No vSphere 7.0 Update 1 e posteriores, você pode ativar o Secure Encrypted Virtualization-Encrypted State (SEV-ES) em CPUs AMD compatíveis e sistemas operacionais guest.
Atualmente, o SEV-ES é compatível apenas com CPUs AMD EPYC 7xx2 (codinome "Rome") e CPUs posteriores, e apenas versões de kernels Linux que incluem suporte específico para SEV-ES.
Componentes e arquitetura do SEV-ES
A arquitetura SEV-ES consiste nos seguintes componentes.
- CPU AMD, especificamente, o Platform Security Processor (PSP) que gerencia chaves de criptografia e manipula a criptografia.
- Sistema operacional iluminado, ou seja, um sistema operacional que usa chamadas iniciadas por convidado para o hipervisor.
- Virtual Machine Monitor (VMM) e Virtual Machine Executable (VMX), para inicializar um estado de máquina virtual criptografado durante a ativação da máquina virtual e também para lidar com chamadas do sistema operacional convidado.
- Driver VMkernel, para comunicar dados não criptografados entre o hipervisor e o sistema operacional convidado.
Implementando e gerenciando SEV-ES em ESXi
Você deve primeiro ativar o SEV-ES na configuração do BIOS de um sistema. Consulte a documentação do seu sistema para obter mais informações sobre como acessar a configuração do BIOS. Depois de ativar o SEV-ES no BIOS do seu sistema, você poderá adicionar o SEV-ES a uma máquina virtual.
Use os comandos vSphere Client (a partir do vSphere 7.0 Update 2) ou PowerCLI para ativar e desativar o SEV-ES em máquinas virtuais. Você pode criar novas máquinas virtuais com o SEV-ES ou ativar o SEV-ES em máquinas virtuais existentes. Os privilégios para gerenciar máquinas virtuais ativadas com SEV-ES são os mesmos que para gerenciar máquinas virtuais normais.
Recursos VMware não compatíveis no SEV-ES
Os seguintes recursos não são suportados quando o SEV-ES está ativado.
- Modo de gerenciamento do sistema
- vMotion
- Snapshots ativados (no entanto, snapshots sem memória são compatíveis)
- Adição ou remoção a quente de CPU ou memória
- Suspender/retomar
- VMware Tolerância a falhas
- Clones e clones instantâneos
- Integridade do Hóspede
- Inicialização segura UEFI