华为Euler系统部署KVM时CPU虚拟化未启用怎么办？

1. 问题现象与初步诊断

在华为EulerOS系统上部署KVM虚拟化环境时，执行kvm-ok命令或使用egrep -c '(vmx|svm)' /proc/cpuinfo检测CPU是否支持硬件虚拟化，若返回结果为0，则表明CPU的虚拟化功能未启用。此时尝试创建KVM虚拟机会失败，典型错误信息如“KVM acceleration not available”或“Could not access KVM kernel module”。该问题直接影响虚拟机的性能和可用性，是部署过程中最常见的障碍之一。

2. 常见原因分类分析

• BIOS/UEFI层面未开启虚拟化技术：Intel平台需启用VT-x，AMD平台需启用SVM（Secure Virtual Machine）。
• KVM内核模块未加载：包括kvm、kvm_intel（Intel CPU）或kvm_amd（AMD CPU）未自动加载。
• IOMMU未启用或配置不当：影响设备直通（PCI passthrough），间接导致KVM初始化异常。
• 安全策略限制：如SELinux策略、AppArmor规则或固件安全启动（Secure Boot）阻止了KVM模块加载。
• 宿主机运行于嵌套虚拟化环境但父级未透传虚拟化支持：例如在云服务器中未开启嵌套虚拟化。

3. 深度排查流程图

```mermaid
graph TD
    A[开始: 执行 kvm-ok 或 egrep 检测] --> B{返回值是否大于0?}
    B -- 否 --> C[进入BIOS启用VT-x/SVM]
    B -- 是 --> D[检查kvm模块是否加载]
    C --> D
    D --> E{lsmod | grep kvm 是否有输出?}
    E -- 无 --> F[手动加载kvm及厂商模块]
    E -- 有 --> G[检查dmesg | grep -i kvm 错误日志]
    F --> H[modprobe kvm; modprobe kvm_intel/kvm_amd]
    H --> I[确认IOMMU是否启用: dmesg | grep -i iommu]
    I --> J[验证SELinux/AppArmor是否阻止模块加载]
    J --> K[最终测试virsh list或qemu-kvm]
```

4. BIOS/UEFI配置关键步骤

1. 重启服务器并进入BIOS设置界面（通常按Del/F2/F10键）。
2. 导航至Advanced → Processor Configuration（Intel）或Advanced → SVM Mode（AMD）。
3. 启用“Intel Virtualization Technology”或“Secure Virtual Machine”选项。
4. 同时建议启用“Intel VT-d”或“AMD-Vi”，以支持IOMMU和DMA重映射。
5. 保存设置并重启系统。
6. 重新执行egrep -c '(vmx|svm)' /proc/cpuinfo验证是否返回非零值。

5. 内核模块状态检查与加载

6. IOMMU支持验证与启用方法

在EulerOS中，若需使用VFIO或PCI设备直通，必须启用IOMMU。可通过以下方式确认：

# 查看内核启动参数
cat /proc/cmdline | grep iommu

# 若未启用，编辑/etc/default/grub，在GRUB_CMDLINE_LINUX中添加：
intel_iommu=on iommu=pt   # Intel平台
# 或
amd_iommu=on              # AMD平台

# 更新grub配置并重启
grub2-mkconfig -o /boot/grub2/grub.cfg
reboot

7. 安全机制干扰排查

华为EulerOS默认启用SELinux，可能限制QEMU/KVM进程访问资源。可临时设为宽容模式测试：

setenforce 0
# 观察是否能正常启动虚拟机
# 若成功，则需调整SELinux策略而非永久关闭
semanage permissive -a qemu_t

此外，检查Secure Boot状态：

mokutil --sb-state
# 若开启且自定义模块未签名，可能导致kvm模块被拒绝加载