Schluss mit dem Xen pci passthrough nightmare: Eine Schritt-für-Schritt-Anleitung zur erfolgreichen Konfiguration

Die Welt der Virtualisierung ist faszinierend und leistungsstark, doch manchmal kann sie sich wie ein unüberwindbarer Berg anfühlen. Insbesondere das PCI Passthrough unter Xen, oft als „Xen PCI Passthrough Nightmare” bezeichnet, hat schon so manchem Enthusiasten schlaflose Nächte bereitet. Die Idee ist verlockend: Eine virtuelle Maschine (VM) direkt auf eine physische Grafikkarte, eine Netzwerkkarte oder einen USB-Controller zugreifen lassen, als wäre sie ein nativer Rechner. Das ermöglicht Gaming-VMs mit nahezu nativer Leistung, spezialisierte Workstations in einer virtuellen Umgebung oder einfach nur die Nutzung spezifischer Hardware ohne Kompromisse.

Aber die Realität holt einen schnell ein: Fehler 43 bei NVIDIA-Karten, fehlende IOMMU-Gruppen, schwarze Bildschirme und unzählige Konfigurationsdateien, die scheinbar niemand versteht. Wenn Sie an diesem Punkt sind, atmen Sie tief durch. Sie sind nicht allein. Dieser Artikel ist Ihr Rettungsanker. Wir werden den Xen PCI Passthrough Nightmare ein für alle Mal beenden und Ihnen eine detaillierte, schrittweise Anleitung geben, um Ihre VMs mit der vollen Leistung Ihrer Hardware auszustatten. Lassen Sie uns anfangen!

Voraussetzungen schaffen: Die Basis für Erfolg

Bevor wir uns in die Tiefen der Konfiguration stürzen, müssen wir sicherstellen, dass Ihre Hardware und Software die nötigen Voraussetzungen erfüllen. Das ist der wichtigste Schritt, um spätere Frustrationen zu vermeiden.

Hardware-Anforderungen:

* CPU: Ihre CPU muss Intel VT-d (für Intel-Prozessoren) oder AMD-Vi / AMD-IOMMU (für AMD-Prozessoren) unterstützen. Dies sind die Technologien, die Direct Memory Access (DMA) für VMs ermöglichen. Überprüfen Sie dies auf der Webseite Ihres CPU-Herstellers.
* Mainboard: Ebenso muss Ihr Mainboard (Chipsatz und BIOS/UEFI) diese IOMMU-Technologien unterstützen und sie im BIOS/UEFI aktiviert haben. Suchen Sie nach Optionen wie „VT-d”, „Intel VT for Directed I/O”, „AMD-Vi” oder „IOMMU” und stellen Sie sicher, dass sie auf „Enabled” stehen.
* Grafikkarte (für VGA Passthrough): Idealerweise haben Sie zwei Grafikkarten: Eine für den Host (dom0) und eine dedizierte für die Gast-VM (domU). Bei einigen modernen GPUs und Mainboards ist es möglich, eine integrierte GPU für dom0 zu verwenden und die diskrete GPU für domU durchzuschleifen. Moderne GPUs mit UEFI GOP und Resizable BAR-Unterstützung können die Komplexität reduzieren, sind aber keine absolute Pflicht.
* Ausreichend RAM: VMs benötigen RAM. Planen Sie genügend Arbeitsspeicher für dom0 und Ihre Gast-VM(s) ein. Für eine Gaming-VM sind 8 GB RAM das Minimum, 16 GB oder mehr sind ideal.

Software-Anforderungen:

* Linux Distribution: Eine aktuelle Linux-Distribution als Basis für Ihren Xen-Host (dom0). Beliebte und gut unterstützte Optionen sind Debian, Ubuntu oder Fedora.
* Xen Hypervisor: Eine installierte Xen-Version (z.B. Xen 4.14 oder neuer). Die Konfiguration kann je nach Xen-Version leicht variieren, aber die Grundlagen bleiben gleich.
* QEMU/libvirt: Xen nutzt QEMU als Backend für die Gerätetreiber und libvirt als Verwaltungsschnittstelle. Diese Komponenten werden normalerweise mit Xen installiert, aber stellen Sie sicher, dass sie aktuell sind.

Schritt 1: IOMMU-Gruppen überprüfen – Der entscheidende erste Blick

Dies ist der vielleicht wichtigste Schritt. IOMMU-Gruppen definieren, welche PCI-Geräte vom System als zusammengehörig betrachtet werden und welche isoliert werden können. Für ein erfolgreiches PCI Passthrough muss die Grafikkarte (und ihre zugehörigen Komponenten wie Audio-Controller) in einer *eigenen* IOMMU-Gruppe liegen, oder zumindest in einer Gruppe mit Geräten, die Sie *alle* an die VM übergeben möchten.

