[XCP-ng] Hướng dẫn thiết lập USB Passthrough cho máy ảo

Sau hơn 1 tháng ngắt quãng do bận rộn nghiên cứu PC Hardware nhằm ráp máy tính mới, hôm nay mình quay lại chia sẻ tiếp về chủ đề homelab. Bài viết này sẽ hướng dẫn bạn cách thiết lập USB Passthrough cho máy ảo trên nền tảng ảo hoá XCP-ng.

USB Passthrough là gì?

Trong thế giới ảo hoá, USB Passthrough là tính năng của hypervisor cho phép máy ảo có thể truy xuất trực tiếp vào thiết bị USB được cắm cổng USB của bare metal host (máy chủ vật lý).

Ví dụ: Bạn cắm 2 ổ cứng USB với tên gọi USB-1 (32GB) và USB-2 (16GB) vào 2 cổng USB trên máy chủ. Với thiết lập USB Passthrough, bạn có thể cho phép máy ảo AAA truy xuất trực tiếp vào USB-1 trong khi đó máy ảo BBB truy xuất vào USB-2, hoặc ngược lại.

Với tính năng USB Passthrough, bạn có thể trang bị thêm các kết nối cần thiết cho máy ảo để nó có thể hoạt động hoàn hảo y hệt như một máy tính vật lý. Ví dụ: thêm Bluetooth bằng USB Bluetooth dongle, thêm chữ ký số bằng USB e-Token,…

Dưới đây là hướng dẫn cách thiết lập USB Passthrough dành cho XCP-ng.

1. Truy cập vào XCP-ng Host

Đầu tiên bạn cần truy cập SSH vào Host đang cài đặt XCP-ng, ví dụ IP của host là 192.168.0.999

1
ssh root@192.168.0.999

2. Liệt kê danh sách USB

Trong bài viết này mình sẽ thử nghiệm với USB chữ ký số e-Token của VNPT.

Liệt kê danh sách thiết bị USB đang có bằng lệnh lsusb

1
[20:39 xcp-ng-1 ~]# lsusb
2
Bus 004 Device 003: ID 0a5c:5800 Broadcom Corp. BCM5880 Secure Applications Processor
3
Bus 004 Device 002: ID 8087:8000 Intel Corp.
4
Bus 004 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
5
Bus 003 Device 003: ID 0c45:64d0 Microdia Integrated Webcam
6
Bus 003 Device 002: ID 8087:8008 Intel Corp.
7
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
8
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
9
Bus 001 Device 002: ID 096e:080a Feitian Technologies, Inc.
10
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
11
[20:39 xcp-ng-1 ~]#

Mình xác định được thiết bị cần Passthrough có thông số như dưới đây:

1
Bus 001 Device 002: ID 096e:080a Feitian Technologies, Inc.

3. Xác định uuid của thiết bị USB

Sử dụng lệnh xe pusb-list để tìm uuid của thiết bị USB cần Passthrough vào máy ảo

1
[20:39 xcp-ng-1 ~]# xe pusb-list
2
uuid ( RO)            : b54abece-aef3-7c84-aaa4-70e6e20adc3c
3
            path ( RO): 1-6
4
       vendor-id ( RO): 096e
5
     vendor-desc ( RO): Feitian Technologies, Inc.
6
      product-id ( RO): 080a
7
    product-desc ( RO):
8
          serial ( RO):
9
         version ( RO): 1.10
10
     description ( RO): Feitian Technologies, Inc.
11
           speed ( RO): 12.000

4. Chỉnh sửa cấu hình USB-Policy

Chỉnh sửa file usb-policy.conf

1
nano /etc/xensource/usb-policy.conf

Thêm dòng này vào trên cùng, chú ý sửa vid và pid lại cho đúng thông số của thiết bị USB của bạn

1
ALLOW: vid=096e pid=080a # VNPT e-Token

File usb-policy.conf sẽ tương tự như dưới đây sau khi sửa

1
# When you change this file, run 'xe pusb-scan' to confirm
2
# the file can be parsed correctly.
3
#
4
# Syntax is an ordered list of case insensitive rules where # is line comment
5
#  and each rule is (ALLOW | DENY) : ( match )*
6
#  and each match is (class|subclass|prot|vid|pid|rel) = hex-number
7
# Maximum hex value for class/subclass/prot is FF, and for vid/pid/rel is FFFF
8
#
9
# USB Hubs (class 09) are always denied, independently of the rules in this file
10
ALLOW: vid=096e pid=080a # VNPT e-Token
11
DENY: vid=17e9 # All DisplayLink USB displays
12
DENY: class=02 # Communications and CDC-Control
13
ALLOW:vid=056a pid=0315 class=03 # Wacom Intuos tablet
14
ALLOW:vid=056a pid=0314 class=03 # Wacom Intuos tablet
15
ALLOW:vid=056a pid=00fb class=03 # Wacom DTU tablet
16
DENY: class=03 subclass=01 prot=01 # HID Boot keyboards
17
DENY: class=03 subclass=01 prot=02 # HID Boot mice
18
DENY: class=0a # CDC-Data
19
DENY: class=0b # Smartcard
20
DENY: class=e0 # Wireless controller
21
DENY: class=ef subclass=04 # Miscellaneous network devices
22
ALLOW: # Otherwise allow everything else

Chạy lệnh xe pusb-scan để xác nhận, bạn cần nhập đúng host-uuid của Host đang chạy XCP-ng.

