dpdk 与 vt-d iommu

最新推荐文章于 2025-11-30 17:19:11 发布
原创 最新推荐文章于 2025-11-30 17:19:11 发布 · 951 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云计算

dpdk with intel vt-d

DPDK 结合 VT-d(Intel Virtualization Technology for Directed I/O)是实现高性能用户态 I/O 的关键技术路径。DPDK 依赖 VT-d 提供 DMA 地址映射隔离、安全性和设备直通能力(VFIO),以便在用户态直接、安全地访问物理网卡设备。

VT-d 简介

VT-d(Intel IOMMU) 主要提供以下三大能力:

功能说明
DMA Remapping将设备发起的 DMA 请求重映射到合法物理地址(隔离+保护)
Interrupt Remapping支持 MSI/MSI-X 中断重映射,避免中断注入错误
Address Translation & Protection按照设备分配的二级页表(IOMMU Page Table)翻译 DMA 地址

DPDK 为何依赖 VT-d

目的描述
用户态 DMA 安全用户态应用不能直接访问 DMA,需要 IOMMU 做地址隔离
VFIO 支持VFIO 使用 VT-d 提供 DMA remap,保障安全直通
HugePages + DMA 映射HugePage 需要注册为 IOVA 映射,必须经由 IOMMU

DPDK + VT-d 的典型路径:VFIO 模式

DPDK 强烈推荐使用 VFIO,而 VFIO 背后的核心依赖就是 VT-d 的功能支持。

数据路径:

+------------------------------+
|       用户态应用 (DPDK)     |
|  调用 VFIO 分配 DMA 区域     |
+-------------↑----------------+
| VFIO 驱动(vfio-pci, vfio_iommu_type1) |
|   管理 IOVA 映射关系 (map DMA buf)    |
+-------------↑----------------+
|      VT-d / IOMMU (Intel)    |
|   建立 DMA 页表 (IOVA->PA)   |
+-------------↑----------------+
|     真实物理设备(NIC)      |
+------------------------------+

DPDK 使用 VFIO/VTD 的典型流程

  1. 系统开启 VT-d 支持:
  • BIOS 开启 VT-d
  • 添加内核参数: intel_iommu=on iommu=pt
  1. 挂载 hugepage 内存:
mkdir /mnt/huge
mount -t hugetlbfs nodev /mnt/huge
  1. 绑定网卡到 VFIO:
modprobe vfio-pci
dpdk-devbind.py --bind=vfio-pci 0000:03:00.0
  1. DPDK 分配 DMA buffer:

应用程序通过 rte_malloc/rte_pktmbuf_pool_create() 分配 hugepage buffer。
这些 buffer 会自动通过 VFIO 注册为 IOVA(Intermediate Address)。

  1. VFIO 通知 IOMMU 做 IOVA -> PA 映射:
  • 用户态无法操作页表,VFIO 内核模块通过 iommu_map() 完成。
  1. 网卡进行 DMA 访问:
  • DMA 使用 IOVA 地址,IOMMU 硬件将其重定向到物理地址。
  • 数据写入 DPDK 分配的 HugePage。

IOMMU 模式对比

模式描述安全性性能
iommu=ptPassThrough 模式,只启用地址检查,无 remapping
iommu=on启用完全映射保护略低(可接受)

DPDK 推荐在生产中使用 iommu=on + VFIO,以保证 DMA 隔离和多租户安全。

VFIO 内部机制与 VT-d 配合关键点

  1. vfio_iommu_type1.c
  • 管理用户态提供的虚拟地址与 IOVA 的映射关系。
  • 通过 ioctl VFIO_IOMMU_MAP_DMA 显式注册物理内存页。
  • 映射写入 /sys/kernel/iommu_groups/ 对应设备组。
  1. IOMMU 页表结构

类似 CPU 页表的二级结构,用于将 IOVA 映射到物理地址。

[IOVA] -> [IOMMU Page Table] -> [PA]
  1. 内核 DMA API(iommu_map

最终调用 IOMMU 驱动,如:

