target/arm: Handle SVE vector length changes in system mode

[qemu.git] / qemu-options.hx
diff --git a/qemu-options.hx b/qemu-options.hx

index c0d3951e9ffd865e1ba569f6f9bf16e39ec28d37..f139459e802a3185afc92152ad9808511b9fd9c6 100644 (file)
--- a/qemu-options.hx
+++ b/qemu-options.hx
@@ -43,7 +43,6 @@ DEF("machine", HAS_ARG, QEMU_OPTION_machine, \
      "                suppress-vmdesc=on|off disables self-describing migration (default=off)\n"
      "                nvdimm=on|off controls NVDIMM support (default=off)\n"
      "                enforce-config-section=on|off enforce configuration section migration (default=off)\n"
      "                suppress-vmdesc=on|off disables self-describing migration (default=off)\n"
      "                nvdimm=on|off controls NVDIMM support (default=off)\n"
      "                enforce-config-section=on|off enforce configuration section migration (default=off)\n"
-    "                s390-squash-mcss=on|off (deprecated) controls support for squashing into default css (default=off)\n"
      "                memory-encryption=@var{} memory encryption object to use (default=none)\n",
      QEMU_ARCH_ALL)
  STEXI
      "                memory-encryption=@var{} memory encryption object to use (default=none)\n",
      QEMU_ARCH_ALL)
  STEXI
@@ -96,15 +95,6 @@ controls whether DEA wrapping keys will be created to allow
  execution of DEA cryptographic functions.  The default is on.
  @item nvdimm=on|off
  Enables or disables NVDIMM support. The default is off.
  execution of DEA cryptographic functions.  The default is on.
  @item nvdimm=on|off
  Enables or disables NVDIMM support. The default is off.
-@item s390-squash-mcss=on|off
-Enables or disables squashing subchannels into the default css.
-The default is off.
-NOTE: This property is deprecated and will be removed in future releases.
-The ``s390-squash-mcss=on`` property has been obsoleted by allowing the
-cssid to be chosen freely. Instead of squashing subchannels into the
-default channel subsystem image for guests that do not support multiple
-channel subsystems, all devices can be put into the default channel
-subsystem image.
  @item enforce-config-section=on|off
  If @option{enforce-config-section} is set to @var{on}, force migration
  code to send configuration section even if the machine-type sets the
  @item enforce-config-section=on|off
  If @option{enforce-config-section} is set to @var{on}, force migration
  code to send configuration section even if the machine-type sets the
@@ -130,7 +120,7 @@ ETEXI
  DEF("accel", HAS_ARG, QEMU_OPTION_accel,
      "-accel [accel=]accelerator[,thread=single|multi]\n"
      "                select accelerator (kvm, xen, hax, hvf, whpx or tcg; use 'help' for a list)\n"
  DEF("accel", HAS_ARG, QEMU_OPTION_accel,
      "-accel [accel=]accelerator[,thread=single|multi]\n"
      "                select accelerator (kvm, xen, hax, hvf, whpx or tcg; use 'help' for a list)\n"
-    "                thread=single|multi (enable multi-threaded TCG)", QEMU_ARCH_ALL)
+    "                thread=single|multi (enable multi-threaded TCG)\n", QEMU_ARCH_ALL)
  STEXI
  @item -accel @var{name}[,prop=@var{value}[,...]]
  @findex -accel
  STEXI
  @item -accel @var{name}[,prop=@var{value}[,...]]
  @findex -accel
@@ -464,16 +454,6 @@ modprobe i810_audio clocking=48000
  @end example
  ETEXI
  
