约束与限制
硬件限制
硬件服务器需搭载鲲鹏950处理器。
不支持超线程(SMT)
当用户使能CPU超线程能力后,可能存在针对机密计算的侧信道攻击等风险,因此业界建议在禁用SMT的系统上运行机密计算,可参见关闭SMT关闭SMT。
不支持超分配
CPU和内存超分配当前不支持。
libvirt支持命令
libvirt在机密虚拟机中支持的命令有限,具体支持命令如表1所示。
virsh子命令 |
命令说明 |
可选参数 |
机密虚拟机支持情况 |
普通虚拟机支持情况 |
|---|---|---|---|---|
define |
从指定xml文件定义一个虚拟机域。 |
--validate |
√ |
√ |
undefine |
销毁一个虚拟机域。 |
--managed-save |
x |
√ |
--storage |
√ |
√ |
||
--remove-all-storage |
√ |
√ |
||
--delete-storage-volume-snapshots |
x |
√ |
||
--wipe-storage |
√ |
√ |
||
--snapshots-metadata |
x |
√ |
||
--checkpoints-metadata |
x |
√ |
||
--nvram |
x |
√ |
||
--keep-nvram |
x |
√ |
||
--tpm |
x |
√ |
||
--keep-tpm |
x |
√ |
||
start |
启动一个已定义过的虚拟机。 |
--console |
√ |
√ |
--paused |
x |
√ |
||
--autodestroy |
√ |
√ |
||
--bypass-cache |
√ |
√ |
||
--force-boot |
x |
√ |
||
--pass-fds |
x |
√ |
||
--reset-nvram |
x |
√ |
||
destroy |
销毁一个运行中的虚拟机。 |
--graceful |
√ |
√ |
--remove-logs |
√ |
√ |
||
console |
通过串口连接、登录到虚拟机内部。 |
--devname |
√ |
√ |
--force |
√ |
√ |
||
--resume |
x |
√ |
||
--safe |
√ |
√ |
||
create |
从指定xml创建并启动一个虚拟机。 |
--console |
√ |
√ |
--paused |
x |
√ |
||
--autodestroy |
√ |
√ |
||
--pass-fds |
x |
√ |
||
--validate |
√ |
√ |
||
--reset-nvram |
x |
√ |
||
√:机密虚拟机或普通虚拟机支持对应的virsh子命令。 x:机密虚拟机或普通虚拟机不支持对应的virsh子命令。 |
||||