Se o KVM estiver funcionando, por que o VMX aparece como desativado?

tag-icon tag-icon virtual-machines kvm-virtualization intel-vt-x
Se o KVM estiver funcionando, por que o VMX aparece como desativado?

Eu tenho o VT-x habilitado no BIOS. Estou executando qemu/kvm/Manjaro. lscpudiz

$ lscpu
Architecture:            x86_64
  Model name:            Intel(R) Core(TM) i7-8550U CPU @ 1.80GHz
Flags: ... vmx ... 
Virtualization features:
  Virtualization:        VT-x
Vulnerabilities:         
  Itlb multihit:         KVM: Mitigation: VMX disabled

Além disso,

$ sudo rdmsr -f 2:0 0x3A
5

o que significa que

  • A configuração do VMX está bloqueada
  • VMX está desabilitado no estado SMX (“Extensões de modo mais seguro”)
  • VMX está habilitado fora do estado SMX

Esta respostame dá esperança: se kvmcarregar, então o VMX está funcionando. Na verdade, qemuo kvmacelerador funciona muito bem (ou pelo menos parece). Então, por que mostra o VMX como desativado para fins de vulnerabilidade multihit?

Um exemplo de qemuexecução:

$ qemu-system-x86_64 -nographic -vga none -net none -nodefaults -machine q35 -accel kvm -cpu host -smp sockets=1,dies=1,cores=2,threads=2 -m 512M ...

QEMU 6.0.0 monitor - type 'help' for more information
(qemu) info kvm
info kvm
kvm support: enabled

O convidado (pfSense, neste caso) está funcionando bem até agora.

Responder1

Obrigado pela pergunta... Foi interessante para mim também... Então, depois de ler isso, ehttps://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/multihit.html ficou claro: o vmx parece presente e não desativado pelo BIOS. Vulnerabilidade presente, mas agora o vmx não está em uso, portanto está apenas desativado. quando algum kvm é executado e usa vmx, as situações mudam:

 $ cat /sys/devices/system/cpu/vulnerabilities/itlb_multihit 
 KVM: Mitigation: Split huge pages

ou seja, essa vulnerabilidade está presente, mas mitigada pelo kvm pela divisão de páginas.

Responder2

Resumindo, mesmo que a mitigação da vulnerabilidade multihit possa desabilitar temporariamente o VMX, o VT-x do seu sistema ainda está habilitado e funcionando bem. A operação bem-sucedida do KVM e da sua máquina virtual indica que o VT-x está sendo utilizado para aceleração de hardware conforme esperado. Portanto, não há necessidade de se preocupar com a desativação relatada do VMX para a vulnerabilidade multihit.

informação relacionada