7.14. 虚拟化
创建嵌套虚拟机
对于运行在 Intel、AMD64 和 IBM Z 主机上的 RHEL 9 KVM 虚拟机,嵌套的 KVM 虚拟化作为技术预览提供。有了这个功能,运行在物理 RHEL 9 主机上的 RHEL 7、RHEL 8 或 RHEL 9 虚拟机可以充当 hypervisor,并托管自己的虚拟机。
Jira:RHELDOCS-17040[1]
用于 KVM 虚拟机的 AMD SEV、SEV-ES 和 SEV-SNP
作为技术预览,RHEL 9 为使用 KVM 管理程序的 AMD EPYC 主机提供安全加密虚拟化(SEV)功能。如果在虚拟机(VM)上启用,SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。
另外,增强的 Encrypted State 版本 SEV-ES)也作为技术预览提供。SEV-ES 在虚拟机停止运行时加密所有 CPU 注册内容。这可防止主机修改虚拟机的 CPU 注册或读取它们中的任何信息。
RHEL 9.5 及更高版本还提供安全嵌套分页(SEV-SNP)功能作为技术预览。SNP 通过改进内存完整性保护来增强 SEV 和 SEV-ES,这有助于防止基于 hypervisor 的攻击,如数据重播或内存重新映射。
请注意,SEV 和 SEV-ES 仅适用于第 2 代 AMD EPYC CPU(代号 Rome)或更新版本。同样,SEV-SNP 仅适用于 4rd generation AMD EPYC CPU (代号 Genoa)或更新版本。另请注意,RHEL 9 包括 SEV、SEV-ES 和 SEV-SNP 加密,但不包括 SEV、SEV-ES 和 SEV-SNP 安全测试和实时迁移。
Jira:RHELPLAN-65217[1]
RHEL 客户机中的 Intel TDX
作为技术预览,Intel Trust Domain Extension (TDX)功能现在可以在 RHEL 9.2 及之后的版本中使用。如果主机系统支持 TDX,您可以部署硬件隔离的 RHEL 9 虚拟机(VM),称为信任域(TD)。但请注意,TDX 目前无法与 kdump 一起工作,启用 TDX 会导致 kdump 在虚拟机上失败。
Bugzilla:1955275[1]
RHEL 的统一内核镜像现在作为技术预览提供
作为技术预览,您现在可以获取 RHEL 内核作为虚拟机(VM)的统一内核镜像(UKI)。统一内核镜像将 kernel、initramfs 和内核命令行合并成一个签名的二进制文件。
UKI 可用于虚拟和云环境中,特别是在需要强大的 SecureBoot 功能的机密虚拟机中。UKI 作为 RHEL 9 存储库中的 kernel-uki-virt 软件包提供。
目前,RHEL UKI 只能在 UEFI 引导配置中使用。
Bugzilla:2142102[1]
64 位 ARM 上的 CPU 集群
作为技术预览,您现在可以在其 CPU 拓扑中创建使用多个 64 位 ARM CPU 集群的 KVM 虚拟机。
Jira:RHEL-7043[1]
实时迁移一个具有 Mellanox 虚拟功能的虚拟机现在作为技术预览提供
作为技术预览,您现在可以实时迁移一个附加了 Mellanox 网络设备的虚拟功能(VF)的虚拟机(VM)。
此功能目前仅在 Mellanox CX-7 网络设备上提供。Mellanox CX-7 网络设备上的 VF 使用一个新的 mlx5_vfio_pci 驱动程序,它添加了实时迁移所需的功能,并且 libvirt 自动将新驱动程序绑定到 VF。
Jira:RHEL-13007[1]
