9.13. Virtualisation
Intel SGX disponible pour les machines virtuelles en tant qu'aperçu technologique
En tant qu'aperçu technologique, les Intel Software Guard Extensions (SGX) peuvent désormais être configurées pour les machines virtuelles (VM) hébergées sur RHEL 9. SGX aide à protéger l'intégrité et la confidentialité des données pour des processus spécifiques sur le matériel Intel. Après avoir configuré SGX sur votre hôte, la fonctionnalité est transmise à ses VM, de sorte que les systèmes d'exploitation invités (OS) puissent l'utiliser.
Notez que pour qu'un système d'exploitation invité puisse utiliser SGX, vous devez d'abord installer les pilotes SGX pour ce système d'exploitation spécifique. En outre, SGX sur votre hôte ne peut pas crypter la mémoire des VM.
Jira:RHELPLAN-69761
AMD SEV et SEV-ES pour les machines virtuelles KVM
En tant qu'aperçu technologique, RHEL 9 fournit la fonction Secure Encrypted Virtualization (SEV) pour les machines hôtes AMD EPYC qui utilisent l'hyperviseur KVM. Si elle est activée sur une machine virtuelle (VM), SEV crypte la mémoire de la VM pour la protéger contre l'accès de l'hôte. La sécurité de la VM s'en trouve renforcée.
En outre, la version améliorée Encrypted State de SEV (SEV-ES) est également fournie en tant qu'aperçu technologique. SEV-ES crypte tous les contenus des registres de l'unité centrale lorsqu'une machine virtuelle cesse de fonctionner. Cela empêche l'hôte de modifier les registres de l'unité centrale de la machine virtuelle ou de lire les informations qu'ils contiennent.
Notez que SEV et SEV-ES ne fonctionnent que sur la deuxième génération de processeurs AMD EPYC (nom de code Rome) ou plus récents. Notez également que RHEL 9 inclut le chiffrement SEV et SEV-ES, mais pas l'attestation de sécurité SEV et SEV-ES.
Jira:RHELPLAN-65217
La virtualisation est désormais disponible sur ARM 64
En tant qu'aperçu technologique, il est désormais possible de créer des machines virtuelles KVM sur des systèmes utilisant des processeurs ARM 64.
Jira:RHELPLAN-103993
virtio-mem est désormais disponible sur AMD64, Intel 64 et ARM 64
En tant qu'aperçu technologique, RHEL 9 introduit la fonctionnalité virtio-mem sur les systèmes AMD64, Intel 64 et ARM 64. L'utilisation de virtio-mem permet d'ajouter ou de supprimer dynamiquement de la mémoire hôte dans les machines virtuelles (VM).
Pour utiliser virtio-mem, définissez les périphériques de mémoire virtio-mem dans la configuration XML d'une VM et utilisez la commande virsh update-memory-device pour demander des modifications de la taille des périphériques de mémoire lorsque la VM est en cours d'exécution. Pour connaître la taille actuelle de la mémoire exposée par ces dispositifs de mémoire à une VM en cours d'exécution, consultez la configuration XML de la VM.
Bugzilla:2014487, Bugzilla :2044172, Bugzilla:2044162
Intel TDX dans les hôtes RHEL
En tant qu'aperçu technologique, la fonctionnalité Intel Trust Domain Extension (TDX) peut désormais être utilisée dans les systèmes d'exploitation invités RHEL 9.2. Si le système hôte prend en charge TDX, vous pouvez déployer des machines virtuelles (VM) RHEL 9 isolées matériellement, appelées domaines de confiance (TD). Notez toutefois que TDX ne fonctionne pas actuellement avec kdump, et que l'activation de TDX entraînera l'échec de kdump sur la VM.
Bugzilla:1955275
Une image unifiée du noyau de RHEL est désormais disponible en tant qu'aperçu technologique
Dans le cadre d'un aperçu technologique, vous pouvez désormais obtenir le noyau RHEL sous forme d'image de noyau unifié (UKI) pour les machines virtuelles (VM). Une image de noyau unifiée combine le noyau, les initramfs et la ligne de commande du noyau en un seul fichier binaire signé.
Les UKI peuvent être utilisées dans des environnements virtualisés et en nuage, en particulier dans les machines virtuelles confidentielles où de solides capacités SecureBoot sont nécessaires. L'UKI est disponible sous la forme d'un paquetage kernel-uki-virt dans les dépôts RHEL 9.
Actuellement, l'UKI RHEL ne peut être utilisée que dans une configuration de démarrage UEFI.
Bugzilla:2142102
