微软宣布推出新的开源虚拟化堆栈 OpenHCL paravisor,以便使用这个由 Rust 编写的软件堆栈来支持 Intel TDX 和 AMD SEV-SNP 机密计算虚拟机 (VM)。据悉,微软的这项工作已经进行了五年,现如今正式开源。
OpenHCL 是一个执行环境,可作为机密计算虚拟机的辅助程序,由 AMD SEV-SNP 或 Intel TDX 提供硬件保护。OpenHCL 可以在 x86_64 和 ARM64 上运行,但目前仅支持 Intel 和 AMD 机密计算平台;ARM64 方面的计划是支持 Arm CCA(机密计算架构)。目前,OpenHCL 已经在 Azure 上使用。
OpenHCL 可为为机密和非机密 VM 提供:
- 通过标准设备接口进行设备仿真,本质上提供了一组仿真设备,例如 vTPM 和 serial。
- 通过标准设备接口进行设备转换,例如 NVMe 到 para-virtualized SCSI,允许将硬件设备直接分配给 VM(加速 IO),而无需更改客户操作系统 ,从而使虚拟机能够充分利用尖端设备的性能。
- 诊断支持,特别适用于在难以使用传统调试方法的情况下调试机密 VM。
- (专门针对机密虚拟机)支持未完全 enlightened 的客户机(如 Windows 和旧版本的 Linux)通过标准架构接口在机密计算平台上运行。
OpenHCL 由多个开源组件组成,其中最重要的是 OpenVMM - 一个用 Rust 编写的跨平台虚拟机监视器 (VMM) 项目;此 VMM 运行多个用户模式进程来为 OpenHCL 提供支持。
更多详情可查看官方公告。