Qubes OS について聞いたことはあるものの、試してみるのが怖いということですね。まあ、そうあるべきです。 Qubes OS は手探りでできるものではありません。事前の調査費用がかかりますし、強力なコンピューターを持っているからといって、それがうまく機能するとは限りません。ハードウェア全体の状況を簡単な言葉で説明します。
Qubes OSとは何ですか?
仮想マシン上に構築された安全なオペレーティング システム
Qubes OS は、仮想マシンを使用してユーザーのデジタル ライフをセキュリティ ドメインに分割する、セキュリティに重点を置いたオペレーティング システムです。 OS は各ドメインを分離します。 1 つのドメインが侵害されても、他のドメインは安全に保たれます。
Qubes を使用する理由: 通常の Linux ディストリビューションでは達成できない 3 つのセキュリティ理由
システムを常に新鮮で安全に保つ革新的な OS を発見してください。
Qubes OS は、タイプ 1 ハイパーバイザーである Xen に基づいて構築されています。 Qubes は最初に Xen を起動し、次に Xen が「dom0」という管理ドメインを起動します。それが対話する Linux の部分です。 Qubes はさらに、domU と呼ばれる他の多くの非特権ドメインを起動します。
以下の文章では、「ホスト」、「ハイパーバイザー」、および「ゲスト」という用語を使用します。ホストは dom0、Xen はハイパーバイザー、「ゲスト」は domU を指します。
Qubes OS のハードウェア要件は何ですか?
豊富なRAM、ストレージスペース、珍しいハードウェア機能
ハードウェアは次の仮想化テクノロジーをサポートする必要があります。
|
必要なハードウェア機能 |
によってサポートされている必要があります |
|---|---|
|
ハードウェア仮想化 |
CPU、BIOS/UEFI |
|
イオム |
CPU、チップセット、BIOS/UEFI |
|
スラット |
CPU |
次の使用可能なハードウェア リソースも必要です。
|
リソース |
最小 |
推奨 |
|---|---|---|
|
ラム |
16GB以上 |
32GB以上 |
|
ディスク |
128GB以上 |
256GB以上 |
ハードウェア仮想化とは何ですか?
ゲストが CPU に直接アクセスできるようにする
ハードウェア仮想化 (別名 VT-x (Intel) または AMD-V) は、ゲストが CPU に直接アクセスできるようにする一連の CPU 命令です。このような指示が出る前は、コンピューターは完全にソフトウェアで仮想化を実現していました。これには時間がかかり、ハードウェア仮想化によりゲストがハードウェアに近づきます。
CPU と BIOS/UEFI の両方がこれをサポートしている必要があります。幸いなことに、最新の CPU とマザーボードのほとんどはこれに対応しています。ただし、BIOS/UEFI でオプションを有効にする必要がある場合があります。
スラットとは何ですか?
ゲスト向けのハードウェア支援アドレス変換
SLAT (第 2 レベルのアドレス変換) は、次の両方の CPU 機能を表す包括的な用語です。
- EPT: Intel の拡張ページ テーブル
- RVI: AMD の高速仮想化インデックス作成
しかし、SLATとは何ですか? SLAT では、ハードウェアがハイパーバイザーを使用せずにゲスト メモリ アドレスを変換できます。
最新のオペレーティング システムは、仮想メモリ システムを使用しています。これは、「ページ テーブル」と呼ばれる一連の仮想メモリ アドレス マッピングと物理メモリ アドレス マッピングを維持します。各プロセスは、物理アドレス空間ではなく、仮想アドレス空間を認識します。ゲスト OS もこれを行いますが、SLAT がなければ、ハイパーバイザーは高価な「シャドウ」ページ テーブル (ソフトウェア追跡マッピング) を維持する必要があります。 SLAT はこの問題を解決し、ハイパーバイザーを考慮から外し、ハードウェア (メモリ管理ユニットまたは MMU) を直接活用します。
IOMMUとは何ですか?
ハードウェアデバイス用の仮想メモリトランスレータ
Justin Duino / ハウツーオタク
IOMMU (I/O メモリ管理ユニット) は、MMU がソフトウェアに対して行うのと同様に、DMA 対応ハードウェア デバイス (PCIe カードなど) 用の仮想メモリ トランスレータです。
IOMMU は何のためにあるのでしょうか?
大まかに言えば、IOMMU は Wi-Fi カードなどの DMA 対応デバイスをホストから分離します。これらのデバイスはメモリに直接アクセスできるため、それらが攻撃されるとシステムの一部が破損する可能性があります。 IOMMU を使用する場合、デバイスは代わりに仮想アドレス空間を認識します。 IOMMU は、デバイスのすべてのメモリ アクセスがそのルールに従っていることを保証します。その結果、デバイスをゲスト (別名 PCI パススルー) に割り当てることができ、ハードウェアを直接安全に使用できるようになります。
つまり、メモリへのアクセスが制限されているため、ゲストは PCI デバイスを直接、より安全に受け取って使用できます。
どのハードウェアが IOMMU をサポートしているかを確認するにはどうすればよいですか?
