VGA passthrough

[vitus_wagner]

Вот интересно, а кто-нибудь из моих читателей уже игрался с VGA passthrough в KVM или XEN?

Собственно задача понятно какая - запустить в виртуальной машине винду, чтобы работали 3d-игры, но при этом чтобы все сетевые соединения этой винды жестко контролировались в более другой ОС, и кроме того существовала всегда возможность откатить эту винду на снапшот опять же внешними по отношению к ней средствами.

Интересно, как в такой конфигурации делать переключение между ОС без выключения guest-системы, куда пробрасывается видеокарта, и возможно ли оно?

В принципе, конечно не обязательно - ставится на винду Xming и все линуксовые программы можно прекрасно отображать на этой видеокарте.

А ребут только гостя можно, наверное, через какой-нибудь magic sysrq сделать.

Comments

[beldmit.livejournal.com]

Я в своё время читал про Qubes, где они этого тогда (2 года назад) запуск 3d-игр не осилили. Поскольку анонсов прорыва не было, то думаю, что воз и ныне там.

[vitus_wagner]

https://wiki.debian.org/VGAPassthrough

Они продвигаются тихо и незаметно.

[kiryl.livejournal.com]

https://virgil3d.github.io/

[vitus_wagner]

Эта хрень не работает и неизвестно когда заработает. Там написано

The project is currently under research and development.

It is not ready for distribution.

There is no current roadmap or date for when it will be ready for distribution.

Кроме того, она делает совершенно не то. что мне надо. (вернее, то что мне надо, она возможно тоже делает, но 90% заявленной функциональности мне не нужны),

[amarao-san.livejournal.com]

Нафига винда? В стиме полторы тыщи игрушек под линукс всех видов - играй не переиграй.

[vitus_wagner]

Мне не нужны полторы тысячи дерьмовых игрушек. Мне нужна одна конкретная, которой там нет. World of Warcraft называется.

Кроме того steaм хуже винды. DRM (который Digital Rights Management) в рабочую систему тащить - ну его нафиг.

Наличие винды даже в дуал-буте все-таки более-менее защищает мои файлы от шаловливых ручек проприетарщиков (если в винде нет драйвера ext4).

Поэтому со steam-ом будут все те же проблемы - его придется держать в виртуалке и прокидывать в эту виртуалку 3d.

[amarao-san.livejournal.com]

Когда ты говорил "дерьмовых", ты говорил это оценивая уровень игрушек в стиме, или просто с целью уязвить собеседника? Спасибо.

Стим прекрасно изолируется в namespace и работает от отдельного пользователя без возможности что-либо поменять в системе. Расковырять один раз дебку, чтобы ни разу не дать рута - довольно тривиальная вещь.

[karpion.livejournal.com]

Контролировать сетевые соединения может роутер.

Откатываться на снэпшот может дуал-бут - возможность загрузки другой операционки, которая всё починит. Или Comodo Time Machine.

[vitus_wagner]

Это если есть роутер. А если там USB 4G-модем? Ну то есть, конечно может быть удастся раздобыть средства разработки под тот Linux, который в этом модеме, и туда чего-нибудь прикрутить. Но он в какой-то степени более проприетарен чем винда, средства разработки под которую понятно где брать, и где читать как пользоваться.

Кстати, при подключении через публичный вайфай даже и этого уровня защиты не будет. Во встроенный в ноутбук вайфай-карте нет линукса, который можно похакать и запрпетить ему коннектиться к микрософтовским серверам телеметрии.

[vitus_wagner]

Я не доверяю разработчикам ядра Linux в такой степени, чтобы поверить что он namespace у них что-нибудь изолируется. Там когда делали эти namespace была битва самолюбий параллелз, редхата и еще по-моему парочки коммерческих компаний. В результате получилось та-а-кое.

А любая программа, авторы которой стесняются показать исходники дерьмовая по определению.

Впрочем совеременные игрушки (все что появилось после Doom включая его) дерьмовы все.

[livelight]

Я много играл всего в две игрушки, закупленные черед стим. Про первую из них не проверял, а вторую прекрасно запускаю в обход стима, через который изначально её установил. Там есть ЕХЕ-шник, запустил - и наслаждайся.

[livelight]

А виндовый встроенные фаервол не? А если не он - то есть и другие программные фаерволы, в которых можно чётко указать, что программе можно в сети, а что низя.

[livelight]

Что-то я отстал от жизни, хотя и работал год в паре рельс :)
Namespace - это когда процесс засовывается в то, что параллелз называет контейнером?

[amarao-san.livejournal.com]

Я namespaces использую для изоляции от сети (там, где мне не нужно). Оно чертовски надёжно - посторонних интерфейсов процесс просто не видит. В остальном достаточно изоляции уровня "пользователя".

Если же ты не доверяешь разработчикам ядра до такой степени, то почему ты доверяешь разработчикам ядра до такой степени, что готов посторонний код запускать на qemu/kvm, который насквозь по безопасности зависит от ядра и только от ядра?

Насчёт "все современные игрушки" - это включая портал, antichamber, kairo, ininifactory, deponia? Я откровенно обижен. Потому что эстетическая часть у этих игрушек за пределами добротной книги или фильма. Сильно за.

Алсо, к вопросу об эстетичности игрушек. Вот, например: http://www.krillbite.com/theplan/ (займёт минут 5 на всё про всё, впечатлений - на месяц).

[amarao-san.livejournal.com]

Нет. namespace, это возможность порезать ресурс на кусочек. Есть несколько namespace'ов. Наиболее полезный - network namespace, который позволяет ограничить приложение по списку доступных ей сетевых интерфейсов. Не силами iptables, а "вообще". То есть приложение в сетевом namespace видит только lo (на котором никто не слушает) и те интерфейсы, которые явно в namespace добавишь.

