5.3.2. 虚拟化

PCI 透传允许实例直接访问节点上的某一硬件。例如，这可用于允许实例访问视频卡或 GPU，为高性能计算提供计算统一设备架构(CUDA)。此功能存在两种类型的安全风险：直接内存访问和硬件内省。

直接内存访问(DMA)是允许某些硬件设备访问主机计算机中的任意物理内存地址的功能。视频卡通常具有此功能。但是，不应该为实例授予任意物理内存访问权限，因为这会完全查看主机系统和其他实例在同一节点上运行的其他实例。硬件供应商使用输入/输出内存管理单元(IOMMU)在这样的情形中管理 DMA 访问。您应该确认管理程序已配置为使用此硬件功能。

当实例对固件或其他设备部分进行恶意修改时，会出现硬件影响。由于此设备被其他实例或主机操作系统使用，恶意代码可以分散到这些系统中。最终结果是，一个实例可以在其安全区外运行代码。这是一项重大破坏，因为会更难以重置物理硬件的状态，并可能导致其他暴露于管理网络，比如访问管理网络。

由于风险和复杂性与 PCI 透传相关，它应默认禁用。如果对特定需要启用启用，则需要有适当的进程来帮助确保硬件在重复使用前清理。