簡単に言うと、Intel はこのテクノロジーを「VT-d」と呼び、AMD は「AMD-Vi」と呼んでいます。 CPU、チップセット、BIOS/UEFI がすべてサポートしている必要があります。
これは自分の足を撃つことになるので注意してください。
ハードウェアの互換性を確認するには:
- CPU サポートを確認する: CPU 製品ページ一覧 IOMMU サポート (VT-d または AMD-Vi)
- チップセットのサポートを確認する
- BIOS/UEFI サポートを確認する: ハードウェアのサポートがあっても、ソフトウェアのサポートは保証されません
- IOMMU グループの確認: 一緒に管理されるハードウェア デバイスのセット (VT-d、AMD-Vi)
- アクセス コントロール サービスのサポートを確認する: IOMMU をより厳格にします。
IOMMU グループの詳細: すべてのマザーボードには異なる IOMMU グループ構成がある場合があります。たとえば、すべての USB コントローラを同じグループに入れるものもあります。これは、すべての USB コントローラを同じゲストにパススルーする必要があることを意味します。場合によっては、グループに dom0 がアクセスする必要がある GPU を含めることができるため、グループをまったく通過させることができません。 アクセス制御サービス (ACS) はこの問題を修正しています。これは、IOMMU をより厳密にし、賢明なグループ割り当てを可能にする CPU とチップセットの機能です。
Qubes があなたにとって間違った Linux ディストリビューションである 7 つの理由
それは技術的であり、犠牲を必要とします。
残念ながら、ACS に関するドキュメントは不足しているため、他の人の経験に大きく依存することをお勧めします。 Qubes ハードウェア互換性リスト (HCL) と Xen Wiki はどちらも、Web 上で最も詳細な情報を提供しています。さらに、Qubes フォーラムまたはメーリング リストでもサポートが提供されます。
Qubes OS にはどれくらいの RAM が必要ですか?
少なくとも 16GB。 32GBがスイートスポット
私が推奨する最小値は 16GB です。ただし、8GBで運用している人もいると聞きますが、それは不快でしょう。理想的には 32GB 以上です。
|
RAM容量 |
注記 |
|---|---|
|
4ギガバイト |
それは忘れてください |
|
8GB |
不快 |
|
16ギガバイト |
最小 |
|
32GB |
理想的 |
|
64GB |
贅沢 |
Qubes OS にはどれくらいのストレージが必要ですか?
128GB以上、ただし256GB以上を推奨
私は何年も 128GB で大丈夫ですが、256GB ~ 1TB をお勧めします。
Qubes OS のすべてのゲスト (別名 AppVM) は、個人用 (ホーム ディレクトリ) ファイルが存在するプライベート ストレージを維持します。 (ゲストのベース OS として機能するために) いくつかのディストリビューションをインストールし、更新を実行し、Docker イメージをインストールし、一時ファイルの大きなキャッシュを蓄積すると、すぐにスペースが足りなくなる可能性があります。
Qubes OS はゲスト用の GPU をサポートしていますか?
いいえ、正式にはそうではありませんが、はい、たくさんの涙を流しながら
いいえ、Qubes はゲスト ドメイン (ホストのみ) に GPU サポートを直接提供しません。つまり、ゲスト アプリケーション (ブラウザーなど) はハードウェア アクセラレーションを使用できません。ただし、チームは、KVM のネイティブに近い速度を示す、新たな VirtIO ネイティブ コンテキストを通じて準仮想化 GPU サポートを開発しています。
しかし、それほど長く待つことができない場合は、(高度な技術的な取り組みを通じて) Qubes 上で SR-IOV を動作させることが可能です。 SR-IOV は IOMMU によく似ており、IOMMU に依存していますが、GPU 全体を介してゲストに渡すのではなく、GPU の単なるスライスである「仮想関数」を介して渡す点が異なります。各スライスを一度に 1 つのゲストに割り当てることができますが、GPU は複数のゲストを提供します。その結果、複数のゲストが他のゲストやホストから安全に分離された状態で、フル GPU アクセラレーションを使用できるようになります。
Qubes は SR-IOV を正式にサポートしていないため、カーネルの再コンパイルが必要になる場合があります。また、何時間ものテストとデバッグが必要になる場合もあります。
SR-IOV は IOMMU (VT-d、AMD-Vi) に依存するため、チップセット、CPU、BIOS がすべて重要になります。 SR-IOV をサポートするのは最新のコンシューマ チップセットのみであり、GPU 自体が仮想機能を公開する必要があります。これは、ほとんどのコンシューマ カードでは行われていません (ただし、一部のカードでは可能です)。
Qubes が Linux ディストリビューションよりも優れている 7 つの理由
スパイウェア、プライバシー、柔軟性 – これらは誰もが共有する懸念事項です。
ハードウェアの仕様を見て、自分のコンピュータがそれを処理できると思うかもしれませんが、それは単純な部分です。難しいのは、他のすべての変数を一致させることです。 IOMMU は挑戦的であり、他の人がまだハードウェアを試してテストしていない場合、それは少しひどいものになります。強力なコンピューターでも、UEFI の実装が不十分だったり、IOMMU、ACS、SR-IOV などの不明瞭なテクノロジ (一般消費者向けハードウェアではサポートされている) のハードウェア サポートが不足していたりするため、アキレス腱が故障する可能性があります。
すでにハードウェアを持っている場合は試してみても問題ありませんが、最初に新しいハードウェアを購入する場合は注意してください。 Intel Xeon プロセッサには、多くの場合、優れた仮想化機能 (優れた ACS および IOMMU サポートを含む) が備わっています。一部のワークステーション ThinkPad モデルにはこれらが付属しています。通常、これは適切なハードウェアを見つけるゲームであり、必ずしも最速である必要はありません。
8/10
- ロギングポリシー
-
ログなしポリシー
- モバイルアプリ
-
アンドロイドとiOS
- サーバーの数
-
13,000+
- 無料トライアル
-
機能が制限された無料版
関連情報は以下のリンクからご確認いただけます