Microsoft wis ngumumake open source saka lapisan kanggo paravirtualization OpenHCL lan mesin virtual monitor OpenVMM, khusus dikembangaké kanggo ngatur karya OpenHCL. Kode OpenVMM lan OpenHCL ditulis ing Rust lan disebarake miturut lisensi MIT. OpenVMM nuduhake hypervisor tingkat kapindho sing bisa digunakake ing dering keamanan sing padha karo kernel sistem operasi, padha karo produk kayata VirtualBox lan VMware Workstation. Ndhukung operasi ing ndhuwur sistem host adhedhasar Linux (x86_64), Windows (x86_64, Aarch64) lan macOS (x86_64, Aarch64), nggunakake KVM, SHV (Microsoft Hypervisor), WHP (Windows Hypervisor Platform) lan API virtualisasi Hypervisor sing diwenehake dening data OS.
Antarane fitur sing didhukung ing OpenVMM:
- Boot ing mode UEFI lan BIOS, boot langsung saka kernel Linux;
- Dhukungan paravirtualisasi adhedhasar driver Virtio (virtio-fs, virtio-9p, virtio-net, virtio-pmem)
- Dhukungan paravirtualisasi adhedhasar VMBus (storvsp, netvsp, vpci, framebuffer);
- Emulasi vTPM, NVMe, UART, i440BX + PIIX4 chipset, IDE HDD, PCI lan VGA;
- Backends kanggo nerusake grafis, piranti input, nyenengake, panyimpenan lan akses jaringan;
- Manajemen liwat antarmuka baris printah, console interaktif, gRPC lan ttrpc.
OpenHCL dipanggonke minangka lingkungan kanthi komponen paravirtualisasi (paravisor) sing mlaku ing ndhuwur hypervisor OpenVMM. Fitur utama sistem virtualisasi adhedhasar OpenVMM lan OpenHCL yaiku komponen kanggo paravirtualisasi ora dieksekusi ing sisih sistem inang, nanging ing mesin virtual sing padha karo sistem tamu. Isolasi saka lapisan paravirtualization saka sistem operasi tamu wis dijamin dening OpenVMM hypervisor tingkat kapindho. Nalika digunakake kanthi cara iki, OpenHCL bisa dianggep minangka perangkat kukuh virtual sing mlaku ing tingkat hak istimewa sing luwih dhuwur tinimbang sistem operasi sing mlaku ing lingkungan tamu.
Pemisahan sistem tamu lan komponen OpenHCL ditindakake kanthi nggunakake konsep tingkat kepercayaan virtual (VTL, Tingkat Kepercayaan Virtual), kanggo implementasine mekanisme piranti lunak lan teknologi hardware bisa digunakake, kayata Intel TDX (Trust Domain Extensions). ), AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) lan ARM CCA (Confidential Compute Architecture). Kanggo mbukak komponen OpenHCL, mbangun kernel Linux sing dilucuti digunakake, sing mung kalebu komponen minimal sing dibutuhake kanggo mbukak OpenVMM.
OpenHCL bisa mbukak ing platform x86-64 lan ARM64, lan ndhukung ekstensi Intel TDX, AMD SEV-SNP lan ARM CCA kanggo isolasi tambahan. OpenHCL kalebu sakumpulan layanan, driver lan emulator sing digunakake kanggo ngatur akses menyang peralatan, njamin operasi piranti virtual ing sisih sistem tamu lan niru piranti hardware (contone, chip kanggo nyimpen kunci kriptografi - vTPM) bisa ditiru.
Kanggo nerjemahake akses menyang perangkat keras ing sisih sistem tamu, driver sing wis ana sing nganggo paravirtualisasi digunakake, utawa piranti bisa langsung disambungake menyang mesin virtual, saengga sistem tamu sing wis ana bisa dimigrasi menyang lingkungan berbasis OpenHCL tanpa modifikasi. OpenHCL uga kalebu komponen diagnostik lan debugging. mesin virtual, ditindakake nggunakake ekstensi kanggo njamin komputasi rahasia.
Ora kaya proyèk sumber terbuka sing wis ana, COCONUT-SVSM (Secure VM Service Module), sing nyedhiyakake layanan lan piranti sing diemulasi kanggo sistem tamu sing mlaku kanthi rahasia. mesin virtual (CVM, Confidential Virtual Machine), OpenHCL ngidini panggunaan antarmuka standar ing sistem tamu, dene COCONUT-SVSM mbutuhake organisasi interaksi khusus karo SVSM, nggawe pangowahan ing sistem tamu lan panggunaan driver sing kapisah.
Antarane aplikasi paravisor OpenHCL, skenario kayata transisi sistem sing wis ana kanggo nggunakake akselerator hardware Azure Boost tanpa perlu ngganti gambar disk sistem tamu; Mbukak tamu ana ing mesin virtual sing nyedhiyani komputasi rahasia (contone, adhedhasar Intel TDX lan AMD SEV-SNP); organisasi boot diverifikasi mesin virtual nggunakake UEFI Secure Boot lan mode vTPM.
Kasebut kanthi kapisah yen proyek OpenVMM fokus ing panggunaan karo OpenHCL lan durung siyap kanggo panggunaan mandiri ing sistem host kanggo implementasi produksi dening pangguna pungkasan. Antarane masalah OpenVMM sing nyegah panggunaan ing lingkungan inang ing konteks tradisional, ing njaba OpenHCL, ing ngisor iki kasebut: dokumentasi antarmuka kontrol sing kurang; kurang optimalisasi kinerja backend kanggo panyimpenan, jaringan lan grafis; lack of support kanggo sawetara pembalap (Contone, IDE drive lan PS / 2 clurut); ora ana jaminan stabilitas lan fungsi API. Ing wektu sing padha, kombinasi OpenVMM lan OpenHCL wis tekan tingkat implementasi industri lan digunakake dening Microsoft ing platform Azure (Azure Boost SKU) kanggo ndhukung operasi luwih saka 1.5 yuta mesin virtual.
Source: opennet.ru
