Czy istnieją uzasadnione powody wyłączenia wirtualizacji wspomaganej sprzętowo?

Niedawno mieliśmy wiele serwerów firmy Dell, z których wszystkie miały wyłączone wirtualizacje wspomagane sprzętowo w systemie BIOS.

O ile wiem, wirtualizacja wspomagana sprzętowo jest dobrą rzeczą - więc dlaczego Dell miałby ją wyłączyć? Czy ma narzut wydajności, jeśli maszyna nie działa jako host maszyny wirtualnej? Czy są jakieś problemy z bezpieczeństwem?

W przypadku, gdy ma to znaczenie dla twoich odpowiedzi, będziemy używać przede wszystkim:

• System operacyjny: Windows Server 2003 Enterprise R2 (32-bit)
• System operacyjny gościa: Windows Server 2003 Enterprise R2 (32-bit)
• VMM: Virtual Server 2005 Enterprise R2 SP1

Powodem, dla którego Dell (i Sony itp.) Wyłączają Intel-VT i AMD-V, jest to, że nie mogą go obsługiwać. Włączenie tej funkcji oznaczałoby, że musieliby zapewnić wsparcie, czego po prostu nie mogą zrobić, głównie z powodu niewystarczającej wiedzy w dziale wsparcia.

Tak przynajmniej sformułował to Sony.

Próbowałem podważyć powód od pracowników wsparcia Sony i to jest jedyna rzecz, jaką by mi dali. W końcu udało mi się załatać BIOS i sam włączyć VT.

Co do reszty, rzeczy takie jak Bluepill nie są dokładnie głównym nurtem. I o ile mi wiadomo - i dużo pracuję nad wirtualizacją - włączenie tej opcji nie ma żadnej wady. Jeśli tak, naprawdę chciałbym o tym wiedzieć ...

Jednym z bardzo dobrych powodów jest bezpieczeństwo. Znane są ataki hakerskie, które wstawiają złośliwego hiperwizora między system operacyjny a sprzęt. Dzięki temu każdy może przechwycić dowolne dane w całkowicie przejrzysty sposób.

Zaryzykowałbym przypuszczenie, że nie wszystkie procesory dostępne dla danej kombinacji płyty głównej i systemu BIOS obsługują rozszerzenia VT. Dlatego wysyłają go jako wyłączony w systemie BIOS ze względu na kompatybilność.

Czasy się zmieniają, a VT staje się teraz dość powszechnym miejscem. Więc może zobaczymy zmianę?

Znalazłem to w rejestrze :

Inżynierowie i pracownicy QA firmy Sony byli bardzo zaniepokojeni faktem, że włączenie VT naraziłoby nasze systemy na złośliwy kod, który mógłby zagłębić się w strukturę systemu operacyjnego komputera i całkowicie je wyłączyć. ”

W zależności od metody wirtualizacji, której zamierzasz użyć, może nie być konieczne włączenie funkcji wirtualizacji sprzętowej w procesorach obsługujących Intel-VT i AMD-V. Gdy trzeba użyć tych funkcji, oznacza to, że metoda wirtualizacji nie działa podczas instalowania niezmodyfikowanych systemów operacyjnych, zwykle Microsoft Windows.

Podczas pracy z VMware funkcje wirtualizacji sprzętu dodane przez chipsety Intel-VT i AMD-V są zwykle niepotrzebne, ponieważ VMware zapewnia wszystkie niezbędne funkcje i może prowadzić do obniżenia wydajności samego serwera wirtualnego.

Z wirtualizacją Xen będziesz musiał korzystać z tych funkcji, jeśli zamierzasz uruchomić system Windows w nieuprzywilejowanych domenach gości (domU) i zainstalować przy użyciu pełnej wirtualizacji zamiast parowirtualizacji. Z mojego doświadczenia wynika, że ​​włączenie tych funkcji może nawet znacznie pogorszyć wydajność, ale pozwoli to na instalację systemu Windows. Inne systemy operacyjne, takie jak Linux, * BSD i OpenSolaris Nie miałem problemów z instalacją bez wirtualizacji sprzętu i widzę znacznie lepszą poprawę, gdy funkcje wirtualizacji sprzętu są wyłączone.

