Gibt es gute Gründe, die hardwaregestützte Virtualisierung zu deaktivieren?

25

Vor kurzem gab es eine Reihe von Servern von Dell, bei denen die hardwaregestützte Virtualisierung im BIOS deaktiviert war.

Aus meiner Sicht ist hardwaregestützte Virtualisierung eine gute Sache - warum sollte Dell sie dann deaktivieren? Hat es einen Performance-Overhead, wenn die Maschine nicht als Host für die virtuelle Maschine fungiert? Gibt es irgendwelche Sicherheitsprobleme?

Falls es für Ihre Antworten relevant ist, verwenden wir in erster Linie:

  • Host-Betriebssystem: Windows Server 2003 Enterprise R2 (32-Bit)
  • Gastbetriebssystem: Windows Server 2003 Enterprise R2 (32-Bit)
  • VMM: Virtual Server 2005 Enterprise R2 SP1
security virtualization performance dell Tom Robinson
quelle
Ich habe dies auch mit Dell-Laptops gesehen
Richard Everett
Ich habe neulich über etwas Ähnliches in Bezug auf HP Blade-Server geschrieben - ich konnte auch nicht verstehen, warum sie die Standardeinstellung deaktivieren - verdammt irritierend, nicht wahr!
Chopper3
Können Sie einen Link hinzufügen? Bei der Suche konnte ich keine ähnlichen Fragen finden.
Tom Robinson
Das war eine gute Frage serverfault.com/questions/23518/…
Kara Marfia
3
Es gibt einen universellen Grund, komplexe Systeme / Funktionen wieder zu deaktivieren: Fehlerumgehung. In diesem speziellen Fall kenne ich mindestens einen solchen Fehler. Siehe Ausgabe 734 im "Revisionshandbuch für AMD 15h-Modelle 00h-0Fh-Prozessoren".
Ndemou

Antworten:

15

Der Grund, warum Dell (und Sony usw.) Intel-VT und AMD-V deaktivieren, ist, dass sie es nicht unterstützen können. Das Aktivieren der Funktion würde bedeuten, dass sie Support dafür bereitstellen müsste, was die einfach nicht können, hauptsächlich aufgrund unzureichender Kenntnisse am Supportdesk.

Zumindest hat Sony das so formuliert.

Ich habe versucht, den Grund von Sony-Support-Leuten herauszufinden, und das ist das einzige, was sie mir geben würden. Endlich konnte ich mein BIOS patchen und VT selbst aktivieren.

Was den Rest betrifft, sind Sachen wie Bluepill nicht gerade Mainstream. Soweit ich weiß - und ich arbeite viel mit Virtualisierungsmaterial - gibt es keinen Nachteil, wenn ich es aktiviere. Wenn es allerdings, würde ich wirklich darüber gerne wissen ...

wzzrd
quelle
Zuerst bezweifelte ich diese Antwort. Und ich weiß, dass dieser Beitrag sehr alt ist, aber ich habe einige Nachforschungen angestellt und dies war eigentlich das erste, was ich bei Google gefunden habe. Dies ist tatsächlich zu 100% richtig, da es sich um ein Support-Problem handelt. Die meisten Leute (bis jetzt) ​​müssen ihr BIOS nicht patchen. Anbieter verkaufen im Allgemeinen Server- und Clientgeräte mit dem Ziel, ein natives Betriebssystem zu installieren, nicht einen Hypervisor. Aus diesem Grund deaktivieren sie VT / VTx, um einige der seltsamen Probleme zu vermeiden, die sie theoretisch verursachen können. Insbesondere möchten die Anbieter keine Zeit damit verbringen, Funktionen zu testen, die sie nicht unterstützen.
IceMage
10

Ein sehr guter Grund ist die Sicherheit. Es sind Hacks bekannt, die einen böswilligen Hypervisor zwischen Ihrem Betriebssystem und Ihrer Hardware einfügen. Dies ermöglicht es jedem, Daten auf vollkommen transparente Weise zu erfassen.

