VT-d - was für Anwendungsgebiete?

[modulus]

Hallo Leute,

ich möchte mir einen Windows Server 2012 zusammenstellen.
Virtualisieren möchte ich damit auch - allgemeine experimentiere ich gerne.

Jetzt frage ich mich, was für Anwendungsgebiete es für VT-d gibt, und ob der Aufpreis auf eine solche Infrastruktur für mich lohnenswert ist. (keine Ahnung wie es bei AMD heißt ^^)

Also, wofür kann man PCI-Passthrough brauchen, wo gibt es einen echten Vorteil?

 

[Spi12]

Z.B. um eine Fileserver-VM zu erstellen, dann könnte man den RAID Controller durchreichen und die Verwaltung liegt dann bei der VM.

Genauso natürlich auch Netzwerkkarten.

Edit: Bei AMD dürfte das IOMMU heißen.

MfG

 

[modulus]

Thx schon mal. Fileserver habe ich auf jeden Fall dabei, weiß aber nur noch nicht wo der Vorteil seien sollte ihn nicht über Windows Server 8 laufen zu lassen.

Was ich mir überlegt habe: Eine Firewall virtualisieren.
Ich weiß, das sollte man nicht machen.
Aber mit Hilfe einer PCI-Netzwerkkarte sollte das doch trotzdem relativ sicher sein?

 

[Spi12]

Weil Windows Server 8 nicht alles kann, was manche Leute wollen
ZFS z.B.

Definitiv möglich, deine Firewall, ob das unsicher ist kann ich nicht beurteilen. Allerdings dürfte wahrscheinlich jeder Rechner, der VT-d mitbringt overpowered mit ner kleinen Firewall sein.

MfG

 

[Simon]

Solche Spielereien wie PCI-Passthrough wurden nur in aktuelle Hypervisor eingebaut, um bei ein paar Stand-Alone-Hosts die ein oder andere Zusatzkarte mit in die VM einbinden zu können.

Sobald man das ganze als Cluster betreiben will, fallen derartige Funktionen ohnehin weg.

Eine virtualisierte Firewall ist nicht viel unsicherer als eine Firewall auf einer dediziierten Hardware. Ja, VM-Breakouts sind prinzipiell möglich, aber da müsste man schon eine Bank oder anderweitig hoch-sensible Umgebung haben, wo man solche Angriffe mit berücksichtigen muss. In dem Bereich werden auch viele Horror-Märchen erzählt.

@Spi12

Wer ZFS direkt auf den physikalischen Platten haben will, packt sich kaum eine Hypervisor-Schicht (schon garnicht ein Windows Server 2012) dazwischen. Nur mit viel Phantasie fallen einem da Szenarien ein, wo das u.U. einen Sinn ergibt, aber solche Konstrukte sind i.d.R. zu fehleranfällig, als das man sie wirklich produktiv einsetzen sollte.

 

[x.treme]

Zur virtuellen Firewall:
Korrigiert mich wenn ich falsch liege, aber das Problem ist doch:
- nimmt man Onboard Lan dann kann man den Host kaum davon isolieren. Also den Host durch eine virtuelle Firewall zu schützen, macht kaum Sinn.
- nimmt man hingegen ein PCI-Passthrough, dann geht das Internet zwingend zuerst durch die virtuelle Firewall -> Schutz des Hosts durch virtuelle Firewall möglich

Kenne mich zwar nicht aus, aber wie sieht es aus wenn man z.B. XEN als Plattform nutzt?
Dann kann man doch auf VT-D für den Zweck verzichten, da alle Netzwerkverknüpfungen sicher virtuell "isoliert" werden können?

Ansonsten fallen mir nur noch DVB-Karten ein, die man vielleicht durchreichen möchte ...
Grafikkarten durchreichen geht ja mehr schlecht als recht.

 

[modulus]

Also bei VMWare ESXi / Xen habe ich durch eine Hardware-Netzwerkkarte (auch bezüglich Firewall) keinen Vorteil? Funktioniert auch so sicher und einwandfrei?

Kann das jemand bestätigen der sowas auch am laufen hat?