block: drop support for using qcow[2] encryption with system emulators
[qemu.git] / qemu-img.texi
blobcbe50e9b8864639c35cb45e844a9001bfe5b5ccd
1 @example
2 @c man begin SYNOPSIS
3 @command{qemu-img} @var{command} [@var{command} @var{options}]
4 @c man end
5 @end example
7 @c man begin DESCRIPTION
8 qemu-img allows you to create, convert and modify images offline. It can handle
9 all image formats supported by QEMU.
11 @b{Warning:} Never use qemu-img to modify images in use by a running virtual
12 machine or any other process; this may destroy the image. Also, be aware that
13 querying an image that is being modified by another process may encounter
14 inconsistent state.
15 @c man end
17 @c man begin OPTIONS
19 The following commands are supported:
21 @include qemu-img-cmds.texi
23 Command parameters:
24 @table @var
25 @item filename
26  is a disk image filename
28 @item --object @var{objectdef}
30 is a QEMU user creatable object definition. See the @code{qemu(1)} manual
31 page for a description of the object properties. The most common object
32 type is a @code{secret}, which is used to supply passwords and/or encryption
33 keys.
35 @item --image-opts
37 Indicates that the @var{filename} parameter is to be interpreted as a
38 full option string, not a plain filename. This parameter is mutually
39 exclusive with the @var{-f} and @var{-F} parameters.
41 @item fmt
42 is the disk image format. It is guessed automatically in most cases. See below
43 for a description of the supported disk formats.
45 @item --backing-chain
46 will enumerate information about backing files in a disk image chain. Refer
47 below for further description.
49 @item size
50 is the disk image size in bytes. Optional suffixes @code{k} or @code{K}
51 (kilobyte, 1024) @code{M} (megabyte, 1024k) and @code{G} (gigabyte, 1024M)
52 and T (terabyte, 1024G) are supported.  @code{b} is ignored.
54 @item output_filename
55 is the destination disk image filename
57 @item output_fmt
58  is the destination format
59 @item options
60 is a comma separated list of format specific options in a
61 name=value format. Use @code{-o ?} for an overview of the options supported
62 by the used format or see the format descriptions below for details.
63 @item snapshot_param
64 is param used for internal snapshot, format is
65 'snapshot.id=[ID],snapshot.name=[NAME]' or '[ID_OR_NAME]'
66 @item snapshot_id_or_name
67 is deprecated, use snapshot_param instead
69 @item -c
70 indicates that target image must be compressed (qcow format only)
71 @item -h
72 with or without a command shows help and lists the supported formats
73 @item -p
74 display progress bar (compare, convert and rebase commands only).
75 If the @var{-p} option is not used for a command that supports it, the
76 progress is reported when the process receives a @code{SIGUSR1} signal.
77 @item -q
78 Quiet mode - do not print any output (except errors). There's no progress bar
79 in case both @var{-q} and @var{-p} options are used.
80 @item -S @var{size}
81 indicates the consecutive number of bytes that must contain only zeros
82 for qemu-img to create a sparse image during conversion. This value is rounded
83 down to the nearest 512 bytes. You may use the common size suffixes like
84 @code{k} for kilobytes.
85 @item -t @var{cache}
86 specifies the cache mode that should be used with the (destination) file. See
87 the documentation of the emulator's @code{-drive cache=...} option for allowed
88 values.
89 @item -T @var{src_cache}
90 specifies the cache mode that should be used with the source file(s). See
91 the documentation of the emulator's @code{-drive cache=...} option for allowed
92 values.
