Vraag Waarom schakelen systemen over het algemeen virtualisatie standaard uit in de BIOS-instellingen?


Ik moet nog een systeem zien waarvan de standaardconfiguratie MMU en gerichte I / O-virtualisatie mogelijk maakt. Vaak is het nodig om opnieuw te starten en naar het BIOS te gaan om het in te schakelen als je bijvoorbeeld 64-bit-ondersteuning op je VM's wilt.

Is er een aanzienlijke overhead van de processor die optreedt als deze is ingeschakeld en u geen virtualisatie gebruikt? Zo niet, wat is dan de reden dat het standaard is uitgeschakeld?


73
2018-05-17 13:16


oorsprong




antwoorden:


Er waren een aantal proof-of-concept rootkits zoals Blue Pill die een systeem met VT aan hadden. Na deze ontdekking begonnen de meeste verkopers hun eenheden te verzenden met VT uitgeschakeld als algemene veiligheidsmaatregel.


48
2018-05-17 13:27



+1 Mensen die VT gebruiken op een desktop / laptop vormen de uitzondering. Die machine die vatbaar is voor virii is de regel. - Chris S
Ik heb plotseling een tweede gedachte over deze glimmende, nieuwe krachtige dev-machine die ik heb gebouwd en waarop een groot aantal VM's draait met hardware-virtualisatie ingeschakeld. Ik niet nodig hebben virtualisatie, maar ik denk dat het me op den duur tijd zou besparen om het niet om de paar maanden opnieuw te moeten uitvoeren. Hoe groot is dit probleem? - Paperjam
Vrijwel niet-bestaand (vanaf deze opmerking). Blue Pill was een proof of concept. Ik ben me niet bewust van zoiets als dit in het wild. - MDMarra
Hier volgt de Microsoft-evaluatie van het beveiligingsprobleem, inclusief de aanbeveling om standaard VT uit te schakelen op clientrolsystemen: msdn.microsoft.com/en-us/windows/hardware/gg463498.aspx - Jpsy
Het papier van Microsoft is niet langer beschikbaar op hun website, maar u kunt het op de Internetarchief als je wilt. - Josh Kelley


Alle blades die we kopen hebben virtualisatie standaard ingeschakeld, omdat ik denk dat onze leverancier een commerciële beslissing heeft genomen om dit te doen om zo veel ondersteuningsgesprekken te besparen.

Het is niet uitgeschakeld vanwege een processor hit, maar afhankelijk van waar het voor wordt gebruikt, is de reden dat het standaard uitgeschakeld is, dat het inschakelen van deze functies perifere toegang kan bewerkstelligen.


5
2018-05-17 13:24



Welke randapparatuurtoegang kan dit beïnvloeden? Ik heb dat nog nooit eerder gehoord. - MDMarra
Heeft u het over VT-d toen u de toegang periferie noemde? - Zoredache
Nee, het was MMU ... Ik herinner me dat iemand er onlangs over aan het rodelen was. Iets te maken met Rasberry Pi. - Sirch


Merk op dat volgens deze andere thread, het ook enige invloed lijkt te hebben op uitvoeringen https://superuser.com/questions/545101/why-does-hp-recommend-that-i-keep-hardware-virtualization-off

Het lijkt me relevant, omdat een beperkt aantal instructies efficiënter is. Ik had gewoon niet gedacht dat het wijzigen van een BIOS-optie dit direct zou kunnen beïnvloeden.

Ik heb geen idee of de impact significant is of niet, maar gezien deze en de zwakke punten in de beveiliging, lijkt een standaardfunctie die ik zelden gebruik, voor mij een goede keuze.


2
2017-07-22 09:52



De efficiëntiehoek van het gekoppelde antwoord heeft geen zin. De instructiecache bevat instructies voor een softwareprogramma. Als het programma geen virtualisatie-instructies gebruikt, is er geen effect op die cache. Verder is er geen rapport dat er een afzonderlijke uitvoeringseenheid is die de virtualisatie of een deel van de instructiedecoder behandelt die kan worden omzeild, dus er zou geen efficiëntieverschil zijn. - Nimrod


een andere reden is dat de meeste gebruikerskernelfunctie (zoals gettimeofday) in VDSO wordt verplaatst.

soms onder virtualisatie kan dit snelle pad niet worden ingeschakeld.

dus het systeem kan niet:

krijgen de snelle uitvoering van deze functies

vermijd dure switch van userland naar kernel en return


1
2017-08-27 12:36



bert-hubert.blogspot.com/2017/03/... - Massimo