  @end example
  ETEXI
  
-DEF("balloon", HAS_ARG, QEMU_OPTION_balloon,
-    "-balloon virtio[,addr=str]\n"
-    "                enable virtio balloon device (deprecated)\n", QEMU_ARCH_ALL)
-STEXI
-@item -balloon virtio[,addr=@var{addr}]
-@findex -balloon
-Enable virtio balloon device, optionally with PCI address @var{addr}. This
-option is deprecated, use @option{--device virtio-balloon} instead.
-ETEXI
-
  DEF("device", HAS_ARG, QEMU_OPTION_device,
      "-device driver[,prop[=value][,...]]\n"
      "                add device (based on driver)\n"
  DEF("device", HAS_ARG, QEMU_OPTION_device,
      "-device driver[,prop[=value][,...]]\n"
      "                add device (based on driver)\n"
@@ -752,19 +732,23 @@ image file)
  
  @item cache-size
  The maximum total size of the L2 table and refcount block caches in bytes
  
  @item cache-size
  The maximum total size of the L2 table and refcount block caches in bytes
-(default: 1048576 bytes or 8 clusters, whichever is larger)
+(default: the sum of l2-cache-size and refcount-cache-size)
  
  @item l2-cache-size
  The maximum size of the L2 table cache in bytes
  
  @item l2-cache-size
  The maximum size of the L2 table cache in bytes
-(default: 4/5 of the total cache size)
+(default: if cache-size is not specified - 32M on Linux platforms, and 8M on
+non-Linux platforms; otherwise, as large as possible within the cache-size,
+while permitting the requested or the minimal refcount cache size)
  
  @item refcount-cache-size
  The maximum size of the refcount block cache in bytes
  
  @item refcount-cache-size
  The maximum size of the refcount block cache in bytes
-(default: 1/5 of the total cache size)
+(default: 4 times the cluster size; or if cache-size is specified, the part of
+it which is not used for the L2 cache)
  
  @item cache-clean-interval
  Clean unused entries in the L2 and refcount caches. The interval is in seconds.
  
  @item cache-clean-interval
  Clean unused entries in the L2 and refcount caches. The interval is in seconds.
-The default value is 0 and it disables this feature.
+The default value is 600 on supporting platforms, and 0 on other platforms.
+Setting it to 0 disables this feature.
  
  @item pass-discard-request
  Whether discard requests to the qcow2 device should be forwarded to the data
  
  @item pass-discard-request
  Whether discard requests to the qcow2 device should be forwarded to the data
@@ -804,9 +788,8 @@ ETEXI
  
  DEF("drive", HAS_ARG, QEMU_OPTION_drive,
      "-drive [file=file][,if=type][,bus=n][,unit=m][,media=d][,index=i]\n"
  
