关的众多问题。 
  
  
• MTD 是针对内存设备的通用子系统，例如 flash 部件。它提供了底层硬件驱动器和上层文件系统之间的通用接口。 
  
  
• Cramfs 和 SquashFS 是针对 Linux 的压缩式只读文件系统。两者都是为内存受限的嵌入式系统而设计，但是 SquashFS 也可用于 Live CD 发行版中。有时，它们也可以用于 UnionFS，实现了文件系统的联合挂载（文件系统互相叠加）。SquashFS 使用 LZMA 和 一组补丁，因此提供了较好的压缩功能和性能。
  
  
• 阅读 developerWorks 上 Tim 所著的剖析…… 系列文章。
  
  
• 在 developerWorks Linux 专区 中，查找更多面向 Linux 开发人员的参考资料，并浏览我们的 最受欢迎的文章和教程。 
  
  
• 查看 developerWorks 上所有 Linux 技巧 和 Linux 教程。 
  
  
• 随时关注 developerWorks 技术活动和网络广播。
  
  

获得产品和技术

• 订购 SEK for Linux，共包含两张 DVD，其中有用于 Linux 的最新 IBM 试用软件，包括 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere®。
  
  
• 使用可直接从 developerWorks 下载的 IBM 试用软件 构建您的下一个 Linux 开发项目。 
  
  

讨论

• 通过 新的 developerWorks 空间 中的博客、论坛、podcast 和社区主题加入 developerWorks 社区。
  
  

关于作者

M. Tim Jones 是一名嵌入式软件工程师，他是 GNU/Linux Application Programming、AI Application Programming以及 BSD Sockets Programming from a Multilanguage Perspective 等书的作者。他的工程背景非常广泛，从同步宇宙飞船的内核开发到嵌入式架构设计，再到网络协议的开发。Tim 是位于科罗拉多州 Longmont 的 Emulex Corp. 的一名顾问工程师。

基本的文件系统体系结构

Linux 文件系统体系结构是一个对复杂系统进行抽象化的有趣例子。通过使用一组通用的 API 函数，Linux 可以在许多种存储设备上支持许多种文件系统。例如，read 函数调用可以从指定的文件描述符读取一定数量的字节。read 函数不了解文件系统的类型，比如 ext3 或 NFS。它也不了解文件系统所在的存储媒体，比如 AT Attachment Packet Interface（ATAPI）磁盘、Serial-Attached SCSI（SAS）磁盘或 Serial Advanced Technology Attachment（SATA）磁盘。但是，当通过调用 read 函数读取一个文件时，数据会正常返回。本文讲解这个机制的实现方法并介绍 Linux 文件系统层的主要结构。

回页首

什么是文件系统？

首先回答最常见的问题，“什么是文件系统”。文件系统是对一个存储设备上的数据和元数据进行组织的机制。由于定义如此宽泛，支持它的代码会很有意思。正如前面提到的，有许多种文件系统和媒体。由于存在这么多类型，可以预料到 Linux 文件系统接口实现为分层的体系结构，从而将用户接口层、文件系统实现和操作存储设备的驱动程序分隔开。

挂装

在 Linux 中将一个文件系统与一个存储设备关联起来的过程称为挂装（mount）。使用 mount 命令将一个文件系统附着到当前文件系统层次结构中（根）。在执行挂装时，要提供文件系统类型、文件系统和一个挂装点。

为了说明 Linux 文件系统层的功能（以及挂装的方法），我们在当前文件系统的一个文件中创建一个文件系统。实现的方法是，首先用 dd 命令创建一个指定大小的文件（使用 /dev/zero 作为源进行文件复制）—— 换句话说，一个用零进行初始化的文件，见清单 1。

                
$ dd if=/dev/zero of=file.img bs=1k count=10000
10000+0 records in
10000+0 records out
$

现在有了一个 10MB 的 file.img 文件。使用 losetup 命令将一个循环设备与这个文件关联起来，让它看起来像一个块设备，而不是文件系统中的常规文件：

