在 1.3 节中,我们拆解了计算机的硬件骨架(总线、I/O、主存、处理器);在 1.4 节中,我们展望了异构计算(GPU、FPGA)如何打破传统算力的边界。
今天,我们要进入 section 1.5。我们要探讨的是计算机科学中最伟大、最核心,甚至可以说具有哲学意味的概念——抽象(Abstraction)。
如果你理解了底层硬件的“笨拙”和“繁琐”,你就会明白:如果没有操作系统(Operating System, OS)提供的抽象,编写软件将是一场噩梦。
第一部分:核心定义的哲学——“由于复杂,所以撒谎”
计算机科学中有一句名言:“计算机科学中的任何问题,都可以通过增加一个中间层(Indirection)来解决。”
操作系统就是硬件和应用程序之间那个巨大的“中间层”。它的核心任务是通过三个关键的抽象来“欺骗”应用程序,让它们活在一个简单、完美的世界里。
抽象1:文件
假象:应用程序看到一个线性的、可持久化的、结构化的字节序列。
现实:底层是磁盘上分散的、易失的、原始的物理块(sectors)。
硬件支持:
磁盘控制器:将物理磁道/扇区抽象为逻辑块号(LBA)
中断与DMA:磁盘I/O完成时通过中断通知CPU,DMA实现数据直传内存,免于CPU参与
MMU(Memory Management Unit):文件系统缓存(Page Cache)依赖虚拟内存机制,实现磁盘数据到内存页的映射
抽象2:虚拟内存
假象:每个进程拥有从0开始的、连续、私有的巨大内存空间。
现实:物理内存是有限、共享的碎片集合,且可能被换出到磁盘。
OS 的谎言:“应用程序 A,你拥有独占的、从地址 0 开始的 4GB 连续内存空间。”
硬件机制:
CPU特权级:用户程序运行在Ring 3,无法直接访问物理地址
MMU + 页表:将虚拟地址转换为物理地址的关键硬件
TLB(Translation Lookaside Buffer):加速地址转换的专用缓存
缺页中断:当访问的页不在内存时,触发Page Fault异常(中断14),操作系统从磁盘载入页面
抽象3:进程
假象:每个程序独占CPU、内存,按顺序连续执行。
现实:多个程序并发执行于少量CPU核心,且被频繁中断和切换。
OS 的谎言:“你是世界上唯一的程序,CPU 也是你独占的。”
硬件支撑:
定时器中断:固定时间间隔(如10ms)触发中断,强制CPU进入内核
上下文切换硬件:
save/restore寄存器的专用指令(如x86的fxsave/fxrstor)进程控制块(PCB)的硬件关联:进程状态由寄存器组、程序计数器等硬件状态组成
第二部分:OS 内部机制(Deep Dive)——谎言是如何维持的?
要维持上述“独占”的假象,操作系统必须拥有至高无上的权力。这就引入了硬件支持的特权级机制。
1. 核心态与用户态(Kernel Mode vs. User Mode)
我们在 1.3 讲过 CPU 的指令集。硬件(如 x86 架构)提供了一个“模式位(Mode Bit)”寄存器:
用户态(Ring 3):你的应用程序在这里运行。你被禁止执行危险指令(如“关闭中断”、“直接访问物理内存”、“直接操作 I/O 端口”)。
内核态(Ring 0):操作系统内核在这里运行。它可以执行任何 CPU 指令,访问任何内存地址。
2. 系统调用(System Call):从平民到上帝的跃迁
当你的程序(用户态)想要读取文件或分配内存时,它必须请求 OS 帮忙。
机制:程序执行一条特殊的指令(如 x86 的
syscall或旧的int 0x80)。硬件动作:这条指令会触发一个硬件异常(Trap)。CPU 暂停当前指令流,自动将权限从用户态切换到内核态,并跳转到预先设定好的“异常处理程序(Exception Handler)”——即 OS 的内核代码。
结果:OS 检查你的请求是否合法。如果合法,它替你执行,然后用
return-from-interrupt指令切回用户态,把结果交给你。
