+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Необходимо ли включать "AES-NI" в списке флагов процессора?, Proxmox Виртуальная Среда

TheHellSite

Guest

15.04.2021 12:55:00

Привет, у меня есть несколько вопросов. 1. Обязательно ли включать AES в настройках флагов процессора при использовании kvm64? 2. Какие версии AES поддерживаются этим флагом? 3. Стоит ли запускать OPNsense, используя тип процессора хоста, или нормально запускать как kvm64+aes?

EDIT: Я сделал небольшой тест. Вопрос 1: Кажется, ответ — да, может кто-нибудь из разработчиков подтвердить это? Вопрос 3: Думаю, никакой разницы нет. (Смешно, что хост был медленнее, чем kvm64+aes...)

TheHellSite

Guest

14.07.2021 12:20:00

Извини за поздний ответ. Спасибо за информацию и ссылку, очень помогло. Я использую kvm64 с момента твоего поста. Однако вчера я заметил странность в логах загрузки OPNsense. Это не записывается в "/var/run/dmesg.boot" и видно только в консоли во время загрузки.

Настройка модулей ядра...aesni0: Отсутствует поддержка AES или SHA. Эта ошибка появляется в логах загрузки на обоих моих OPNsense VM. Обе работают с CPU kvm64 (флаг aes установлен в enabled). VM_1 работает на сервере Proxmox на базе AMD (Ryzen 3 PRO 4350G APU). VM_2 работает на сервере Proxmox на базе Intel (Intel J3160). По остальным характеристикам VM (CPU, RAM, HDD, NIC…) всё одинаково.

Поэтому я решил провести дополнительные тесты. Сначала я запустил тесты скорости OpenSSL, "openssl speed -evp aes-256-cbc". Я знаю, что правильный бинарник находится в "/usr/local/bin/openssl", но для сравнения это не имеет значения.

Intel Server --> результаты как ожидалось (хост с и без флага aes) = kvm64 (с флагом aes)
kvm64 (без флага aes) = как ожидалось, гораздо медленнее, чем хост или kvm64 (с флагом aes)

AMD Server --> результаты не как ожидалось.

Я вот думаю: почему CPU тип kvm64 (с флагом aes) быстрее, чем тип хост CPU, особенно на 16 байтах?

kvm64(без флага aes)
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 183911.84k 214165.31k 218240.60k 224476.34k 220454.74k 221420.73k

kvm64 (с флагом aes)
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 728565.07k 1016349.00k 1019030.16k 1039692.61k 1063829.76k 1089562.83k

host (с и без флага aes = одинаковые результаты)
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-cbc 288019.65k 639515.31k 939824.13k 1017438.70k 977331.24k 1103118.64k

После этого я загрузил обе VM на обе системы с различными настройками флагов и CPU (хост против kvm64), чтобы посмотреть, когда появляется ошибка. Ошибка "aesni0: No AES or SHA support" появляется только при установке типа CPU kvm64. К тому же, не имеет значения, установлен ли флаг aes в enabled или по умолчанию. При выборе типа CPU хост ошибка не появляется, вместо этого отображается следующее:

AMD Server
Настройка модулей ядра...aesni0: <AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS,SHA1,SHA256> на материнской плате.

Intel Server
Настройка модулей ядра...aesni0: <AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS> на материнской плате.

TL;DR
1. Почему тип CPU kvm64 (с флагом aes) на моей системе AMD настолько быстрее, чем тип хост CPU, особенно на 16 байтах?
2. Почему OPNsense не распознает флаг aes с типом CPU kvm64 во время загрузки?
3. Даже необходимо устанавливать флаги CPU при использовании типа CPU хост? Думаю, на моей системе Intel не имеет значения, использую ли я kvm64 или хост CPU. Но на моей системе AMD, кажется, есть огромная выгода при использовании kvm64, что не имеет смысла.

janssensm

Guest

14.07.2021 13:32:00

Итак, это значит, что ваша VM не использует AES. Это ожидаемый результат, так как модель хоста должна отображать точные характеристики процессора хоста на VM. Значит, AES используется и распознаётся корректно в VM.

TL;DR:

1. Ваша VM не распознаёт AES с моделью kvm64, поэтому использует другие способы вычислений. Вам, вероятно, стоит сравнивать нагрузку на процессор во время этих тестов, потому что, возможно, кажется, что работает быстрее, но вычисление AES не выгружается, поэтому, вероятно, у вас будет большая нагрузка на процессор с KVM64(+aes flag). (Надо сказать, что я не эксперт в этом вопросе)
2. Вам, вероятно, стоит задуматься, действительно ли вам нужна kvm64, потому что вы упустите много других функций процессора. Как упоминалось ранее и рекомендовано в документации PVE и QEMU, вы должны использовать kvm64 только в том случае, если вам действительно нужна миграция в реальном времени. Если она вам не нужна, выберите модель хоста или наиболее подходящую модель. Тогда вы получите наилучший баланс производительности и безопасности. @Stefan_R тоже дал хороший совет здесь [1] [1] https://forum.proxmox.com/threads/q-cpu-flags-security.91805/post-400612

TheHellSite Guest	#4 0 15.07.2021 18:57:00 Отличная мысль! Не знаю, почему мне это раньше даже в голову не приходило! Абсолютно логично. Перевел все свои ВМ на хост CPU.

miles267

Guest

04.07.2023 14:50:00

Привет! У меня работает устройство Protectli VP4650, которое поддерживает AES-NI. Я настроил гостевую VM для размещения Untangle NGFW. Не уверен, включена ли поддержка AES-NI в моей гостевой VM Untangle, так как я ничего не указывал при настройке, хотя CPU хоста ее поддерживает. Я просто передал Intel NICs с хоста для более быстрого доступа в интернет. Нужно ли что-то настроить в моей существующей VM Untangle, чтобы включить AES-NI, либо на хосте, либо в этой гостевой VM? Недавно обновился с Proxmox версии с 7 на 8. Спасибо.

fritjof Guest	#6 0 03.01.2024 17:44:00 Ты включил AES в настройках процессора ВМ?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры