Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第16章 ゲストマシンデバイスの設定

Red Hat Enterprise Linux 7 は、ゲスト仮想マシン用に 3 つのクラスのデバイスに対応します。
  • エミュレートされたデバイス は、純粋な実際のハードウェアが純粋に仮想デバイスで、変更のないゲストオペレーティングシステムは標準の in-box ドライバーを使用して機能できるようにします。
  • VirtIOデバイス仮想化とも呼ばれる)は、仮想マシンで最適に機能するように設計された、純粋な仮想デバイスです。virtio デバイスはエミュレートされたデバイスと似ていますが、Linux 以外の仮想マシンには、デフォルトで必要となるドライバーが含まれません。仮想マシンマネージャー(virt-manager)や Red Hat Virtualization Hypervisor などの仮想化管理ソフトウェアは、これらのドライバーを Linux 以外のゲストオペレーティングシステム用に自動的にインストールします。Red Hat Enterprise Linux 7 は、最大 216 個の virtio デバイスに対応します。詳細は、5章KVM 準仮想化(virtio)ドライバー を参照してください。
  • 割り当てられたデバイス は、仮想マシンに公開される物理デバイスです。このメソッドは パススルー としても知られています。デバイスの割り当てにより、仮想マシンはさまざまなタスクに対して PCI デバイスに排他的にアクセスすることができ、PCI デバイスがゲストオペレーティングシステムに物理的にアタッチされているかのように表示され、動作します。Red Hat Enterprise Linux 7 は、仮想マシンごとに最大 32 個の割り当てられたデバイスに対応します。
    デバイスの割り当ては、一部の グラフィックデバイスなど、PCIe デバイスでサポートされます。並列の PCI デバイスは割り当てられたデバイスとしてサポートされますが、セキュリティーとシステム設定の競合により、深刻な制限があります。
Red Hat Enterprise Linux 7 は、仮想マシンにシングル機能スロットとして公開されるデバイスの PCI ホットプラグをサポートします。機能するホストデバイスと、多機能的なホストデバイスの各機能を設定して、これを有効にすることができます。デバイスを動作していた PCI スロットとして仮想マシンに公開する設定は、アンプラグアプリケーションにのみ使用することが推奨されます。
特定のデバイスと関連制限の詳細は、「Devices」 を参照してください。
注記
デバイスが割り当てられたゲストをホストから完全に分離するには、プラットフォームが割り込みの再マッピングをサポートしている必要があります。このようなサポートがないと、ホストは悪意のあるゲストからの割り込みインジェクション攻撃に対して脆弱になります。ゲストが信頼できる環境では、管理者は allow_unsafe_interrupts オプションを使用して、vfio_iommu_type1 モジュールに PCI デバイスの割り当てを引き続き許可する場合があります。これは、.conf ファイル(例: local.conf)を /etc/modprobe.d に追加して永続的に実行できます。 
options vfio_iommu_type1 allow_unsafe_interrupts=1
または、sysfs エントリーを動的に使用して同じ処理を行います。 
# echo 1 > /sys/module/vfio_iommu_type1/parameters/allow_unsafe_interrupts

16.1. PCI デバイス

PCI デバイスの割り当ては、Intel VT-d または AMD IOMMU に対応するハードウェアプラットフォームでのみ利用可能です。PCI デバイスの割り当てが機能するには、ホストの BIOS でこれらの Intel VT-d または AMD IOMMU 仕様を有効にする必要があります。

手順16.1 PCI デバイス割り当て用の Intel システムの準備

  1. Intel VT-d 仕様の有効化

    Intel VT-d 仕様は、物理デバイスを仮想マシンに直接割り当てるのにハードウェアサポートを提供します。このような仕様は、Red Hat Enterprise Linux で PCI デバイス割り当てを使用する必要があります。
    BIOS で Intel VT-d 仕様を有効にする必要があります。一部のシステムメーカーでは、デフォルトでこの仕様が無効になります。この仕様を参照するために使用される用語はメーカーによって異なります。適切な用語については、システムの製造元のドキュメントを参照してください。