  • intel-iommu.c (针对 VT-d)
  • arm-smmu.c (ARM SMMU)

与 UIO 模式对比

对比项VFIO (基于 VT-d)UIO/igb_uio
安全性高,DMA 隔离无隔离,容易 DMA 越权
IOMMU 支持支持 VT-d 映射不支持
支持热插拔支持不支持
推荐场景生产环境测试/开发用

调试 VT-d/IOMMU 的工具和技巧

# 查看 IOMMU 分组
find /sys/kernel/iommu_groups/ -type l

# 查看是否支持 IOMMU
dmesg | grep -i iommu

# 查看 VFIO 是否注册了 DMA 区域
sudo cat /proc/iomem | grep -i vfio

# dump DPDK 应用分配的 IOVA 区域
cat /proc/iommu | less

总结:DPDK 与 VT-d 的结合价值

能力作用
DMA 安全隔离多租户环境下,防止设备 DMA 恶意访问
用户态直通通过 VFIO 将设备直接映射给用户态
高性能 DMAHugePage 配合 DMA 提升吞吐量
零拷贝 + 多核并发DPDK 拓展 VT-d 安全优势,同时保证性能极致
外设直通技术-intel VT-d
faxiang1230的专栏
05-21 4033
虚拟化中外设虚拟化 虚拟化的目标是仿真整个的计算机,从计算机资源角度可以分为CPU虚拟化,内存虚拟化,中断虚拟化,设备虚拟化几个基本的组件,下面主要是看一下设备虚拟化中的外设直通场景下的一些技术实现方式。 设备虚拟化通常有几种模型:软件仿真设备直通。其中软件仿真可以细分为两种:仿真真实的硬件、专门为虚拟化设计的外设,前者的典型设备有网卡e1000,虚拟GPU VGA,后者的设备主要是标准的virtio系列设备:virtio-blk, virtio-net等。而设备直通是一种将物理设备呈现给虚拟机的方式,它
DPDKDPDK-20.11.3在CentOS8.4上编译运行
LFTF的博客
12-13 5003
1、安装前提条件 # uname -a Kernel version >= 2.6.34 # ldd --version glibc >=2.7 2、编译安装DPDK 2.1、编译工具安装mesonninja pip3 install meson ninja 2.2、numa库安装 yum install -y numactl numactl-devel 2.3、gcc工具套件 dnf install -y gcc-toolset-9 2.4、编译DPDK tar
三角洲要求开启VT-D,DMA作弊的末日来了吗?DMA该如何应对反作弊的强势检测机制?
热门推荐
imuzier的博客
07-04 3万+
腾讯游戏《三角洲行动》强制要求Intel平台玩家开启VT-D功能以对抗DMA作弊。VT-D通过IOMMU硬件隔离机制阻断未经授权的内存访问,使依赖PCIe设备的DMA作弊工具失效。目前DMA作弊者面临两种困境:部分作弊工具在VT-D环境下无法运行,部分用户因担心留下检测痕迹拒绝开启该功能。虽然理论上存在模拟合法设备等绕过手段,但现代反作弊系统硬件防护的深度整合已显著提升作弊门槛。该措施有效遏制了硬件级作弊,但DMA作弊反作弊的攻防对抗仍在持续升级。
Linux 下检查 VT-d / IOMMU 是否开启
weixin_44260459的博客
03-19 1万+
介绍 VT-dIOMMU其实都是指的I/O 虚拟化,只不过前者是Intel的叫法,后者是AMD的叫法: VT-d全称为Intel® Virtualization Technology for Directed I/O IOMMU全称为Input/Output Memory Management Unit 这项技术是可以让PCI-e设备的资源直接分配给虚拟机,即PCI直通。 举个例子,在虚拟客户机里可以直接访问到物理显卡,性能比使用由VMM/Hypervisor虚拟出来...
Intel VT-d实现概述
qq_38350702的博客
03-29 2718
VT-d硬件接收到其旗下I/O设备传递过来的中断请求时,会先查看自己的中断重定向功能是否打开,如果没有打开则,直接上传给LAPIC。如果中断重定向功能打开,则会查看中断请求的格式,如果是不可重定向格式,则直接将中断请求提交给LAPIC。如果是可重定向的格式,则会根据算法计算Interrupt_Index值,对中断重定向表进行索引找到相应的IRTE。
