Met Intel TDX en AMD SEV-SNP voor een betere beveiliging van virtuele machines op de mainline Linux-kernel, wordt geheugen onmiddellijk bij het opstarten geaccepteerd/geïnitialiseerd door de VM’s, hoewel de mogelijkheid bestaat om”niet-geaccepteerd geheugen”te hebben waar dat geheugen alleen wordt behandeld door de VM’s later of naar behoefte. Al twee jaar werken Intel-technici aan deze niet-geaccepteerde geheugenondersteuning en deze week hebben ze hun dertiende iteratie van deze fundamentele Linux-kernelpatches gepost.

De UEFI 2.9-specificatie introduceert het begrip”acceptatie”van geheugen, waarbij geheugen moet worden geaccepteerd voordat het door gast-VM’s kan worden gebruikt. Door het geheugen van VM’s zoals TDX en SEV-SNP pas te accepteren als het nodig is, wordt de opstarttijd voor VM’s verlaagd en wordt ook de geheugenoverhead van het systeem verlaagd.

Ingenieurs van Intel die werken aan de ondersteuning van de Linux-kernel voor niet-geaccepteerd UEFI-geheugen hebben gezegd dat deze functionaliteit”substantieel”kortere opstarttijden voor VM’s oplevert. Opstarten naar een shell kan ongeveer 2,5x sneller zijn voor een VM met 4G RAM met behulp van Intel Trust Domain Extensions of ongeveer vier keer sneller voor een Intel TDX VM met 64G geheugen.


De code waaraan wordt gewerkt door Intel is duidelijk gefocust op TDX, terwijl de kerninfrastructuur kan worden hergebruikt door AMD SEV-SNP en de TDX-specifieke patches worden gescheiden.

Met de v13-patches is er een oplossing voor enkele opstartproblemen en andere kleine wijzigingen. Het lijkt erop dat het werk tot rust komt, dus hopelijk wordt deze niet-geaccepteerde geheugenondersteuning van UEFI binnenkort opgepikt door de reguliere Linux-kernel. Degenen die geïnteresseerd zijn in de nieuwste iteratie van deze niet-geaccepteerde geheugenondersteuning kunnen deze vinden via deze kernel mailinglijstthread.

Categories: IT Info