我希望在運行Zentyal防火牆的Xen項目機器上安裝VM。我的機器有三塊網卡:一塊是集成的,另外兩塊是相同的,類似的卡(它們具有相同的Realtek芯片,但來自不同的製造商)。爲了讓防火牆達到最佳工作狀態,我想要做的就是將兩個謹慎的NIC分配給我的防火牆虛擬機,併爲Dom0和其他虛擬機使用集成卡。過去我已經能夠使用其他虛擬化軟件做類似的事情,但一直沒能找到一種方法來處理Xen Project。將NIC分配給XenProject虛擬機
This page提供了許多有用的配置,但我不認爲它們中的任何一個匹配我想要做的。這是否可能,還是我必須放棄虛擬化防火牆計算機的希望?
我認爲最好的解決方法是在Xen中使用PCI passthrough。這意味着您可以將1個NIC連接到dom0(然後可以將其中一個連接到允許其他VM通過相同接口連接的NIC - 查看Xen articles on network configuration中的一個,瞭解如何設置它的一些示例,它就像您只有一個NIC一樣),並允許防火牆VM完全控制其他兩個NIC。
這個過程有點涉及,可能會因分佈而有所不同,所以我建議你檢查我鏈接的第一篇文章,但我會描述基本過程。
使用lspci檢查要通過的兩個網卡的PCI地址。爲你的卡輸出的線條看起來像下面的(雖然細節將是非常不同的結構是一樣的):
00:19.0 Ethernet controller: Intel Corporation 82579LM Gigabit Network Connection (rev 04)
00:19.1 Ethernet controller: Intel Corporation 82579LM Gigabit Network Connection (rev 04)
記下第一列(00:19.0和00:19.1在這個例子中)。在使用以下格式添加到配置的防火牆VM:
pci=['00:19.0','00:19.1']
就其本身而言,這將導致虛擬機無法啓動,因爲這將無法通過設備。爲了使設備能夠穿過他們將需要綁定到pciback司機的dom0用以下命令:
xl pci-assignable-add 00:19.0
xl pci-assignable-add 00:19.1
這可能不是在所有情況下可能的,但也有其他的方法,如果它是不。我強烈建議您閱讀我之前提到的the article,以充分理解您的情況下做到這一點的最佳方法。