Y a-t-il de bonnes raisons de désactiver la virtualisation assistée par matériel?

25

Récemment, nous avons eu un certain nombre de serveurs Dell, qui ont tous désactivé la virtualisation assistée par matériel dans le BIOS.

Pour autant que je sache, la virtualisation assistée par matériel est une bonne chose - alors pourquoi Dell la désactiverait-elle? Y a-t-il un surcoût de performances si la machine n'agit pas comme hôte de machine virtuelle? Y a-t-il des problèmes de sécurité?

Dans le cas où cela est pertinent pour vos réponses, nous utiliserons principalement:

  • Système d'exploitation hôte: Windows Server 2003 Enterprise R2 (32 bits)
  • Système d'exploitation invité: Windows Server 2003 Enterprise R2 (32 bits)
  • VMM: Virtual Server 2005 Enterprise R2 SP1
security virtualization performance dell Tom Robinson
la source
J'ai également vu cela avec les ordinateurs portables Dell
Richard Everett
J'ai posté quelque chose de similaire l'autre jour concernant les serveurs lames HP - je ne voyais pas pourquoi ils le désactivaient non plus - ce n'est vraiment pas irritant!
Chopper3
Pouvez-vous ajouter un lien? Je n'ai trouvé aucune question similaire lors de ma recherche.
Tom Robinson
C'était une bonne question serverfault.com/questions/23518/…
Kara Marfia
3
Il existe une raison universelle pour désactiver de manière réactive des systèmes / fonctions complexes: contourner les bogues. Dans ce cas particulier, je connais au moins un de ces bogues. Consultez le numéro 734 dans le "Guide de révision des processeurs AMD de la famille 15h modèles 00h-0Fh".
ndemou

Réponses:

16

La raison pour laquelle Dell (et Sony, etc.) désactivent Intel-VT et AMD-V est qu'ils ne peuvent pas le prendre en charge. L'activation de la fonctionnalité signifierait qu'ils devraient fournir un support, ce que le ne peut tout simplement pas faire, en raison de connaissances insuffisantes au support, principalement.

C'est du moins ainsi que Sony l'a formulé.

J'ai essayé de chercher la raison des gars du support Sony et c'est la seule chose qu'ils me donneraient. J'ai finalement pu patcher mon BIOS et activer moi-même le VT.

Pour le reste, des trucs comme Bluepill ne sont pas vraiment grand public. Et pour autant que je sache - et je travaille beaucoup avec la virtualisation - il n'y a aucun inconvénient à l'activer. Si c'est le cas, j'aimerais vraiment le savoir ...

wzzrd
la source
Au début, je doutais de cette réponse. Et je sais que ce post est extrêmement ancien, mais je faisais des recherches et c'était en fait la première chose que j'ai trouvée sur Google. C'est en fait 100% correct, car c'est un problème de support. La plupart des gens (à ce jour) n'auront pas à patcher leur BIOS. Les fournisseurs vendent généralement l'équipement serveur et client dans le but d'installer un système d'exploitation natif, pas un hyperviseur. Pour cette raison, ils désactivent VT / VTx afin d'éviter certains des problèmes étranges qu'ils peuvent théoriquement causer. Plus précisément, les fournisseurs ne veulent pas passer de temps à tester des fonctionnalités qu'ils ne prennent pas en charge.
IceMage
10

Une très bonne raison est la sécurité. Il existe des hacks connus qui insèrent un hyperviseur malveillant entre votre système d'exploitation et votre matériel. Cela permet à quiconque de capturer des données de manière parfaitement transparente.