1
xe pusb-scan host-uuid=dcc8aef9-f413-4c15-8c60-05aad8fea66f

Nếu bạn không biết host-uuid của mình là gì, hãy dùng lệnh xe host-list

1
[20:48 xcp-ng-1 ~]# xe host-list
2
uuid ( RO)                : dcc8aef9-f413-4c15-8c60-05aad8fea66f
3
          name-label ( RW): xcp-ng-1
4
    name-description ( RW): Default install

5. Kích hoạt USB Passthrough

Kích hoạt Passthrough cho thiết bị USB e-Token bằng lệnh xe pusb-param-set, bạn cần nhập uuid của thiết bị tìm ra ở bước 2

1
xe pusb-param-set uuid=b54abece-aef3-7c84-aaa4-70e6e20adc3c passthrough-enabled=true

6. Tìm thông số `group uuid`

Sử dụng lệnh sau

1
xe usb-group-list PUSB-uuids=b54abece-aef3-7c84-aaa4-70e6e20adc3c

Trong đó, PUSB-uuids chính là uuid của thiết bị USB bạn đang cần passthrough

1
[20:56 xcp-ng-1 ~]# xe usb-group-list PUSB-uuids=b54abece-aef3-7c84-aaa4-70e6e20adc3c
2
uuid ( RO)                : 4e387fef-b4ed-58a5-4ea7-1763a8c36883
3
          name-label ( RW): Group of 096e 080a USBs
4
    name-description ( RW):

Lưu lại thông số group uuid : 4e387fef-b4ed-58a5-4ea7-1763a8c36883

7. Liệt kê danh sách máy ảo

Sử dụng lệnh xe vm-list

1
[20:57 xcp-ng-1 ~]# xe vm-list
2
uuid ( RO)           : bc6b5474-9548-bc5c-3d73-bd68e85d73d3
3
     name-label ( RW): Windows 10 (64-bit)
4
    power-state ( RO): running
5

6
uuid ( RO)           : 2ab97874-3b6a-d683-01b0-8ea3c1b287d3
7
     name-label ( RW): Debian 11
8
    power-state ( RO): running
9

10
uuid ( RO)           : 4bb837c9-bc4a-23e2-d7a7-84bca560ff39
11
     name-label ( RW): pfsense
12
    power-state ( RO): halted
13

14
uuid ( RO)           : aaec1190-11b6-60c6-c805-ef75df16c9b6
15
     name-label ( RW): Proxmox
16
    power-state ( RO): halted
17

18
uuid ( RO)           : 0bb0ad85-3ab3-d4a0-1e9b-8139c9609649
19
     name-label ( RW): XOA Community Edition
20
    power-state ( RO): running
21

22
uuid ( RO)           : abb7f2c8-65f4-4386-9372-b6eeec7dc8bc
23
     name-label ( RW): Control domain on host: xcp-ng-1
24
    power-state ( RO): running

Mình sẽ kết nối USB e-Token vào máy ảo Windows 10 với uuid: bc6b5474-9548-bc5c-3d73-bd68e85d73d3

8. Tắt máy ảo Windows 10

XCP-ng không hỗ trợ kết nối trực tuyến (hot plug) thiết bị USB vào máy ảo. Do đó mình cần phải tắt máy ảo Windows 10 đang chạy (power-state ( RO): running)

1
xe vm-shutdown uuid=bc6b5474-9548-bc5c-3d73-bd68e85d73d3

Kiểm tra lại trạng thái sẽ thấy máy ảo Windows 10 đã tắt (power-state ( RO): halted)

1
[21:02 xcp-ng-1 ~]# xe vm-list
2
uuid ( RO)           : bc6b5474-9548-bc5c-3d73-bd68e85d73d3
3
     name-label ( RW): Windows 10 (64-bit)
4
    power-state ( RO): halted

9. Kết nối USB vào máy ảo

Sử dụng lệnh xe vusb-create để kết nối USB vào máy ảo, chú ý thay thế 2 thông số group uuid và vm-uuid tương ứng

1
xe vusb-create usb-group-uuid=4e387fef-b4ed-58a5-4ea7-1763a8c36883 vm-uuid=bc6b5474-9548-bc5c-3d73-bd68e85d73d3

Hệ thống sẽ gửi phản hồi lại 1 chuỗi kí tự

1
[21:02 xcp-ng-1 ~]# xe vusb-create usb-group-uuid=4e387fef-b4ed-58a5-4ea7-1763a8c36883 vm-uuid=bc6b5474-9548-bc5c-3d73-bd68e85d73d3
2
1a03945c-70e2-665c-79dc-5ed7a582226e

10. Kiểm tra thành quả

Khởi động lại máy ảo Windows 10 bằng lệnh xe vm-start

1
xe vm-start uuid=bc6b5474-9548-bc5c-3d73-bd68e85d73d3

Truy cập vào máy ảo thông qua tính năng Console trên XOA, USB e-Token đã hiện ra ngon lành.

Thiết bị chữ ký số eToken hiện ra trong Device Manager

Chữ ký số được nhận thành công trong ứng dụng quản lý VNPT CA

Lưu ý: Bạn chỉ có thể truy cập vào USB e-Token khi kết nối vào máy ảo thông qua Console hoặc Teamviewer / UltraViewer. Còn khi kết nối thông qua RDP (Remote Desktop Protocol), e-Token sẽ không hoạt động.

Vậy là xong. Từ giờ mình đã có thể dành 1 máy ảo riêng biệt để xử lý các công việc báo cáo thuế, khai báo hải quan cho công ty của mình. Yên tâm bảo mật hơn khi các bên dịch vụ kế toán, vận chuyển phải truy cập remote vào máy liên tục để xử lý công việc.

Chúc bạn thiết lập thành công!