Что такое IOMMU в BIOS / UEFI ?

Что такое IOMMU?

IOMMU (Input-Output Memory Management Unit) — это технология, которая позволяет управлять доступом устройств ввода-вывода (например, видеокарт, сетевых карт, контроллеров дисков) к оперативной памяти компьютера. Она обеспечивает изоляцию памяти для устройств, что повышает безопасность и производительность системы, особенно в виртуализированных средах.

Основные функции IOMMU:

1. Изоляция памяти: IOMMU позволяет назначать устройствам отдельные области памяти, предотвращая их доступ к памяти других устройств или хоста.
2. Преобразование адресов: IOMMU преобразует виртуальные адреса устройств в физические адреса памяти.
3. Защита от DMA-атак: IOMMU предотвращает атаки, связанные с прямым доступом к памяти (DMA), которые могут быть использованы вредоносными устройствами.
4. Поддержка виртуализации: IOMMU позволяет виртуальным машинам напрямую работать с устройствами (PCI passthrough), что повышает производительность.

Как использовать IOMMU:

Использование IOMMU требует поддержки со стороны процессора, материнской платы и операционной системы. Вот пошаговая инструкция:

1. Проверка поддержки IOMMU

• Убедитесь, что ваш процессор и материнская плата поддерживают IOMMU. Например:
  Для процессоров Intel должна быть поддержка VT-d (Intel Virtualization Technology for Directed I/O).
  Для процессоров AMD — AMD-Vi.
• Проверьте документацию к вашему процессору и материнской плате.

2. Включение IOMMU в BIOS/UEFI

• Перезагрузите компьютер и войдите в BIOS/UEFI.
• Найдите настройки, связанные с виртуализацией и IOMMU. Они могут быть связаны с:
  Intel VT-d (для Intel).
  AMD IOMMU (для AMD).
  SVM Mode (для AMD, включает поддержку виртуализации).
• Включите эти опции.
• Сохраните изменения и выйдите из BIOS.

3. Проверка включения IOMMU в Linux

Если вы используете Linux, выполните следующие шаги:

• Откройте терминал.
• Проверьте, включена ли поддержка IOMMU в ядре:

dmesg | grep -i iommu

• Если IOMMU включен, вы увидите сообщения, подтверждающие его активацию.

4. Настройка IOMMU для PCI Passthrough

Если вы хотите использовать IOMMU для передачи устройств виртуальным машинам (PCI passthrough), выполните следующие шаги:

• Убедитесь, что ваше устройство поддерживает PCI passthrough.
• Найдите идентификатор устройства:

lspci -nn

• Добавьте параметры ядра для включения IOMMU. Для этого отредактируйте файл загрузчика (например, GRUB):
  Откройте файл конфигурации:

sudo nano /etc/default/grub

Найдите строку GRUB_CMDLINE_LINUX_DEFAULT и добавьте параметры (с оглядкой на дистрибутив):
Для Intel: intel_iommu=on
Для AMD: amd_iommu=on

Обновите конфигурацию GRUB:

sudo update-grub

• Перезагрузите систему.

5. Использование IOMMU в виртуализации

• Если вы используете гипервизор (например, KVM/QEMU), настройте PCI passthrough для передачи устройства виртуальной машине.
• Пример команды для добавления устройства в виртуальную машину:

virsh nodedev-list --tree

virsh nodedev-dumpxml <устройство>

virsh attach-device <виртуальная машина> <файл XML устройства>

6. Проверка работы

• После настройки проверьте, что устройство работает в виртуальной машине.
• Убедитесь, что производительность устройства соответствует ожиданиям.

Преимущества использования IOMMU:

• Безопасность: Изоляция памяти предотвращает доступ устройств к критическим областям памяти.
• Производительность: Прямой доступ устройств к памяти снижает задержки.
• Гибкость: Возможность передачи устройств виртуальным машинам.

Недостатки:

• Сложность настройки: Требует знаний и опыта.
• Зависимость от оборудования: Не все устройства поддерживают PCI passthrough.

Если вы планируете использовать IOMMU для виртуализации, убедитесь, что ваше оборудование и программное обеспечение поддерживают эту технологию.