什么是BIOS,VT-d,grub,iommu,VFIO
nb_zsy的博客
06-07 8698
什么是BIOS Basic Input Output System 基本输入输出系统。 BIOS是个人电脑启动时加载的第一个软件。 其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序系统自启动程序,它可从CMOS中读写系统设置的具体信息。 其主要功能是为计算机提供最底层的、最直接的硬件设置控制。此外,BIOS还向作业系统提供一些系统参数。系统硬件的变化是由BIOS隐藏,程序使用BIOS功能而不是直接控制硬件。现代作业系统会忽略BIOS提供的
linux dpdk,在Linux(CentOS)上部署DPDK------命令行方式
weixin_36311421的博客
05-28 1884
1.DPDK 简介DPDK(Data Plane Development Kit)是数据平面开发工具包,由用于加速在各种CPU架构上运行的数据包处理的库组成。DPDK需要一定的网卡硬件支持,以Intel为例,支持以下网卡:e1000 (82540, 82545, 82546)e1000e (82571, 82572, 82573, 82574, 82583, ICH8, ICH9, ICH10, ...
dpdk:vfio-pci模式下iommu(N+Y)-Huge配置-numa配置
linggang_123的博客
03-05 8547
一、 l2fwd运行首先需要绑定网卡,绑定方式如下:(numa禁用+iommu禁用) PS:以挂载ens7 网卡,pci 0000:02:05.0 为例 1.关闭计划用dpdk接管的网卡接口,并查询其pci端口号,可以通过lspci |grep Ethernet查看。此时需要确认本机物理网卡或虚拟网卡为DPDK支持类型,查询网址https://core.dpdk.org/supported/ ifconfig ens37 down 2. 安装NIC网卡驱动模块并启动非安全NOIOMMU...
DPDK 关于 IOMMU 设置
wanghaicheng0421的专栏
07-07 1133
【代码】DPDK 关于 IOMMU 设置。
DPDK vhost-user详解
lingshengxiyou的博客
09-06 675
本篇文章将在熟悉vhost-net架构的基础上展示使用vhost-net协议将网络处理从qemu移出并移入内核驱动程序的好处。在本篇文章中,我们将更进一步,展示如何在客户机主机上使用DPDK(数据平面开发包)将数据平面从内核中移出,并移入用户空间来提高网络性能使用。IOMMU几乎等同于用于I/O空间的MMU(设备直接使用DMA访问内存)。它位于主内存设备之间,为每个设备创建虚拟I/O空间并提供一种机制将虚拟I/O内存动态映射到物理内存。
浅谈GPU虚拟化技术(三)GPU SRIOV及vGPU调度
HanBlogs
05-07 1万+
本系列文章推送门: 阿里云郑晓:浅谈GPU虚拟化技术(第一章)GPU虚拟化发展史阿里云郑晓:浅谈GPU虚拟化技术(第二章)GPU虚拟化方案之——GPU直通模式今天一个小伙伴@我说:“你浅谈一下,没点技术背景的,估计都看不懂…”,醍醐灌顶啊,面向公众的文章不是学术论文,应以普及基本概念为主。所以我决定在接下来的文章力求写的让吃瓜群众能看懂,专业人士能读完也会有很大感触启迪。至于技术细节,大致...
7.3 IOMMU流程分析
wanthelping的博客
07-26 1万+
本节分析intel vt-d 在kvm中的实现流程
dpdk环境搭建之使能额外功能
shaoyunzhe的专栏
11-25 3519
参考:http://dpdk.org/doc/guides/linux_gsg/enable_func.html#enabling-additional-functionality 翻译理解吧 1 使能额外功能 1.1 High Precision Event Timer HPET(高精度定时器) 1.1.1BIOS 支持  条件:Time Stamp Counter (TSC)(时间
内核引导参数IOMMUINTEL_IOMMU有何不同?
RToax
11-10 8001
