¿Hay alguna buena razón para deshabilitar la virtualización asistida por hardware?

25

Recientemente hemos tenido varios servidores de Dell, todos los cuales han tenido la virtualización asistida por hardware deshabilitada en el BIOS.

Hasta donde sé, la virtualización asistida por hardware es algo bueno, entonces, ¿por qué Dell la deshabilitaría? ¿Tiene una sobrecarga de rendimiento si la máquina no está actuando como un host de máquina virtual? ¿Hay algún problema de seguridad?

En caso de que sea relevante para sus respuestas, usaremos principalmente:

  • SO host: Windows Server 2003 Enterprise R2 (32 bits)
  • SO invitado: Windows Server 2003 Enterprise R2 (32 bits)
  • VMM: Servidor virtual 2005 Enterprise R2 SP1
security virtualization performance dell Tom Robinson
fuente
También he visto esto con las computadoras portátiles Dell
Richard Everett
Publiqué acerca de algo similar el otro día con respecto a los servidores blade HP: tampoco pude ver por qué lo desactivan, ¡malditamente irritante, no es así!
Chopper3
¿Puedes agregar un enlace? No pude encontrar ninguna pregunta similar cuando busqué.
Tom Robinson
Esa fue una buena pregunta serverfault.com/questions/23518/…
Kara Marfia
3
Hay una razón universal para deshabilitar de forma reactiva los sistemas / funciones complejos: evitar errores. En este caso particular, sé de al menos uno de esos errores. Consulte el número 734 en la "Guía de revisión para procesadores AMD Family 15h Modelos 00h-0Fh".
ndemou

Respuestas:

16

La razón por la que Dell (y Sony, etc.) deshabilitan Intel-VT y AMD-V es porque no pueden admitirlo. Habilitar la función significaría que tendrían que brindarle soporte, lo que simplemente no pueden hacer, debido a un conocimiento insuficiente en el departamento de soporte, principalmente.

Así es, al menos, cómo lo formuló Sony.

Traté de averiguar el motivo de los chicos de soporte de Sony y eso es lo único que me darían. Sin embargo, finalmente pude parchear mi BIOS y habilitar VT.

En cuanto al resto, cosas como Bluepill no son exactamente convencionales. Y por lo que yo sé - y el trabajo que con la virtualización cosas un montón - no hay ningún inconveniente en que le. Si no es, sin embargo, yo realmente gusta saber de él ...

wzzrd
fuente
Al principio dudé de esta respuesta. Y sé que esta publicación es extremadamente antigua, pero estaba investigando y esto fue lo primero que encontré en Google. Esto es realmente 100% correcto, ya que es un problema de soporte. La mayoría de las personas (hasta la fecha ahora) no tendrán que parchear su BIOS. Los proveedores generalmente venden equipos de servidor y cliente con el propósito de instalar un sistema operativo nativo, no un hipervisor. Por esta razón, deshabilitan VT / VTx para evitar algunos de los problemas extraños que teóricamente pueden causar. Más específicamente, los proveedores no quieren pasar tiempo probando características que no admiten.
IceMage
10

Una muy buena razón es la seguridad. Se conocen hacks que insertan un hipervisor malicioso entre su sistema operativo y su hardware. Esto permite a cualquier persona capturar cualquier dato de manera perfectamente transparente.

Antoine Benkemoun
fuente
2
Estás pensando en un rootkit como BluePill. Si bien no he examinado esto en detalle, creo que esto ya no es un gran problema en estos días. Podría estar equivocado, puedes buscarlo, supongo. Buena adición de cualquier manera, definitivamente algo a tener en cuenta y una razón suficiente para deshabilitarlo si no se está utilizando.
HannesFostie
2
Aquí hay más información sobre BluePill - en.wikipedia.org/wiki/Blue_Pill_(malware)
Tom Robinson
1
@Anapologetos, no en realidad, eso no es un requisito previo. La píldora azul atrapa el sistema operativo en ejecución en una máquina virtual. Se inserta debajo del sistema operativo, por así decirlo. Se convierte en un hipervisor en lugar de necesitarlo. Aparte de eso, de acuerdo con Wikipedia, se dirigió solo a Vista, pero supongo que el concepto podría ser fácilmente portátil. Es virtualización, después de todo. De todos modos, no habilitar VT debido a Blue Pill parece bastante tonto: por lo que sé, no está en la naturaleza (aunque es de código abierto) y se debate su indetectabilidad.
wzzrd
Tienes razón, wzzrd. Rescindo mi comentario. ¡Todavía no he tomado mi café esta mañana! :)
Josh Brower
6

Me arriesgaría a suponer que no todas las CPU disponibles para una combinación de placa base y BIOS son compatibles con las extensiones VT. Entonces lo envían como deshabilitado en el BIOS por razones de compatibilidad.

Los tiempos están cambiando y VT se está convirtiendo en un lugar bastante común ahora. ¿Entonces quizás veamos un cambio?

Dan Carley
fuente
3

Encontré esto en The Register :

Los ingenieros de Sony y el personal de control de calidad estaban: "Muy preocupados de que habilitar VT exponga nuestros sistemas a código malicioso que podría profundizar en la estructura del sistema operativo de la PC y deshabilitar completamente este último".

Tom Robinson
fuente
¿No debería ser esta la respuesta aceptada? Oh , las palabras pertenecen a Sony .......
Pacerier
2

Dependiendo del método de virtualización que vaya a utilizar, es posible que no necesite habilitar las funciones de virtualización de hardware en las CPU con capacidad Intel-VT y AMD-V. Cuando necesite usar estas características es cuando el método de virtualización no puede funcionar al instalar sistemas operativos no modificados, generalmente Microsoft Windows.