  2. カーネルで Intel VT-d をアクティブ化します。

    /etc/sysconfig/grub ファイルの GRUB_CMDLINX_LINUX 行の最後に intel_iommu=on および iommu=pt パラメーターを追加して、カーネルの Intel VT-d をアクティブ化します。
    以下は、Intel VT-d がアクティベートされた変更された grub ファイルです。 
    GRUB_CMDLINE_LINUX="rd.lvm.lv=vg_VolGroup00/LogVol01
vconsole.font=latarcyrheb-sun16 rd.lvm.lv=vg_VolGroup_1/root
vconsole.keymap=us $([ -x /usr/sbin/rhcrashkernel-param ] && /usr/sbin/
rhcrashkernel-param || :) rhgb quiet intel_iommu=on iommu=pt"

  3. 設定ファイルの再生成

    以下を実行し /etc/grub2.cfg を再生成します。 
    grub2-mkconfig -o /etc/grub2.cfg
    UEFI ベースのホストを使用している場合は、ターゲットファイルは /etc/grub2-efi.cfg である必要があります。

  4. 使用可能な

    システムを再起動して変更を有効にします。これで、システムが PCI デバイスの割り当てを実行できるようになりました。

手順16.2 PCI デバイス割り当て用の AMD システムの準備

  1. AMD IOMMU 仕様の有効化

    Red Hat Enterprise Linux で PCI デバイス割り当てを使用するために AMD IOMMU 仕様が必要です。この仕様は BIOS で有効にする必要があります。一部のシステムメーカーでは、デフォルトでこの仕様が無効になります。

  2. IOMMU カーネルサポートの有効化

    /etc/sysconfig/grub 内の引用符内の GRUB_CMDLINX_LINUX 行の末尾に iommu=pt を追加し、システムの起動時に AMD IOMMU 仕様を有効にします。

  3. 設定ファイルの再生成

    以下を実行し /etc/grub2.cfg を再生成します。 
    grub2-mkconfig -o /etc/grub2.cfg
    UEFI ベースのホストを使用している場合は、ターゲットファイルは /etc/grub2-efi.cfg である必要があります。

  4. 使用可能な

    システムを再起動して変更を有効にします。これで、システムが PCI デバイスの割り当てを実行できるようになりました。
注記
IOMMU の詳細は、付録E IOMMU グループの使用 を参照してください。

16.1.1. virsh で PCI デバイスの割り当て

以下の手順では、KVM ハイパーバイザーの仮想マシンに PCI デバイスを割り当てる方法を説明します。
この例では、PCI 識別子コード pci_0000_01_00_0 と guest 1-rhel7-64 という名前の完全に仮想化されるゲスト マシンと共に PCIe ネットワークコントローラーを使用します。

手順16.3 virsh でゲスト仮想マシンへの PCI デバイスの割り当て

  1. デバイスの特定

    まず、仮想マシンへのデバイス割り当てに使用される PCI デバイスを特定します。利用可能な PCI デバイスを一覧表示するには、lspci コマンドを使用します。greplspci の出力を絞り込むことができます。
    この例では、以下の出力で Ethernet コントローラーを強調表示しています。 
    # lspci | grep Ethernet
00:19.0 Ethernet controller: Intel Corporation 82567LM-2 Gigabit Network Connection
01:00.0 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
01:00.1 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
    このイーサネットコントローラーは、短い識別子 00:19.0 に表示されます。この PCI デバイスを仮想マシンに割り当てるには、virsh が使用する完全な ID を確認する必要があります。
    これを行うには、virsh nodedev-list コマンドを使用して、ホストマシンに接続されている特定タイプのデバイス(pci)のデバイスを一覧表示します。次に、使用するデバイスの短い識別子にマップする文字列の出力を確認します。
    以下の例は、短い識別子 00:19.0 で Ethernet コントローラーにマップする文字列を示しています。: および . 文字は、完全な ID のアンダースコアに置き換えられます。 
    # virsh nodedev-list --cap pci
pci_0000_00_00_0
pci_0000_00_01_0
pci_0000_00_03_0
pci_0000_00_07_0
pci_0000_00_10_0
pci_0000_00_10_1
pci_0000_00_14_0
pci_0000_00_14_1
pci_0000_00_14_2
pci_0000_00_14_3
pci_0000_00_19_0
pci_0000_00_1a_0
pci_0000_00_1a_1
pci_0000_00_1a_2
pci_0000_00_1a_7
pci_0000_00_1b_0
pci_0000_00_1c_0
pci_0000_00_1c_1
pci_0000_00_1c_4
pci_0000_00_1d_0
pci_0000_00_1d_1
pci_0000_00_1d_2
pci_0000_00_1d_7
pci_0000_00_1e_0
pci_0000_00_1f_0
pci_0000_00_1f_2
pci_0000_00_1f_3
pci_0000_01_00_0
pci_0000_01_00_1
pci_0000_02_00_0
pci_0000_02_00_1
pci_0000_06_00_0
pci_0000_07_02_0
pci_0000_07_03_0
    使用するデバイスにマップする PCI デバイス番号を記録します。これは、他のステップで必要になります。