Öffnen Sie ein Terminal und führen Sie den folgenden Befehl aus:
„`bash
for d in /sys/kernel/iommu_groups/*/devices/*; do n=${d##*/}; printf ‘IOMMU Group %s ‘ „$(basename „$(dirname „$d”)”)”; lspci -nns „$n”; done
„`
Die Ausgabe zeigt Ihnen alle Ihre PCI-Geräte, gruppiert nach ihren IOMMU-Gruppen. Suchen Sie nach Ihrer dedizierten Grafikkarte. Sie sollte (idealerweise mit ihrem Audio-Controller) in einer separaten Gruppe sein. Wenn Sie feststellen, dass wichtige Systemgeräte (z.B. der SATA-Controller des Mainboards) in derselben Gruppe wie Ihre Grafikkarte sind, kann dies zu Problemen führen. Dieses Phänomen wird oft als „Broken IOMMU Grouping” bezeichnet. In einigen Fällen kann ein ACS-Patch des Kernels helfen, ist aber für den Anfang eine fortgeschrittene Methode. Prüfen Sie zunächst, ob Sie Glück haben.

Schritt 2: Xen-Boot-Parameter konfigurieren – Den Hypervisor vorbereiten

Damit der Xen-Hypervisor und Ihr Linux-Host (dom0) die IOMMU-Funktionen korrekt nutzen und die Geräte für das Passthrough freigeben, müssen Boot-Parameter gesetzt werden. Bearbeiten Sie dazu die GRUB-Konfigurationsdatei.

Öffnen Sie /etc/default/grub mit Root-Rechten:
„`bash
sudo nano /etc/default/grub
„`
Suchen Sie nach den Zeilen `GRUB_CMDLINE_XEN` und `GRUB_CMDLINE_LINUX_DEFAULT`. Fügen Sie dort die folgenden Parameter ein oder passen Sie sie an:

„`
GRUB_CMDLINE_XEN=”iommu=1 allow-unsafe-assigned-migration=1 dom0_max_vcpus=1 dom0_mem=1024M,max:2048M”
GRUB_CMDLINE_LINUX_DEFAULT=”quiet splash intel_iommu=on iommu=pt rd.driver.blacklist=nouveau,radeon,amdgpu,nvidia vfio_pci.ids=XXXX:XXXX,YYYY:YYYY”
„`

Lassen Sie uns die Parameter erklären:
* `iommu=1`: Aktiviert die IOMMU-Unterstützung für Xen.
* `allow-unsafe-assigned-migration=1`: Manchmal notwendig für bestimmte Hardware-Konfigurationen, um das Passthrough zu ermöglichen. Kann bei Problemen entfernt werden, falls nicht unbedingt nötig.
* `dom0_max_vcpus=1`: Begrenzt die Anzahl der CPUs für dom0. So bleiben mehr Ressourcen für Ihre VM. Passen Sie dies an Ihre Bedürfnisse an.
* `dom0_mem=1024M,max:2048M`: Weist dom0 eine feste Menge an RAM zu. Dies ist entscheidend, damit die VM genügend Speicher erhält. Ersetzen Sie die Werte durch Ihre gewünschten Obergrenzen.
* `intel_iommu=on` (oder `amd_iommu=on` für AMD): Aktiviert die IOMMU auf Kernel-Ebene.
* `iommu=pt`: Aktiviert „pass-through” IOMMU-Modus, was für Passthrough-Szenarien oft besser ist.
* `rd.driver.blacklist=nouveau,radeon,amdgpu,nvidia`: Verhindert, dass dom0 die Grafiktreiber für Ihre Passthrough-GPU lädt. Dies ist essenziell, damit vfio-pci die Kontrolle übernehmen kann.
* `vfio_pci.ids=XXXX:XXXX,YYYY:YYYY`: Dies ist der wichtigste Parameter. Hier müssen Sie die Vendor-ID und Device-ID Ihrer Passthrough-Geräte angeben. Ermitteln Sie diese mit `lspci -nn`. Eine Grafikkarte hat meist mindestens zwei IDs (VGA-Controller und Audio-Device), manchmal sogar drei (z.B. ein USB-Controller).

Beispiel: Wenn `lspci -nn` Ihnen `10de:1b80 (rev a1)` für die Grafikkarte und `10de:10f0 (rev a1)` für den Audio-Controller anzeigt, würden Sie eintragen: `vfio_pci.ids=10de:1b80,10de:10f0`.

