基于kvm的虚拟机配置开启iommu_groups

于 2024-07-25 15:21:30 发布
阅读量564 收藏 8
点赞数 15
分类专栏: linux 文章标签: linux debian 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengxb0v0/article/details/140690795
版权

在Linux系统中,IOMMU(Input/Output Memory Management Unit)是一种硬件设备,用于管理输入输出设备的内存映射以及访问权限。IOMMU可以提高系统的安全性和性能,通过对DMA(直接内存访问,即设备与内存直接通信,而无需经过CPU)请求进行隔离和管理,防止恶意设备访问系统内存并提高内存使用效率。

在IOMMU的实现中,一个IOMMU设备通常会管理多个I/O设备,而这些IO设备可能需要共享同一块物理内存。为了有效管理这些IO设备,Linux内核使用IOMMU Group进行设备的分组和隔离。

IOMMU Group是一组物理设备和其对应的DMA地址空间,一般来说,IOMMU Group中的所有设备共享相同的DMA地址空间,并受到相同的IOMMU保护,如果一个设备与多个IOMMU GROUP关联,或者一个IOMMU Group中包含多个设备,可能需要重新配置系统以确保正确的IOMMU保护,在IOMMU GROUP中,IO设备可以访问统一块物理内存。但不能访问其它IOMMU GROUP的内存,这样可以保护系统的安全性。

1. 虚拟化工具的版本需求

libvirtd 和 qemu 需要新的版本,太旧不支持iommu的设置。

查看 virsh 版本:

virsh version

需求如下:

  • libvirt: >= 4.5.0
  • QEMU: >= 4.5.0
  • hypervision: >= QEMU 2.12.0

2. 物理机配置开启嵌套虚拟化

查看是否开启嵌套虚拟化

cat /sys/module/kvm_intel/parameters/nested

指令输出:

N	# 没有开启嵌套虚拟化

添加 kvm-nested.conf

vi /etc/modprobe.d/kvm-nested.conf

文件内容如下:

options kvm-intel nested=1
options kvm-intel enable_shadow_vmcs=1
options kvm-intel enable_apicv=1
options kvm-intel ept=1

重新插入 kvm 驱动

# remove rather than insert a module.
modprobe -r kvm_intel

# Insert all module names on the command line.
modprobe -a kvm_intel

查看是否开启嵌套虚拟化

cat /sys/module/kvm_intel/parameters/nested

指令输出:

Y	# 有开启嵌套虚拟化

3. 物理机开启vt-d并配置开启iommu

添加内核启动参数,往/etc/grub/grub.cfg文件中添加intel_iommu=on iommu=pt
在这里插入图片描述

然后重启物理机。

reboot

使用cat /proc/cmdline查看配置是否生效

cat /proc/cmdline

指令输出如下结果(出现intel_iommu=on iommu=pt 配置)即为生效成功:
在这里插入图片描述

4. 创建虚拟机并修改虚拟机的xml文件配置

注意:

  • 在创建虚拟机的时候chipset需要选择为Q35。
  • 生效虚机配置前,需要先关机。

导出虚机配置:

# 在宿主机上导出虚拟机的配置文件
virsh dumpxml 虚机名称 > xxx.xml
# 执行dumpxml操作前可以使用virsh list --all命令查看虚拟机列表
# xxx.xml为导出后的文件,可以随意命名,但是后缀需要是.xml

修改虚拟机的xml文件,按照下述内容修改相关参数进行配置:

	<!-- =================================================================== -->
	<!--os/type.machine='pc-q35-7.2'-->
	<os>
		<type arch='x86_64' machine='pc-q35-7.2'>hvm</type>
		<boot dev='hd'/>
	</os>

	<!-- =================================================================== -->
	<!--features/ioapic.driver='qemu'-->
	<features>
		<ioapic driver='qemu'/>
	</features>

	<!-- =================================================================== -->
	<!--cpu.mode='host-passthrough'-->
	<cpu mode='host-passthrough' check='none' migratable='on'>
		<feature policy='require' name='vmx'/>
	</cpu>

	<!-- =================================================================== -->
	<devices>
		<!-- iommu -->
		<iommu model='intel'>
			<driver intremap='on' caching_mode='on' iotlb='on'/>
		</iommu>
	</devices>