  2. デバイス情報の確認

    ドメイン、バス、および機能に関する情報は、virsh nodedev-dumpxml コマンドの出力から利用できます。

    図16.1 ダンプコンテンツ

    
# virsh nodedev-dumpxml pci_0000_00_19_0
<device>
  <name>pci_0000_00_19_0</name>
  <parent>computer</parent>
  <driver>
    <name>e1000e</name>
  </driver>
  <capability type='pci'>
    <domain>0</domain>
    <bus>0</bus>
    <slot>25</slot>
    <function>0</function>
    <product id='0x1502'>82579LM Gigabit Network Connection</product>
    <vendor id='0x8086'>Intel Corporation</vendor>
    <iommuGroup number='7'>
      <address domain='0x0000' bus='0x00' slot='0x19' function='0x0'/>
    </iommuGroup>
  </capability>
</device>
    注記
    IOMMU グループは、IOMMU の観点からデバイスの可視性と分離に基づいて決定されます。各 IOMMU グループには 1 つ以上のデバイスが含まれる場合があります。複数のデバイスが存在する場合、IOMMU グループ内のすべてのエンドポイントは、ゲストに割り当てられるようにグループ内のすべてのデバイスに対して要求される必要があります。これは、追加のエンドポイントをゲストに割り当てたり、virsh nodedev-detach を使用してホストドライバーから切り離したりして実行できます。1 つのグループ内に含まれているデバイスは、複数のゲスト間で分割したり、ホストとゲストの間で分割したりすることはできません。PCIe ルートポート、スイッチポート、ブリッジなどのエンドポイント以外のデバイスは、ホストドライバーから分離されず、エンドポイントの割り当てに干渉しません。
    IOMMU グループ内のデバイスは、virsh nodedev-dumpxml 出力の iommuGroup セクションを使用して判断できます。グループの各メンバーは、個別の「アドレス」フィールドに提供されます。この情報は、以下を使用して sysfs で確認できます。 
    $ ls /sys/bus/pci/devices/0000:01:00.0/iommu_group/devices/
    この出力例を以下に示します。 
    0000:01:00.0  0000:01:00.1
    0000.00.0 をゲストに割り当てるには、未使用のエンドポイントは、ゲストを起動する前にホストからデタッチする必要があります。 
    $ virsh nodedev-detach pci_0000_01_00_1

  3. 必要な設定詳細の決定

    設定ファイルに必要な値については、virsh nodedev-dumpxml pci_0000_00_19_0 コマンドの出力を参照してください。
    このデバイスの例には、bus = 0, slot = 25 および function = 0 の値があります。10 進数設定では、以下の 3 つの値を使用します。 
    bus='0'
slot='25'
function='0'

  4. 設定の詳細の追加

    virsh edit を実行し、仮想マシン名を指定し、<devices> セクションにデバイスエントリーを追加し、PCI デバイスをゲスト仮想マシンに割り当てます。以下に例を示します。 
    # virsh edit guest1-rhel7-64