93 @end table
95 Parameters to snapshot subcommand:
97 @table @option
99 @item snapshot
100 is the name of the snapshot to create, apply or delete
101 @item -a
102 applies a snapshot (revert disk to saved state)
103 @item -c
104 creates a snapshot
105 @item -d
106 deletes a snapshot
107 @item -l
108 lists all snapshots in the given image
109 @end table
111 Parameters to compare subcommand:
113 @table @option
115 @item -f
116 First image format
117 @item -F
118 Second image format
119 @item -s
120 Strict mode - fail on different image size or sector allocation
121 @end table
123 Parameters to convert subcommand:
125 @table @option
127 @item -n
128 Skip the creation of the target volume
129 @end table
131 Command description:
133 @table @option
134 @item bench [-c @var{count}] [-d @var{depth}] [-f @var{fmt}] [--flush-interval=@var{flush_interval}] [-n] [--no-drain] [-o @var{offset}] [--pattern=@var{pattern}] [-q] [-s @var{buffer_size}] [-S @var{step_size}] [-t @var{cache}] [-w] @var{filename}
136 Run a simple sequential I/O benchmark on the specified image. If @code{-w} is
137 specified, a write test is performed, otherwise a read test is performed.
139 A total number of @var{count} I/O requests is performed, each @var{buffer_size}
140 bytes in size, and with @var{depth} requests in parallel. The first request
141 starts at the position given by @var{offset}, each following request increases
142 the current position by @var{step_size}. If @var{step_size} is not given,
143 @var{buffer_size} is used for its value.
145 If @var{flush_interval} is specified for a write test, the request queue is
146 drained and a flush is issued before new writes are made whenever the number of
147 remaining requests is a multiple of @var{flush_interval}. If additionally
148 @code{--no-drain} is specified, a flush is issued without draining the request
149 queue first.
151 If @code{-n} is specified, the native AIO backend is used if possible. On
152 Linux, this option only works if @code{-t none} or @code{-t directsync} is
153 specified as well.
155 For write tests, by default a buffer filled with zeros is written. This can be
156 overridden with a pattern byte specified by @var{pattern}.
158 @item check [-f @var{fmt}] [--output=@var{ofmt}] [-r [leaks | all]] [-T @var{src_cache}] @var{filename}
160 Perform a consistency check on the disk image @var{filename}. The command can
161 output in the format @var{ofmt} which is either @code{human} or @code{json}.
163 If @code{-r} is specified, qemu-img tries to repair any inconsistencies found
164 during the check. @code{-r leaks} repairs only cluster leaks, whereas
165 @code{-r all} fixes all kinds of errors, with a higher risk of choosing the
166 wrong fix or hiding corruption that has already occurred.
168 Only the formats @code{qcow2}, @code{qed} and @code{vdi} support
169 consistency checks.
171 In case the image does not have any inconsistencies, check exits with @code{0}.
172 Other exit codes indicate the kind of inconsistency found or if another error
173 occurred. The following table summarizes all exit codes of the check subcommand:
175 @table @option
177 @item 0
178 Check completed, the image is (now) consistent
179 @item 1
180 Check not completed because of internal errors
181 @item 2
182 Check completed, image is corrupted
183 @item 3
184 Check completed, image has leaked clusters, but is not corrupted
185 @item 63
186 Checks are not supported by the image format
188 @end table
190 If @code{-r} is specified, exit codes representing the image state refer to the
191 state after (the attempt at) repairing it. That is, a successful @code{-r all}
192 will yield the exit code 0, independently of the image state before.
194 @item create [-f @var{fmt}] [-o @var{options}] @var{filename} [@var{size}]
196 Create the new disk image @var{filename} of size @var{size} and format
197 @var{fmt}. Depending on the file format, you can add one or more @var{options}
198 that enable additional features of this format.
200 If the option @var{backing_file} is specified, then the image will record
201 only the differences from @var{backing_file}. No size needs to be specified in
202 this case. @var{backing_file} will never be modified unless you use the
203 @code{commit} monitor command (or qemu-img commit).
205 The size can also be specified using the @var{size} option with @code{-o},
206 it doesn't need to be specified separately in this case.
208 @item commit [-q] [-f @var{fmt}] [-t @var{cache}] [-b @var{base}] [-d] [-p] @var{filename}
210 Commit the changes recorded in @var{filename} in its base image or backing file.
211 If the backing file is smaller than the snapshot, then the backing file will be
212 resized to be the same size as the snapshot.  If the snapshot is smaller than
213 the backing file, the backing file will not be truncated.  If you want the
214 backing file to match the size of the smaller snapshot, you can safely truncate
215 it yourself once the commit operation successfully completes.