用户态程序 → 触发软中断(int 0x80)/syscall指令 → CPU切换至内核态 → 执行中断处理程序 → 查找系统调用表 → 执行内核服务 → 返回结果并切回用户态3. 上下文切换(Context Switch):控制流的魔术
这是实现“进程”抽象的关键。假设我们从进程 A 切换到进程 B,这个过程在毫秒级发生,用户毫无察觉。让我们用慢动作回放这个步骤:
中断触发:硬件定时器(Timer Interrupt)每隔几毫秒向 CPU 发送一个信号。
冻结现场:CPU 收到中断,硬件逻辑强制控制权回到 OS 内核。OS 决定:“进程 A 的时间片到了,该让进程 B 上场了。”
保存上下文(Save Context):OS 将进程 A 的当前状态(PC 程序计数器、寄存器值、条件码)写入到内存中的一块区域(PCB,进程控制块)。
恢复上下文(Restore Context):OS 从进程 B 的 PCB 中读取它上次暂停时的寄存器值,填回 CPU 寄存器。
修改 MMU:OS 通知 MMU:“现在开始,请使用进程 B 的页表。”(切换虚拟地址空间)。
重启:OS 执行返回指令,CPU 指针(PC)指向进程 B 的下一条指令。进程 B 复活了。
第三部分:从 OS 到 VM 的跃迁——抽象的递归
如果在操作系统下面再垫一层呢?这就是虚拟机(Virtual Machine)。
虚拟机是在物理硬件抽象之上,再创建一层虚拟的、与真实硬件相同或相似的硬件接口。这是“抽象的平方”——不仅隐藏了硬件的复杂性,还隐藏了操作系统的独占性。
如果说 OS 是对资源(处理器、内存、磁盘)的抽象,那么虚拟机就是对整个计算机硬件的抽象。
假设你这套房子是现代风格(比如是苹果 Mac 系统), 但你的一个远房亲戚(比如一个只能在 Windows 上运行的老软件)要来住。 他的生活习惯极其古怪,必须要住中式复古风的房子,否则他一步都动不了。 你不想把现在的房子拆了重装(重装系统),也不想专门为他买套新房(买新电脑)。怎么办? 解决方案: 你在现在的客厅里,用木板搭了一个完全封闭的、独立的小木屋。 你在小木屋里铺了中式的地板,装了中式的窗户(模拟硬件)。 你在小木屋里完全按照他的习惯装修了一遍(安装 Guest OS,比如 Windows)。 那个亲戚住进去,以为自己真住在一个中式房子里。这就是虚拟机:
它是一个软件,但它假装自己是一台真电脑(有假的 CPU、假的内存、假的硬盘)。
你可以在这个“假电脑”里装 Windows、Linux,想干嘛干嘛。
缺点:极极其笨重。你想想,在客厅里盖个真房子,得费多少砖头(内存)和水电(CPU)?这就是为什么开虚拟机电脑会变卡。
2. 什么是容器 (Container)? 核心概念: “胶囊旅馆” 或者 “特百惠保鲜盒”。 后来大家发现,“房中房”太浪费了。很多时候,我只是想让那个亲戚有个地方睡觉, 不需要给他盖个完整的厕所、厨房和客厅,因为他可以用我房子里现成的啊! 但我又不想让他把我的客厅弄乱,或者偷看我的东西。怎么办? 解决方案: 你给他一个透明的、带锁的玻璃罩子(容器)。 他可以直接坐在你家客厅的地板上(共享宿主机的内核,不用模拟硬件)。 但是!透过罩子,他看到的只能是你允许他看到的东西。 他以为自己独占了一个房间,其实他只是被隔离在了一个盒子里。 他在盒子里吃喝拉撒,产生的垃圾都在盒子里,拿走盒子,家里干干净净。这就是容器(比如 Docker):
它不模拟电脑硬件,它只是把一个软件和它运行需要的东西(代码、库文件)打包进一个盒子里。
这个盒子直接运行在你的系统上,所以速度飞快(就像普通软件一样快)。
优点:轻便。以前开个虚拟机要几分钟(盖房子),现在启动个容器只要几毫秒(拿个盒子罩住)。
