OpenStack支持机密虚拟机KAE设备直通
OpenStack支持在同时具备virtCCA和KAE能力的服务器上部署KAE设备直通机密虚拟机。
- 参考导入鲲鹏加速引擎(KAE)相关license为计算节点配置证书。
- 配置装配有KAE驱动的qcow2镜像。
- 若当前操作系统使用自行编译的内核,需要指定当前内核源码路径。
ln -s {kernel_path} /usr/src/kernels/$(uname -r) - 下载qcow2镜像制作脚本。
git clone https://gitee.com/openeuler/virtCCA_sdk.git
- 在调用脚本时加入-k参数,会下载编译KAE驱动,将其添加到镜像中并配置开机自动加载。
cd virtCCA_sdk/cvm-image-rewriter/ sh create-oe-image.sh -v 24.03-LTS-SP2 -k
- 上传镜像。
openstack image create kae --file ./openEuler-24.03-LTS-SP2-cvm-aarch64.qcow2 --disk-format qcow2 --container-format bare --public
- 若当前操作系统使用自行编译的内核,需要指定当前内核源码路径。
- 创建直通KAE设备的机密虚拟机。
- 创建具备直通KAE属性的机密虚拟机flavor,指定直通的KAE vf数量为${vf_nums}。
openstack flavor create kae-flavor \ --vcpus 4 --ram 8192 --disk 50 \ --property trait:HW_CPU_AARCH64_HISI_VIRTCCA=required \ --property trait:HW_CPU_AARCH64_HISI_KAE=required \ --property hw:mem_secure=true \ --property sw:qemu_cmdline="tmm-guest,id=tmm0,num-pmu-counters=1,kae=${vf_nums}"
- 单个机密虚拟机最多支持11个KAE vf设备,输入参数${vf_nums}要求大于0,小于等于11。
- 单个计算节点,即一个物理服务器最多支持48个KAE vf设备。
- 创建使能KAE设备直通能力的机密虚拟机。
openstack server create --image kae \ --flavor kae-flavor \ --network public-network \ kae_server
- 机密虚拟机部署成功后,在计算节点使用virsh命令进入虚拟机控制台,能够看到对应的KAE设备。
virsh console ${domain_id} ll /sys/class/uacce/
- 创建具备直通KAE属性的机密虚拟机flavor,指定直通的KAE vf数量为${vf_nums}。
父主题: 配置OpenStack支持机密虚拟机