Antoine Benkemoun
la source
2
Vous pensez à un rootkit tel que BluePill. Bien que je n'ai pas examiné cela en détail, je pense que ce n'est plus vraiment un problème de nos jours. Je peux me tromper, vous pouvez simplement le rechercher, je suppose. Bon ajout de toute façon, certainement quelque chose à considérer et une raison suffisante pour le désactiver s'il n'est pas utilisé.
HannesFostie
2
Voici quelques informations supplémentaires sur BluePill - en.wikipedia.org/wiki/Blue_Pill_(malware)
Tom Robinson
1
@Anapologetos, non en fait, ce n'est pas un pré-requis. La pilule bleue piège le système d'exploitation en cours d'exécution dans une machine virtuelle. Il s'insère sous le système d'exploitation, pour ainsi dire. Il devient un hyperviseur plutôt que d'en avoir besoin. En dehors de cela, selon wikipedia, il ne visait que Vista, mais je suppose que le concept pourrait être facilement portable. C'est la virtualisation, après tout. Quoi qu'il en soit, ne pas activer la VT à cause de Blue Pill semble plutôt idiot: ce n'est pas dans la nature pour autant que je sache (bien qu'il soit open source) et son indétectabilité est débattue.
wzzrd le
Vous avez raison, wzzrd. J'annule mon commentaire - je n'ai pas encore pris mon café ce matin! :)
Josh Brower
6

Je suppose que tous les processeurs disponibles pour une combinaison de carte mère et de BIOS ne prennent pas en charge les extensions VT. Donc, ils le livrent comme désactivé dans le BIOS pour des raisons de compatibilité.

Les temps changent et la TV devient un lieu assez courant maintenant. Alors peut-être verrons-nous un changement?

Dan Carley
la source
3

Je l'ai trouvé sur le registre :

Les ingénieurs de Sony et les responsables de l'assurance qualité étaient: "Très préoccupés par le fait que l'activation de VT exposerait nos systèmes à un code malveillant qui pourrait pénétrer très profondément dans la structure du système d'exploitation du PC et désactiver complètement ce dernier."

Tom Robinson
la source
Cela ne devrait-il pas être la réponse acceptée? Oh , les mots appartiennent à Sony .......
Pacerier
2

Selon la méthode de virtualisation que vous envisagez d'utiliser, vous n'aurez peut-être pas besoin d'activer les fonctionnalités de virtualisation matérielle dans les processeurs compatibles Intel-VT et AMD-V. Lorsque vous devez utiliser ces fonctionnalités, c'est lorsque la méthode de virtualisation ne peut pas fonctionner lors de l'installation de systèmes d'exploitation non modifiés, généralement Microsoft Windows.

Lorsque vous travaillez avec VMware, les fonctionnalités de virtualisation matérielle ajoutées par les chipsets Intel-VT et AMD-V sont généralement inutiles car VMware fournit toutes les fonctionnalités nécessaires en lui-même et peut entraîner une dégradation des performances du serveur virtuel lui-même.

Avec la virtualisation Xen, vous devrez utiliser ces fonctionnalités si vous avez l'intention d'exécuter Windows dans les domaines invités non privilégiés (domU) et d'installer en utilisant la virtualisation complète plutôt que la para-virtualisation. D'après mon expérience, l'activation de ces fonctionnalités peut montrer une dégradation globale des performances dans l'ensemble, même si cela vous permettra d'installer Windows. D'autres systèmes d'exploitation comme Linux, * BSD et OpenSolaris n'ont eu aucun problème d'installation sans virtualisation matérielle et voient une bien meilleure amélioration lorsque les fonctionnalités de virtualisation matérielle sont désactivées.

En fin de compte, cela se résume à la voie de virtualisation que vous envisagez de prendre et aux systèmes d'exploitation que vous voyez en cours d'installation qui peuvent être le facteur déterminant pour le laisser désactivé ou continuer et l'activer.

Jeremy Bouse
la source
Il ne prend aucun chemin de virtualisation, a raté le point de sa question
HannesFostie
2

Ayant travaillé dans la prise en charge des serveurs Dell, tous les serveurs compatibles VT ont la fonctionnalité désactivée dans le BIOS par défaut, mais il est facile à activer si vous en avez besoin.

Quant à Sony - ils l'ont désactivé dans les ordinateurs portables, pour les raisons indiquées ci-dessus.

Je n'ai jamais vu un serveur avec des capacités VT / SVM complètement désactivées, au point que vous ne pouvez pas l'activer.

