Czy istnieją uzasadnione powody wyłączenia wirtualizacji wspomaganej sprzętowo?

25

Niedawno mieliśmy wiele serwerów firmy Dell, z których wszystkie miały wyłączone wirtualizacje wspomagane sprzętowo w systemie BIOS.

O ile wiem, wirtualizacja wspomagana sprzętowo jest dobrą rzeczą - więc dlaczego Dell miałby ją wyłączyć? Czy ma narzut wydajności, jeśli maszyna nie działa jako host maszyny wirtualnej? Czy są jakieś problemy z bezpieczeństwem?

W przypadku, gdy ma to znaczenie dla twoich odpowiedzi, będziemy używać przede wszystkim:

  • System operacyjny: Windows Server 2003 Enterprise R2 (32-bit)
  • System operacyjny gościa: Windows Server 2003 Enterprise R2 (32-bit)
  • VMM: Virtual Server 2005 Enterprise R2 SP1
security virtualization performance dell Tom Robinson
źródło
Widziałem to również z laptopami Dell
Richard Everett
Napisałem kiedyś o czymś podobnym dotyczącym serwerów typu blade HP - nie wiedziałem też, dlaczego wyłączają to ustawienie domyślne - cholernie irytujące, prawda!
Chopper3
Czy możesz dodać link? Podczas wyszukiwania nie mogłem znaleźć podobnych pytań.
Tom Robinson
To było dobre pytanie serverfault.com/questions/23518/…
Kara Marfia
3
Istnieje jeden uniwersalny powód ponownego aktywnego wyłączania złożonych systemów / funkcji: obejście błędów. W tym konkretnym przypadku znam przynajmniej jeden taki błąd. Patrz problem nr 734 w „Przewodniku aktualizacji dla modeli AMD z 15-godzinnymi procesorami 00h-0Fh”.
ndemou

Odpowiedzi:

16

Powodem, dla którego Dell (i Sony itp.) Wyłączają Intel-VT i AMD-V, jest to, że nie mogą go obsługiwać. Włączenie tej funkcji oznaczałoby, że musieliby zapewnić wsparcie, czego po prostu nie mogą zrobić, głównie z powodu niewystarczającej wiedzy w dziale wsparcia.

Tak przynajmniej sformułował to Sony.

Próbowałem podważyć powód od pracowników wsparcia Sony i to jest jedyna rzecz, jaką by mi dali. W końcu udało mi się załatać BIOS i sam włączyć VT.

Co do reszty, rzeczy takie jak Bluepill nie są dokładnie głównym nurtem. I o ile mi wiadomo - i dużo pracuję nad wirtualizacją - włączenie tej opcji nie ma żadnej wady. Jeśli tak, naprawdę chciałbym o tym wiedzieć ...

wzzrd
źródło
Na początku wątpiłem w tę odpowiedź. Wiem, że ten post jest bardzo stary, ale robiłem badania i to była pierwsza rzecz, którą znalazłem w Google. Jest to w rzeczywistości 100% poprawne, ponieważ jest to problem pomocy technicznej. Większość ludzi (do tej pory) nie będzie musiała łatać BIOS-u. Dostawcy zazwyczaj sprzedają sprzęt serwerowy i kliencki w celu zainstalowania natywnego systemu operacyjnego, a nie hiperwizora. Z tego powodu wyłączają VT / VTx, aby uniknąć niektórych dziwnych problemów, które teoretycznie mogą powodować. Mówiąc dokładniej, dostawcy nie chcą poświęcać czasu na testowanie funkcji, których nie obsługują.
IceMage,
10

Jednym z bardzo dobrych powodów jest bezpieczeństwo. Znane są ataki hakerskie, które wstawiają złośliwego hiperwizora między system operacyjny a sprzęt. Dzięki temu każdy może przechwycić dowolne dane w całkowicie przejrzysty sposób.