  DEF("drive", HAS_ARG, QEMU_OPTION_drive,
      "-drive [file=file][,if=type][,bus=n][,unit=m][,media=d][,index=i]\n"
-    "       [,cyls=c,heads=h,secs=s[,trans=t]][,snapshot=on|off]\n"
      "       [,cache=writethrough|writeback|none|directsync|unsafe][,format=f]\n"
      "       [,cache=writethrough|writeback|none|directsync|unsafe][,format=f]\n"
-    "       [,serial=s][,addr=A][,rerror=ignore|stop|report]\n"
+    "       [,snapshot=on|off][,rerror=ignore|stop|report]\n"
      "       [,werror=ignore|stop|report|enospc][,id=name][,aio=threads|native]\n"
      "       [,readonly=on|off][,copy-on-read=on|off]\n"
      "       [,discard=ignore|unmap][,detect-zeroes=on|off|unmap]\n"
      "       [,werror=ignore|stop|report|enospc][,id=name][,aio=threads|native]\n"
      "       [,readonly=on|off][,copy-on-read=on|off]\n"
      "       [,discard=ignore|unmap][,detect-zeroes=on|off|unmap]\n"
@@ -847,10 +830,6 @@ This option defines where is connected the drive by using an index in the list
  of available connectors of a given interface type.
  @item media=@var{media}
  This option defines the type of the media: disk or cdrom.
  of available connectors of a given interface type.
  @item media=@var{media}
  This option defines the type of the media: disk or cdrom.
-@item cyls=@var{c},heads=@var{h},secs=@var{s}[,trans=@var{t}]
-Force disk physical geometry and the optional BIOS translation (trans=none or
-lba). These parameters are deprecated, use the corresponding parameters
-of @code{-device} instead.
  @item snapshot=@var{snapshot}
  @var{snapshot} is "on" or "off" and controls snapshot mode for the given drive
  (see @option{-snapshot}).
  @item snapshot=@var{snapshot}
  @var{snapshot} is "on" or "off" and controls snapshot mode for the given drive
  (see @option{-snapshot}).
@@ -884,13 +863,6 @@ The default mode is @option{cache=writeback}.
  Specify which disk @var{format} will be used rather than detecting
  the format.  Can be used to specify format=raw to avoid interpreting
  an untrusted format header.
  Specify which disk @var{format} will be used rather than detecting
  the format.  Can be used to specify format=raw to avoid interpreting
  an untrusted format header.
-@item serial=@var{serial}
-This option specifies the serial number to assign to the device. This
-parameter is deprecated, use the corresponding parameter of @code{-device}
-instead.
-@item addr=@var{addr}
-Specify the controller's PCI address (if=virtio only). This parameter is
-deprecated, use the corresponding parameter of @code{-device} instead.
  @item werror=@var{action},rerror=@var{action}
  Specify which @var{action} to take on write and read errors. Valid actions are:
  "ignore" (ignore the error and try to continue), "stop" (pause QEMU),
  @item werror=@var{action},rerror=@var{action}
  Specify which @var{action} to take on write and read errors. Valid actions are:
  "ignore" (ignore the error and try to continue), "stop" (pause QEMU),
@@ -1654,49 +1626,6 @@ will cause the VNC server socket to enable the VeNCrypt auth
  mechanism.  The credentials should have been previously created
  using the @option{-object tls-creds} argument.
  
  mechanism.  The credentials should have been previously created
  using the @option{-object tls-creds} argument.
  
-The @option{tls-creds} parameter obsoletes the @option{tls},
-@option{x509}, and @option{x509verify} options, and as such
-it is not permitted to set both new and old type options at
-the same time.
-
-@item tls
-
-Require that client use TLS when communicating with the VNC server. This
-uses anonymous TLS credentials so is susceptible to a man-in-the-middle
-attack. It is recommended that this option be combined with either the
-@option{x509} or @option{x509verify} options.
-
-This option is now deprecated in favor of using the @option{tls-creds}
-argument.
-
-@item x509=@var{/path/to/certificate/dir}
-
-Valid if @option{tls} is specified. Require that x509 credentials are used
-for negotiating the TLS session. The server will send its x509 certificate
-to the client. It is recommended that a password be set on the VNC server
-to provide authentication of the client when this is used. The path following
-this option specifies where the x509 certificates are to be loaded from.
-See the @ref{vnc_security} section for details on generating certificates.
-
-This option is now deprecated in favour of using the @option{tls-creds}
-argument.
-
-@item x509verify=@var{/path/to/certificate/dir}
-
-Valid if @option{tls} is specified. Require that x509 credentials are used
-for negotiating the TLS session. The server will send its x509 certificate
-to the client, and request that the client send its own x509 certificate.
-The server will validate the client's certificate against the CA certificate,
-and reject clients when validation fails. If the certificate authority is
-trusted, this is a sufficient authentication mechanism. You may still wish
-to set a password on the VNC server as a second authentication layer. The
-path following this option specifies where the x509 certificates are to
-be loaded from. See the @ref{vnc_security} section for details on generating
-certificates.
-
-This option is now deprecated in favour of using the @option{tls-creds}
-argument.
-
  @item sasl
  
  Require that the client use SASL to authenticate with the VNC server.
  @item sasl
  
