Intel Linux 内核测试套件-LKVS介绍 | 龙蜥大讲堂104期
内容介绍
一、LKVS是什么
二、怎么使用LKVS
三、LKVS测试范围
四、典型案例
五、LKVS的优势
在《Intel Linux 内核测试套件-LKVS介绍》会议中,本次分享的主题是Linux内核测试套件。
本次课程将围绕四个方面展开。
具体介绍套件的内容,如何使用套件,测试范围是怎样的,以及两个典型的案例。
英特尔kernel team在中国存在将近二十年,并有很多积累,如开发的代码,Patch等,最终会进入upstream或客户的wrapper。对于测试的一些代码,虽然很专业,可能没有机会进入到Linux的文件,但是有小部分可能会,但是没有办法收入这么多的测试,所以大多数的测试代码,都是被雪藏掉了,因此我们决定要开源它,至少可以把测试代码提供给客户,可以给客户带来一些价值,所以在去年十月份创建了第一个开源。
今年5月份在GitHub上,加入了龙栖的社区,并在Intel的sake里,创建了龙栖社区的镜像。同年九月份,收到了阿里云的TD instance的邀请测试,很快的发现了一些比较critical的问题,并在一个多月左右解决这些问题,直到今天已经集成到了龙栖社区的CICD系统里。
一、LKVS是什么
LKVS可以用三个简单的词来概括,分别是轻量级、低耦合和高代码覆盖的测试创建,截至目前已经有六百多个test case。LKVS覆盖了二十多个硬件和内核的属性和方法,并且跟三家国内外的社区合作。LKVS的增长曲线如下图所示:
LKVS的开发伴随着内核code的开发,并且它与硬件的发布同时进行的,所以在SPI时进行了一段时间的维护,因为今天发布了Emory rapid,所以曲线会有一个比较高的增长。
二、LKVS如何使用
龙栖的社区里边有镜像,wrapper的主站就是GitHub,LKVS中有很多项目需要翻译并且运行,在这个编辑项目中是比较难的,因此我们都是通过用户对哪一个属性感兴趣进行推荐的。刚提到多次的TDX,用户需要知道自己需要测试哪一个feature,并在这个编辑项目中找到对应的feature测试代码进行编译运行。
三、LKVS测试覆盖范围
按照测试范围来划分,在此列出的所有的二十个测试,其中包括的三个方面,CPU,Power,Security。第一点CPU,这一方面包括最多的是AX、AMX,这种feature归在XSAVE和XSTATE中。CPU topology这一类的feature归于in-filed scan中。第二点Power,对于一些企业来说,他们购买某一个power feature可以帮他们节省很多成本。其中包括PState SST RAPL,这三种feature也能帮他们节省一些成本。第三点Security,其中包括大家最关心的TDX和CET,这两个feature作为热点属性。
四、典型案例
TDX的全称是英特尔trust domain extension,英特尔说的基于硬件隔离的可信计算,是为了防止数据和应用被非法访问,但现在很多云厂商宣称自己支持TDX以及支持可信计算,比如说浪潮以及阿里,那我们该如何证实他的guest的真实可信计算呢?我们可以通过测试套件来测试它们,测试套件原理大概是会在TD中通过使用内核模块,然后进行一些敏感指令或者操作,比如CPUID和MXR以及AR这种敏感指令的操作。
在这个测试套件中列举了所有TDX里边所有的可信计算的约定,就是通过这个方式让我们在十月份阿里发布的TD instance之前breath的时候测试中立了大功,我们通过上面这种方式和阿里的工程师一起抓到其中严重的bug,并找到了其中的问题根源在哪。
另一个比较热点的测试就是CET,他的全称是control flow enhancement technology。CET就是控制流增强技术,他包括两个组件,一个是shadow stack,另一个是IBT(Indirect Branch Tracking)。shadow stack是防止ROP(Return Oriented programming)攻击,他是黑客通过骇客return指令对系统进行了攻击,并拿到一些非法访问的数据;
IBT是为了防止JOP(Jump Oriented Programming)攻击,他是骇客通过计算机跳转,然后进行的攻击,所以套件里边对于这种测试,实际上是实现了这两种测试的模拟代码,也就是攻击代码CET中的属性之后,对此攻击的预防测试,整个的测试套件非常深入并没有敷于表面,阿里的黑客少年在组内是标配,黑客少年,黑客少男和黑客少女都是在我们组的标配。
五、LKVS的优势
我们的套件优势在于他是最新的测试,测试套件是随着内核的function以及硬件的发布而一起发布的。所以当我们看到硬件发布的时候,测试套件的最新套件同时也发布了测试套件最新的方法和属性。高代码覆盖,代码覆盖率很高,它并没有敷于表面,而是更广泛一点。另外轻量级的框架和低耦合代码,实际上是已经集成到了多个社区CICD里,包括龙栖。
在集成的过程中,发现这轻量级和低耦合是非常关键,这两点可以让我们花更少的精力,也可以轻易的把测试套件放到他们的自动化的测试框架里边去,当然也得益于社区CICD小伙伴们的支持。现在如果在社区里提交内核代码,是有可能触发这种测试。这个套件希望可以多接触到一些线下,和云厂商合作,云厂商的底座操作系统可以通过测试套件验证一下厂商的产品。