Nachdem Sie die Änderungen vorgenommen haben, speichern Sie die Datei und aktualisieren Sie GRUB:
„`bash
sudo update-grub
„`
Starten Sie Ihr System neu:
„`bash
sudo reboot
„`

Nach dem Neustart können Sie überprüfen, ob die Kernel-Parameter korrekt angewendet wurden:
„`bash
cat /proc/cmdline
xl dmesg | grep -i iommu
„`
Die Ausgabe sollte Ihre hinzugefügten Parameter enthalten und anzeigen, dass die IOMMU aktiv ist.

Schritt 3: Geräte identifizieren und Blacklisten – Dom0 entlasten

Dieser Schritt stellt sicher, dass der Linux-Kernel in dom0 die Kontrolle über Ihre Passthrough-Geräte nicht übernimmt.

1. Geräte-IDs finden:
Falls noch nicht geschehen, identifizieren Sie erneut die Vendor- und Device-IDs aller Komponenten Ihrer Grafikkarte (VGA-Controller, Audio-Controller, manchmal auch USB-Controller), die Sie durchschleifen möchten.
„`bash
lspci -nn | grep -i vga
lspci -nn | grep -i audio
„`
Notieren Sie sich die IDs im Format `XXXX:XXXX`.

2. VFIO-Modul mit IDs laden:
Erstellen oder bearbeiten Sie die Datei `/etc/modprobe.d/vfio.conf`:
„`bash
sudo nano /etc/modprobe.d/vfio.conf
„`
Fügen Sie folgende Zeile ein, ersetzen Sie die IDs durch Ihre eigenen:
„`
options vfio-pci ids=XXXX:XXXX,YYYY:YYYY,ZZZZ:ZZZZ
„`
(Wiederholung: `XXXX:XXXX` ist die ID des VGA-Controllers, `YYYY:YYYY` die des Audio-Controllers, etc.)

3. VFIO in Initramfs integrieren:
Stellen Sie sicher, dass das vfio-pci Modul frühzeitig geladen wird.
„`bash
echo „vfio-pci” | sudo tee -a /etc/modules
„`

4. Initramfs aktualisieren:
Damit die Änderungen wirksam werden, muss das Initramfs (Initial RAM Filesystem) aktualisiert werden.
Für Debian/Ubuntu:
„`bash
sudo update-initramfs -u -k all
„`
Für Fedora/RHEL:
„`bash
sudo dracut -f
„`

5. Neustart und Überprüfung:
Starten Sie das System erneut:
„`bash
sudo reboot
„`
Nach dem Neustart überprüfen Sie, ob die Geräte korrekt vom vfio-pci-Treiber beansprucht werden:
„`bash
lspci -k
„`
Suchen Sie Ihre Passthrough-Geräte. Unter „Kernel driver in use” sollte jetzt `vfio-pci` stehen. Wenn dort noch `nouveau`, `nvidia`, `radeon` oder `amdgpu` steht, ist etwas schiefgelaufen. Überprüfen Sie die `rd.driver.blacklist`-Parameter in GRUB.

Schritt 4: Virtuelle Maschine (domU) konfigurieren – Die Ziel-VM einrichten

Nun kommt der spannende Teil: Die Gast-VM für das PCI Passthrough vorbereiten. Wir nutzen hier `virsh`, die Kommandozeilenverwaltung für libvirt, da sie die genaueste Kontrolle bietet.

1. VM erstellen:
Falls noch nicht geschehen, erstellen Sie eine neue VM (z.B. mit `virt-manager` oder direkt mit `virt-install`). Installieren Sie das Gastbetriebssystem (Windows oder Linux).

2. VM herunterfahren:
Stellen Sie sicher, dass die VM ausgeschaltet ist:
„`bash
virsh shutdown
„`
Ersetzen Sie `` durch den Namen Ihrer virtuellen Maschine.

3. PCI-Geräte hinzufügen (XML-Bearbeitung):
Bearbeiten Sie die XML-Konfiguration Ihrer VM:
„`bash
virsh edit
„`
Suchen Sie den ``-Tag und fügen Sie *vor* diesem Tag die Konfiguration für Ihre Passthrough-Geräte ein. Sie benötigen die PCI-Bus-Adressen der Geräte, die Sie mit `lspci -nn` gefunden haben (z.B. `0000:01:00.0` für die VGA-Karte und `0000:01:00.1` für den Audio-Controller).

Ein Beispiel für eine Grafikkarte und ihren Audio-Controller:
„`xml