$ losetup /dev/loop0 file.img
$

这个文件现在作为一个块设备出现（由 /dev/loop0 表示）。然后用 mke2fs 在这个设备上创建一个文件系统。这个命令创建一个指定大小的新的 ext2 文件系统，见清单 2。

                
$ mke2fs -c /dev/loop0 10000
mke2fs 1.35 (28-Feb-2004)
max_blocks 1024000, rsv_groups = 1250, rsv_gdb = 39
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
2512 inodes, 10000 blocks
500 blocks (5.00%) reserved for the super user
...
$

使用 mount 命令将循环设备（/dev/loop0）所表示的 file.img 文件挂装到挂装点 /mnt/point1。注意，文件系统类型指定为 ext2。挂装之后，就可以将这个挂装点当作一个新的文件系统，比如使用 ls 命令，见清单 3。

                
$ mkdir /mnt/point1
$ mount -t ext2 /dev/loop0 /mnt/point1
$ ls /mnt/point1
lost+found
$

如清单 4 所示，还可以继续这个过程：在刚才挂装的文件系统中创建一个新文件，将它与一个循环设备关联起来，再在上面创建另一个文件系统。

                
$ dd if=/dev/zero of=/mnt/point1/file.img bs=1k count=1000
1000+0 records in
1000+0 records out
$ losetup /dev/loop1 /mnt/point1/file.img
$ mke2fs -c /dev/loop1 1000
mke2fs 1.35 (28-Feb-2004)
max_blocks 1024000, rsv_groups = 125, rsv_gdb = 3
Filesystem label=
...
$ mkdir /mnt/point2
$ mount -t ext2 /dev/loop1 /mnt/point2
$ ls /mnt/point2
lost+found
$ ls /mnt/point1
file.img lost+found
$

通过这个简单的演示很容易体会到 Linux 文件系统（和循环设备）是多么强大。可以按照相同的方法在文件上用循环设备创建加密的文件系统。可以在需要时使用循环设备临时挂装文件，这有助于保护数据。

回页首

文件系统体系结构

既然已经看到了文件系统的构造方法，现在就看看 Linux 文件系统层的体系结构。本文从两个角度考察 Linux 文件系统。首先采用高层体系结构的角度。然后进行深层次讨论，介绍实现文件系统层的主要结构。

回页首

高层体系结构

尽管大多数文件系统代码在内核中（后面讨论的用户空间文件系统除外），但是图 1 所示的体系结构显示了用户空间和内核中与文件系统相关的主要组件之间的关系。

用户空间包含一些应用程序（例如，文件系统的使用者）和 GNU C 库（glibc），它们为文件系统调用（打开、读取、写和关闭）提供用户接口。系统调用接口的作用就像是交换器，它将系统调用从用户空间发送到内核空间中的适当端点。

VFS 是底层文件系统的主要接口。这个组件导出一组接口，然后将它们抽象到各个文件系统，各个文件系统的行为可能差异很大。有两个针对文件系统对象的缓存（inode 和 dentry）。它们缓存最近使用过的文件系统对象。

每个文件系统实现（比如 ext2、JFS 等等）导出一组通用接口，供 VFS 使用。缓冲区缓存会缓存文件系统和相关块设备之间的请求。例如，对底层设备驱动程序的读写请求会通过缓冲区缓存来传递。这就允许在其中缓存请求，减少访问物理设备的次数，加快访问速度。以最近使用（LRU）列表的形式管理缓冲区缓存。注意，可以使用 sync 命令将缓冲区缓存中的请求发送到存储媒体（迫使所有未写的数据发送到设备驱动程序，进而发送到存储设备）。

这就是 VFS 和文件系统组件的高层情况。现在，讨论实现这个子系统的主要结构。

主要结构

Linux 以一组通用对象的角度看待所有文件系统。这些对象是超级块（superblock）、inode、dentry 和文件。超级块在每个文件系统的根上，超级块描述和维护文件系统的状态。文件系统中管理的每个对象（文件或目录）在 Linux 中表示为一个 inode。inode 包含管理文件系统中的对象所需的所有元数据（包括可以在对象上执行的操作）。另一组结构称为 dentry，它们用来实现名称和 inode 之间的映射，有一个目录缓存用来保存最近使用的 dentry。dentry 还维护目录和文件之间的关系，从而支持在文件系统中移动。最后，VFS 文件表示一个打开的文件（保存打开的文件的状态，比如写偏移量等等）。