生效虚机配置:

# 从xml配置文件定义虚拟机生效配置
virsh define xxx.xml

5. 启动虚拟机配置开启iommu,然后重启检查iommu_groups是否开启

添加内核启动参数,往grub.cfg文件中添加intel_iommu=on iommu=pt
在这里插入图片描述
然后重启虚拟机。

reboot

重启虚拟机后,使用dmesg|grep -i iommu命令检查iommu_groups是否开启以及分组情况
在这里插入图片描述
也可以执行下述脚本查看pci和iommu_group分组详细信息:

root@debian-deb:~# cat iommu_group.sh
#!/bin/bash
for d in $(find /sys/kernel/iommu_groups -type l |sort -n -k5 -t/); do
  n=${d#*/iommu_groups/*}; n=${n%%/*}
  printf 'IOMMU GROUS %s ' "$n"
  lspci -nns "${d##*/}"
done;

在这里插入图片描述
可以看到当前虚拟机已经开启iommu_groups,且自动配置了iommu_group分离。

pengxb0v0
关注
  • 15
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KVM 安全策略配置实战
悦分享
01-16 540
cgroups(即control groups,控制群组)是Linux内核中的一个特性,用于限制、记录和隔离进程组(process groups)对系统物理资源的使用。cgroups最初是由Google的一些工程师(Paul Menage、Rohit Seth等人)在2006年以“进程容器”(process container)的名字实现的,在2007年被重命名为“控制群组”(Control Groups),然后被合并到Linux内核的2.6.24版本之中。
设备穿透之IOMMU分组
wing_7的博客
04-09 273
iommu_map会调用domain->ops->map即调用的struct iommu_ops arm_smmu_ops中定义的.map函数,即arm_smmu_map。arm下调用的就是arm_smmu_device_group,然后根据设备是否是PCI,分别调用generic_device_group或pci_device_group。如在intel下这里的add_device调动的就是intel_iommu_add_device,在arm下调用的就是arm_smmu_add_device。
linux iommu group&domain概念分析整理
tugouxp的专栏
04-28 2586
Linux系统中,IOMMU是指Input/Output Memory Management Unit是一种硬件设备,用于管理输入输出设备的内存映射以及访问权限。IOMMU可以提高系统的安全性和性能,通过对DMA请求进行隔离和管理,防止恶意设备访问系统内存并提高内存使用效率。在IOMMU的实现中,一个IOMMU设备通常会管理多个I/O设备,而这些IO设备可能需要共享同一块物理内存。为了有效管理这些IO设备,Linux内核使用IOMMU Group进行设备的分组和隔离。
Linux开源存储漫谈(1)环境准备篇
arvey8888的博客
05-10 428
etc/netplan/00-installer-config.yaml修改说明,第5行" dhcp4: true"---->" dhcp4: no",7-17行后添加内容,第9行"enp3s0"为第4行内容,第12行为操作系统所获得IP地址,第15、17行192.168.2.12为网关地址(根据自己的网络实际设置),记住第8行kvmbr0后续会用,重启使修改生效。Linux存储涉及的技术比较多,为了减少不必要的干扰,建议从一个全新的、干干净净的、并且内核版本比较高的系统开始。
IOMMU-VFIO-设备透传-笔记
HappyMrSpring
11-05 4199
1. IOMMU主要功能包括DMA Remapping和Interrupt Remapping。 DMA Remapping: 设备驱动通过DMA描述符告诉设备DMA控制器,本次DMA操作的存储器地址。 在宿主机上,DMA描述符上存储的是物理地址,DMA可正常进行。 在虚拟机上,设备通过VT-d等技术被直接分配给虚拟机后,DMA描述符上存储的是GPA(即HVA);而RC上映射的是HPA,故DMA不能正常进行;此时需要iommu将TLP中的GPA转换为H...
KVM虚拟化之小型虚拟机kvmtool的使用
tugouxp的专栏
01-27 2118
分配给虚拟机大于4GB的RAM需要在RAM中留下一个GAP,用于PCI MMIO、热插拔和未配置的设备(详细信息请参阅e820_setup_gap())。
virtio iommu
flyaaa123的博客
06-08 2278
virtio iommu
基于libvirt创建vGPU实例
wuyongpeng的专栏
02-03 4683
