英特爾至強可擴展第 4 代“Sapphire Rapids”服務器處理器的一項新功能是支持信任域擴展 (TDX),但對於這一代,僅針對選擇雲提供商的 CPU 激活。英特爾 TDX 可以更好地將虛擬機與平台上的 VMM/管理程序和其他非 TD 軟件隔離開來。英特爾 TDX 的這種有限推出效果不錯,Linux 對此安全功能的支持仍在不斷變化。今天發出的是在 Linux 內核中獲得 KVM TDX 支持所需的 113 個補丁中的第 14 個補丁。
英特爾提供了有關 TDX 的技術細節,可追溯到 2020 年。多年來,他們一直致力於 Linux 內核支持此 VM 安全功能,在 Linux 6.2 中,英特爾在 Linux 中最初支持英特爾 TDX 之後推出了 TDX 來賓驅動程序5.19.但仍然缺少英特爾 TDX KVM 集成。
v14 系列的 113 個補丁集為在支持硬件上使用 Intel TDX 的 KVM 虛擬機提供了基本功能支持。新補丁重新基於當前的上游 Linux 6.4 狀態,切換到使用 KVM GMEM,以及在基於內核的虛擬機範圍內圍繞 TDX 處理進行的許多其他內部更改。
我們現在看看 v14 補丁是否是對於上游來說已經足夠好了,否則在所有英特爾 TDX 支持完全主流化到 Linux 內核之前,它會拖延更長時間。無論如何,我懷疑英特爾不會在明年的 Granite Rapids 一代之前廣泛提供英特爾 TDX 支持,因此仍有時間在上游推出軟件支持,以補充少數使用 TDX 的雲服務提供商——樹補丁。即使 TDX 支持會在今年晚些時候在 Emerald Rapids 中得到更廣泛的支持,至少到那時我們也會在發布之前看到主線支持。