GPU(GPU-半虚拟化)安全吗？

Question

我正在构建一个虚拟化服务器，我希望像LTT团队在这视频中所做的那样，对GPU进行分区，并在这视频中如何分割工艺。我想在生产环境中为当地的企业，因为明显的低成本/站。我的问题是，安全吗？攻击者能否通过将VM链接到主机的图形驱动程序在主机上运行脚本。我之所以问这个问题，是因为当您使用GPU通行证时，微软建议安装一个“安全缓解驱动程序”这里。由于GPU传输到超级v主机的窗口明显更窄(因为GPU在主机级别是“脱机的”)，我想知道它是如何在这里发挥作用的。有什么想法吗？会很感激的。

Answer 1

首先，当涉及到生产工作负载时，尽量不要相信LTT --他们通常为自己构建不可支持的、不稳定的“服务器式”系统，因为它能获得视图，就像随后的视频“修复”它们所造成的问题一样。事实上，专业的系统设计、建筑和管理都有点乏味，因为我们只关心正常运行时间和为客户服务--这很无聊，不会被点击，但会让成千上万的专业人士工作，世界也在不断变化。

其次，构建可靠和安全的GPU虚拟化是完全可能的--这是我自己做的--但我使用VMware的ESXi作为我的管理程序，使用NVidia的GRiD软件和支持的硬件来实现这一点。所有这些都不是免费的，但对我来说已经有五年或更长的时间了。

显然，你会有你自己的预算，这可能会排除一些或所有的工具，我用来做这件事，但回答你的问题-是的，这是非常不可能的-但你的工具集将改变这一点。我相信这里还有其他人可能试图用Hyper-V来做这个。

当然，完整的PCIe设备传递可以与大多数提供足够配置的管理程序一起工作，并且应该与VM中的任何其他虚拟资源一样安全。

无论如何，我希望你能理解我的答案，得到更好的帮助，但请-朋友不要让朋友信任LTT设计-无论如何，他们用磁盘阵列做什么都会让他们在存储过程中战战兢兢-专业:)

Answer 2

我强烈建议不要在生产环境中使用GPU半虚拟化。原因如下：

1. 有些事情不管用，有些人在reddit上对游戏进行了测试，并给出了一个你可以看到这里的列表。如果你打算使用的软件不能工作，你可能得不到Nvidia，AMD或微软的支持。
2. 我所经历的最糟糕的事情是使用Nvidia驱动程序R525和网络朋克，在那里主机和客人系统同时崩溃。然而，同样的游戏适用于较老的GPU驱动程序版本。
3. 事实上，这个特性甚至没有包含在Hyper中，这是一个强有力的指示，表明它确实是实验性的。
4. 但是，如果您喜欢测试新的GPU虚拟化解决方案，那么您不介意自己或者在在线社区的帮助下搜索可工作的配置，稳定性并不是最优先的，那么GPU半虚拟化就适合您了。

不受使用Hyper-V的限制，我建议使用GPU、pass身或vGPU，并使用诸如VMware、ESXi或KVM这样的管理程序。KVM和GPU通道甚至可以免费使用，甚至可以免费使用GPU，就像您可以看到的这里一样。