217 The image @var{filename} is emptied after the operation has succeeded. If you do
218 not need @var{filename} afterwards and intend to drop it, you may skip emptying
219 @var{filename} by specifying the @code{-d} flag.
221 If the backing chain of the given image file @var{filename} has more than one
222 layer, the backing file into which the changes will be committed may be
223 specified as @var{base} (which has to be part of @var{filename}'s backing
224 chain). If @var{base} is not specified, the immediate backing file of the top
225 image (which is @var{filename}) will be used. For reasons of consistency,
226 explicitly specifying @var{base} will always imply @code{-d} (since emptying an
227 image after committing to an indirect backing file would lead to different data
228 being read from the image due to content in the intermediate backing chain
229 overruling the commit target).
231 @item compare [-f @var{fmt}] [-F @var{fmt}] [-T @var{src_cache}] [-p] [-s] [-q] @var{filename1} @var{filename2}
233 Check if two images have the same content. You can compare images with
234 different format or settings.
236 The format is probed unless you specify it by @var{-f} (used for
237 @var{filename1}) and/or @var{-F} (used for @var{filename2}) option.
239 By default, images with different size are considered identical if the larger
240 image contains only unallocated and/or zeroed sectors in the area after the end
241 of the other image. In addition, if any sector is not allocated in one image
242 and contains only zero bytes in the second one, it is evaluated as equal. You
243 can use Strict mode by specifying the @var{-s} option. When compare runs in
244 Strict mode, it fails in case image size differs or a sector is allocated in
245 one image and is not allocated in the second one.
247 By default, compare prints out a result message. This message displays
248 information that both images are same or the position of the first different
249 byte. In addition, result message can report different image size in case
250 Strict mode is used.
252 Compare exits with @code{0} in case the images are equal and with @code{1}
253 in case the images differ. Other exit codes mean an error occurred during
254 execution and standard error output should contain an error message.
255 The following table sumarizes all exit codes of the compare subcommand:
257 @table @option
259 @item 0
260 Images are identical
261 @item 1
262 Images differ
263 @item 2
264 Error on opening an image
265 @item 3
266 Error on checking a sector allocation
267 @item 4
268 Error on reading data
270 @end table
272 @item convert [-c] [-p] [-n] [-f @var{fmt}] [-t @var{cache}] [-T @var{src_cache}] [-O @var{output_fmt}] [-o @var{options}] [-s @var{snapshot_id_or_name}] [-l @var{snapshot_param}] [-S @var{sparse_size}] @var{filename} [@var{filename2} [...]] @var{output_filename}
274 Convert the disk image @var{filename} or a snapshot @var{snapshot_param}(@var{snapshot_id_or_name} is deprecated)
275 to disk image @var{output_filename} using format @var{output_fmt}. It can be optionally compressed (@code{-c}
276 option) or use any format specific options like encryption (@code{-o} option).
278 Only the formats @code{qcow} and @code{qcow2} support compression. The
279 compression is read-only. It means that if a compressed sector is
280 rewritten, then it is rewritten as uncompressed data.
282 Image conversion is also useful to get smaller image when using a
283 growable format such as @code{qcow}: the empty sectors are detected and
284 suppressed from the destination image.
286 @var{sparse_size} indicates the consecutive number of bytes (defaults to 4k)
287 that must contain only zeros for qemu-img to create a sparse image during
288 conversion. If @var{sparse_size} is 0, the source will not be scanned for
289 unallocated or zero sectors, and the destination image will always be
290 fully allocated.
292 You can use the @var{backing_file} option to force the output image to be
293 created as a copy on write image of the specified base image; the
294 @var{backing_file} should have the same content as the input's base image,
295 however the path, image format, etc may differ.
297 If the @code{-n} option is specified, the target volume creation will be
298 skipped. This is useful for formats such as @code{rbd} if the target
299 volume has already been created with site specific options that cannot
300 be supplied through qemu-img.
