在vSphere 6.7 U2 開始支援 SCAv2 (Side-Channel Aware Scheduler) 。在ESXi 7.0 強制使用 SCAv2不使用SCAv1造而造成強制停用 HT (Hyper-Threading)。
轉貼~不自量力文章 ( 優化BIOS/ESXi主機網路組態 活用最新SCAv2調度選項 實作vSphere 6.7最佳化 高效與高安全性兼備 2019-11-04 王偉任 )
" SCAv1運作機制後,每個CPU處理器的實體核心將僅能處理「一個執行緒」而已,雖然能夠解決L1TF漏洞產生的安全性疑慮,卻導致vSphere ESXi虛擬化平台的運作效能「下降30%」 。
VMware vSphere 6.7 U2版本中,推出新的「SCAv2」調度選項,允許同時處理多個執行緒,讓VM虛擬主機的工作負載效能提升。
當多台VM虛擬主機同時運作的情況下,採用預設未修補的調度選項,可能會讓同一個底層CPU處理器的實體核心,運作來自不同台VM虛擬主機的vCPU,而遭受L1TF漏洞攻擊。採用「舊式的SCAv1」調度選項時,雖然可以確保同一個底層CPU處理器的實體核心,僅會運作來自同一個VM虛擬主機的vCPU,但是只能處理「一個執行緒」。而採用「新式的SCAv2」調度選項時,除了兼顧VM虛擬主機安全性之外,更可以處理多個執行緒有效提升VM虛擬主機運作效能。"
*
* hyperthreadingMitigation=FALSE (針對主機安全性邊界防護機制) >可以強制啟用HT
* hyperthreadingMitigation=TRUE
hyperthreadingMitigationIntraVM=FALSE (針對VM安全性邊界防護機制)
Reference:
1. 優化BIOS/ESXi主機網路組態 活用最新SCAv2調度選項 實作vSphere 6.7最佳化 高效與高安全性兼備 2019-11-04王偉任
2. VMware response to ‘L1 Terminal Fault – VMM’ (L1TF – VMM) Speculative-Execution vulnerability in Intel processors for vSphere: CVE-2018-3646 (55806)
3. KIERI SOLUTIONS Resilient IT – vSphere Health detected new issues in your environment 6.7
4. VMware vSphere Blog – Which vSphere CPU Scheduler to Choose
5. vmiss.net VMware vSphere 6.7 U2 – What You Need to Know
6. Intel (HT) 超執行緒是什麼?