虚拟化框架和容器在没有 iommu 功能的硬件上的有效性?

虚拟化框架和容器在没有 iommu 功能的硬件上的有效性?

如果您的硬件不支持 iommu,是否值得在基于 Linux 的分布式操作系统(如 Kali 或 Qubes)上安装 VirtualBox?如果隔离受到限制,对安全有什么好处吗?

答案1

是的;仅当您需要将 PCIe 设备物理分配给 VM 时,iommu 才有用。通常,你不会这样做。

Kali 不是一个通用操作系统,https://www.kali.org/docs/introduction/should-i-use-kali-linux/,您可能不应该将其用作虚拟化主机。请仔细阅读该文档,因为您的用户名包含“Noob”,所以 Kali 确实是错误的选择:它甚至没有尝试对您有用。

我不知道你所说的“如果隔离是有限的”是什么意思?除非您有一个外界不知道的虚拟机逃逸,否则基于 Linux 的虚拟机隔离得相当好。如果您指的是容器,那么现在的讨论有点过头了,可能应该根据您的具体用例进行研究。但是,看到服务器环境中普遍存在用于隔离各个服务的容器,粗略的考虑应该会给您带来一些见解。

相关内容