技术博客 Blog 其他

Proxmox VE USB直通配置指南

下载免费试用版

适用于多种数据备份

Proxmox VE USB直通配置指南

2026-06-18

USB 直通是许多 Proxmox VE 用户的一项关键功能。它允许您将物理 USB 设备（例如软件授权加密狗或智能卡读卡器）直接连接到虚拟机（VM）或容器中，就像这些设备已直接插入一样。但其背后实际发生了什么？又该如何在不同环境中稳定可靠地实现该功能？

本指南将逐步提升您对USB直通技术的理解——从基础的设备映射到高级控制器直通，并探讨解决常见问题的实际方案。无论您是在运行家庭实验室，还是在管理企业级基础设施，掌握USB直通技术都将为您虚拟化环境带来全新的可能性。

什么是PVE USB直通，以及为何需要它？

本质上，USB直通功能允许虚拟机（VM）或LXC容器直接访问连接到Proxmox主机的物理USB设备。这意味着，客户机系统内的软件可像在裸机环境中一样，正常使用硬件密钥、存储设备、Zigbee适配器或其他外设。

这是如何工作的？对于虚拟机（VM），Proxmox 利用 QEMU 内置的支持功能，将主机的 USB 流量重定向至客户操作系统；而对于容器（LXC），则依赖 Linux 内核的 cgroups 和命名空间等特性，以安全方式向容器暴露设备节点。

为什么这很重要？许多商业应用程序需要直接访问硬件，例如：

使用硬件安全密钥进行双重身份验证
连接外部驱动器以传输数据
连接智能卡读卡器以实现安全登录
通过 Zigbee 或 Z-Wave 适配器集成物联网设备

如果没有正确设置直通（passthrough），这些设备在您的客户机中将无法被识别。了解直通的工作原理及其局限性，有助于您避免日后遇到困扰。

Proxmox VE 中 USB 直通的先决条件

在 Proxmox VE 中配置 USB 直通前，请确认以下基本要求：

首先，请确保服务器的 BIOS/UEFI 中已启用虚拟化功能（Intel VT-d 或 AMD-Vi）。对于 PCIe 控制器直通（高级使用场景），需通过在内核启动参数中添加 intel_iommu=on 或 amd_iommu=on 来启用 IOMMU 支持。

接下来，请确认您所使用的USB控制器类型——EHCI（USB 2.0）还是xHCI（USB 3.x），因为这将影响整控制器直通时的兼容性与稳定性。

最后，请注意，Proxmox 的新版本可能因 udev 规则变更或内核更新而以不同方式处理设备权限。在升级生产系统前，请务必查阅兼容性说明。

PVE 内部如何处理 USB 直通？

当您使用 Proxmox VE 将物理 USB 设备分配给虚拟机时：

1. 主机通过设备的唯一供应商ID（idVendor）和产品ID（idProduct）来识别该设备。

2. QEMU 在虚拟机内部创建该设备的虚拟表示。

3. 客户端软件与硬件之间的所有通信均通过此通道进行——绕过仿真层，从而实现接近原生的速度。

对于 LXC 容器：

1. 主机通过绑定挂载暴露特定的 /dev 节点。

2. 控制组（Cgroup）权限控制每个容器内可见的设备。

3. /dev/serial/by-id 目录下的持久化符号链接可在设备拔插后仍保持路径稳定。

这种直接的方法性能较高，但需要谨慎配置，尤其是在权限和隔离边界方面。

方法1：通过Web界面将USB设备传递给虚拟机

将USB设备传递给虚拟机的最简单方式是通过Proxmox的Web界面。该方法适用于大多数运行Linux或Windows客户操作系统的用户。

将所需的USB设备插入主机服务器上的任意可用端口。
在网页用户界面中，选择目标虚拟机。
单击硬件，然后单击添加 > USB 设备。
从以下选项中选择一个：

使用USB厂商/设备ID：适用于位置固定的特定设备。
使用USB端口：适用于灵活配置的场景，即插入特定端口的任何设备均可被直通。

保存更改并重启虚拟机。在客户操作系统中，运行 lsusb（Linux）或检查设备管理器（Windows），以确认设备已成功直通。

方法2：将设备透传至LXC容器

由于LXC容器的隔离机制更为严格，将物理设备透传至其中更具挑战性，但仍是可行的。

提示 1：使用持久化设备路径

/dev/serial/by-id 目录下的持久化路径可在设备拔插后仍保持设备链接的稳定性。使用该方法的操作步骤如下：

在宿主机上运行：
ls -l /dev/serial/by-id
示例输出：

lrwxrwxrwx 1 root root 13 Sep 9 10:54 usb-Silicon_Labs_CP210x-if00-port0 -> ../../ttyUSB0

在网页界面中，选择目标容器，然后点击资源。
点击 添加 > 设备直通，然后输入完整的设备路径（例如：/dev/serial/by-id/...）。
保存更改并重启容器。

提示2：手动编辑LXC配置

如果无法使用持久化路径，或您需要对权限进行更精细的控制：

编辑容器的配置文件 /etc/pve/lxc/<CTID>.conf，并添加以下内容：

lxc.cgroup2.devices.allow: c 188:* rwmlxc.mount.entry: /dev/ttyUSB0 dev/ttyUSB0 none bind,optional,create=file

重启容器以应用更改。

处理权限与重新插拔事件

有时，拔下并重新插入设备会导致权限重置或 /dev 节点分配发生变化。为应对这种情况：

创建持久化的 UDEV 规则：
创建自定义 UDEV 规则，以自动修复权限并创建符号链接：

SUBSYSTEM=="tty", ATTRS{idVendor}=="10c4", ATTRS{idProduct}=="ea60", SYMLINK+="mydevice", GROUP="lxcuser", MODE="0660"

使用以下命令重新加载 UDEV 规则：

udevadm control --reload && udevadm trigger

在设备重新插拔后自动重启容器：
结合 UDEV 触发器与脚本，在设备重新插拔事件发生后自动重启容器：
```
pct restart <CTID>
```

方法三：使用PCIe分配实现完整控制器直通

为获得最佳性能，您可能希望直通整个USB控制器，而非单个设备。此方法对高速设备（例如外置固态硬盘）尤为适用。

在 BIOS 和引导加载程序中启用 IOMMU（intel_iommu=on 或 amd_iommu=on）。
使用以下命令查找控制器地址：
lspci | grep -i usb
如有必要，使用 VFIO 工具绑定控制器驱动程序：
```
echo "8086:a36d" > /sys/bus/pci/drivers/vfio-pci/new_id
```
在 Web 管理界面中，选择目标虚拟机，点击硬件，然后点击添加 > PCI 设备。
选择适当的控制器地址并确认。