私は Proxmox とその上でいくつかの VM を実行しています。すべてのサービスに対して SSL オフロードを処理する nginx プロキシを設定したいと考えています。VM の 1 つで実行すると、ホストで直接実行する場合と比べて、ハードウェアベースの暗号化が行われず、パフォーマンスに重大な影響が出るのではないかと考えています。ホストで
表示すると/proc/cpuinfo、次のエントリが表示されます。
processor : 0
vendor_id : AuthenticAMD
cpu family : 23
model : 113
model name : AMD Ryzen 5 3600 6-Core Processor
stepping : 0
microcode : 0x8701021
cpu MHz : 3352.873
cache size : 512 KB
physical id : 0
siblings : 12
core id : 6
cpu cores : 6
apicid : 13
initial apicid : 13
fpu : yes
fpu_exception : yes
cpuid level : 16
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm constant_tsc rep_good nopl nonstop_tsc cpuid extd_apicid aperfmperf pni pclmulqdq monitor ssse3 fma cx16 sse4_1 sse4_2 movbe popcnt aes xsave avx f16c rdrand lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw ibs skinit wdt tce topoext perfctr_core perfctr_nb bpext perfctr_llc mwaitx cpb cat_l3 cdp_l3 hw_pstate sme ssbd mba sev ibpb stibp vmmcall fsgsbase bmi1 avx2 smep bmi2 cqm rdt_a rdseed adx smap clflushopt clwb sha_ni xsaveopt xsavec xgetbv1 xsaves cqm_llc cqm_occup_llc cqm_mbm_total cqm_mbm_local clzero irperf xsaveerptr wbnoinvd arat npt lbrv svm_lock nrip_save tsc_scale vmcb_clean flushbyasid decodeassists pausefilter pfthreshold avic v_vmsave_vmload vgif umip rdpid overflow_recov succor smca
bugs : sysret_ss_attrs spectre_v1 spectre_v2 spec_store_bypass
bogomips : 7187.19
TLB size : 3072 4K pages
clflush size : 64
cache_alignment : 64
address sizes : 43 bits physical, 48 bits virtual
power management: ts ttp tm hwpstate cpb eff_freq_ro [13] [14]
/proc/cpuinfoVM ではフラグが大幅に少なく表示され、つまりaesフラグも欠落しています。
processor : 5
vendor_id : AuthenticAMD
cpu family : 15
model : 6
model name : Common KVM processor
stepping : 1
microcode : 0x1000065
cpu MHz : 3593.248
cache size : 512 KB
physical id : 0
siblings : 6
core id : 5
cpu cores : 6
apicid : 5
initial apicid : 5
fpu : yes
fpu_exception : yes
cpuid level : 13
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx lm rep_good nopl cpuid extd_apicid tsc_known_freq pni cx16 x2apic hypervisor cmp_legacy 3dnowprefetch vmmcall
bugs : fxsave_leak sysret_ss_attrs swapgs_fence spectre_v1 spectre_v2
bogomips : 7186.49
TLB size : 1024 4K pages
clflush size : 64
cache_alignment : 64
address sizes : 40 bits physical, 48 bits virtual
power management:
答え1
いくつかテストを行った後、自分の質問に答えます。私のセットアップ: いくつかの VM と LXC コンテナーを備えた proxmox ボックス。最初は、VM の 1 つにプロキシを設定しました。仮想化プロセッサではパフォーマンスが大幅に低下しました。プロキシを proxmox 上の LXC コンテナーに配置し、仮想化の KVM レイヤーを削除した後、proxmox に 7GB の iso をアップロードしてみました。速度は非常に速く、nginx ワーカー プロセスは 1 つのコアの 50% を使用しましたが、VM 内では、nginx ワーカー プロセスは 1 つのコア全体を占有し、速度は数倍遅くなりました。
編集:
これは、proxmox のデフォルトの CPU タイプ - を選択した場合にのみ当てはまりますkvm64。さらに調べたところ、これはデフォルトで行われ、異なる CPU タイプを持つ可能性のある別のホストへのライブ VM 移行を可能にするために行われていることがわかりました。KVM エミュレートされた CPU にはフラグが少ないですが、どこでも動作することが保証されています。
CPU タイプを変更すると、hostすべての CPU フラグが VM に渡され、ハードウェア ベースの暗号化などが可能になります。
ソース