Ostatecznie sprowadza się do tego, którą ścieżkę wirtualizacji planujesz obrać i jakie systemy operacyjne, które widzisz, które są instalowane, mogą decydować o tym, czy pozostawić wyłączoną, czy też ją włączyć.

Po pracy z obsługą serwerów Dell wszystkie serwery obsługujące VT mają domyślnie wyłączoną funkcję w biosie, ale można ją łatwo włączyć, jeśli jej potrzebujesz.

Jeśli chodzi o Sony - mają wyłączone w laptopach, z wyżej wymienionych powodów.

Nigdy nie widziałem serwera z wyłączonymi funkcjami VT / SVM, do tego stopnia, że ​​nie można go włączyć.

Mogę być opóźniony, ale w wielu przypadkach z takimi rzeczami, jak VMWare, powoduje to, że wiele rzeczy spowalnia:

Biała księga VMWare na ten temat

Jak wspomniano powyżej wzzrd, wszystko dotyczy wsparcia. Pozostawienie wyłączonego VT zmniejsza liczbę scenariuszy wsparcia, w których VT staje się czynnikiem, umożliwiając szybsze rozwiązywanie problemów dla większości klientów, którzy nie zapuścili się na ścieżkę wirtualizacji.

Jedną z rzeczy, które zauważyłem, jest to, że w Windows 7 uruchomienie trybu xp w wersji beta powoduje konflikty ze stacją roboczą vmware, gdy VT jest włączony na moim komputerze. Obaj chcą „zdobyć” rozszerzenie VT, a ponieważ tryb xp pozostawia proces VPC działający nawet po wyjściu, nie „puszcza” VT. Więc kiedy uruchomisz vmware, każda maszyna wirtualna, którą spróbujesz uruchomić, umiera podczas uruchamiania. Wyłączenie rozszerzenia VT w biosie zapobiega takim sytuacjom, ale przy znacznie zmniejszonej wydajności.

Włączenie Intel VT sprawia, że ​​procesor jest cieplejszy, miałem komputer stacjonarny i laptop, które miały takie zachowanie, zarówno z zapasowymi chłodnicami procesorów. Mam na myśli komputery domowe, ale jest to ta sama funkcja.

Wiem, że AMD-V jest domyślnie włączony, ale nie wiem, czy to sprawia, że ​​procesor jest cieplejszy.

Jestem prawie pewien, że wirtualizacja wspierana sprzętowo NIE ma żadnych kosztów ogólnych, gdy tylko uruchamiasz natywny system operacyjny.

Jedynym powodem, dla którego mogę wymyślić możliwość jego wyłączenia (właściwie nigdy wcześniej o tym nie myślałem), jest to, że niektóre aplikacje / obciążenia mogą w rzeczywistości działać gorzej, gdy HAV jest włączony, niż gdy jest uruchamiany natywnie, z powodu pewnych kosztów ogólnych na przykład w MMU.

Nie martwiłbym się tym w ogóle.

Wystarczy spojrzeć na Hewlett Packard Proliant DL145 G3 - Serwery.

HP wyłączył HyperVisor (HV) przez BIOS. BIOS-Menue nie pokazuje opcji włączenia tej funkcji. Jedyną odpowiedzią na pytania dotyczące tego problemu jest „ta platforma nie obsługuje wirtualizacji sprzętowej - koniec dyskusji”

Po prostu niemożliwe jest włączenie HV z BIOS-em dostarczonym przez HP.

Jedyne rozwiązanie: Coreboot ... czyli całkowite usunięcie PHOENIX-BIOS z tych płyt i zastąpienie go czymś innym ...