弹性云服务器 ECS-Hypervisor安全:CPU隔离
时间:2025-05-08 10:22:43
下载弹性云服务器 ECS用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
CPU隔离
x86架构为了保护指令的运行,提供了指令的4个不同特权级别,术语称为Ring,优先级从高到低依次为:
- Ring 0:被用于运行操作系统内核。
- Ring 1:用于操作系统服务。
- Ring 2:用于特权代码(具有I/O访问权限的用户程序)。
- Ring 3:用于应用程序。
各个级别对可以运行的指令进行限制:
- Hypervisor运行在Ring0。
- 虚拟机操作系统运行在Ring 1,有效地防止了虚拟机Guest OS直接执行所有特权指令。
- 应用程序运行在Ring 3上,保证了操作系统与应用程序之间的隔离。
CPU硬件辅助虚拟化的引入进一步实现了Hypervisor和虚拟机操作系统运行模式的深度隔离。
support.huaweicloud.com/productdesc-ecs/ecs_01_0070.html