  Require that the client use SASL to authenticate with the VNC server.
@@ -1786,9 +1715,6 @@ Windows 2000 is installed, you no longer need this option (this option
  slows down the IDE transfers).
  ETEXI
  
  slows down the IDE transfers).
  ETEXI
  
-HXCOMM Deprecated by -rtc
-DEF("rtc-td-hack", 0, QEMU_OPTION_rtc_td_hack, "", QEMU_ARCH_I386)
-
  DEF("no-fd-bootchk", 0, QEMU_OPTION_no_fd_bootchk,
      "-no-fd-bootchk  disable boot signature checking for floppy disks\n",
      QEMU_ARCH_I386)
  DEF("no-fd-bootchk", 0, QEMU_OPTION_no_fd_bootchk,
      "-no-fd-bootchk  disable boot signature checking for floppy disks\n",
      QEMU_ARCH_I386)
@@ -1891,16 +1817,6 @@ STEXI
  @table @option
  ETEXI
  
  @table @option
  ETEXI
  
-HXCOMM Legacy slirp options (now moved to -net user):
-#ifdef CONFIG_SLIRP
-DEF("tftp", HAS_ARG, QEMU_OPTION_tftp, "", QEMU_ARCH_ALL)
-DEF("bootp", HAS_ARG, QEMU_OPTION_bootp, "", QEMU_ARCH_ALL)
-DEF("redir", HAS_ARG, QEMU_OPTION_redir, "", QEMU_ARCH_ALL)
-#ifndef _WIN32
-DEF("smb", HAS_ARG, QEMU_OPTION_smb, "", QEMU_ARCH_ALL)
-#endif
-#endif
-
  DEF("netdev", HAS_ARG, QEMU_OPTION_netdev,
  #ifdef CONFIG_SLIRP
      "-netdev user,id=str[,ipv4[=on|off]][,net=addr[/mask]][,host=addr]\n"
  DEF("netdev", HAS_ARG, QEMU_OPTION_netdev,
  #ifdef CONFIG_SLIRP
      "-netdev user,id=str[,ipv4[=on|off]][,net=addr[/mask]][,host=addr]\n"
@@ -2005,7 +1921,7 @@ DEF("netdev", HAS_ARG, QEMU_OPTION_netdev,
      "-netdev hubport,id=str,hubid=n[,netdev=nd]\n"
      "                configure a hub port on the hub with ID 'n'\n", QEMU_ARCH_ALL)
  DEF("nic", HAS_ARG, QEMU_OPTION_nic,
      "-netdev hubport,id=str,hubid=n[,netdev=nd]\n"
      "                configure a hub port on the hub with ID 'n'\n", QEMU_ARCH_ALL)
  DEF("nic", HAS_ARG, QEMU_OPTION_nic,
-    "--nic [tap|bridge|"
+    "-nic [tap|bridge|"
  #ifdef CONFIG_SLIRP
      "user|"
  #endif
  #ifdef CONFIG_SLIRP
      "user|"
  #endif
@@ -2024,7 +1940,7 @@ DEF("nic", HAS_ARG, QEMU_OPTION_nic,
      "socket][,option][,...][mac=macaddr]\n"
      "                initialize an on-board / default host NIC (using MAC address\n"
      "                macaddr) and connect it to the given host network backend\n"
      "socket][,option][,...][mac=macaddr]\n"
      "                initialize an on-board / default host NIC (using MAC address\n"
      "                macaddr) and connect it to the given host network backend\n"
-    "--nic none      use it alone to have zero network devices (the default is to\n"
+    "-nic none       use it alone to have zero network devices (the default is to\n"
      "                provided a 'user' network connection)\n",
      QEMU_ARCH_ALL)
  DEF("net", HAS_ARG, QEMU_OPTION_net,
      "                provided a 'user' network connection)\n",
      QEMU_ARCH_ALL)
  DEF("net", HAS_ARG, QEMU_OPTION_net,
@@ -2228,11 +2144,6 @@ qemu-system-i386 -nic  'user,id=n1,guestfwd=tcp:10.0.2.100:1234-cmd:netcat 10.10
  
  @end table
  
  
  @end table
  
-Note: Legacy stand-alone options -tftp, -bootp, -smb and -redir are still
-processed and applied to -net user. Mixing them with the new configuration
-syntax gives undefined results. Their use for new applications is discouraged
-as they will be removed from future versions.
-
  @item -netdev tap,id=@var{id}[,fd=@var{h}][,ifname=@var{name}][,script=@var{file}][,downscript=@var{dfile}][,br=@var{bridge}][,helper=@var{helper}]
  Configure a host TAP network backend with ID @var{id}.
  
