Si KVM funciona, ¿por qué VMX aparece como deshabilitado?

tag-icon tag-icon virtual-machines kvm-virtualization intel-vt-x
Si KVM funciona, ¿por qué VMX aparece como deshabilitado?

Tengo VT-x habilitado en el BIOS. Estoy ejecutando qemu/kvm/Manjaro. lscpudice

$ lscpu
Architecture:            x86_64
  Model name:            Intel(R) Core(TM) i7-8550U CPU @ 1.80GHz
Flags: ... vmx ... 
Virtualization features:
  Virtualization:        VT-x
Vulnerabilities:         
  Itlb multihit:         KVM: Mitigation: VMX disabled

Además,

$ sudo rdmsr -f 2:0 0x3A
5

Lo que significa que

  • La configuración de VMX está bloqueada.
  • VMX está deshabilitado en el estado SMX (“Extensiones de modo más seguro”)
  • VMX está habilitado fuera del estado SMX

esta respuestaMe da esperanza: si kvmse carga, entonces VMX está funcionando. De hecho, qemusu kvmacelerador funciona bien (o al menos parece hacerlo). Entonces, ¿por qué muestra que VMX está deshabilitado a los efectos de la vulnerabilidad multihit?

Una qemuejecución de ejemplo:

$ qemu-system-x86_64 -nographic -vga none -net none -nodefaults -machine q35 -accel kvm -cpu host -smp sockets=1,dies=1,cores=2,threads=2 -m 512M ...

QEMU 6.0.0 monitor - type 'help' for more information
(qemu) info kvm
info kvm
kvm support: enabled

El invitado (pfSense, en este caso) funciona bien hasta ahora.

Respuesta1

Gracias por una pregunta... Fue interesante para mí también... Entonces, después de leer esto, yhttps://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/multihit.html Ha quedado claro: vmx parece presente y no deshabilitado por BIOS. La vulnerabilidad está presente, pero ahora vmx no está en uso, por lo que simplemente está deshabilitado. Cuando se ejecuta algún kvm y se usa vmx, las situaciones cambian:

 $ cat /sys/devices/system/cpu/vulnerabilities/itlb_multihit 
 KVM: Mitigation: Split huge pages

es decir, esa vulnerabilidad presente, pero mitigada por kvm al dividir páginas.

Respuesta2

En resumen, aunque la mitigación de vulnerabilidades de múltiples impactos puede desactivar temporalmente VMX, el VT-x de su sistema todavía está habilitado y funcionando bien. El funcionamiento exitoso de KVM y su máquina virtual indica que VT-x se está utilizando para la aceleración de hardware como se esperaba. Por lo tanto, no hay necesidad de preocuparse por la desactivación de VMX informada por la vulnerabilidad de múltiples impactos.

información relacionada