302 @item info [-f @var{fmt}] [--output=@var{ofmt}] [--backing-chain] @var{filename}
304 Give information about the disk image @var{filename}. Use it in
305 particular to know the size reserved on disk which can be different
306 from the displayed size. If VM snapshots are stored in the disk image,
307 they are displayed too. The command can output in the format @var{ofmt}
308 which is either @code{human} or @code{json}.
310 If a disk image has a backing file chain, information about each disk image in
311 the chain can be recursively enumerated by using the option @code{--backing-chain}.
313 For instance, if you have an image chain like:
315 @example
316 base.qcow2 <- snap1.qcow2 <- snap2.qcow2
317 @end example
319 To enumerate information about each disk image in the above chain, starting from top to base, do:
321 @example
322 qemu-img info --backing-chain snap2.qcow2
323 @end example
325 @item map [-f @var{fmt}] [--output=@var{ofmt}] @var{filename}
327 Dump the metadata of image @var{filename} and its backing file chain.
328 In particular, this commands dumps the allocation state of every sector
329 of @var{filename}, together with the topmost file that allocates it in
330 the backing file chain.
332 Two option formats are possible.  The default format (@code{human})
333 only dumps known-nonzero areas of the file.  Known-zero parts of the
334 file are omitted altogether, and likewise for parts that are not allocated
335 throughout the chain.  @command{qemu-img} output will identify a file
336 from where the data can be read, and the offset in the file.  Each line
337 will include four fields, the first three of which are hexadecimal
338 numbers.  For example the first line of:
339 @example
340 Offset          Length          Mapped to       File
341 0               0x20000         0x50000         /tmp/overlay.qcow2
342 0x100000        0x10000         0x95380000      /tmp/backing.qcow2
343 @end example
344 @noindent
345 means that 0x20000 (131072) bytes starting at offset 0 in the image are
346 available in /tmp/overlay.qcow2 (opened in @code{raw} format) starting
347 at offset 0x50000 (327680).  Data that is compressed, encrypted, or
348 otherwise not available in raw format will cause an error if @code{human}
349 format is in use.  Note that file names can include newlines, thus it is
350 not safe to parse this output format in scripts.
352 The alternative format @code{json} will return an array of dictionaries
353 in JSON format.  It will include similar information in
354 the @code{start}, @code{length}, @code{offset} fields;
355 it will also include other more specific information:
356 @itemize @minus
357 @item
358 whether the sectors contain actual data or not (boolean field @code{data};
359 if false, the sectors are either unallocated or stored as optimized
360 all-zero clusters);
362 @item
363 whether the data is known to read as zero (boolean field @code{zero});
365 @item
366 in order to make the output shorter, the target file is expressed as
367 a @code{depth}; for example, a depth of 2 refers to the backing file
368 of the backing file of @var{filename}.
369 @end itemize
371 In JSON format, the @code{offset} field is optional; it is absent in
372 cases where @code{human} format would omit the entry or exit with an error.
373 If @code{data} is false and the @code{offset} field is present, the
374 corresponding sectors in the file are not yet in use, but they are
375 preallocated.
377 For more information, consult @file{include/block/block.h} in QEMU's
378 source code.
380 @item snapshot [-l | -a @var{snapshot} | -c @var{snapshot} | -d @var{snapshot} ] @var{filename}
382 List, apply, create or delete snapshots in image @var{filename}.
384 @item rebase [-f @var{fmt}] [-t @var{cache}] [-T @var{src_cache}] [-p] [-u] -b @var{backing_file} [-F @var{backing_fmt}] @var{filename}
386 Changes the backing file of an image. Only the formats @code{qcow2} and
387 @code{qed} support changing the backing file.
389 The backing file is changed to @var{backing_file} and (if the image format of
390 @var{filename} supports this) the backing file format is changed to
391 @var{backing_fmt}. If @var{backing_file} is specified as ``'' (the empty
392 string), then the image is rebased onto no backing file (i.e. it will exist
393 independently of any backing file).
