KVM: Den komplette guiden til Kernel-baserte virtuelle maskiner for Norge

• Høy kompetanse kreves for avansert konfigurasjon, spesielt for nettverk, lagring og sikkerhet.
• Scheduling- og IO-vertikaler kan være komplekse i store, multiforme miljøer.
• Nødvendigheten av maskinvare som støtter IOMMU for avanserte funksjoner som GPU-pass-through.

Sette opp KVM: En trinnvis veiledning

Før du begynner, må du bekrefte at maskinen din støtter maskinvarevirtualisering. Dette inkluderer å aktivere Intel VT-d eller AMD-Vi (IOMMU) i BIOS/UEFI og å sikre at Linux-kjernen har riktig støtte for KVM-moduler.

Trinn 1: Sjekk maskinvare og aktiver IOMMU

Kontroller at CPU-en støtter VT-x eller AMD-V og at IOMMU er aktivert i BIOS/UEFI. I Linux kan du bekrefte støtte ved å kjøre kommandoer som:

egrep -wo 'vmx|svm' /proc/cpuinfo && ls -la /dev/kvm

Hvis du ser tegn på støtte, kan du også sikre at IOMMU er aktivert i oppstarten, for eksempel ved å legge til kernelparametere som intel_iommu=on eller amd_iommu=on i oppstarts-konfigurasjonen.

Trinn 2: Installer KVM-økosystemet

De fleste populære Linux-distribusjoner har KVM-pakker i sine offisielle repos. For eksempel på Debian/Ubuntu-baserte systemer kan du kjøre:

sudo apt update
sudo apt install qemu-kvm libvirt-daemon-system libvirt-clients virt-manager

På Fedora/RHEL-baserte systemer brukes ofte:

sudo dnf install @virtualization
sudo systemctl enable --now libvirtd

Trinn 3: Legg brukeren til libvirt-gruppen og start tjenestene

For å administrere VM-er som normal bruker, legg deg til libvirt-gruppen og start tjenestene hvis de ikke allerede kjører:

sudo usermod -aG libvirt $USER
sudo systemctl enable --now libvirtd

Trinn 4: Opprett din første VM

Du kan bruke GUI-tilnærmingen via virt-manager for å opprette en VM, eller gjøre det via kommandolinjen med virsh eller en libvirt- XML-konfigurasjon. En enkel måte å starte en VM på er å bruke virt-manager og velge passende iso-fil, minne og kjernetildeling. Alternativt, med virt-install:

sudo virt-install --name min_vm --ram 4096 --vcpus 2 \
--disk path=/var/lib/libvirt/images/min_vm.img,size=40 \
--os-variant ubuntu20.04 --network network=default \
--graphics vnc --cdrom /path/ubuntu-20.04-live-server-amd64.iso

Optimal konfigurasjon for ytelse

For å få mest mulig ut av KVM, spesielt i produksjon eller i krevende utviklingsmiljøer, er det viktig å justere ressursfordeling og bruk av maskinvare.

CPU-pinning og NUMA

CPU-pinning, eller affinitet mellom VM-CPUer og verts-CPUer, kan redusere konkurranse om prosessorressurser og forbedre cache-hits i CPU-en. NUMA-tilgjengelighet bør vurderes hvis du kjører flere VM-er med betydelig minnebehov, for å minimere latens og forbedre minneadgang.

Minne og HugePages

Bruk av HugePages kan forbedre minnehåndtering og redusere overhead ved minneadministrasjonen, spesielt i miljøer med mange VM-er eller krevende minnebedrifts-laster. Konfigurer korrekt antall HugePages og lås prosesser hvis nødvendig for å sikre stabil ytelse.

Disker og caches

Valg av diskformat påvirker ytelse og fleksibilitet. qcow2 gir funksjoner som innebygde snapshots, men raw-images kan være raskere. Pass også på at cache-algoritmen er riktig satt avhengig av arbeidsbelastningen. For databasesystemer og IO-intense applikasjoner kan du vurdere ‘directsync’ eller ‘noatime’ for å redusere IO-latens.

Virtio-drivere og IO-arkitektur

Ved å bruke virtio-net og virtio-block får VM-ene lavere latency og bedre IO-ytelse enn klassiske emulerte drivere. Dette er grunnstenen i moderne KVM-innstillinger, og du bør alltid aktivere disse driverne i VM-ene dine.

Nettverk og lagring i KVM

Nettverk og lagring er ofte de mest kritiske komponentene i en virtuell infrastruktur. Korrekt konfigurert nettverk og lagringsløsing kan betydelig øke stabilitet, sikkerhet og ytelse.

Nettverksalternativer

• – enkel og grei løsning for utvikling og små tester.
• – kobler VM-er direkte til vertsnettverket via en fysisk bryter, noe som gir VM-er et eget IP-intervall i samme nettverk som vertsdata.
• – effektiv løsning for visse scenarier hvor bridged nettverk ikke er ønskelig.

For produksjon er bridge-basert nettverk ofte å foretrekke fordi det lar VM-er få sin egen IP i det fysiske nettverket, noe som forenkler administrasjon, overvåkning og sikkerhet.

Lagring: bilder, LUKS og gauging

Diskbildene kan være i qcow2- eller raw-format.qcow2 gir mulighet for snapshots og dynamisk vekst, mens raw gir enklere og bedre IO-håndtering i noen tilfeller. En god praksis er å ha separate lagringsenheter for operativsystem, data og sikkerhetskopier. For ekstra sikkerhet kan du bruke LUKS-kryptering på hele disken eller på individuelle volumer, og koble denne krypteringen mot krypterte lagringssystemer for VM-er.

GPU-pass-through og avansert isolasjon

En av de kraftigste funksjonene i KVM er muligheten til å sluttføre GPU-pass-through ved bruk av VFIO og IOMMU. Dette gjør det mulig å tildele en fysisk GPU direkte til en VM, noe som gir grafikknære arbeidsbelastninger (som vektorgrafikk, utvikling, spill eller grafikkbasert maskinlæring) nesten som om VM-en kjørte på en egen maskin.

Forutsetninger og praksis

For GPU-pass-through må vertsmaskinen støtte IOMMU og ha korrekt konfigurasjon av vfio-pci. Dette er ofte mer avansert og krever nøye tildeling av PCI-enheter til VM-en, samt at vertsmaskinen har en stabil IOMMU-konfigurasjon. I tillegg må du deaktivere grafikkortets funksjoner som kan forstyrre VFIO, og sette opp passende boot-parametere for å sikre at enhetene er tilgjengelige for VM-ene.

Sikkerhet og isolasjon i KVM

Sikkerhet er en essensiell del av enhver virtuelle infrastruktur. KVM+libvirt gir flere lag av isolasjon og kontrollmekanismer for å sikre at VM-er ikke påvirker vertsoperativsystemet eller andre gjeste-OS-er unødig.