Gli aggiornamenti KVM (Kernel-based Virtual Machine) per Linux 6.11 sono stati finalmente rilasciati. Ciò è molto interessante per i server AMD EPYC poiché il supporto VM guest SEV-SNP è finalmente nel kernel principale. La settimana scorsa su Linux 6.11 è stato integrato il supporto per l’esecuzione del kernel in un guest SEV-SMP tramite SVSM come Secure VM Service Module. Nel frattempo, questo fine settimana è stato lanciato Linux 6.11 Git per il supporto guest SEV-SNP nel codice laterale KVM. Anche supporto guest KVM con Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) è molto importante. AMD lo ha infatti mantenuto a lungo out-of-the tree mentre lavorava al processo di revisione attraverso una serie di controlli per dare forma al codice per il kernel principale. In definitiva, Linux 6.11 è un ottimo aggiornamento del kernel per coloro che utilizzano la virtualizzazione su processori EPYC 7003 “Milan” e successivi.
Linux 6.11: le novità nelle richieste pull KVM
Le richieste pull KVM riassumono il supporto iniziale della VM guest AMD SEV-SNP come: “supporto di base per l’esecuzione di guest SEV-SNP. A livello di API, ciò include un nuovo tipo KVM_X86_SNP_VM, la cifratura/misurazione dell’immagine iniziale nella memoria del guest e la finalizzazione prima del lancio. Internamente, ci sono alcuni hook gmem/mmu necessari per preparare le pagine allocate da gmem prima di mappare tali pagine nelle aree di memoria privata del guest. Questo include il supporto di base per le richieste di attestazione del guest, sufficiente per dire che KVM supporta la specifica GHCB 2.0”.
Sempre secondo quanto si legge nelle richieste pull KVM: “non c’è ancora un supporto per il caricamento nel firmware di quelle chiavi di firma da utilizzare per le richieste di attestazione e, quindi, non c’è ancora bisogno che l’host fornisca i dati del certificato per tali chiavi. Per supportare il recupero dei dati del certificato dallo spazio utente, sarà necessario un nuovo tipo di uscita KVM. Ciò per gestire il recupero del certificato dallo spazio utente. È stato introdotto un tentativo di definire un nuovo tipo di uscita KVM_EXIT_COCO / KVM_EXIT_COCO_REQ_CERTS per gestire questo nella v1 di questo set di patch, ma è ancora in discussione dalla community. Quindi, per ora questo set di patch implementa solo una versione di stub delle richieste estese del guest SNP che non fornisce dati del certificato”. Ulteriori miglioramenti verranno introdotti nei prossimi cicli del kernel.
Linux 6.11 KVM aggiunge l’infrastruttura ARM per MMU shadow stage-2. Inoltre, vi sono correzioni per l’emulazione Xen x86 e allocazioni di aree di salvataggio per CPU per riconoscere NUMA su AMD. L’aggiornamento consente la riduzione del poll shrinking per impostazione predefinita e vari altri miglioramenti. Per ulteriori dettagli sugli aggiornamenti delle funzionalità KVM di Linux 6.11, è possibile consultare la pagina Git dedicata.