  @item -netdev tap,id=@var{id}[,fd=@var{h}][,ifname=@var{name}][,script=@var{file}][,downscript=@var{dfile}][,br=@var{bridge}][,helper=@var{helper}]
  Configure a host TAP network backend with ID @var{id}.
  
@@ -3303,16 +3214,17 @@ Run the emulation in single step mode.
  ETEXI
  
  DEF("preconfig", 0, QEMU_OPTION_preconfig, \
  ETEXI
  
  DEF("preconfig", 0, QEMU_OPTION_preconfig, \
-    "--preconfig     pause QEMU before machine is initialized\n",
+    "--preconfig     pause QEMU before machine is initialized (experimental)\n",
      QEMU_ARCH_ALL)
  STEXI
  @item --preconfig
  @findex --preconfig
  Pause QEMU for interactive configuration before the machine is created,
  which allows querying and configuring properties that will affect
      QEMU_ARCH_ALL)
  STEXI
  @item --preconfig
  @findex --preconfig
  Pause QEMU for interactive configuration before the machine is created,
  which allows querying and configuring properties that will affect
-machine initialization. Use the QMP command 'exit-preconfig' to exit
-the preconfig state and move to the next state (ie. run guest if -S
-isn't used or pause the second time if -S is used).
+machine initialization.  Use QMP command 'x-exit-preconfig' to exit
+the preconfig state and move to the next state (i.e. run guest if -S
+isn't used or pause the second time if -S is used).  This option is
+experimental.
  ETEXI
  
  DEF("S", 0, QEMU_OPTION_S, \
  ETEXI
  
  DEF("S", 0, QEMU_OPTION_S, \
@@ -3337,6 +3249,30 @@ mlocking qemu and guest memory can be enabled via @option{mlock=on}
  (enabled by default).
  ETEXI
  
  (enabled by default).
  ETEXI
  
+DEF("overcommit", HAS_ARG, QEMU_OPTION_overcommit,
+    "-overcommit [mem-lock=on|off][cpu-pm=on|off]\n"
+    "                run qemu with overcommit hints\n"
+    "                mem-lock=on|off controls memory lock support (default: off)\n"
+    "                cpu-pm=on|off controls cpu power management (default: off)\n",
+    QEMU_ARCH_ALL)
+STEXI
+@item -overcommit mem-lock=on|off
+@item -overcommit cpu-pm=on|off
+@findex -overcommit
+Run qemu with hints about host resource overcommit. The default is
+to assume that host overcommits all resources.
+
+Locking qemu and guest memory can be enabled via @option{mem-lock=on} (disabled
+by default).  This works when host memory is not overcommitted and reduces the
+worst-case latency for guest.  This is equivalent to @option{realtime}.
+
+Guest ability to manage power state of host cpus (increasing latency for other
+processes on the same host cpu, but decreasing latency for guest) can be
+enabled via @option{cpu-pm=on} (disabled by default).  This works best when
+host CPU is not overcommitted. When used, host estimates of CPU cycle and power
+utilization will be incorrect, not taking into account guest idle time.
+ETEXI
+
  DEF("gdb", HAS_ARG, QEMU_OPTION_gdb, \
      "-gdb dev        wait for gdb connection on 'dev'\n", QEMU_ARCH_ALL)
  STEXI
  DEF("gdb", HAS_ARG, QEMU_OPTION_gdb, \
      "-gdb dev        wait for gdb connection on 'dev'\n", QEMU_ARCH_ALL)
  STEXI
@@ -3433,7 +3369,7 @@ STEXI
  Enable HAX (Hardware-based Acceleration eXecution) support. This option
  is only available if HAX support is enabled when compiling. HAX is only
  applicable to MAC and Windows platform, and thus does not conflict with
  Enable HAX (Hardware-based Acceleration eXecution) support. This option
  is only available if HAX support is enabled when compiling. HAX is only
  applicable to MAC and Windows platform, and thus does not conflict with
-KVM.
+KVM. This option is deprecated, use @option{-accel hax} instead.
  ETEXI
  
