KVM

出自 ArchWiki

相关文章

KVM基于内核的虚拟机,是一个内置于 Linux 内核的虚拟机监控器。它的目的与 Xen 类似,但运行起来要简单得多。与使用模拟的原生 QEMU 不同,KVM 是 QEMU 的一种特殊操作模式,它使用 CPU 扩展 (HVM) 通过内核模块进行虚拟化。

使用 KVM,可以运行多个虚拟机,这些虚拟机可以运行未经修改的 GNU/Linux、Windows 或任何其他操作系统。(有关更多信息,请参阅 访客支持状态。)每个虚拟机都拥有私有的虚拟化硬件:网卡、磁盘、显卡等。

KVM 与 XenVMware 或 QEMU 之间的差异可以在 KVM 常见问题解答 中找到。

本文不涵盖使用 KVM 作为后端的多个模拟器共有的功能。您应该查看相关文章以获取此类信息。

检查 KVM 支持

硬件支持

KVM 要求虚拟机主机的处理器具有虚拟化支持(Intel 处理器称为 VT-x,AMD 处理器称为 AMD-V)。您可以使用以下命令检查您的处理器是否支持硬件虚拟化

$ LC_ALL=C.UTF-8 lscpu | grep Virtualization

或者

$ grep -E --color=auto 'vmx|svm|0xc0f' /proc/cpuinfo

如果在运行任一命令后未显示任何内容,则表示您的处理器支持硬件虚拟化,并且您将无法使用 KVM。

注意: 您可能需要在 BIOS 中启用虚拟化支持。最近 10 年 AMD 和 Intel 生产的所有 x86_64 处理器都支持虚拟化。如果看起来您的处理器不支持虚拟化,则几乎可以肯定是在 BIOS 中关闭了它。

内核支持

Arch Linux 内核提供了支持 KVM 所需的内核模块

  • 可以使用以下命令检查内核中是否提供了必要的模块 kvm 以及 kvm_amdkvm_intel
$ zgrep CONFIG_KVM= /proc/config.gz

只有当模块设置为 ym 时才可用。

  • 然后,确保内核模块自动加载,使用以下命令
$ lsmod | grep kvm
kvm_intel             245760  0
kvmgt                  28672  0
mdev                   20480  2 kvmgt,vfio_mdev
vfio                   32768  3 kvmgt,vfio_mdev,vfio_iommu_type1
kvm                   737280  2 kvmgt,kvm_intel
irqbypass              16384  1 kvm

如果命令没有返回任何内容,则需要手动加载模块;请参阅 内核模块#手动模块处理

提示: 如果 kvm_intelkvm_amd 的模块探测失败,但 kvm 的模块探测成功,并且 lscpu 声称支持硬件加速,请检查 BIOS 设置。一些供应商,尤其是笔记本电脑供应商,默认情况下禁用这些处理器扩展。要确定是没有硬件支持还是在 BIOS 中禁用了扩展,失败的模块探测后 dmesg 的输出会说明。

使用 Virtio 进行半虚拟化

半虚拟化为访客使用主机上的设备提供了一种快速高效的通信方式。KVM 使用 Virtio API 作为虚拟机监控器和访客之间的层,为虚拟机提供半虚拟化设备。

所有 Virtio 设备都有两个部分:主机设备和访客驱动程序。

内核支持

在虚拟机内部使用以下命令检查内核中是否提供了 VIRTIO 模块

$ zgrep VIRTIO /proc/config.gz

然后,检查内核模块是否使用以下命令自动加载

$ lsmod | grep virtio

如果以上命令没有返回任何内容,您需要手动加载内核模块

半虚拟化设备列表

  • 网络设备 (virtio-net)
  • 块设备 (virtio-blk)
  • 控制器设备 (virtio-scsi)
  • 串行设备 (virtio-serial)
  • 气球设备 (virtio-balloon)

如何使用 KVM

请参阅主文章:QEMU

技巧与提示

注意: 有关一般技巧和提示,请参阅 QEMU#技巧与提示QEMU#故障排除

嵌套虚拟化

嵌套虚拟化使现有虚拟机能够在第三方虚拟机监控器和其他云上运行,而无需对原始虚拟机或其网络进行任何修改。

在主机上,为 kvm_intel 启用嵌套功能

注意: AMD 也可以这样做,只需在必要时将 intel 替换为 amd
# modprobe -r kvm_intel
# modprobe kvm_intel nested=1

使其永久生效(请参阅 内核模块#设置模块选项

/etc/modprobe.d/kvm_intel.conf
options kvm_intel nested=1

验证功能是否已激活

$ cat /sys/module/kvm_intel/parameters/nested
Y

启用“host passthrough”模式以将所有 CPU 功能转发到访客系统

  1. 如果使用 QEMU,请使用以下命令运行访客虚拟机:qemu-system-x86_64 -enable-kvm -cpu host
  2. 如果使用 virt-manager,请将 CPU 型号更改为 host-passthrough
  3. 如果使用 virsh,请使用 virsh edit vm-name 并将 CPU 行更改为 <cpu mode='host-passthrough' check='partial'/>