Dyasny
la source
1

Je suis peut-être en retard, mais dans de nombreux cas avec des choses comme VMWare, cela ralentit beaucoup les choses:

Livre blanc VMWare sur le sujet

Kyle Brandt
la source
N'est-ce pas ce livre blanc de 2006? De plus, il discute des inconvénients lors de la virtualisation d'un environnement à partir de ce que je pourrais dire à première vue. L'affiche originale exécutera uniquement des charges de travail natives.
HannesFostie
A remarqué avec VirtualBox que certains OS s'exécutent beaucoup plus rapidement si la virtualisation matérielle est désactivée. Bien sûr, d'autres s'exécutent beaucoup plus rapidement avec cette fonction activée! :-)
Brian Knoblauch
cela ne dit pas que l'activation de la TV ralentit les choses, elle dit que leur virtualisation non-TV est plus rapide que les plus récentes dépendantes de la TV.
Javier
1

Comme mentionné ci-dessus, tout est lié au support. Laisser VT désactivé réduit le nombre de scénarios de support où VT devient un facteur, permettant une résolution plus rapide des problèmes pour la majorité des clients qui ne se sont pas aventurés sur la voie de la virtualisation.

Une chose que j'ai notée est que dans Windows 7, l'exécution de la version bêta du mode xp provoque des conflits avec la station de travail vmware lorsque VT est activé sur ma Dell. Les deux veulent "mettre la main sur" l'extension VT et comme le mode xp laisse un processus VPC s'exécuter même après avoir quitté, il ne "lâche pas" le VT. Ainsi, lorsque vous lancez vmware, toute machine virtuelle que vous essayez d'exécuter meurt au démarrage. La désactivation de l'extension VT dans le BIOS empêche cela de se produire, mais avec des performances nettement réduites.


la source
C'est un argument assez étrange. Qu'en est-il des appels des gens qui se plaignent que cela soit désactivé?
niXar
0

L'activation d'Intel VT rend le processeur plus chaud, j'ai eu un ordinateur de bureau et un ordinateur portable qui ont eu ce comportement, à la fois avec des refroidisseurs de CPU d'origine. Je fais référence aux ordinateurs personnels, mais c'est la même fonctionnalité.

Je sais que AMD-V est activé par défaut, mais je ne sais pas si cela rend le processeur plus chaud.

Andrei Silviu Canghizer
la source
Je doute que ce soit vrai. Je ne vois aucune raison pour laquelle une charge de travail identique aurait une différence mesurable dans la consommation d'énergie selon que VT est activé. Certains logiciels se comporteront différemment selon que VT est activé ou non, ce qui peut bien sûr modifier la charge de travail sur le CPU et entraîner une modification de la température. Mais VT ne peut pas être blâmé pour cela à moins que des preuves très solides puissent être fournies.
kasperd
-1

Je suis quasiment sûr que la virtualisation assistée par matériel n'a pas de surcharge lorsque vous exécutez simplement un système d'exploitation natif.

La seule raison pour laquelle je peux penser à avoir la possibilité de le désactiver (je n'y avais jamais pensé auparavant, en fait) est que certaines applications / charges de travail pourraient en fait être plus mauvaises lorsque le HAV est activé que lorsqu'elles sont exécutées en mode natif, en raison de certains frais généraux dans la MMU par exemple.

Je ne m'en inquiéterais pas du tout.

HannesFostie
la source
Antoine Benkemoun a fait une très bonne remarque, veuillez également lire son article.
HannesFostie
-2

Jetez un œil à Hewlett Packard Proliant DL145 G3 - Serveurs.

HP a désactivé l'HyperVisor (HV) par le BIOS. Le BIOS-Menue n'affiche pas d'option pour activer cette fonction. La seule réponse aux questions concernant ce problème est "cette plate-forme ne prend pas en charge la virtualisation matérielle - fin de la discussion"

Il est tout simplement impossible d'activer HV avec le BIOS fourni par HP.

La seule solution: Coreboot ... qui consiste à effacer complètement le PHOENIX-BIOS de ces cartes et à le remplacer par autre chose ...

wonea
la source
1
-1 La question ne concerne pas les systèmes où HV est complètement indisponible dans le BIOS. C'est pourquoi il est expédié désactivé, même s'il est disponible.
sleske