  DEF("xen-domid", HAS_ARG, QEMU_OPTION_xen_domid,
  ETEXI
  
  DEF("xen-domid", HAS_ARG, QEMU_OPTION_xen_domid,
@@ -3521,10 +3457,6 @@ ETEXI
  HXCOMM Silently ignored for compatibility
  DEF("clock", HAS_ARG, QEMU_OPTION_clock, "", QEMU_ARCH_ALL)
  
  HXCOMM Silently ignored for compatibility
  DEF("clock", HAS_ARG, QEMU_OPTION_clock, "", QEMU_ARCH_ALL)
  
-HXCOMM Options deprecated by -rtc
-DEF("localtime", 0, QEMU_OPTION_localtime, "", QEMU_ARCH_ALL)
-DEF("startdate", HAS_ARG, QEMU_OPTION_startdate, "", QEMU_ARCH_ALL)
-
  DEF("rtc", HAS_ARG, QEMU_OPTION_rtc, \
      "-rtc [base=utc|localtime|date][,clock=host|rt|vm][,driftfix=none|slew]\n" \
      "                set the RTC base and clock, enable drift fix for clock ticks (x86 only)\n",
  DEF("rtc", HAS_ARG, QEMU_OPTION_rtc, \
      "-rtc [base=utc|localtime|date][,clock=host|rt|vm][,driftfix=none|slew]\n" \
      "                set the RTC base and clock, enable drift fix for clock ticks (x86 only)\n",
@@ -3883,8 +3815,7 @@ Write device configuration to @var{file}. The @var{file} can be either filename
  command line and device configuration into file or dash @code{-}) character to print the
  output to stdout. This can be later used as input file for @code{-readconfig} option.
  ETEXI
  command line and device configuration into file or dash @code{-}) character to print the
  output to stdout. This can be later used as input file for @code{-readconfig} option.
  ETEXI
-HXCOMM Deprecated, same as -no-user-config
-DEF("nodefconfig", 0, QEMU_OPTION_nodefconfig, "", QEMU_ARCH_ALL)
+
  DEF("no-user-config", 0, QEMU_OPTION_nouserconfig,
      "-no-user-config\n"
      "                do not load default user-provided config files at startup\n",
  DEF("no-user-config", 0, QEMU_OPTION_nouserconfig,
      "-no-user-config\n"
      "                do not load default user-provided config files at startup\n",
@@ -3895,6 +3826,7 @@ STEXI
  The @code{-no-user-config} option makes QEMU not load any of the user-provided
  config files on @var{sysconfdir}.
  ETEXI
  The @code{-no-user-config} option makes QEMU not load any of the user-provided
  config files on @var{sysconfdir}.
  ETEXI
+
  DEF("trace", HAS_ARG, QEMU_OPTION_trace,
      "-trace [[enable=]<pattern>][,events=<file>][,file=<file>]\n"
      "                specify tracing options\n",
  DEF("trace", HAS_ARG, QEMU_OPTION_trace,
      "-trace [[enable=]<pattern>][,events=<file>][,file=<file>]\n"
      "                specify tracing options\n",
@@ -3950,6 +3882,16 @@ Dump json-encoded vmstate information for current machine type to file
  in @var{file}
  ETEXI
  