    図16.2 PCI デバイスの追加

    
<devices>
	[...]
 <hostdev mode='subsystem' type='pci' managed='yes'>
   <source>
      <address domain='0' bus='0' slot='25' function='0'/>
   </source>
 </hostdev>
 [...]
</devices>
    または、仮想マシン名と、ゲストの XML ファイルを指定して、virsh attach-device を実行します。 
    virsh attach-device guest1-rhel7-64 file.xml
    注記
    PCI デバイスには 、デバイスのファームウェアや再起動ドライバー(PXE など)を配信するために、オプションの読み取り専用メモリー (ROM または拡張 ROM など)が含まれる場合があります。通常、これらのオプションの ROM は、PCI デバイス割り当てを使用して物理 PCI デバイスを仮想マシンにアタッチする際に仮想化環境でも機能します。
    ただし、場合によっては、仮想マシンの起動に時間がかかる状況が発生する可能性があるため、デバイスによって配信される事前ブートのドライバーが仮想化と互換性がない可能性があるため、ゲスト OS の起動に失敗する可能性があります。このような場合、Red Hat は、仮想マシンからオプション ROM をマスクすることを推奨します。改善点を報告する場合は、以下のように行います。
    1. ホストで、接続するデバイスに拡張 ROM ベースアドレスレジスター(BAR)があることを確認します。これを行うには、デバイスに lspci -v コマンドを使用し、以下の内容を含む行の出力を確認します。 
      Expansion ROM at
    2. <rom bar='off'/> 要素を、ゲストの XML 設定 <hostdev> 要素の子要素として追加します。 
      <hostdev mode='subsystem' type='pci' managed='yes'>
  <source>
     <address domain='0' bus='0' slot='25' function='0'/>
  </source>
  <rom bar='off'/>
</hostdev>

  5. 仮想マシンの起動

    # virsh start guest1-rhel7-64
これで PCI デバイスが仮想マシンに正しく割り当てられ、ゲストオペレーティングシステムにアクセスできるようになりました。

16.1.2. virt-manager による PCI デバイスの割り当て

PCI デバイスは、グラフィカル virt-manager ツールを使用してゲスト仮想マシンに追加できます。以下の手順では、ゲスト仮想マシンに Gigabit Ethernet コントローラーを追加します。

手順16.4 virt-manager でゲスト仮想マシンへの PCI デバイスの割り当て

  1. ハードウェア設定を開く

    ゲスト仮想マシンを開き、ハードウェア の追加ボタンをクリックして、新しいデバイスを仮想マシンに追加します。

    図16.3 仮想マシンのハードウェア情報ウィンドウ

    左のメニューペインで選択したトップタスクバーと Overview で選択されている情報ボタンのある仮想マシンのハードウェアウィンドウ。

  2. PCI デバイスの選択

    左側 のハードウェア 一覧から PCI Host Device を選択します。
    未使用の PCI デバイスを選択します。別のゲストで現在使用中の PCI デバイスを選択するとエラーが発生することに注意してください。この例では、スペアの音声コントローラーが使用されます。Finish をクリックして 設定を完了します。

    図16.4 Add new virtual hardware ウィザード

    左側のメニューペインで PCI ホストデバイスが選択された新しい仮想ハードウェアウィザードが表示され、右側のメニューペインで選択するためのホストデバイスの一覧が表示されます。

  3. 新しいデバイスの追加

    設定が完了し、ゲスト仮想マシンが PCI デバイスに直接アクセスできるようになりました。

    図16.5 仮想マシンのハードウェア情報ウィンドウ

    左のメニューペインで、トップタスクバーで選択され、左側のメニューペインに新規に追加された PCI Device が表示され、左側のメニューペインの仮想マシンデバイスの一覧に、仮想マシンハードウェアウィンドウが表示され、新規追加された PCI Device が表示されます。
注記
デバイスの割り当てに失敗した場合は、そのホストにアタッチされた同じ IOMMU グループに他のエンドポイントが存在する可能性があります。virt-manager を使用してグループ情報を取得する方法はありませんが、virsh コマンドを使用して IOMMU グループの境界を分析できます。また、必要なセッターデバイスがある場合には、virsh コマンドを使用してグループ情報を取得できます。
IOMMU グループおよび virsh を使用してエンドポイントデバイスの割り当てを解除する方法は、「virsh で PCI デバイスの割り当て」注記 を参照してください。

16.1.3. virt-install を使用した PCI デバイス割り当て

virt-install コマンドを使用して、ゲストをインストールする際は、PCI デバイスを割り当てることができます。これには、--host-device パラメーターを使用します。