虚拟文件系统层

VFS 作为文件系统接口的根层。VFS 记录当前支持的文件系统以及当前挂装的文件系统。

可以使用一组注册函数在 Linux 中动态地添加或删除文件系统。内核保存当前支持的文件系统的列表，可以通过 /proc 文件系统在用户空间中查看这个列表。这个虚拟文件还显示当前与这些文件系统相关联的设备。在 Linux 中添加新文件系统的方法是调用register_filesystem。这个函数的参数定义一个文件系统结构（file_system_type）的引用，这个结构定义文件系统的名称、一组属性和两个超级块函数。也可以注销文件系统。

在注册新的文件系统时，会把这个文件系统和它的相关信息添加到 file_systems 列表中（见图 2 和 linux/include/linux/mount.h）。这个列表定义可以支持的文件系统。在命令行上输入 cat /proc/filesystems，就可以查看这个列表。

VFS 中维护的另一个结构是挂装的文件系统（见图 3）。这个结构提供当前挂装的文件系统（见 linux/include/linux/fs.h）。它链接下面讨论的超级块结构。

超级块

超级块结构表示一个文件系统。它包含管理文件系统所需的信息，包括文件系统名称（比如 ext2）、文件系统的大小和状态、块设备的引用和元数据信息（比如空闲列表等等）。超级块通常存储在存储媒体上，但是如果超级块不存在，也可以实时创建它。可以在 ./linux/include/linux/fs.h 中找到超级块结构（见图 4）。

超级块中的一个重要元素是超级块操作的定义。这个结构定义一组用来管理这个文件系统中的 inode 的函数。例如，可以用alloc_inode 分配 inode，用 destroy_inode 删除 inode。可以用 read_inode 和 write_inode 读写 inode，用 sync_fs 执行文件系统同步。可以在 ./linux/include/linux/fs.h 中找到 super_operations 结构。每个文件系统提供自己的 inode 方法，这些方法实现操作并向 VFS 层提供通用的抽象。

inode 和 dentry

inode 表示文件系统中的一个对象，它具有惟一标识符。各个文件系统提供将文件名映射为惟一 inode 标识符和 inode 引用的方法。图 5 显示 inode 结构的一部分以及两个相关结构。请特别注意 inode_operations 和 file_operations。这些结构表示可以在这个 inode 上执行的操作。inode_operations 定义直接在 inode 上执行的操作，而 file_operations 定义与文件和目录相关的方法（标准系统调用）。

inode 和目录缓存分别保存最近使用的 inode 和 dentry。注意，对于 inode 缓存中的每个 inode，在目录缓存中都有一个对应的 dentry。可以在 ./linux/include/linux/fs.h 中找到 inode 和 dentry 结构。

缓冲区缓存

除了各个文件系统实现（可以在 ./linux/fs 中找到）之外，文件系统层的底部是缓冲区缓存。这个组件跟踪来自文件系统实现和物理设备（通过设备驱动程序）的读写请求。为了提高效率，Linux 对请求进行缓存，避免将所有请求发送到物理设备。缓存中缓存最近使用的缓冲区（页面），这些缓冲区可以快速提供给各个文件系统。

回页首

有趣的文件系统

本文没有讨论 Linux 中可用的具体文件系统，但是值得在这里稍微提一下。Linux 支持许多种文件系统，包括 MINIX、MS-DOS 和 ext2 等老式文件系统。Linux 还支持 ext3、JFS 和 ReiserFS 等新的日志型文件系统。另外，Linux 支持加密文件系统（比如 CFS）和虚拟文件系统（比如 /proc）。

最后一种值得注意的文件系统是 Filesystem in Userspace（FUSE）。这种文件系统可以将文件系统请求通过 VFS 发送回用户空间。所以，如果您有兴趣创建自己的文件系统，那么通过使用 FUSE 进行开发是一种不错的方法。

回页首