一、什么是vGPU? vGPU(virutal GPU)是实现在虚机中使用GPU资源的一种方式。虚机使用GPU的另外一种方式是passthrough,即GPU直通到vm虚机中。
KVM+显卡直通(passthrough)配置方法及问题说明
热门推荐
dwj1979的博客
12-24 5万+
1.硬件条件 首先要确定主板和CPU都支持VT-d技术,即Virtualization Technology for Direct I/O(英特尔虚拟技术)。近年的产品应该都支持此技术。 在BIOS里将 还要确定要直通的显卡支持PCI Pass-through。似乎A卡对于直通的支持比N卡好,但N卡性能比A卡好,这个大家都知道。目前市面上的显卡一般都支持直通。我用过的NVIDIA 的M60和GeF...
intel-iommu.rar_intel mmu_intel_iommu_iommu.驱动框架_iommu驱动
09-21
1. **IOMMU初始化**:驱动程序需要初始化IOMMU硬件,配置相应的寄存器,并设置基本的工作模式。这可能涉及到设置DMA地址空间的大小,启用或禁用IOMMU,以及配置错误处理机制。 2. **DMA地址翻译**:IOMMU驱动会管理...
intel-iommu.rar_iommu_limit
09-21
We limit DOMAIN_MAX_PFN to fit in an unsigned long, and DOMAIN_MAX_ADDR to match. That way, we can use unsigned long for PFNs with impunity.
kvm:基于内核的虚拟机
02-11
基于内核的虚拟机 介绍 开放式虚拟机固件(OVMF)是一个项目,用于为虚拟机启用UEFI支持。 从Linux 3.9和最新版本的QEMU开始,现在可以通过图形卡,提供VM本机图形性能,这对于图形密集型任务很有用。 要求和依赖性 ...
msm_iommu.rar_The Number
09-24
总之,"msm_iommu.rar_The Number"这个话题涉及到IOMMU的资源配置和性能优化,具体实现细节可以在"msm_iommu.c"和"msm_iommu.h"文件中找到。理解和调整这个参数是提升系统效率和安全性的重要环节。
iommu.rar_V2
09-21
1. **初始化**:加载IOMMU驱动,配置硬件寄存器,设置基本参数。 2. **内存分配**:为设备分配物理内存页,管理内存池。 3. **设备映射**:将设备的虚拟地址映射到内存的物理地址。 4. **故障处理**:定义iommu ...
Linux:基础命令学习
qq_55038440的博客
07-20 1083
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
GNU/Linux - Bazaar版本管理工具
最新发布
guoqx的专栏
07-24 285
根据 Jelmer Vernooij 的说法,Canonical 的 Bazaar 团队的成员在 2012 年初被分配到不同的任务,他本人在7年来为该项目做出贡献后,于2012年底停止了对 Bazaar 的贡献。同样,Bugzilla项目在2014 3月从 Bazaar 改为使用 git,其中一个原因是 Bazaar 几乎已被放弃的印象:“每个月可能有 2-3 次向主干提交。并用来进行Ubuntu项目的版本控制。Bazaar 可以由一个开发本地内容的多个分支的开发人员使用,也可以由跨网络协作的团队使用。
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 1059
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
gzx233的博客
07-20 910
Shell脚本的使用
iommu_device_register
04-15
iommu_device_register是Linux内核中的一个函数,用于注册一个IOMMU设备。IOMMUInput/Output Memory Management Unit)是一种硬件设备,用于管理输入/输出设备与系统内存之间的数据传输。通过使用IOMMU,可以提供更高级别的内存管理和安全性。 iommu_device_register函数的作用是将一个IOMMU设备注册到系统中,以便系统可以正确地管理该设备的输入/输出操作。注册IOMMU设备后,系统可以使用该设备的功能来映射和保护设备访问系统内存的操作。 该函数的原型如下: int iommu_device_register(struct iommu_device *iommu); 参数iommu是一个指向struct iommu_device结构体的指针,该结构体描述了要注册的IOMMU设备的属性和功能。 在注册IOMMU设备时,通常需要提供一些必要的信息,例如设备名称、设备类型、设备地址等。注册成功后,系统就可以使用该设备进行输入/输出操作,并且可以通过其他相关函数来配置和管理该设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值