395 @var{cache} specifies the cache mode to be used for @var{filename}, whereas
396 @var{src_cache} specifies the cache mode for reading backing files.
398 There are two different modes in which @code{rebase} can operate:
399 @table @option
400 @item Safe mode
401 This is the default mode and performs a real rebase operation. The new backing
402 file may differ from the old one and qemu-img rebase will take care of keeping
403 the guest-visible content of @var{filename} unchanged.
405 In order to achieve this, any clusters that differ between @var{backing_file}
406 and the old backing file of @var{filename} are merged into @var{filename}
407 before actually changing the backing file.
409 Note that the safe mode is an expensive operation, comparable to converting
410 an image. It only works if the old backing file still exists.
412 @item Unsafe mode
413 qemu-img uses the unsafe mode if @code{-u} is specified. In this mode, only the
414 backing file name and format of @var{filename} is changed without any checks
415 on the file contents. The user must take care of specifying the correct new
416 backing file, or the guest-visible content of the image will be corrupted.
418 This mode is useful for renaming or moving the backing file to somewhere else.
419 It can be used without an accessible old backing file, i.e. you can use it to
420 fix an image whose backing file has already been moved/renamed.
421 @end table
423 You can use @code{rebase} to perform a ``diff'' operation on two
424 disk images.  This can be useful when you have copied or cloned
425 a guest, and you want to get back to a thin image on top of a
426 template or base image.
428 Say that @code{base.img} has been cloned as @code{modified.img} by
429 copying it, and that the @code{modified.img} guest has run so there
430 are now some changes compared to @code{base.img}.  To construct a thin
431 image called @code{diff.qcow2} that contains just the differences, do:
433 @example
434 qemu-img create -f qcow2 -b modified.img diff.qcow2
435 qemu-img rebase -b base.img diff.qcow2
436 @end example
438 At this point, @code{modified.img} can be discarded, since
439 @code{base.img + diff.qcow2} contains the same information.
441 @item resize @var{filename} [+ | -]@var{size}
443 Change the disk image as if it had been created with @var{size}.
445 Before using this command to shrink a disk image, you MUST use file system and
446 partitioning tools inside the VM to reduce allocated file systems and partition
447 sizes accordingly.  Failure to do so will result in data loss!
449 After using this command to grow a disk image, you must use file system and
450 partitioning tools inside the VM to actually begin using the new space on the
451 device.
453 @item amend [-p] [-f @var{fmt}] [-t @var{cache}] -o @var{options} @var{filename}
455 Amends the image format specific @var{options} for the image file
456 @var{filename}. Not all file formats support this operation.
457 @end table
458 @c man end
460 @ignore
461 @c man begin NOTES
462 Supported image file formats:
464 @table @option
465 @item raw
467 Raw disk image format (default). This format has the advantage of
468 being simple and easily exportable to all other emulators. If your
469 file system supports @emph{holes} (for example in ext2 or ext3 on
470 Linux or NTFS on Windows), then only the written sectors will reserve
471 space. Use @code{qemu-img info} to know the real size used by the
472 image or @code{ls -ls} on Unix/Linux.
474 Supported options:
475 @table @code
476 @item preallocation
477 Preallocation mode (allowed values: @code{off}, @code{falloc}, @code{full}).
478 @code{falloc} mode preallocates space for image by calling posix_fallocate().
479 @code{full} mode preallocates space for image by writing zeros to underlying
480 storage.
481 @end table
483 @item qcow2
484 QEMU image format, the most versatile format. Use it to have smaller
485 images (useful if your filesystem does not supports holes, for example
486 on Windows), optional AES encryption, zlib based compression and
487 support of multiple VM snapshots.
489 Supported options:
490 @table @code
491 @item compat
492 Determines the qcow2 version to use. @code{compat=0.10} uses the
493 traditional image format that can be read by any QEMU since 0.10.
494 @code{compat=1.1} enables image format extensions that only QEMU 1.1 and
495 newer understand (this is the default). Amongst others, this includes zero
496 clusters, which allow efficient copy-on-read for sparse images.
