Intel의 신뢰 도메인 확장(Trust Domain Extensions, TDX) 지원이 곧 출시될 리눅스 6.16 버전에서 KVM(커널 기반 가상 머신)을 위해 처음으로 선보일 예정입니다. 이 중요한 업데이트는 TDX 모듈과 상호작용할 수 있도록 호스트 측 하이퍼콜을 활성화하는 대규모 커밋을 포함하고 있으며, TDX 모듈은 보안 중재 모드(Secure Arbitration Mode, SEAM)라는 특수 CPU 모드에서 작동합니다.
구현은 TDX 통합의 다양한 측면을 다루는 여러 하위 시리즈로 나뉘어 있습니다. 초기화 단계에서는 KVM에서 TDX 모듈을 활용하기 위한 기본 설정을 수립하며, TDX 가상 머신(VM) 및 가상 CPU(vCPU)를 생성하기 위한 ioctl을 포함합니다. 메모리 관리 장치(Memory Management Unit, MMU) 지원이 강화되어 보안 페이지 테이블을 관리하고, 보안 페이지 테이블과 미러링된 페이지 테이블 간의 효율적인 쿼리 및 동기화를 보장합니다.
추가 개발 사항으로는 vCPU 진입 및 퇴출을 관리하는 콜백 구현이 포함되어 있으며, 이는 TDX vCPU 작업 중 호스트의 상태를 관리합니다. 사용자 공간 퇴출도 지원되어 KVM이 게스트 TDVMCALL을 사용자 공간으로 전달할 수 있으며, 이는 전통적인 KVM_EXIT_* 이벤트와 유사하지만 별도의 메커니즘을 통해 이루어집니다. 또한, 업데이트는 가상 인터럽트 주입 및 벡터화된 이벤트에 의해 트리거된 VM-Exit 처리를 도입하며, 여기에는 이미 커널의 머신 체크 핸들러에 의해 관리되는 독점 머신 체크 SMI가 포함됩니다.
마지막으로, EPT 위반 및 지원되지 않는 작업과 같은 TDX 모듈에서 남아 있는 퇴출 문제를 해결하여 TDX 게스트에 대한 포괄적인 지원을 보장합니다. 이 통합은 가상화 기술의 중요한 발전을 의미하며, Intel의 TDX 기능을 활용하는 클라우드 및 기업 환경의 보안성과 성능을 향상시킵니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.