Linuxeden开源社区围绕 AMD SEV-SNP 加密虚拟化的补丁已经酝酿多年,各种元素已在先前的内核版本中上载,而在即将到来的 Linux 6.11 周期中,终于有了用于启动受 SEV-SNP 保护的客户虚拟机的基于内核的虚拟机 (KVM) 位。
在对 SEV-SNP 虚拟机管理程序支持进行了 14 轮审查(可追溯到两年前)之后,KVM 位在本周排入了 KVM “下一个 “分支,这是在 7 月份 Linux 6.11 合并窗口开启之前。长期以来,AMD 一直在树外维护 SEV 补丁,同时经历了将所有比特位上游化的漫长过程。安全加密虚拟化安全嵌套分页(SEV-SNP)适用于 AMD EPYC 7003 “米兰 “服务器处理器及更新版本。与早期的 SEV 基本支持和 SEV-ES 相比,SEV-SNP 可以帮助防止基于管理程序的恶意攻击,并提供更多安全保护。早在 Linux 6.9 周期中,该代码就被定性为 “AMD 机密计算的终极目标”:
“添加 SEV-SNP 主机支持的 x86 部分。这将允许内核作为 KVM 虚拟机管理程序使用,能够运行 SNP(安全嵌套分页)客户。粗略地说,SEV-SNP 是 AMD 保密计算方面的终极目标,它提供了迄今为止最全面的保密计算环境。
这是 x86 部分,还有一个 KVM 部分没有来得及在合并窗口前准备好,因此后者将在下一个周期推出。
KVM 代码最终没有为 Linux 6.10 周期做好准备,但现在它已经为 Linux 6.11 做好了准备。
本周合并到 KVM “下一个 “分支的近两千行代码将使 KVM SEV-SNP guest 支持一切就绪。
正如合并信息中所指出的,验证支持仍将稍后推出。希望进一步了解 AMD SEV 的用户可以访问开发者页面。
转自 Linux 6.11 To Merge Support For Running AMD SEV-SNP KVM Guests – Phoronix