Antoine Benkemoun
źródło
2
Myślisz o rootkicie, takim jak BluePill. Chociaż nie zagłębiłem się w to szczegółowo, myślę, że obecnie to naprawdę nie stanowi większego problemu. Mogę się mylić, możesz po prostu to sprawdzić. Dobry dodatek w obu przypadkach, zdecydowanie coś do rozważenia i wystarczająco dobry powód, aby go wyłączyć, jeśli nie jest używany.
HannesFostie
2
Oto kilka informacji o BluePill - en.wikipedia.org/wiki/Blue_Pill_(malware)
Tom Robinson
1
@Anapologetos, nie, to nie jest warunek wstępny. Niebieska pigułka blokuje działający system operacyjny na maszynie wirtualnej. Można powiedzieć, że wstawia się pod system operacyjny. To staje się układ nadzorujący zamiast konieczności jeden. Poza tym, według wikipedii, atakował tylko na Vistę, ale przypuszczam, że koncepcja może być łatwo przenośna. W końcu to wirtualizacja. W każdym razie wyłączenie VT z powodu Niebieskiej Pigułki wydaje się dość głupie: o ile mi wiadomo, nie jest na wolności (choć jest to oprogramowanie typu open source), a jego niewykrywalność jest dyskutowana.
wzzrd
Masz rację, wzzrd. Cofam swój komentarz - jeszcze dziś nie piłem kawy! :)
Josh Brower
6

Zaryzykowałbym przypuszczenie, że nie wszystkie procesory dostępne dla danej kombinacji płyty głównej i systemu BIOS obsługują rozszerzenia VT. Dlatego wysyłają go jako wyłączony w systemie BIOS ze względu na kompatybilność.

Czasy się zmieniają, a VT staje się teraz dość powszechnym miejscem. Więc może zobaczymy zmianę?

Dan Carley
źródło
3

Znalazłem to w rejestrze :

Inżynierowie i pracownicy QA firmy Sony byli bardzo zaniepokojeni faktem, że włączenie VT naraziłoby nasze systemy na złośliwy kod, który mógłby zagłębić się w strukturę systemu operacyjnego komputera i całkowicie je wyłączyć. ”

Tom Robinson
źródło
Czy nie powinna to być zaakceptowana odpowiedź? Och , słowa należą do Sony .......
Pacerier,
2

W zależności od metody wirtualizacji, której zamierzasz użyć, może nie być konieczne włączenie funkcji wirtualizacji sprzętowej w procesorach obsługujących Intel-VT i AMD-V. Gdy trzeba użyć tych funkcji, oznacza to, że metoda wirtualizacji nie działa podczas instalowania niezmodyfikowanych systemów operacyjnych, zwykle Microsoft Windows.

Podczas pracy z VMware funkcje wirtualizacji sprzętu dodane przez chipsety Intel-VT i AMD-V są zwykle niepotrzebne, ponieważ VMware zapewnia wszystkie niezbędne funkcje i może prowadzić do obniżenia wydajności samego serwera wirtualnego.

Z wirtualizacją Xen będziesz musiał korzystać z tych funkcji, jeśli zamierzasz uruchomić system Windows w nieuprzywilejowanych domenach gości (domU) i zainstalować przy użyciu pełnej wirtualizacji zamiast parowirtualizacji. Z mojego doświadczenia wynika, że ​​włączenie tych funkcji może nawet znacznie pogorszyć wydajność, ale pozwoli to na instalację systemu Windows. Inne systemy operacyjne, takie jak Linux, * BSD i OpenSolaris Nie miałem problemów z instalacją bez wirtualizacji sprzętu i widzę znacznie lepszą poprawę, gdy funkcje wirtualizacji sprzętu są wyłączone.

Ostatecznie sprowadza się do tego, którą ścieżkę wirtualizacji planujesz obrać i jakie systemy operacyjne, które widzisz, które są instalowane, mogą decydować o tym, czy pozostawić wyłączoną, czy też ją włączyć.

Jeremy Bouse
źródło
Nie
podąża
2

Po pracy z obsługą serwerów Dell wszystkie serwery obsługujące VT mają domyślnie wyłączoną funkcję w biosie, ale można ją łatwo włączyć, jeśli jej potrzebujesz.

Jeśli chodzi o Sony - mają wyłączone w laptopach, z wyżej wymienionych powodów.

