Una de las nuevas características de los procesadores de servidor Intel Xeon Scalable 4th Gen”Sapphire Rapids”es la compatibilidad con Trust Domain Extensions (TDX), pero para esta generación solo se activa para las CPU que van a seleccionar proveedores de nube. Intel TDX permite aislar mejor las máquinas virtuales del VMM/hipervisor y otro software que no es TD en la plataforma. Esta implementación limitada de Intel TDX ha funcionado bien con el soporte de Linux para esta función de seguridad que aún está en proceso de cambio. El día de hoy se envió el giro número 14 de los 113 parches necesarios para conectar el soporte KVM TDX dentro del kernel de Linux.
Intel proporcionó detalles técnicos sobre TDX desde 2020. Durante años, han estado trabajando en la compatibilidad del kernel de Linux con esta característica de seguridad de VM y en Linux 6.2, Intel consiguió el controlador invitado TDX que siguió a la compatibilidad inicial de Intel TDX en Linux. 5.19. Pero todavía faltaba la integración Intel TDX KVM.
El conjunto de 113 parches para la serie v14 proporciona la habilitación de funciones básicas para máquinas virtuales KVM con Intel TDX en hardware compatible. Los nuevos parches se vuelven a basar en el estado anterior anterior de Linux 6.4, cambian al uso de KVM GMEM y una serie de otros cambios internos en torno al manejo de TDX en el ámbito de la máquina virtual basada en kernel.
Veremos ahora si los parches v14 son lo suficientemente bueno para la transmisión ascendente o se prolongará más antes de que todo el soporte de Intel TDX esté completamente integrado en el kernel de Linux. En cualquier caso, sospecho que Intel no ampliará el soporte de Intel TDX hasta la generación de Granite Rapids el próximo año, por lo que todavía hay tiempo para implementar el soporte de software en sentido ascendente para complementar a los pocos proveedores de servicios en la nube que utilizan TDX a través de out-parches de árboles. Incluso si el soporte TDX se encontrará más generalizado con Emerald Rapids a finales de este año, al menos para entonces también habrá cambios decentes, veremos soporte principal antes de ese lanzamiento.