Есть ещё куча других (включая user namespace, pid namespace), которые вместе с cgroups позволяют организовать контейнеры. Там есть нюансы, в основном потому, что часть системы трудно резать между пользователями (те же dmesg'и).

А vitus_wagner не слушай. У него обычное ретроградство и неприятие нового.

[vitus_wagner]

"Чертовски надежно" это "пользователь с админскими правами, никогда не изучавший теорию и практику взлома" не может взломать посредствм user-level тулзов?

Я не знаю и знать не хочу ни одной из перенчисленных игрушек. Но если они
тебе нравятся, вероятно я с них буду плеваться.

kvm и namespaces в ядре писали разные люди. А дизайн того, от безопасности чего зависит просто qemu, который без акселерации, вообще от основоположников унаследован.

[vitus_wagner]

Не. Его можно отключить изнутри виндов. Очевидно, что авторы трояна знают винды лучше меня, независимо от того, является ли этот троян случайно подцепленным через сайт, злонамерненно подсунутым разработчиком игрушки, или частью очередного обновления Windows.

В последнем случае авторы трояна знают винды НАМНОГО лучше меня. имеют доступ к секретным ключам для подписи кода etc.

Cо steam та же история - я уверен, что
1. Авторы steam злонамеренны
2. Они знают как ломать ядро linux гораздо лучше меня.

[vitus_wagner]

Ну некоторые люди и айфоном пользуются. Есть люди, которым нечего скрывать от вендоров софта, включая номера кредитных карт.

[amarao-san.livejournal.com]

Совершенно правильно. Именно так надёжно. В принципе, я допускаю, что там можно будет со временем найти CVE, но с большой вероятностью это будет как всегда perf/bfe с эксалацией на уровень ядра. А сами network namespaces просты как стальная чушка, и так же надёжны.

Но если они тебе нравятся, вероятно я с них буду плеваться..

Спасибо, я услышал ответ на предыдущий вопрос. "Они все дерьмо" было сказано не в отношении конкретных игрушек, а в адрес собеседника с целью его уязвить.

Могу только пожать плечами и сказать: "ну разбирайся тогда c qemu сам, раз окружающим хамишь".

[vitus_wagner]

Вообще то что я хамлю, это признак глубогого уважения к тебе как давнему комментатору данного журнала. Другого бы я за пропаганду DRM нахрен забанил бы. А то и просто за оффтопичность.


Но вообще "они все дерьмо" сказано не в твой адрес. а в адрес современной индустрии компьютерных игр. Впрочем, в адрес голливудского кино я скажу то же самое. Я уверен что с тех самых пор как игры стали требовать 3d, они развиваются в неправильную сторону. гонятся не за красотой сюжета, или художественностью. графики и текстов реплик персонажей, а за красотой спецэффектов. Увы, старого доброго loom 320x200x16 цветов с музыкой на PC-Speaker современные игроделы превзойти не могут. Потому что не в ту сторону сморят.

[amarao-san.livejournal.com]

Тогда у меня к тебе реальная просьба: посмотри the plan. Просто для расширения кругозора, что игровая индустрия бывает разной. Именно в контексте "как можно сделать офигенную атмосферную игру без миллиардного бюджета и безумных спецэффектов".

Если тебе нравился loom, то:

Если тебе нравилась тревожная атмосфера в сочетании с экзистенциальностью, то однозначно Kairo.

Если просто логичный добротный point-n-click, то из более-менее новых The journey down, либо (мультяшная) Depoina.

Насчёт DRM, всё просто: сейчас X'ы, opengl и драйвера видео находятся в таком удручающем состоянии, что на valve надо молиться. Потому что они в этот гадюшник легаси пришли и начали писать багрепорты тоннами и фиксить всё, что можно.

Когда wayland/vulkan допилят, можно будет смело в соторону GOG'а переключаться (кстати, внезапно, GOG - без DRM'а, а игрушек дофига).

Насчёт опенсорснутости игр... Понимаешь, тут всё сложно. Мы же не требуем от художника отдавать все слои в графическом редакторе в его картинке? Игры часто имеют под собой сильный авторский замысел (и делаются несколькими человеками). Я понимаю, что ты наезжаешь на всякие AAA-titles, которые скучны, кинематографичны и тривиальны. Но как раз steam - рассадник indie, иногда, вообще, в "одну морду автора", и игры там как раз самых немейнстримовых направлений. Например, TES-100, который из себя представляет просто эмулятор массово-параллельных машин с ассемблером. Или Hack-n-slash, который частично выглядит как платформер, но быстро превращается в уроки программирования на lua с возможностью "взламывать" игровой мир (скриншот из игры:
)

Так вот, Valve - первопроходец. Поменять фаворита можно в любой момент, сейчас, самое главное, что они работают с апстримом (в отличие от Google/android) и делают очень большое и важное дело. Сделают - там можно будет и с GOG'ом сравнивать и всячески выкобениваться.

[oboguev.livejournal.com]

А чем VGA passthrough отличается от generic PCI passthrough, как то для сетевых карт?

[karpion.livejournal.com]

Всегда можно поставить роутер, соединить его с компом через Ethernet и подключиться хоть через USB 4G-модем, хоть через WiFi. М.б. геморно - но можно же.

[karpion.livejournal.com]

2. Запускать под FreeBSD, установив туда совместимость с Linux.

На то есть низкоуровневый API

[karpion.livejournal.com]

Фаервол работает только на те пакеты, которые поступают через обычный API. Сам же фаервол отправляет пакеты через API более низкого уровня; и вообще-то, там внизу несколько уровней.

Так вот - нет гарантии, что зловредный софт не станет работать через достаточно низкоуровневый API.