Nigdy nie widziałem serwera z wyłączonymi funkcjami VT / SVM, do tego stopnia, że ​​nie można go włączyć.

dyasny
źródło
1

Mogę być opóźniony, ale w wielu przypadkach z takimi rzeczami, jak VMWare, powoduje to, że wiele rzeczy spowalnia:

Biała księga VMWare na ten temat

Kyle Brandt
źródło
Czy to nie jest oficjalny dokument z 2006 roku? Ponadto omawia negatywne strony podczas wirtualizacji środowiska z tego, co mogłem powiedzieć na pierwszy rzut oka. Oryginalny plakat będzie obsługiwał tylko rodzime obciążenia.
HannesFostie
Za pomocą VirtualBox zauważyłem, że niektóre systemy operacyjne działają znacznie szybciej, jeśli wirtualizacja sprzętu jest wyłączona. Oczywiście inne działają znacznie szybciej z włączoną funkcją! :-)
Brian Knoblauch,
nie mówi, że aktywacja VT powoduje spowolnienie, mówi, że ich wirtualizacja bez VT jest szybsza niż nowsze zależne od VT.
Javier,
1

Jak wspomniano powyżej wzzrd, wszystko dotyczy wsparcia. Pozostawienie wyłączonego VT zmniejsza liczbę scenariuszy wsparcia, w których VT staje się czynnikiem, umożliwiając szybsze rozwiązywanie problemów dla większości klientów, którzy nie zapuścili się na ścieżkę wirtualizacji.

Jedną z rzeczy, które zauważyłem, jest to, że w Windows 7 uruchomienie trybu xp w wersji beta powoduje konflikty ze stacją roboczą vmware, gdy VT jest włączony na moim komputerze. Obaj chcą „zdobyć” rozszerzenie VT, a ponieważ tryb xp pozostawia proces VPC działający nawet po wyjściu, nie „puszcza” VT. Więc kiedy uruchomisz vmware, każda maszyna wirtualna, którą spróbujesz uruchomić, umiera podczas uruchamiania. Wyłączenie rozszerzenia VT w biosie zapobiega takim sytuacjom, ale przy znacznie zmniejszonej wydajności.


źródło
To dość dziwny argument. Co powiesz na telefony od osób narzekających na wyłączenie?
niXar
0

Włączenie Intel VT sprawia, że ​​procesor jest cieplejszy, miałem komputer stacjonarny i laptop, które miały takie zachowanie, zarówno z zapasowymi chłodnicami procesorów. Mam na myśli komputery domowe, ale jest to ta sama funkcja.

Wiem, że AMD-V jest domyślnie włączony, ale nie wiem, czy to sprawia, że ​​procesor jest cieplejszy.

Andrei Silviu Canghizer
źródło
Wątpię, żeby to była prawda. Nie widzę żadnego powodu, dla którego identyczne obciążenie miałoby mierzalną różnicę w zużyciu energii w zależności od tego, czy włączony jest VT. Niektóre programy zachowują się inaczej w zależności od tego, czy VT jest włączony, i oczywiście może to zmienić obciążenie procesora i spowodować zmianę temperatury. Ale nie można winić za to VT, chyba że można przedstawić bardzo mocne dowody.
kasperd
-1

Jestem prawie pewien, że wirtualizacja wspierana sprzętowo NIE ma żadnych kosztów ogólnych, gdy tylko uruchamiasz natywny system operacyjny.

Jedynym powodem, dla którego mogę wymyślić możliwość jego wyłączenia (właściwie nigdy wcześniej o tym nie myślałem), jest to, że niektóre aplikacje / obciążenia mogą w rzeczywistości działać gorzej, gdy HAV jest włączony, niż gdy jest uruchamiany natywnie, z powodu pewnych kosztów ogólnych na przykład w MMU.

Nie martwiłbym się tym w ogóle.

HannesFostie
źródło
Antoine Benkemoun powiedział bardzo dobrze, proszę również przeczytać jego post.
HannesFostie
-2

Wystarczy spojrzeć na Hewlett Packard Proliant DL145 G3 - Serwery.

HP wyłączył HyperVisor (HV) przez BIOS. BIOS-Menue nie pokazuje opcji włączenia tej funkcji. Jedyną odpowiedzią na pytania dotyczące tego problemu jest „ta platforma nie obsługuje wirtualizacji sprzętowej - koniec dyskusji”

Po prostu niemożliwe jest włączenie HV z BIOS-em dostarczonym przez HP.

Jedyne rozwiązanie: Coreboot ... czyli całkowite usunięcie PHOENIX-BIOS z tych płyt i zastąpienie go czymś innym ...

wonea
źródło
1
-1 Pytanie nie dotyczy systemów, w których HV jest całkowicie niedostępny w systemie BIOS. Chodzi o to, dlaczego jest wysyłany wyłączony, nawet jeśli jest dostępny.
śleske