94 votes

Pourquoi les systèmes désactivent-ils généralement la virtualisation par défaut dans les paramètres du BIOS ?

Je n'ai pas encore vu un système dont la configuration par défaut permet la virtualisation des MMU et des E/S dirigées. Il est souvent nécessaire de redémarrer et d'entrer dans le BIOS pour l'activer si vous voulez, par exemple, un support 64 bits pour vos VM.

Y a-t-il une sorte de surcharge importante du processeur qui se produit si cette fonction est activée et que vous n'utilisez pas la virtualisation ? Si ce n'est pas le cas, quelle est la raison pour laquelle cette fonction est désactivée par défaut ?

58voto

MDMarra Points 99815

Il y avait quelques rootkits de preuve de concept comme Pilule bleue il y a quelque temps qui pouvait posséder un système avec VT activé. Après cette découverte, la plupart des fournisseurs ont commencé à livrer leurs unités avec VT désactivé par mesure de sécurité générale.

8 votes

+1 Les personnes qui utilisent la VT sur un ordinateur de bureau/portable sont l'exception. Cette machine est susceptible d'être infectée par des virus, c'est la règle.

1 votes

J'ai soudain des doutes sur cette nouvelle machine de développement puissante et brillante que j'ai construite et qui fait tourner un certain nombre de machines virtuelles avec la virtualisation matérielle activée. Je n'ai pas besoin Je pense que cela me fera gagner du temps à long terme de ne pas avoir à refaire le revêtement tous les deux mois. Quelle est l'ampleur du problème ?

3 votes

Pratiquement inexistante (à la date de ce commentaire). La pilule bleue était une preuve de concept. Je n'ai pas connaissance de quoi que ce soit de semblable dans la nature.

7voto

Sirch Points 5617

Toutes les lames de serveur que nous achetons ont la virtualisation activée par défaut. C'est peut-être parce que notre fournisseur a pris la décision commerciale de le faire pour éviter de nombreux appels au support.

Il n'est pas désactivé à cause d'un problème de processeur, mais en fonction de l'usage qui en est fait. Elle peut être désactivée par défaut, car l'activation de ces fonctions peut affecter l'accès aux périphériques.

6 votes

Quel est l'impact sur l'accès périphérique ? Je n'ai jamais entendu cela auparavant.

0 votes

Parlez-vous de VT-d lorsque vous mentionnez l'accès périphérique ?

0 votes

Non, c'était MMU... Je me souviens que quelqu'un en a parlé récemment. Quelque chose à voir avec Rasberry Pi.

4voto

Balmipour Points 264

Notez que selon cet autre fil de discussion, il semble également avoir un certain impact sur les performances https://superuser.com/questions/545101/why-does-hp-recommend-that-i-keep-hardware-virtualization-off

Cela me semble pertinent, car un ensemble réduit d'instructions est plus efficace. Je n'aurais pas pensé que la modification d'une option du BIOS pouvait avoir un effet direct sur ce point.

Je n'ai aucune idée si l'impact est significatif ou non, mais compte tenu de cela et de la faille potentielle de sécurité, avoir une fonction aussi rarement utilisée désactivée par défaut me semble être un bon choix.

3 votes

Le point de vue de l'efficacité, tel qu'il ressort de la réponse, n'a aucun sens. Le cache d'instructions contient les instructions d'un logiciel. Si le programme n'utilise pas d'instructions de virtualisation, il n'y a aucun effet sur ce cache. En outre, rien n'indique qu'il existe une unité d'exécution distincte qui gère la virtualisation ou une partie du décodeur d'instructions qui peut être contournée, de sorte qu'il ne devrait y avoir aucune différence d'efficacité dans un sens ou dans l'autre.

1voto

JRun Points 271

Une autre raison est que la plupart des fonctions du noyau de l'utilisateur (comme gettimeofday) sont déplacées dans VDSO.

Parfois, sous la virtualisation, ce chemin rapide ne peut pas être activé.

donc le système ne peut pas :

obtenir l'exécution rapide de ces fonctions

éviter le passage coûteux de l'espace utilisateur au noyau et le retour.

0 votes

0voto

shodanshok Points 42743

En plus des problèmes de sécurité soulevés dans la réponse de @MDMarra, vous devez prendre en compte deux points supplémentaires :

  1. toute fonctionnalité activée et facultative a une faible probabilité d'avoir des interactions désagréables et inattendues avec d'autres fonctionnalités, nécessitant une validation supplémentaire. Fournisseurs de PC déteste de dépenser des ressources pour des fonctions rarement utilisées, et la virtualisation côté client en fait partie.

  2. Je suspecte fortement qu'en raison du #1, le blob firmware/BIOS du client de base d'Intel a VT désactivé. Ainsi, tout fournisseur qui livre un client compatible VT doit personnaliser cette option lors de la préparation de son firmware.

Cela dit, nous sommes maintenant en 2019 ; je vois davantage de clients dont la VT est activée par défaut. Les serveurs sont une question entièrement différente : Non seulement je trouve toujours le VT activé, mais le VT-d est aussi souvent actif.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X