我们建议您在主机操作系统或 OpenStack 计算节点上启用嵌套 虚拟化 。Ubuntu 上默认启用嵌套虚拟化,但在 CentOS 上默认禁用。
使用以下命令确定主机操作系统上是否启用了嵌套虚拟化。结果应为 Y。
hostOS# cat /sys/module/kvm_intel/parameters/nested
hostOS# Y
注意:
APIC 虚拟化 (APICv) 无法很好地处理嵌套虚拟机,例如那些与 KVM 配合使用的虚拟机。在支持 APICv(通常为 v2 型号,例如 E5 v2 和 E7 v2)的 Intel CPU 上,必须先在主机服务器上禁用 APICv,然后才能部署 vSRX 虚拟防火墙。
- 根据您的主机操作系统,请执行以下操作:
- 将以下行添加到文件中:
hostOS# options kvm-intel nested=y enable_apicv=n
注意:
与 KVM 主机内核相关的页面修改日志记录 (PML) 问题可能会导致 vSRX 虚拟防火墙无法成功启动。我们建议将以下行添加到文件中, 而不是 第 2 步中所列的行:
hostOS# options kvm-intel nested=y enable_apicv=n pml=n
- 保存文件并重新启动主机操作系统。
- (可选)重新启动后,验证是否已启用嵌套虚拟化。
hostOS# cat /sys/module/kvm_intel/parameters/nested
hostOS# Y
- 在支持 APICv(例如,E5 v2 和 E7 v2)的 Intel CPU 上,禁用主机操作系统上的 APICv。
root@host# sudo rmmod kvm-intel
root@host# sudo sh -c “echo ’options kvm-intel enable_apicv=n’ >> /etc/modprobe.d/dist.conf”
root@host# sudo modprobe kvm-intel
- 或者,验证 APICv 现在是否已禁用。
root@host# cat /sys/module/kvm_intel/parameters/enable_apicv
N