Habilitar o vSGX em uma máquina virtual

Você pode habilitar o vSGX em uma máquina virtual ao implantar uma máquina virtual, editar ou clonar uma máquina virtual existente.

Para usar o atestado remoto para máquinas virtuais que usam enclaves SGX, os hosts com um único soquete de CPU não exigem registro no Servidor de registro Intel.

Com o vSphere 8.0, ao habilitar o registro de host SGX, você permite o atestado remoto para VMs em execução em hosts com vários soquetes.

Pré-requisitos

Para usar o vSGX, seu ambiente vSphere Client deve atender a uma lista de requisitos:

Requisitos da máquina virtual:
- Firmware EFI
- Hardware versão 17 ou posterior
- Verifique se a máquina virtual está desligada
- Verifique se você tem privilégios para criar, clonar ou editar as configurações da máquina virtual. Para obter mais informações, consulte Criar uma Máquina Virtual com o Assistente para Nova Máquina Virtual e Clonar uma máquina virtual existente
- Para habilitar o atestado remoto, verifique se a máquina virtual é do hardware versão 20 ou posterior
Requisitos do componente:
- vCenter Server 7.0 e posterior
- ESXi 7.0 ou posterior
- O host ESXi deve ser instalado em uma CPU compatível com SGX e o SGX deve estar ativado no BIOS do host ESXi. Para obter informações sobre as CPUs compatíveis, consulte o artigo VMware da KB em https://kb.vmware.com/s/article/71367.
- Para habilitar o atestado remoto para o host, registre o host no Servidor de registro Intel. Dessa forma, a máquina virtual em execução no host pode usar o atestado remoto. Para obter mais informações sobre como registrar um ESXi de vários soquetes, consulte a documentação vCenter Server e Gerenciamento de host.
Suporte ao SO convidado:
- Linux
- Windows Server 2016 (64 bits) e posterior
- Windows 10 (64 bits) e posterior

Observação: Algumas operações e recursos não são compatíveis com uma máquina virtual quando o vSGX está ativado.

Migração com o vMotion
Migração com Storage vMotion
Suspendendo ou retomando a máquina virtual
Tirar um snapshot da máquina virtual, especialmente se você tirar um snapshot da memória da máquina virtual
Tolerância a falhas
Ativando a integridade do convidado (GI, base da plataforma para o VMware AppDefense™ 1.0).

Procedimento

Você pode habilitar o SGX ao implantar uma máquina virtual ou editar uma máquina virtual existente.

Opção	Ação
Implantar uma máquina virtual	Clique com o botão direito do mouse em qualquer objeto de inventário que seja um objeto pai válido de uma máquina virtual e selecione Nova Máquina Virtual (New Virtual Machine). Na página Selecionar um tipo de criação, selecione Criar uma nova máquina virtual (Create a new virtual machine) e clique em Avançar (Next). Navegue pelas páginas do assistente. Na página Personalizar hardware, clique na guia Hardware virtual (Virtual Hardware).
Editar uma máquina virtual	Clique com o botão direito do mouse em uma máquina virtual no inventário e selecione Editar configurações (Edit Settings). Clique na guia Hardware virtual (Virtual Hardware).
Clonar uma máquina virtual existente	Clique com o botão direito do mouse em uma máquina virtual no inventário e selecione Clone > Clone to Virtual Machine. Navegue pelas páginas do assistente. Na página Selecionar opções de clone, selecione Personalizar o hardware desta máquina virtual (Customize this virtual machine's hardware) e clique em Avançar (Next). Clique na guia Hardware virtual (Virtual Hardware).

Na guia Hardware virtual (Virtual Hardware), expanda Dispositivos de segurança (Security Devices).
Para ativar o SGX, marque a caixa de seleção Ativar (Enable).
Na caixa de texto Enclave page cache size (MB), digite o tamanho do cache em MB.

Observação: O tamanho do cache da página do enclave deve ser múltiplo de 2 MB.
Para evitar que a VM ligue hosts que não oferecem suporte ao atestado remoto SGX, como hosts SGX de vários soquetes não registrados, marque a caixa de seleção Atestado remoto (Remote attestation).

No menu suspenso Iniciar configuração do controle (Launch control configuration), selecione o modo apropriado.

Opção	Ação
Desbloqueado	Essa opção ativa a configuração do enclave de inicialização do sistema operacional convidado.
Bloqueado	Essa opção permite configurar o enclave de inicialização. Selecione a opção Iniciar hash de chave pública do enclave (Launch enclave public key hash). Para usar uma das chaves públicas configuradas no host, selecione Usar do host (Use from host) e, no menu suspenso, selecione um hash de chave pública. Para inserir a chave pública manualmente, selecione Inserir manualmente (Enter manually) e digite uma chave de hash SHA256 (64) caracteres válida.

Opção

Ação

Desbloqueado

Essa opção ativa a configuração do enclave de inicialização do sistema operacional convidado.

Bloqueado

Essa opção permite configurar o enclave de inicialização.

Selecione a opção Iniciar hash de chave pública do enclave (Launch enclave public key hash).
Para usar uma das chaves públicas configuradas no host, selecione Usar do host (Use from host) e, no menu suspenso, selecione um hash de chave pública.
Para inserir a chave pública manualmente, selecione Inserir manualmente (Enter manually) e digite uma chave de hash SHA256 (64) caracteres válida.

Clique em OK.