A Microsoft enviou seu conjunto de atualizações de hipervisor Hyper-V para a janela de mesclagem do Linux 5.16. Desta vez, é notável com o trabalho de ativação inicial em torno do suporte de “VM de isolamento” do Hyper-V. Assim, a Microsoft lança o suporte para VM com isolamento de Hyper-V no Linux 5.16.
O Hyper-V da Microsoft suporta a noção de “VMs de isolamento” que são máquinas virtuais apoiadas por Virtualization-Based Security (VBS) ou usando virtualização criptografada AMD SEV-SNP para melhor isolamento de máquinas virtuais.
As VMs de isolamento do Hyper-V têm sua memória criptografada onde o host não pode acessar a memória do convidado diretamente, a menos que seja marcado como apropriado pelo convidado.
Microsoft lança o suporte para VM com isolamento de Hyper-V no Linux 5.16
A Microsoft vem trabalhando no suporte de VM de isolamento do Hyper-V para Linux há algum tempo e esses patches de ativação inicial passaram por várias rodadas de revisão. Para aqueles interessados no caminho criptografado de hardware SEV-SNP em vez da rota VBS, a AMD continua trabalhando para manter seu suporte SEV-SNP no kernel do Linux, mas ainda não na linha de chegada. O conjunto de patches SEV-SNP completo está disponível externamente, caso você queira construir seu próprio kernel com patch para uso com os processadores da série EPYC 7003.
Os contêineres do Windows oferecem dois modos distintos de isolamento de tempo de execução:
process
eHyper-V
isolamento. Os contêineres em execução em ambos os modos de isolamento são criados, gerenciados e funcionam de forma idêntica. Eles também produzem e consomem as mesmas imagens de contêiner. A diferença entre os modos de isolamento é em que grau de isolamento é criado entre o contêiner, o sistema operacional do host e todos os outros contêineres em execução nesse host.
Isolamento Hyper-V
Este modo de isolamento oferece segurança aprimorada e compatibilidade mais ampla entre as versões de host e contêiner. Com o isolamento do Hyper-V, várias instâncias de contêiner são executadas simultaneamente em um host; no entanto, cada contêiner é executado em uma máquina virtual altamente otimizada e obtém efetivamente seu próprio kernel. A presença da máquina virtual fornece isolamento em nível de hardware entre cada contêiner, bem como o host do contêiner.
Mais detalhes sobre as VMs de isolamento do Hyper-V estão disponíveis em docs.microsoft.com.
O suporte inicial da VM de isolamento do Hyper-V foi a principal adição de recurso dessa solicitação de pull que agora está no Linux 5.16.
Via Phoronix