Antoine Benkemoun
quelle
2
Sie denken an ein Rootkit wie BluePill. Ich habe mir das nicht im Detail angesehen, aber ich denke, das ist heutzutage kein großes Problem mehr. Ich könnte mich irren, Sie können es einfach nachschlagen, nehme ich an. Gute Hinzufügung, auf jeden Fall etwas, das in Betracht gezogen werden sollte, und ein guter Grund, sie zu deaktivieren, wenn sie nicht verwendet wird.
HannesFostie
2
Hier sind einige weitere Informationen zu BluePill ( en.wikipedia.org/wiki/Blue_Pill_(malware)
Tom Robinson
1
@Anapologetos, nein eigentlich, das ist keine Vorbedingung. Blaue Pille fängt das laufende Betriebssystem in einer virtuellen Maschine ein. Es fügt sich sozusagen unter das Betriebssystem ein. Es wird ein Hypervisor, anstatt einen zu benötigen. Abgesehen davon zielte es laut Wikipedia nur auf Vista ab, aber ich vermute, das Konzept könnte leicht portierbar sein. Immerhin Virtualisierung. Jedenfalls scheint es ziemlich albern, VT wegen Blue Pill nicht zu aktivieren: Soweit ich weiß (obwohl es Open Source ist), ist es nicht in freier Wildbahn und seine Nichterkennbarkeit wird diskutiert.
Wzzrd
Du hast recht, wzzrd. Ich widerrufe meinen Kommentar - ich habe heute Morgen noch keinen Kaffee getrunken! :)
Josh Brower
6

Ich würde raten, dass nicht alle CPUs, die für eine bestimmte Motherboard- und BIOS-Kombination verfügbar sind, VT-Erweiterungen unterstützen. Aus Kompatibilitätsgründen wird es daher im BIOS als deaktiviert ausgeliefert.

Die Zeiten ändern sich und VT ist mittlerweile ziemlich alltäglich. Vielleicht sehen wir eine Veränderung?

Dan Carley
quelle
3

Ich fand dies im Register :

Die Ingenieure und QA-Mitarbeiter von Sony äußerten folgende Besorgnis: "Wenn Sie VT aktivieren, könnten unsere Systeme schädlichem Code ausgesetzt werden, der tief in die Betriebssystemstruktur des PCs eindringt und diesen vollständig deaktiviert."

Tom Robinson
quelle
Sollte das nicht die akzeptierte Antwort sein? Oh , die Worte gehören Sony .......
Pacerier
2

Abhängig von der Virtualisierungsmethode, die Sie verwenden möchten, müssen Sie möglicherweise keine Hardware-Virtualisierungsfunktionen in Intel-VT- und AMD-V-fähigen CPUs aktivieren. Die Verwendung dieser Funktionen ist erforderlich, wenn die Virtualisierungsmethode bei der Installation von unveränderten Betriebssystemen, normalerweise Microsoft Windows, nicht funktioniert.

Bei der Arbeit mit VMware sind die von den Intel-VT- und AMD-V-Chipsätzen hinzugefügten Hardwarevirtualisierungsfunktionen normalerweise nicht erforderlich, da VMware alle erforderlichen Funktionen in sich bereitstellt und dies zu einer Leistungsminderung des virtuellen Servers selbst führen kann.

Bei der Xen-Virtualisierung müssen Sie diese Funktionen verwenden, wenn Sie Windows in nicht privilegierten Gastdomänen (domUs) ausführen und die Installation mit vollständiger Virtualisierung anstelle von Paravirtualisierung durchführen möchten. Nach meiner Erfahrung kann die Aktivierung dieser Funktionen insgesamt noch einen erheblichen Leistungsabfall nach sich ziehen, aber Sie können Windows installieren. Andere Betriebssysteme wie Linux, * BSD und OpenSolaris Ich hatte keine Probleme mit der Installation ohne Hardwarevirtualisierung und sehe eine viel bessere Verbesserung, wenn die Hardwarevirtualisierungsfunktionen deaktiviert sind.

Letztendlich kommt es darauf an, welchen Virtualisierungspfad Sie einschlagen möchten und welche Betriebssysteme Sie installiert sehen. Dies kann der entscheidende Faktor dafür sein, ob Sie sie deaktiviert lassen oder aktivieren möchten.

Jeremy Bouse
quelle
Er geht keinen Virtualisierungspfad, hat den Punkt seiner Frage irgendwie verpasst
HannesFostie,
2

Nachdem Sie in der Dell- Serverunterstützung gearbeitet haben, ist die Funktion auf allen VT-fähigen Servern standardmäßig im BIOS deaktiviert. Sie können sie jedoch einfach aktivieren, wenn Sie sie benötigen.

Sony ist aus den oben genannten Gründen in den Laptops deaktiviert.

