英特尔®信任域扩展(Intel® TDX)是英特尔基于硬件的 机密虚拟机(CVM) 技术,用于将访客虚拟机与虚拟机监控程序、主机操作系统及其他虚拟机隔离开来。英特尔将TDX定位为基于隔区的方法(例如® Intel SGX)的继任者,用于云规模机密计算。
支持的英特尔®至强®处理器系列
第四代英特尔®至强®可扩展系统
(代号:蓝宝石急流)
首个引入英特尔® TDX的Intel Xeon平台内容包括: 标准第四代Xeon可扩展处理器英特尔®至强® CPU Max 系列(支持 HBM 的 Sapphire Rapids 变体)
英特尔重点指出的主要架构推动因素: 硬件隔离虚拟机每虚拟机内存加密CSP为机密虚拟机提供奠定基础
第五代英特尔®至强®可扩展
(代号:翡翠急流)
继续®在Sapphire Rapids引入Intel TDX支持。重点: 性能效率的提升机密虚拟机的平台连续性
英特尔文档将Emerald Rapids描述为 一个渐进式平台,而非TDX信任模型的变更
英特尔®至强® 6和英特尔®至强® 6+
英特尔® Xeon® 6代表了英特尔 下一代Xeon平台,继承了Xeon Scalable品牌英特尔公开资料描述Xeon® 6平台的表现如下: 高级安保引擎机密计算能力基于硬件的虚拟机隔离概念的延续
不支持
第三代英特尔®至强®可扩展及更早版本
(冰湖及更早的作品)
支持: 英特尔® SGX英特尔®全内存加密(TME / TME-MK)
不支持 Intel® TDX架构限制阻止了虚拟机隔离,排除虚拟机
英特尔明确区分了这些世代与后来支持TDX的平台 [intel.com]
为什么英特尔® TDX是世代限制的
英特尔® TDX依赖于从 Sapphire Rapids开始引入的架构能力,包括:
CPU管理的虚拟机信任边界新的内存加密和密钥管理路径TDX 支持的虚拟机生命周期和认证流程
早期的Xeon世代缺乏所需的硬件支持,无法通过固件或微码更新获得TDX [intel.com]
摘要表
英特尔®至强®家族代号 / 品牌英特尔® TDX支持。英特尔®至强® 6+Xeon 6+机密计算传承(TDX隐含,非SKU显式)英特尔®至强® 6至强6机密计算传承(TDX隐含,非SKU显式)第五代Xeon可扩展版翡翠急流是的第四代Xeon可扩展版蓝宝石急流是的(首次支持)Xeon CPU Max 系列蓝宝石急流 HBM是的第三代Xeon可扩展版冰湖不早期的Xeon家族—不