Cuando se trabaja con VMware, las características de virtualización de hardware agregadas por los conjuntos de chips Intel-VT y AMD-V generalmente son innecesarias ya que VMware proporciona todas las características necesarias dentro de sí mismo y puede conducir a un rendimiento degradado del servidor virtual.

Con la virtualización de Xen, necesitará usar estas características si tiene la intención de ejecutar Windows dentro de los dominios invitados no privilegiados (domU) e instalar utilizando la virtualización completa en lugar de la para-virtualización. En mi experiencia, tener que habilitar estas características puede mostrar una degradación significativa en el rendimiento en general, aún así, pero le permitirá instalar Windows. Otros sistemas operativos como Linux, * BSD y OpenSolaris No he tenido problemas para instalar sin virtualización de hardware y veo una mejora mucho mejor cuando las funciones de virtualización de hardware están deshabilitadas.

Al final, todo se reduce a qué ruta de virtualización está planeando tomar y qué sistemas operativos ve que se instalan que pueden ser el factor determinante para dejarlo deshabilitado o continuar y habilitarlo.

Jeremy Bouse
fuente
No está tomando ningún camino de virtualización, como que perdió el punto de su pregunta
HannesFostie
2

Después de haber trabajado en el soporte del servidor Dell, todos los servidores con capacidad VT tienen la función deshabilitada en la BIOS de forma predeterminada, pero es fácil de habilitar si la necesita.

En cuanto a Sony, lo tienen deshabilitado en las computadoras portátiles, por las razones mencionadas anteriormente.

Nunca he visto un servidor con capacidades VT / SVM deshabilitadas por completo, hasta el punto que no puede habilitarlo.

dyasny
fuente
1

Podría estar atrasado con los tiempos, pero en muchos casos con cosas como VMWare en realidad hace que muchas cosas sean más lentas:

Libro blanco de VMWare sobre el tema

Kyle Brandt
fuente
¿No es ese documento del 2006? Además, analiza las desventajas cuando realmente virtualiza un entorno a partir de lo que podía ver a primera vista. El póster original solo ejecutará cargas de trabajo nativas en él.
HannesFostie
Noté con VirtualBox que algunos sistemas operativos se ejecutan mucho más rápido si la virtualización de hardware está desactivada. ¡Por supuesto, otros corren mucho más rápido con esto habilitado! :-)
Brian Knoblauch
no dice que activar VT hace que las cosas sean más lentas, dice que su virtualización sin VT es más rápida que las más nuevas que dependen de VT.
Javier
1

Como wzzrd mencionó anteriormente, todo tiene que ver con el soporte. Dejar VT desactivado reduce el número de escenarios de soporte donde VT se convierte en un factor, lo que permite una resolución más rápida de problemas para la mayoría de los clientes que no se han aventurado en la ruta de virtualización.

Una cosa que he notado es que en Windows 7, ejecutar el modo beta de xp causa conflictos con la estación de trabajo vmware cuando VT está habilitado en mi dell. Ambos quieren "apoderarse" de la extensión VT y como el modo xp deja un proceso VPC ejecutándose incluso después de salir, no "suelta" el VT. Entonces, cuando enciende vmware, cualquier máquina virtual que intente ejecutar muere al inicio. Deshabilitar la extensión VT en la BIOS evita que esto suceda, pero con un rendimiento notablemente reducido.


fuente
Ese es un argumento bastante extraño. ¿Qué hay de las llamadas de las personas que se quejan de que está apagado?
niXar
0

Habilitar Intel VT hace que la CPU sea más caliente, he tenido una computadora de escritorio y una computadora portátil que han tenido este comportamiento, ambos con refrigeradores de CPU de serie. Me refiero a Home Computers pero es la misma característica.

Sé que AMD-V viene habilitado de forma predeterminada, pero no sé si hace que la CPU sea más caliente.

Andrei Silviu Canghizer
fuente
Dudo que sea cierto. No veo ninguna razón por la cual una carga de trabajo idéntica tenga una diferencia medible en el consumo de energía dependiendo de si VT está habilitado. Algunos programas se comportarán de manera diferente dependiendo de si VT está habilitado y, por supuesto, eso puede cambiar la carga de trabajo en la CPU y provocar un cambio en la temperatura. Pero no se puede culpar a VT por eso a menos que se pueda proporcionar evidencia muy sólida.
kasperd
-1

Estoy bastante seguro de que la virtualización asistida por hardware NO tiene sobrecarga cuando solo está ejecutando un sistema operativo nativo.

La única razón por la que puedo pensar para tener la capacidad de deshabilitarlo (en realidad, nunca antes había pensado en esto) es que ciertas aplicaciones / cargas de trabajo podrían de hecho funcionar peor cuando HAV está habilitado que cuando se ejecuta de forma nativa, debido a cierta sobrecarga en la MMU por ejemplo.

No me preocuparía en absoluto.

HannesFostie
fuente
Antoine Benkemoun hizo un muy buen punto, por favor lea su publicación también.
HannesFostie
-2

Simplemente eche un vistazo a los servidores Hewlett Packard Proliant DL145 G3.

HP deshabilitó el HyperVisor (HV) por el BIOS. El BIOS-Menue no muestra una opción para habilitar esta función. La única respuesta a las preguntas sobre este problema es "esta plataforma no admite la virtualización de hardware: fin de la discusión"

Es simplemente imposible habilitar HV con el BIOS provisto por HP.

La única solución: Coreboot ... es eliminar completamente el PHOENIX-BIOS de estas placas y reemplazarlo con algo más ...

wonea
fuente
1
-1 La pregunta no se trata de sistemas donde HV no está completamente disponible en el BIOS. Se trata de por qué se envía desactivado, aunque esté disponible.
sleske