  in @var{file}
  ETEXI
  
+DEF("enable-sync-profile", 0, QEMU_OPTION_enable_sync_profile,
+    "-enable-sync-profile\n"
+    "                enable synchronization profiling\n",
+    QEMU_ARCH_ALL)
+STEXI
+@item -enable-sync-profile
+@findex -enable-sync-profile
+Enable synchronization profiling.
+ETEXI
+
  STEXI
  @end table
  ETEXI
  STEXI
  @end table
  ETEXI
@@ -4045,6 +3987,13 @@ requires an alignment different than the default one used by QEMU, eg
  the device DAX /dev/dax0.0 requires 2M alignment rather than 4K. In
  such cases, users can specify the required alignment via this option.
  
  the device DAX /dev/dax0.0 requires 2M alignment rather than 4K. In
  such cases, users can specify the required alignment via this option.
  
+The @option{pmem} option specifies whether the backing file specified
+by @option{mem-path} is in host persistent memory that can be accessed
+using the SNIA NVM programming model (e.g. Intel NVDIMM).
+If @option{pmem} is set to 'on', QEMU will take necessary operations to
+guarantee the persistence of its own writes to @option{mem-path}
+(e.g. in vNVDIMM label emulation and live migration).
+
  @item -object memory-backend-ram,id=@var{id},merge=@var{on|off},dump=@var{on|off},share=@var{on|off},prealloc=@var{on|off},size=@var{size},host-nodes=@var{host-nodes},policy=@var{default|preferred|bind|interleave}
  
  Creates a memory backend object, which can be used to back the guest RAM.
  @item -object memory-backend-ram,id=@var{id},merge=@var{on|off},dump=@var{on|off},share=@var{on|off},prealloc=@var{on|off},size=@var{size},host-nodes=@var{host-nodes},policy=@var{default|preferred|bind|interleave}
  
  Creates a memory backend object, which can be used to back the guest RAM.
@@ -4111,6 +4060,30 @@ expensive operation that consumes random pool entropy, so it is
  recommended that a persistent set of parameters be generated
  upfront and saved.
  
  recommended that a persistent set of parameters be generated
  upfront and saved.
  
+@item -object tls-creds-psk,id=@var{id},endpoint=@var{endpoint},dir=@var{/path/to/keys/dir}[,username=@var{username}]
+
+Creates a TLS Pre-Shared Keys (PSK) credentials object, which can be used to provide
+TLS support on network backends. The @option{id} parameter is a unique
+ID which network backends will use to access the credentials. The
+@option{endpoint} is either @option{server} or @option{client} depending
+on whether the QEMU network backend that uses the credentials will be
+acting as a client or as a server. For clients only, @option{username}
+is the username which will be sent to the server.  If omitted
+it defaults to ``qemu''.
+
+The @var{dir} parameter tells QEMU where to find the keys file.
+It is called ``@var{dir}/keys.psk'' and contains ``username:key''
+pairs.  This file can most easily be created using the GnuTLS
+@code{psktool} program.
+
+For server endpoints, @var{dir} may also contain a file
+@var{dh-params.pem} providing diffie-hellman parameters to use
+for the TLS server. If the file is missing, QEMU will generate
+a set of DH parameters at startup. This is a computationally
+expensive operation that consumes random pool entropy, so it is
+recommended that a persistent set of parameters be generated
+up front and saved.
+
  @item -object tls-creds-x509,id=@var{id},endpoint=@var{endpoint},dir=@var{/path/to/cred/dir},priority=@var{priority},verify-peer=@var{on|off},passwordid=@var{id}
  
  Creates a TLS anonymous credentials object, which can be used to provide
  @item -object tls-creds-x509,id=@var{id},endpoint=@var{endpoint},dir=@var{/path/to/cred/dir},priority=@var{priority},verify-peer=@var{on|off},passwordid=@var{id}
  
  Creates a TLS anonymous credentials object, which can be used to provide