《ARM SMMU原理IOMMU技术(“VT-d” DMA、I/O虚拟化、内存虚拟化)》 《提升KVM异构虚拟机启动效率:透传(pass-through)、DMA映射(VFIO、PCI、IOMMU)、virtio-balloon、异步DMA映射、预处理》 《内核引导参数IOMMUINTEL_IOMMU有何不同?》 《DMAR(DMA remapping) IOMMU》 前文(《DMAR(DMA remapping) IOMMU》)介绍过IOMMU是提供DMA Remapping功能的硬件模块
AMD(IOMMU) / Intel (VT-d)
木马屠城
03-29 8829
http://benjr.tw/node/515 在探討虛擬化時我們先來看看電腦系統是否為了虛擬化做了什麼改變.你可以很清楚看到 PC / Server 系統架構不變但是在 CPU North Bridge(北橋) 的內部都增加了虛擬化的架構,為了什麼需要在同時在這 PC / Server 最主要的晶片上同時加入虛擬化的功能,這可以分為兩點來探討! 第一步是由 CPU
微星主板vt怎么开启_Linux 下检查 VT-d / IOMMU 是否开启
weixin_28815535的博客
01-10 6790
欢迎转载,但请在开头或结尾注明原文出处【blog.chaosjohn.com】介绍VT-d IOMMU 其实都是指的 I/O 虚拟化,只不过前者是 Intel 的叫法,后者是 AMD 的叫法:VT-d 全称为 Intel® Virtualization Technology for Directed I/OIOMMU 全称为 Input/Output Memory Management Uni...
IOMMU之Interrupt Remapping
zheng的博客
04-04 4472
1、原理介绍 在使用设备直通虚拟机的场景下,外设中断无法直接发送到Guest,使用iommu,可以改变虚拟机外设中断的投递方式。以msi中断为例,msi msg里不再需要填写相关的中断信息,而是转换成interrput index的方式。中断的管理信息(投递方式、目标cpu信息、vector信息)存放在一个叫irte的内存区域里,每个iommu最多可以有64k个irte,iommu通过inter...
linux下检查项目是否启动,Linux 下检查 VT-d / IOMMU 是否开启
weixin_36472625的博客
05-13 3067
介绍VT-d IOMMU 其实都是指的 I/O 虚拟化,只不过前者是 Intel 的叫法,后者是 AMD 的叫法:VT-d 全称为 Intel® Virtualization Technology for Directed I/OIOMMU 全称为 Input/Output Memory Management Unit这项技术是可以让PCI-e设备的资源直接分配给虚拟机,即 PCI直通。举个例...
云计算】【Kubernetes】 ② K8S的架构、应用及源码解析 - Pod 生命周期管理 CRI 集成详解
最新发布
xiezhiyi007的专栏
11-30 900
本文深入剖析 Kubernetes 节点核心组件 kubelet 的架构工作机制。kubelet 作为节点上的“操作系统内核”,通过事件驱动 syncLoop 主循环协同管理 Pod 全生命周期。文章详解其关键模块——包括 Pod Manager、PLEG、Volume Manager、Container Manager Status Manager,并结合生活化类比阐明各组件职责。重点解析 kubelet 如何通过 CRI(Container Runtime Interface) contain
[root@localhost dpdk-stable-22.11.4]# ./usertools/dpdk-devbind.py --bind=igb_uio 02:02.0 02:03.0 Warning: no supported DPDK kernel modules are loaded Error: Driver 'igb_uio' is not loaded. [root@localhost dpdk-stable-22.11.4]#
03-13
| **无法加载 `vfio-pci`** | 检查 BIOS 中是否启用 VT-d/IOMMU,并确认 GRUB 配置已更新。 | | **权限不足** | 使用 `sudo` 执行命令,或将用户加入 `kvm` 组:`sudo usermod -aG kvm $USER`。 | --- ### **总结*...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值