Você pode habilitar o vSGX em uma máquina virtual ao implantar uma máquina virtual, editar ou clonar uma máquina virtual existente.

Para usar o atestado remoto para máquinas virtuais que usam enclaves SGX, os hosts com um único soquete de CPU não exigem registro no Servidor de registro Intel.

Com o vSphere 8.0, ao habilitar o registro de host SGX, você permite o atestado remoto para VMs em execução em hosts com vários soquetes.

Pré-requisitos

Para usar o vSGX, seu ambiente vSphere Client deve atender a uma lista de requisitos:
  • Requisitos da máquina virtual:
  • Requisitos do componente:
    • vCenter Server 7.0 e posterior
    • ESXi 7.0 ou posterior
    • O host ESXi deve ser instalado em uma CPU compatível com SGX e o SGX deve estar ativado no BIOS do host ESXi. Para obter informações sobre as CPUs compatíveis, consulte o artigo VMware da KB em https://kb.vmware.com/s/article/71367.
    • Para habilitar o atestado remoto para o host, registre o host no Servidor de registro Intel. Dessa forma, a máquina virtual em execução no host pode usar o atestado remoto. Para obter mais informações sobre como registrar um ESXi de vários soquetes, consulte a documentação vCenter Server e Gerenciamento de host.
  • Suporte ao SO convidado:
    • Linux
    • Windows Server 2016 (64 bits) e posterior
    • Windows 10 (64 bits) e posterior
Observação: Algumas operações e recursos não são compatíveis com uma máquina virtual quando o vSGX está ativado.
  • Migração com o vMotion
  • Migração com Storage vMotion
  • Suspendendo ou retomando a máquina virtual
  • Tirar um snapshot da máquina virtual, especialmente se você tirar um snapshot da memória da máquina virtual
  • Tolerância a falhas
  • Ativando a integridade do convidado (GI, base da plataforma para o VMware AppDefense™ 1.0).

Procedimento

  1. Você pode habilitar o SGX ao implantar uma máquina virtual ou editar uma máquina virtual existente.
    Opção Ação
    Implantar uma máquina virtual
    1. Clique com o botão direito do mouse em qualquer objeto de inventário que seja um objeto pai válido de uma máquina virtual e selecione Nova Máquina Virtual (New Virtual Machine).
    2. Na página Selecionar um tipo de criação, selecione Criar uma nova máquina virtual (Create a new virtual machine) e clique em Avançar (Next).
    3. Navegue pelas páginas do assistente.
    4. Na página Personalizar hardware, clique na guia Hardware virtual (Virtual Hardware).
    Editar uma máquina virtual
    1. Clique com o botão direito do mouse em uma máquina virtual no inventário e selecione Editar configurações (Edit Settings).
    2. Clique na guia Hardware virtual (Virtual Hardware).
    Clonar uma máquina virtual existente
    1. Clique com o botão direito do mouse em uma máquina virtual no inventário e selecione Clone > Clone to Virtual Machine.
    2. Navegue pelas páginas do assistente.
    3. Na página Selecionar opções de clone, selecione Personalizar o hardware desta máquina virtual (Customize this virtual machine's hardware) e clique em Avançar (Next).
    4. Clique na guia Hardware virtual (Virtual Hardware).
  2. Na guia Hardware virtual (Virtual Hardware), expanda Dispositivos de segurança (Security Devices).

    Como ativar as extensões Intel Software Guard

  3. Para ativar o SGX, marque a caixa de seleção Ativar (Enable).
  4. Na caixa de texto Enclave page cache size (MB), digite o tamanho do cache em MB.
    Observação: O tamanho do cache da página do enclave deve ser múltiplo de 2 MB.
  5. Para evitar que a VM ligue hosts que não oferecem suporte ao atestado remoto SGX, como hosts SGX de vários soquetes não registrados, marque a caixa de seleção Atestado remoto (Remote attestation).
  6. No menu suspenso Iniciar configuração do controle (Launch control configuration), selecione o modo apropriado.
    Opção Ação
    Desbloqueado Essa opção ativa a configuração do enclave de inicialização do sistema operacional convidado.
    Bloqueado Essa opção permite configurar o enclave de inicialização.
    1. Selecione a opção Iniciar hash de chave pública do enclave (Launch enclave public key hash).
    2. Para usar uma das chaves públicas configuradas no host, selecione Usar do host (Use from host) e, no menu suspenso, selecione um hash de chave pública.
    3. Para inserir a chave pública manualmente, selecione Inserir manualmente (Enter manually) e digite uma chave de hash SHA256 (64) caracteres válida.
  7. Clique em OK.