Ich habe noch nie einen Server mit vollständig deaktivierten VT / SVM-Funktionen gesehen, so dass Sie ihn nicht mehr aktivieren können.

dyasny
quelle
1

Ich bin vielleicht hinter der Zeit zurück, aber in vielen Fällen mit Dingen wie VMWare macht es tatsächlich viele Dinge langsamer:

VMWare-Whitepaper zum Thema

Kyle Brandt
quelle
Ist das nicht ein Whitepaper von 2006? Darüber hinaus werden die Nachteile bei der eigentlichen Virtualisierung einer Umgebung erörtert, die sich aus dem ergibt, was ich auf den ersten Blick erkennen kann. Auf dem Originalposter werden nur native Workloads ausgeführt.
HannesFostie
Bei VirtualBox wurde festgestellt, dass einige Betriebssysteme viel schneller ausgeführt werden, wenn die Hardwarevirtualisierung deaktiviert ist. Natürlich laufen andere viel schneller, wenn es aktiviert ist! :-)
Brian Knoblauch
Es heißt nicht, dass das Aktivieren von VT die Dinge langsamer macht, es heißt, dass ihre Nicht-VT-Virtualisierung schneller ist als neuere VT-abhängige.
Javier
1

Wie bereits erwähnt, hat dies alles mit Support zu tun. Durch das Deaktivieren von VT wird die Anzahl der Support-Szenarien verringert, in denen VT zu einem Faktor wird. Dies ermöglicht eine schnellere Problemlösung für die Mehrheit der Kunden, die sich nicht auf den Weg der Virtualisierung gemacht haben.

Eine Sache, die ich bemerkt habe, ist, dass in Windows 7 das Ausführen des xp-Modus Beta Konflikte mit VMware Workstation verursacht, wenn VT auf meinem Dell aktiviert ist. Beide möchten die VT-Erweiterung "in den Griff bekommen" und da der XP-Modus einen VPC-Prozess auch nach dem Beenden noch laufen lässt, lässt er die VT nicht "los". Wenn Sie VMware starten, stirbt jede virtuelle Maschine, die Sie ausführen, beim Start. Das Deaktivieren der VT-Erweiterung im BIOS verhindert dies, jedoch mit deutlich verringerter Leistung.


quelle
Das ist ein ziemlich seltsames Argument. Wie wäre es mit den Anrufen der Leute, die sich darüber beschweren, dass sie ausgeschaltet sind?
NiXar
0

Durch die Aktivierung von Intel VT wird die CPU heißer. Ich hatte einen Desktop und einen Laptop mit diesem Verhalten, beide mit Standard-CPU-Kühlern. Ich beziehe mich auf Heimcomputer, aber es ist die gleiche Funktion.

Ich weiß, dass AMD-V standardmäßig aktiviert ist, aber ich weiß nicht, ob es die CPU heißer macht.

Andrei Silviu Canghizer
quelle
Ich bezweifle, dass das stimmt. Ich sehe keinen Grund, warum eine identische Arbeitslast einen messbaren Unterschied im Stromverbrauch haben würde, abhängig davon, ob VT aktiviert ist. Manche Software verhält sich anders, je nachdem, ob VT aktiviert ist, und dies kann natürlich die Arbeitslast auf der CPU ändern und eine Temperaturänderung verursachen. Aber VT kann nicht dafür verantwortlich gemacht werden, wenn nicht sehr starke Beweise vorgelegt werden können.
Kasperd
-1

Ich bin mir ziemlich sicher, dass die hardwaregestützte Virtualisierung KEINEN Overhead verursacht, wenn Sie nur ein natives Betriebssystem ausführen.

Der einzige Grund, warum ich mir vorstellen kann, es zu deaktivieren (darüber habe ich eigentlich noch nie nachgedacht), ist, dass bestimmte Anwendungen / Workloads bei aktiviertem HAV aufgrund eines gewissen Overheads tatsächlich schlechter laufen könnten als bei der nativen Ausführung in der MMU zum Beispiel.

Ich würde mir darüber überhaupt keine Sorgen machen.

HannesFostie
quelle
Antoine Benkemoun machte einen sehr guten Punkt, lesen Sie bitte auch seinen Beitrag.
HannesFostie
-2

Schauen Sie sich einfach die Hewlett Packard Proliant DL145 G3 - Server an.

HP hat den HyperVisor (HV) vom BIOS deaktiviert. Das BIOS-Menü zeigt keine Option an, um diese Funktion zu aktivieren. Die einzige Antwort auf Fragen zu diesem Problem lautet "Diese Plattform unterstützt keine Hardware-Virtualisierung - Ende der Diskussion".

Es ist einfach unmöglich, HV mit dem von HP bereitgestellten BIOS zu aktivieren.

Die einzige Lösung: Coreboot ... das heißt, das PHOENIX-BIOS vollständig von diesen Boards zu löschen und es durch etwas anderes zu ersetzen ...

wonea
quelle
1
-1 Die Frage bezieht sich nicht auf Systeme, auf denen HV im BIOS nicht verfügbar ist. Es geht darum, warum es deaktiviert ausgeliefert wird, obwohl es verfügbar ist.
sleske