启动虚拟机并检查 vmx 标志是否存在

$ grep -E --color=auto 'vmx|svm' /proc/cpuinfo

启用巨页

本文或章节是与 QEMU 合并的候选对象。

注释: qemu-kvm 不再存在。在上述问题解决后,我建议将本节合并到 QEMU 中。(在 Talk:KVM 中讨论)

您可能还想启用巨页以提高虚拟机的性能。使用最新的 Arch Linux 和正在运行的 KVM,您可能已经拥有所需的一切。检查您是否具有目录 /dev/hugepages。如果没有,请创建它。现在我们需要正确的权限才能使用此目录。默认权限是 root 的 uid 和 gid,权限为 0755,但我们希望 kvm 组中的任何人都可以访问巨页。

添加到您的 /etc/fstab

/etc/fstab
hugetlbfs       /dev/hugepages  hugetlbfs       mode=01770,gid=kvm        0 0

您可以直接使用 gid=kvm 指定组名,当然也可以将 gid 指定为数字,但它必须与 kvm 组匹配。1770 模式允许组中的任何人创建文件,但不允许取消链接或重命名彼此的文件。确保 /dev/hugepages 已正确挂载

# umount /dev/hugepages
# mount /dev/hugepages
$ mount | grep huge
hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime,mode=1770,gid=78)

现在您可以计算您需要多少巨页。检查您的巨页有多大

$ grep Hugepagesize /proc/meminfo

通常应该是 2048 kB ≙ 2 MB。假设您想使用 1024 MB 运行虚拟机。1024 / 2 = 512。添加一些额外的,以便我们可以将其四舍五入到 550。现在告诉您的机器您想要多少巨页

# sysctl -w vm.nr_hugepages=550

如果您有足够的可用内存,您应该看到

$ grep HugePages_Total /proc/meminfo
HugesPages_Total:  550

如果数字较小,请关闭一些应用程序或以较少的内存启动虚拟机(number_of_pages x 2)

$ qemu-system-x86_64 -enable-kvm -m 1024 -mem-path /dev/hugepages -hda <disk_image> [...]

请注意 -mem-path 参数。这将利用巨页。

现在您可以检查,在您的虚拟机运行时,使用了多少页

$ grep HugePages /proc/meminfo
HugePages_Total:     550
HugePages_Free:       48
HugePages_Rsvd:        6
HugePages_Surp:        0

现在一切似乎都正常工作,您可以根据需要默认启用巨页。添加到您的 /etc/sysctl.d/40-hugepage.conf

/etc/sysctl.d/40-hugepage.conf
vm.nr_hugepages = 550

参见

安全启动

本文或章节是与 QEMU#启用安全启动 合并的候选对象。

注释: 这不是 KVM 特有的,并且是对那里已描述内容的很好的补充。(在 Talk:KVM 中讨论)

KVM 安全启动在启用之前有一些要求

  1. 您必须使用编译了安全启动支持的 UEFI。
  2. UEFI 必须已注册密钥。
注意: 与 Fedora 等发行版不同,Arch Linux 目前没有安全启动密钥。如果您打算安全启动 Arch Linux,您必须创建自己的签名密钥并在执行以下步骤后对您的内核进行签名。有关更多信息,请参阅 统一可扩展固件接口/安全启动

要启用具有安全启动支持的 UEFI,请安装 edk2-ovmf 并将您的虚拟机设置为使用启用安全启动的 UEFI。如果您正在使用 libvirt,您可以通过将以下内容添加到虚拟机的 XML 配置中来执行此操作。

<os firmware="efi">
  <loader readonly="yes" secure="yes" type="pflash">/usr/share/edk2/x64/OVMF_CODE.secboot.4m.fd</loader>
</os>

接下来,您需要注册一些密钥。在此示例中,我们将注册 Microsoft 和 Redhat 的安全启动密钥。安装 virt-firmware 并运行以下命令。将 vm_name 替换为您的虚拟机的名称。

$ virt-fw-vars --input /var/lib/libvirt/qemu/nvram/vm_name_VARS.fd --output /var/lib/libvirt/qemu/nvram/vm_name_SECURE_VARS.fd --secure-boot --enroll-redhat

然后编辑虚拟机的 libvirt XML 配置以指向新的 VARS 文件。

<os firmware="efi">
  <loader readonly="yes" secure="yes" type="pflash">/usr/share/edk2/x64/OVMF_CODE.secboot.4m.fd</loader>
  <nvram template="/usr/share/edk2/x64/OVMF_VARS.4m.fd">/var/lib/libvirt/qemu/nvram/{vm-name}_SECURE_VARS.fd</nvram>
</os>

在此之后,安全启动应自动启用。您可以通过在看到 UEFI 启动徽标时按 F2 进入虚拟机的 BIOS 来仔细检查。

参见

检索自“https://wiki.archlinux.org.cn/index.php?title=KVM&oldid=824661