在 vSphere 7.0 Update 1 及更高版本中,可以在受支持的 AMD CPU 和客户机操作系统上启用 Secure Encrypted Virtualization-Encrypted State (SEV-ES)。
目前,SEV-ES 仅支持 AMD EPYC 7xx2 CPU(代码为“Rome”)和更高版本的 CPU,同时仅支持对 SEV-ES 提供特定支持的 Linux 内核版本。
SEV-ES 组件和架构
SEV-ES 架构中包含以下组件。
- AMD CPU,具体来说,是管理加密密钥和处理加密的平台安全处理器 (PSP)。
- 开明的操作系统,也就是对 Hypervisor 使用客户机启动的调用的操作系统。
- 虚拟机监控 (VMM) 和虚拟机可执行 (VMX),用于在虚拟机打开电源时初始化加密的虚拟机状态,还可以处理来自客户机操作系统的调用。
- VMkernel 驱动程序,用于在 Hypervisor 和客户机操作系统之间传递未加密的数据。
在 ESXi 上实施和管理 SEV-ES
您必须先在系统的 BIOS 配置中启用 SEV-ES。有关访问 BIOS 配置的详细信息,请参见系统的文档。在系统的 BIOS 中启用 SEV-ES 后,可将 SEV-ES 添加到虚拟机。
可以使用 vSphere Client(从 vSphere 7.0 Update 2 开始)或 PowerCLI 命令在虚拟机上启用和禁用 SEV-ES。可以创建具有 SEV-ES 的新虚拟机,也可以在现有虚拟机上启用 SEV-ES。管理已启用 SEV-ES 的虚拟机的特权与管理常规虚拟机的特权相同。
SEV-ES 上不支持的 VMware 功能
启用 SEV-ES 后,不支持以下功能。
- 系统管理模式
- vMotion
- 已打开电源的快照(但是支持无内存快照)
- 热添加或移除 CPU 或内存
- 挂起/恢复
- VMware Fault Tolerance
- 克隆和即时克隆
- 客户机完整性
- UEFI 安全引导