启用IOMMU和设备直通需在BIOS开启VT-x/AMD-V、VT-d/AMD-Vi并关闭Secure Boot;Linux内核参数添加intel_iommu=on或amd_iommu=on及iommu=pt,绑定设备到vfio-pci驱动;最后通过dmesg、lspci和IOMMU组检查验证配置。
在使用 QEMU-KVM 实现硬件直通(如 GPU、USB 控制器或 NVMe 设备)时,需要正确配置系统内核参数和 BIOS 设置,以启用 IOMMU 功能并确保设备能够被安全地分配给虚拟机。以下是关键的设置项。
BIOS 设置
硬件直通依赖于 CPU 和芯片组对 IOMMU 的支持,需在 BIOS 中手动开启相关功能:
- 启用 VT-x / AMD-V:Intel 平台称为 Intel Virtualization Technology,AMD 平台为 SVM Mode。这是基本的 CPU 虚拟化支持。
- 启用 VT-d / AMD-Vi:Intel 平台需开启 Intel VT-d(Virtualization Technology for Directed I/O),AMD 平台需开启 IOMMU。该功能允许设备直接访问内存并通过 IOMMU 进行地址隔离与映射。
- 关闭安全启动(Secure Boot):某些发行版的 Linux 内核模块(如 vfio-pci)无法通过安全启动验证,建议关闭以避免加载失败。
Linux 内核参数配置
在 GRUB 配置文件(通常是 /etc/default/grub)中修改 GRUB_CMDLINE_LINUX 参数,使内核启动时启用 IOMMU 并预留目标设备。
-
Intel 平台添加:
iommu=pt intel_iommu=on
其中 intel_iommu=on 启用 Intel VT-d 支持,iommu=pt 表示仅将 IOMMU 用于直通设备,减少性能开销。 -
AMD 平台添加:
iommu=pt amd_iommu=on
amd_iommu=on 启用 AMD-Vi,iommu=pt 同样优化映射行为。 -
绑定设备到 vfio 驱动:
通过设备的 PCI ID(如 vfio-pci.ids=10de:1c82,10de:0fb9)在启动时强制由 vfio-pci 驱动接管,防止主机占用。例如:
vfio-pci.ids=10de:1c82,10de:0fb9 -
其他可选参数:
pcie_acs_override=downstream,multifunction —— 强制启用 ACS 支持,用于隔离共用 PCIe 根端口的设备(慎用,存在安全隐患)。
验证设置是否生效
重启后可通过以下命令确认配置成功:
- 检查内核参数:
cat /proc/cmdline 应包含上述添加的参数。 - 确认 IOMMU 是否启用:
dmesg | grep -i iommu 应显示“Enabled”或“IOMMU enabled”。 - 查看设备是否被 vfio 驱动接管:
lspci -nnk -s <PCI地址> 显示 Kernel driver in use: vfio-pci。 - 检查 IOMMU 分组:
find /sys/kernel/iommu_groups/ -type l 可查看各设备所属 IOMMU 组,理想情况每个设备独占一组。
基本上就这些。只要 BIOS 开启虚拟化支持,内核参数正确,并确保设备被 vfio 安全接管,硬件直通就能稳定运行。不复杂但容易忽略细节。