为了彻底懂了,想象我们要去旅行(部署软件)。 物理机(不用虚拟化): 这就好比你搬家。 你得把家具、电器、衣服全部扛到新地方,到了还得重新接电线、重新装修。 如果新地方插座不一样,你的电器就烧了。(软件换个电脑环境经常报错)。 虚拟机 (VM): 这就好比你开了一辆巨大的房车去旅行。 好处: 房车里有床、有厕所、有发电机。不管外面下雨还是下雪,你在车里生活完全一样。 坏处: 车太重了,油耗高,跑不快。你想多带几个人,就得开好几辆房车,路都被堵死了。 容器 (Docker): 这就好比你带了一个万能帐篷。 好处: 极轻,背包一背就走。到了目的地,你直接用当地的土地(共享内核), 把帐篷一支(启动容器),你的私密空间就有了。 坏处: 帐篷毕竟不如房车隔离得彻底(安全性稍差), 而且帐篷不能像房车那样自带发电机(容器极其依赖宿主机的内核版本)。1. 虚拟机的本质
虚拟机让你可以跨越指令集架构(ISA)或操作系统限制。它将“硬件”变成了一个软件对象。
痛点:你看中间那层[ Guest OS ]。即使你只想运行一个只有 10MB 的小程序,你也必须启动一个几 GB 大小的操作系统。这就好比为了喝一杯牛奶(跑个应用),你养了一整头牛(启动个 OS)。
2. Type 1 vs. Type 2 Hypervisor(虚拟机监视器)
Type 2 (Hosted, e.g., VMware Workstation, VirtualBox):
运行在传统 OS(如 Windows/Linux)之上。
抽象路径:App -> Guest OS -> Hypervisor -> Host OS -> Hardware。
效率较低,因为中间层太多。
Type 1 (Bare Metal, e.g., VMware ESXi, Xen, Microsoft Hyper-V):
Hypervisor 直接取代了 Host OS,直接运行在硬件上。
它将硬件切分给上层的 Guest OS。
硬件支持:现代 CPU(如 Intel VT-x, AMD-V)在硬件层面增加了新的特权级(Root Mode),允许 Hypervisor 不修改 Guest OS 代码就能高效截获特权指令。
第四部分:现代视角——异构硬件的抽象(GPU/NPU)
联系 section 1.4,现在的计算机不再是单纯的 CPU 独角戏。
1. 驱动程序作为抽象层
操作系统内核通常不直接包含所有硬件的控制逻辑。对于 NVIDIA GPU 或 Google TPU,OS 提供了一个通用的接口(如 Linux 的ioctl),而厂商提供驱动程序(Driver)。
驱动程序将 GPU 抽象为一个特殊的 I/O 设备,但这个设备拥有极高的自主权。
2. 绕过 OS 的抽象(Kernel Bypass)
在高性能计算(CUDA)中,为了追求极致速度,抽象层变薄了:
CUDA Runtime:程序员写的是 C++ 扩展代码。
原理:CPU 负责发送指令流(Kernel Launch)和数据(Memcpy)到显存。一旦数据到达 GPU,GPU 内部的调度器(Hardware Scheduler)直接管理成千上万个线程,操作系统内核几乎不干预 GPU 内部的线程调度。
这说明:抽象的粒度在变化。OS 管理 CPU 线程,而将 GPU 视为一个“黑盒协处理器”。
第五部分:容器化(Container) vs. 虚拟机(VM)
最后,我们必须澄清现代云原生时代最大的混淆:Docker 是虚拟机吗?绝对不是。
| 特性 | 虚拟机 (VM) | 容器 (Docker/Podman) |
| 抽象层次 | 硬件级虚拟化 | 操作系统级虚拟化 |
| 内核 (Kernel) | 每个 VM 都有自己独立的内核(Guest OS)。 | 所有容器共享宿主机的同一个内核。 |
| 隔离性 | 极强(硬件辅助隔离)。 | 较强(通过软件命名空间隔离)。 |
| 启动速度 | 分钟级(需要启动完整的 OS)。 | 毫秒级(只是启动一个进程)。 |
| 底层机制 | Hypervisor 模拟硬件。 | Namespaces(隔离视图) +Cgroups(限制资源)。 |
