微软最近推送了一些变更,旨在改进即将发布的Linux内核6.6版本对Hyper-V的支持。这些改进包括在Hyper-V上支持AMD SEV-SNP guest和Intel TDX guest。除了这两项,还有其他一些升级,如改进了VMBus驱动程序中的ACPI(高级配置和电源接口)根对象处理等。
�$kR �N
h6 *s@Q���tgu Linux领头人Linus Torvalds接受了微软Azure机器学习首席架构师Wei Liu发送的这些更新。
�+`�3!��I 
+ QQS=�{�� 他在文档中提到:
^C2\�`jLMY +`?�Y?L^
J 从Wei Liu处获取Hyper-V更新:
�l7&$}x��- �nUkaz*4qU -支持Hyper-V上的SEV-SNP客户端(Tianyu Lan)
!�i�=n�SqW >����2�#8B -支持Hyper-V上的TDX guest(Dexuan Cui)
�1lv2@Q�H9 R�|i�/lEq� -在Hyper-V气球驱动程序中使用SBRM API(Mitchell Levy)
f/Cu�E%7BR ,3nN[��)dk -避免在VMBus驱动程序中取消引用ACPI根对象句柄(Maciej Szmigiero)
�bWOS� `�5 �R8.C�C1Ix -一些误用修复(Jiapeng Chong、Nathan Chancellor、Saurabh Sengar)
1S@v��Gq}� i<p�k6rO�1 英特尔的信任域扩展(Trust Domain eXtension或TDX)有助于将虚拟机(VM)与其虚拟机管理器(VMM)或虚拟机管理程序(Hypervisor)(这里指的是微软的Hyper-V)隔离开来,从而将它们与其他硬件和系统隔离开来。这些硬件隔离的虚拟机本质上就是"信任域",因此也被称为"信任域"技术。它通过AES-128-XTS提供多密钥全内存加密(MKTME)。
�eh�"3NRrN �ca+[0w@S� 在AMD方面,SEV或安全加密虚拟化技术有助于将虚拟机与其管理程序或虚拟机隔离开来。有趣的是,SEV是第一个用于x86处理器的此类技术,此后AMD对其进行了改进,推出了SEV-ES(安全加密虚拟化-加密状态),带来了CPU加密;后来,内存加密也加入了SEV-SNP(安全嵌套分页),旨在防止侧信道攻击等。
S_~z-�`;h! fu~�+8�CE. 英特尔TDX最近保护了其最新处理器免受Downfall漏洞的攻击,这就是拥有这种功能的好处的一个例子,但这并不意味着它们将免受漏洞微码更新的影响。
2h?uNW(0�Q ou
%/l4dC 由此可见,AMD和英特尔架构的计算机都可以因此受益,虽然增加这一功能对普通消费者来说可能意义不大,但企业可能会对最新带来的额外的安全性表示赞赏。
P./V��mY'� HF�3f�)}l$ 了解更多:
T?4G'84�nN 6~*�9;!t�h https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=0b90c5637dfea8a08f87db5dd16000eb679013a3 �O]q��U[y+
微博帐号登录