手順16.5 virt-install で仮想マシンに PCI デバイスの割り当て

  1. デバイスの特定

    ゲスト仮想マシンへのデバイス割り当てに使用される PCI デバイスを特定します。 
    # lspci | grep Ethernet
00:19.0 Ethernet controller: Intel Corporation 82567LM-2 Gigabit Network Connection
01:00.0 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
01:00.1 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
    virsh nodedev-list コマンドは、システムに接続されているすべてのデバイスを一覧表示し、各 PCI デバイスを文字列で識別します。出力を PCI デバイスだけに制限するには、以下のコマンドを入力します。 
    # virsh nodedev-list --cap pci
pci_0000_00_00_0
pci_0000_00_01_0
pci_0000_00_03_0
pci_0000_00_07_0
pci_0000_00_10_0
pci_0000_00_10_1
pci_0000_00_14_0
pci_0000_00_14_1
pci_0000_00_14_2
pci_0000_00_14_3
pci_0000_00_19_0
pci_0000_00_1a_0
pci_0000_00_1a_1
pci_0000_00_1a_2
pci_0000_00_1a_7
pci_0000_00_1b_0
pci_0000_00_1c_0
pci_0000_00_1c_1
pci_0000_00_1c_4
pci_0000_00_1d_0
pci_0000_00_1d_1
pci_0000_00_1d_2
pci_0000_00_1d_7
pci_0000_00_1e_0
pci_0000_00_1f_0
pci_0000_00_1f_2
pci_0000_00_1f_3
pci_0000_01_00_0
pci_0000_01_00_1
pci_0000_02_00_0
pci_0000_02_00_1
pci_0000_06_00_0
pci_0000_07_02_0
pci_0000_07_03_0
    PCI デバイス番号を記録します。この数字は他のステップで必要になります。
    ドメイン、バス、および機能の情報は、virsh nodedev-dumpxml コマンドの出力から利用できます。 
    # virsh nodedev-dumpxml pci_0000_01_00_0

    図16.6 PCI デバイスファイルの内容

    
<device>
  <name>pci_0000_01_00_0</name>
  <parent>pci_0000_00_01_0</parent>
  <driver>
    <name>igb</name>
  </driver>
  <capability type='pci'>
    <domain>0</domain>
    <bus>1</bus>
    <slot>0</slot>
    <function>0</function>
    <product id='0x10c9'>82576 Gigabit Network Connection</product>
    <vendor id='0x8086'>Intel Corporation</vendor>
    <iommuGroup number='7'>
      <address domain='0x0000' bus='0x00' slot='0x19' function='0x0'/>
    </iommuGroup>
  </capability>
</device>
    注記
    IOMMU グループに複数のエンドポイントがあり、そのすべてがゲストに割り当てられていることがない場合は、ゲストを起動する前に以下のコマンドを実行して、ホストから他のエンドポイントを手動でデタッチする必要があります。 
    $ virsh nodedev-detach pci_0000_00_19_1
    IOMMU グループに関する詳細は、「virsh で PCI デバイスの割り当て」注記 を参照してください。

  2. デバイスの追加

    virsh nodedev コマンドの PCI ID 出力を --host-device パラメーターの値として使用します。 
    virt-install \
--name=guest1-rhel7-64 \
--disk path=/var/lib/libvirt/images/guest1-rhel7-64.img,size=8 \
--vcpus=2 --ram=2048 \
--location=http://example1.com/installation_tree/RHEL7.0-Server-x86_64/os \
--nonetworks \
--os-type=linux \
--os-variant=rhel7
--host-device=pci_0000_01_00_0

  3. インストールを完了する

    ゲストのインストールを完了します。PCI デバイスがゲストに接続されている。

16.1.4. 割り当て済みの PCI デバイスの割り当て解除

ホストの PCI デバイスがゲスト仮想マシンに割り当てられている場合、ホストはデバイスを使用できません。PCI デバイスが ドメイン XML ファイルmanaged='yes' パラメーターを使用して設定された場合、ゲストマシンへの接続およびゲストマシンからの割り当て解除を解除して、必要に応じてホストマシンに再接続します。managedPCI デバイスが managed モードにない場合は、ゲストマシンから PCI デバイスをデタッチし、virsh または virt-manager を使用して再接続できます。

