在宿主機(jī)（L0）的 KVM 環(huán)境中，監(jiān)聽一個(gè)虛擬機(jī)（L1）內(nèi)部的 VT-x 環(huán)境中，另一個(gè)虛擬機(jī)（L2）產(chǎn)生的 VM-Exit 事件。

簡而言之，KVM 已經(jīng)可以實(shí)現(xiàn)這種級別的監(jiān)聽和攔截，但不是像你在 L1 里直接看到的那樣。 這是因?yàn)樵谇短滋摂M化中，所有的硬件操作最終都會被 L0 宿主機(jī)捕獲和處理。

嵌套虛擬化中的 VM-Exit 流程

理解這個(gè)過程的關(guān)鍵在于三個(gè)層次：

• L0 (Level 0)：物理宿主機(jī)，運(yùn)行 KVM 內(nèi)核模塊和 QEMU。這是真正的硬件層。
• L1 (Level 1)：KVM 虛擬機(jī)，它內(nèi)部又運(yùn)行著一個(gè) hypervisor（例如另一個(gè) KVM）。
• L2 (Level 2)：L1 虛擬機(jī)內(nèi)部運(yùn)行的虛擬機(jī)。

當(dāng) L2 虛擬機(jī)執(zhí)行一個(gè)特權(quán)指令（比如 VMLAUNCH、VMRESUME 或其他會導(dǎo)致 VM-Exit 的操作）時(shí)，它會觸發(fā)一個(gè) VM-Exit。這個(gè)事件不會直接被 L1 的 hypervisor 捕獲，而是會直接上報(bào)給最底層的 L0 宿主機(jī)。

這是因?yàn)?L0 宿主機(jī)在啟用嵌套虛擬化時(shí)，會配置特殊的 VMCS (Virtual Machine Control Structure) 和 EPT (Extended Page Table)，來處理這種多層次的虛擬化。

L0 宿主機(jī)捕獲到 L2 的 VM-Exit 后，會執(zhí)行以下兩種操作之一：

1. 直接處理：對于一些簡單的、對 L1 透明的事件（如 EPT 違規(guī)），L0 宿主機(jī)可能會直接處理，然后讓 L2 虛擬機(jī)恢復(fù)運(yùn)行。這可以減少性能開銷。
2. “注入”回 L1：對于 L2 hypervisor（即 L1）需要處理的事件，L0 宿主機(jī)不會直接處理，而是會“注入”一個(gè) “虛擬 VM-Exit” 給 L1 虛擬機(jī)。這就像是告訴 L1：“你的一個(gè) L2 虛擬機(jī)退出了，現(xiàn)在該你來處理了。” L1 虛擬機(jī)收到這個(gè)虛擬 VM-Exit 后，會像處理自己虛擬機(jī)（L2）的 VM-Exit 一樣來處理它。

如何監(jiān)聽和攔截 L2 的 VM-Exit

既然所有 L2 的 VM-Exit 最終都會經(jīng)過 L0 宿主機(jī)，那么監(jiān)聽和攔截的切入點(diǎn)自然就在 L0 宿主機(jī)上。

如果你想實(shí)現(xiàn)這個(gè)目標(biāo)，通常有以下幾種方式：

• 修改 KVM 內(nèi)核模塊：這是最底層、最徹底的方法。你可以修改 KVM 的源代碼，在處理 VM-Exit 的函數(shù)中添加自己的邏輯。例如，你可以打印出 VM-Exit 的原因（Exit Reason），或者在某些特定事件發(fā)生時(shí)執(zhí)行自定義的操作。但這需要深入了解 KVM 的內(nèi)部工作機(jī)制，并且需要重新編譯內(nèi)核。
• 使用 KVM API 和工具：KVM 提供了一套用戶空間 API (ioctl)，允許應(yīng)用程序（如 QEMU）與 KVM 內(nèi)核模塊交互。你可以開發(fā)一個(gè)特殊的應(yīng)用程序，通過這些 API 來查詢和監(jiān)聽 VM-Exit 事件。一些專門用于虛擬機(jī)內(nèi)省（VM-Introspection）的框架，比如 KVM-VMI，就是利用這些 API 來實(shí)現(xiàn)的。
• eBPF (Extended Berkeley Packet Filter)：這是一種在 Linux 內(nèi)核中運(yùn)行程序的強(qiáng)大技術(shù)。你可以編寫一個(gè) eBPF 程序，將其掛載到 KVM 相關(guān)的內(nèi)核函數(shù)上。當(dāng) VM-Exit 發(fā)生時(shí)，eBPF 程序會被觸發(fā)，從而可以在不修改內(nèi)核代碼的情況下，實(shí)現(xiàn)對事件的監(jiān)控和分析。這是一種更現(xiàn)代、更靈活的方案。

總結(jié)

KVM 可以監(jiān)控虛擬機(jī)（L1）內(nèi)部的 VT-x 環(huán)境中，另一個(gè)虛擬機(jī)（L2）產(chǎn)生的 VM-Exit 事件。但這個(gè)監(jiān)控是在 L0 宿主機(jī)層面完成的，而不是在 L1 虛擬機(jī)內(nèi)部。

如果你想監(jiān)聽這些事件，你需要從 L0 宿主機(jī)的角度去著手，通過修改 KVM 代碼、使用 KVM API 或 eBPF 等工具來實(shí)現(xiàn)。這種機(jī)制也正是嵌套虛擬化能夠正常工作的基礎(chǔ)，因?yàn)樗ＷC了所有特權(quán)操作最終都由物理 CPU 直接處理。