主要观点：云计算时代开始，虚拟化技术使计算工作负载以虚拟机形式在服务器环境运行，硬件进化使软件栈能让虚拟机无缝运行，机密计算可提高云虚拟机安全性，但会限制虚拟机服务，微软采用“paravisor”提供更多灵活性，新开源 paravisor 叫 OpenHCL，它是运行在客户虚拟机内的执行环境，提供多种服务，可在多种硬件平台运行，支持不同版本的操作系统，解决了与其他机密计算技术的不同问题，在 Azure 中广泛使用，由多个开源组件组成，有两种运行客户操作系统的方法，与 Intel、Arm、AMD 等合作，还将拓展支持其他虚拟化栈等。
关键信息：

• 虚拟化技术让虚拟机在服务器运行，硬件进化促进软件发展。
• 机密计算虽提高安全但限制虚拟机服务，微软用 paravisor 解决。
• OpenHCL 是开源 paravisor，由多个组件组成，运行在不同平台。
• 有两种运行客户操作系统的方法，Windows 和 Linux 因架构不同对机密计算的依赖不同。
• OpenHCL 与 COCONUT-SVSM 解决不同问题，可利用后者提升内存安全。
• OpenHCL 与 Intel、Arm、AMD 合作，将拓展支持。
  重要细节：
• OpenHCL 可在 x86-64 和 ARM64 平台运行，支持 Intel TDX 和 AMD SEV-SNP 平台。
• 在 Azure 中，OpenHCL 用于新 Boost SKUs 和未来 Confidential VM SKUs，每月有超 150 万虚拟机运行。
• OpenHCL 的 VMM 用 Rust 编写，运行多个用户模式进程，支持共享机密和非机密架构。
• 早期硬件平台如 3 代 AMD EPYC 处理器不支持 APIC 虚拟化，Windows 客户需 paravisor 实现 APIC 仿真。
• Windows 依赖 TPM 安全功能，vTPM 需在 paravisor 实现，未来 Linux 评估两种运行方式。
• OpenHCL 与其他技术合作，如与 Intel 合作开发 TDX 分区架构等。