AMD和英特尔的工程师都经历了一段漫长的旅程,将他们最新的虚拟化安全功能引入主流Linux内核,这段旅程仍在进行中。
昨天AMD工程师发出
他们的v10补丁
由将AMD安全加密虚拟化安全嵌套分页(SEV-SNP)系统管理程序支持引入主线内核所需的50个补丁组成。AMD一直致力于
SEV-SNP
支持了一段时间,其服务器处理器中的功能可以追溯到EPYC 7003系列。他们一直在用各种与SEV相关的内核补丁维护树外内核构建,而SEV-SNP系统管理程序支持是仍有待上游处理的最后一大部分。
这种SEV-SNP虚拟机监控程序支持还依赖于一些尚未上线的KVM GMEM修补程序。v10补丁仍然经历了相当多的代码流失,目前尚不清楚是否需要进一步的迭代,但考虑到时间安排,它在即将到来的Linux v6.7合并窗口中被主流化的可能性越来越小。
SEV-SNP为AMD Zen 3和更新的处理器添加了各种额外的安全功能,以更好地保护虚拟化环境。
与此同时,今天早上英特尔发出了
v14修补程序
以获得其信任域扩展(TDX)主机内核支持。使用Intel TDX v14主机补丁程序可处理S3/休眠,因为TDX无法在S3和较低功率状态下生存,因此将完全重置。此外,v14补丁还有一些其他的小改动。
Intel TDX旨在为虚拟机内部的机密计算提供硬件支持的隔离和完整性。Intel TDX与Sapphire Rapids一起推出,但仅针对选定的云部署启用。英特尔继续积极推出大量Linux TDX补丁,因此希望到信任域扩展支持更加广泛时,所有必要的内核位都将得到提升。
Due to being new security features and ensuring the design is right and coding standards meant, getting all of these AMD SEV-SNP and Intel TDX bits upstream is taking quite a bit of time but that's all part of the proven Linux upstreaming process.
