如何消除客户VM使用RDRAND指令的能力？

Question

如果管理程序希望删除客户VM使用RDRAND指令的能力，则必须采取哪些步骤来实现这一点

Answer 1

是的，Intel硬件虚拟化为使rdrand和rdseed退出VM提供了硬件支持。

例如，请参阅关于修补KVM (内置到Linux的管理程序)的Linux内核邮件列表的讨论：

客户可能不会被配置为支持RDSEED，即使主机支持。如果客户不支持RDSEED，拦截指令并合成#UD。还清除“允许-1”位的RDSEED退出在IA32_VMX_PROCBASED_CTLS2 MSR。

相关的VMX是SECONDARY_EXEC_RDRAND_EXITING和SECONDARY_EXEC_RDSEED_EXITING。(请参阅在KVM源代码中重命名它们的这个补丁，以便与英特尔在其x86软件开发手册中所称的名称相匹配，在这里您应该可以找到如何编程VMX以实现您想做的事情的更多细节。)

我只是使用KVM的东西的链接，因为这是第一次出现在谷歌时，我正在检查是否有HW支持这一点。