手順16.6 virsh を使用するゲストから PCI デバイスの切断

  1. デバイスの割り当て解除

    次のコマンドを使用して、ゲストの XML ファイルで削除することで、ゲストから PCI デバイスの割り当てを解除します。 
    # virsh detach-device name_of_guest file.xml

  2. デバイスをホストに再接続(オプション)

    デバイスが managed モードにある場合は、このステップを省略します。デバイスは自動的にホストに戻ります。
    デバイスが managed モードを使用していない場合は、以下のコマンドを使用して PCI デバイスをホストマシンに再アタッチします。 
    # virsh nodedev-reattach device
    たとえば、pci_0000_01_00_0 デバイスをホストに再アタッチするには、次のコマンドを実行します。 
    # virsh nodedev-reattach pci_0000_01_00_0
    これで、ホストのシステムでこのデバイスが使用できるようになります。

手順16.7 virt-manager を使用したゲストからの PCI デバイスの切断

  1. 仮想ハードウェアの詳細画面を開く

    virt-manager で、デバイスが含まれる仮想マシンをダブルクリックしてください。Show virtual hardware details ボタンを選択し、仮想ハードウェアの一覧を表示します。

    図16.7 仮想ハードウェアの詳細ボタン

    仮想ハードウェアの詳細表示ボタン。

  2. デバイスの選択と削除

    左側のパネルの仮想デバイスの一覧から、デタッチする PCI デバイスを選択します。

    図16.8 デタッチする PCI デバイスの選択

    PCI デバイスの詳細と削除ボタン。
    削除 ボタンをクリックして確定します。これで、ホストのシステムでこのデバイスが使用できるようになります。

16.1.5. PCI ブリッジ

Peripheral Component Interconnects(PCI)ブリッジは、ネットワークカード、モデム、サウンドカードなどのデバイスにアタッチするために使用されます。物理方向のように、仮想デバイスは PCI ブリッジにアタッチすることもできます。以前は、ゲスト仮想マシンに 31 個の PCI デバイスだけを追加することができました。31st PCI デバイスが追加されると、PCI ブリッジは自動的に 31st スロットに配置され、追加の PCI デバイスを PCI ブリッジに移動します。各 PCI ブリッジには 31 個のスロットが 31 個あり、そはすべてブリッジ可能です。これにより、ゲスト仮想マシンでは 900 を超えるデバイスが使用できます。
PCI ブリッジの XML 設定の例は、「PCI ブリッジの ドメイン XML の例」を参照してください。この設定は自動で設定されるため、手動で調整することは推奨されません。

16.1.6. PCI デバイス割り当ての制限

PCI デバイスの割り当て(PCI デバイスの仮想マシンへの接続)では、AMD IOMMU または Intel VT-d が PCIe デバイスのデバイスの割り当てを有効にするために、ホストシステムに AMD IOMMU または Intel VT-d サポートが必要です。
Red Hat Enterprise Linux 7 では、ゲストデバイスドライバーによる PCI 設定領域アクセスが制限されています。この制限により、拡張 PCI 設定領域にあるデバイス機能や機能に依存するドライバーが設定に失敗します。
Red Hat Enterprise Linux 7 仮想マシンごとに、割り当てられたデバイスの合計を 32 個まで制限しました。これは、仮想マシンにある PCI ブリッジの数や、その関数が多機能スロットの作成方法に関わらず、32 合計 PCI 機能に変換されます。
デバイスが割り当てられたゲストをホストから完全に分離するには、プラットフォームが割り込みの再マッピングをサポートしている必要があります。このようなサポートがないと、ホストは悪意のあるゲストからの割り込みインジェクション攻撃に対して脆弱になります。ゲストが信頼できる環境では、管理者は allow_unsafe_interrupts オプションを vfio_iommu_type1 モジュールとして使用して、引き続き PCI デバイスの割り当てを許可することを選択できます。これは、.conf ファイル(例: local.conf)を /etc/modprobe.d に追加して永続的に実行できます。 
options vfio_iommu_type1 allow_unsafe_interrupts=1
または、sysfs エントリーを動的に使用して同じ処理を行います。 
# echo 1 > /sys/module/vfio_iommu_type1/parameters/allow_unsafe_interrupts
このページには機械翻訳が使用されている場合があります (詳細はこちら)。