Dans le domaine de la virtualisation, le noyau Linux 6.11 apporte des nouveautés significatives, y compris l’intégration de l’API VMware Hypercall. Ce nouveau développement promet d’améliorer l’interface des dispositifs virtuels invités de VMware d’une manière plus indépendante de l’architecture du processeur, et de faciliter le soutien pour des technologies de calcul confidentiel telles que les extensions de domaine de confiance d’Intel (TDX) et la virtualisation sécurisée chiffrée d’AMD (SEV).

Innovations en virtualisation avec l’API VMware Hypercall

L’introduction de l’API VMware Hypercall, présentée et fusionnée la semaine passée pour Linux 6.11, peut se résumer simplement :

« Ajouter une couche unifiée d’API VMware Hypercall qui doit être utilisée par tous les appelants au lieu de solutions maison. Cela permettra d’ajouter un support pour des solutions de calcul confidentiel comme TDX »

Jusqu’à présent, les innovations dans les hypercalls de VMware étaient dispersées dans le noyau et dépendaient largement du code en assembleur en ligne. Avec cette nouvelle couche d’API VMware Hypercall, le processus s’unifie et améliore la fonctionnalité autour du chiffrement de la mémoire et du calcul confidentiel.

Améliorations dans l’infrastructure de virtualisation

Le principal objectif de l’API VMware Hypercall est d’améliorer le soutien pour les dispositifs virtuels et l’interface des invités de VMware d’une manière qui ne dépende pas autant de l’architecture du processeur. Cela est crucial pour supporter de nouvelles fonctionnalités dans l’espace de virtualisation de VMware, telles que Intel TDX et AMD SEV-ES.

La série de patchs la plus récente met en évidence l’effort de l’API VMware Hypercall pour le noyau Linux comme suit :

*« Les appels de VMware hypercall étaient dispersés dans tout le noyau, implémentant le même ABI en asm-inline. Avec la mémoire chiffrée et le calcul confidentiel, il est devenu plus difficile de maintenir tous les changements dans ces implémentations d’hypercall.

L’intention de cette série de patchs est d’introduire une couche d’API de hypercall VMware indépendante de l’architecture que d’autres sous-systèmes, tels que les pilotes de dispositifs, peuvent appeler, en cachant l’implémentation spécifique de l’architecture derrière elle. »

Le premier patch introduit les familles de fonctions de bas et haut niveau de vmware_hypercall, avec de petites améliorations. Et le dernier patch ajoute un support pour les hypercalls TDX. »*

Impact et perspectives d’avenir

Ce nouveau développement a été brièvement inclus dans la branche « x86/vmware » du dépôt tip/tip.git, mais il semble que la branche a été redémarrée par la suite. Malgré cela, on s’attend à ce que le support de l’API VMware Hypercall soit prêt pour son intégration dans le mainline et réapparaisse dans la branche x86/vmware de TIP avant l’ouverture de la fenêtre de fusion de Linux 6.11 en juillet.

L’intégration de l’API VMware Hypercall dans le noyau Linux 6.11 représente une avancée significative dans la virtualisation et le calcul confidentiel. En unifiant et en améliorant la manière dont les hypercalls sont gérés, cette API ne facilite pas seulement la vie des développeurs travaillant avec plusieurs architectures de CPU, mais prépare également le terrain pour supporter de nouvelles et avancées caractéristiques de sécurité et de performance dans les environnements virtualisés. Avec cette intégration, Linux continue de se positionner comme un système d’exploitation robuste et adaptable pour les exigences modernes de la computation et de la virtualisation.