Um dos novos recursos dos processadores de servidor Intel Xeon Scalable de 4ª geração”Sapphire Rapids”é o suporte para Trust Domain Extensions (TDX), mas para esta geração está sendo ativado apenas para CPUs que vão para provedores de nuvem selecionados. O Intel TDX permite isolar melhor as máquinas virtuais do VMM/hypervisor e outros softwares não TD na plataforma. Essa distribuição limitada do Intel TDX funcionou bem com o suporte do Linux para esse recurso de segurança ainda em andamento. Enviado hoje foi o 14º giro dos 113 patches necessários para obter o suporte KVM TDX conectado ao kernel do Linux.
A Intel forneceu detalhes técnicos sobre o TDX desde 2020. Durante anos, eles trabalharam no suporte do kernel do Linux para esse recurso de segurança da VM e, no Linux 6.2, a Intel conseguiu o driver convidado TDX que seguiu o suporte inicial do Intel TDX no Linux 5.19. Mas ainda faltava a integração Intel TDX KVM.
O conjunto de 113 patches para a série v14 fornece ativação de recursos básicos para máquinas virtuais KVM com Intel TDX em hardware compatível. Os novos patches se baseiam no atual estado upstream do Linux 6.4, mudam para o uso do KVM GMEM e várias outras alterações internas em relação ao manuseio do TDX no escopo da máquina virtual baseada em kernel.
Veremos agora se os patches v14 são bom o suficiente para upstreaming ou irá se arrastar por mais tempo antes que todo o suporte Intel TDX seja totalmente integrado no kernel do Linux. De qualquer forma, estou suspeitando que a Intel não vai tornar o suporte Intel TDX generalizado até a geração Granite Rapids no próximo ano, então ainda há tempo para lançar o suporte de software upstream para complementar os poucos provedores de serviços em nuvem usando TDX via out-manchas de árvores. Mesmo que o suporte ao TDX seja encontrado mais amplamente com o Emerald Rapids ainda este ano, pelo menos até lá também haverá mudanças decentes, veremos o suporte principal antes desse lançamento.