498 @item backing_file
499 File name of a base image (see @option{create} subcommand)
500 @item backing_fmt
501 Image format of the base image
502 @item encryption
503 If this option is set to @code{on}, the image is encrypted with 128-bit AES-CBC.
505 The use of encryption in qcow and qcow2 images is considered to be flawed by
506 modern cryptography standards, suffering from a number of design problems:
508 @itemize @minus
509 @item The AES-CBC cipher is used with predictable initialization vectors based
510 on the sector number. This makes it vulnerable to chosen plaintext attacks
511 which can reveal the existence of encrypted data.
512 @item The user passphrase is directly used as the encryption key. A poorly
513 chosen or short passphrase will compromise the security of the encryption.
514 @item In the event of the passphrase being compromised there is no way to
515 change the passphrase to protect data in any qcow images. The files must
516 be cloned, using a different encryption passphrase in the new file. The
517 original file must then be securely erased using a program like shred,
518 though even this is ineffective with many modern storage technologies.
519 @end itemize
521 Use of qcow / qcow2 encryption is thus strongly discouraged. Users are
522 recommended to use an alternative encryption technology such as the
523 Linux dm-crypt / LUKS system.
525 @item cluster_size
526 Changes the qcow2 cluster size (must be between 512 and 2M). Smaller cluster
527 sizes can improve the image file size whereas larger cluster sizes generally
528 provide better performance.
530 @item preallocation
531 Preallocation mode (allowed values: @code{off}, @code{metadata}, @code{falloc},
532 @code{full}). An image with preallocated metadata is initially larger but can
533 improve performance when the image needs to grow. @code{falloc} and @code{full}
534 preallocations are like the same options of @code{raw} format, but sets up
535 metadata also.
537 @item lazy_refcounts
538 If this option is set to @code{on}, reference count updates are postponed with
539 the goal of avoiding metadata I/O and improving performance. This is
540 particularly interesting with @option{cache=writethrough} which doesn't batch
541 metadata updates. The tradeoff is that after a host crash, the reference count
542 tables must be rebuilt, i.e. on the next open an (automatic) @code{qemu-img
543 check -r all} is required, which may take some time.
545 This option can only be enabled if @code{compat=1.1} is specified.
547 @item nocow
548 If this option is set to @code{on}, it will turn off COW of the file. It's only
549 valid on btrfs, no effect on other file systems.
551 Btrfs has low performance when hosting a VM image file, even more when the guest
552 on the VM also using btrfs as file system. Turning off COW is a way to mitigate
553 this bad performance. Generally there are two ways to turn off COW on btrfs:
554 a) Disable it by mounting with nodatacow, then all newly created files will be
555 NOCOW. b) For an empty file, add the NOCOW file attribute. That's what this option
556 does.
558 Note: this option is only valid to new or empty files. If there is an existing
559 file which is COW and has data blocks already, it couldn't be changed to NOCOW
560 by setting @code{nocow=on}. One can issue @code{lsattr filename} to check if
561 the NOCOW flag is set or not (Capital 'C' is NOCOW flag).
563 @end table
565 @item Other
566 QEMU also supports various other image file formats for compatibility with
567 older QEMU versions or other hypervisors, including VMDK, VDI, VHD (vpc), VHDX,
568 qcow1 and QED. For a full list of supported formats see @code{qemu-img --help}.
569 For a more detailed description of these formats, see the QEMU Emulation User
570 Documentation.
572 The main purpose of the block drivers for these formats is image conversion.
573 For running VMs, it is recommended to convert the disk images to either raw or
574 qcow2 in order to achieve good performance.
575 @end table
578 @c man end
580 @setfilename qemu-img
581 @settitle QEMU disk image utility
583 @c man begin SEEALSO
584 The HTML documentation of QEMU for more precise information and Linux
585 user mode emulator invocation.
586 @c man end
588 @c man begin AUTHOR
589 Fabrice Bellard
590 @c man end
592 @end ignore