在 vSphere 7.0 Update 2 及更高版本中,可以使用 vSphere Client 将 SEV-ES 添加到现有虚拟机,以便为客户机操作系统提供增强的安全性。

您可以将 SEV-ES 添加到在 ESXi 7.0 Update 1 或更高版本上运行的虚拟机。

前提条件

  • 系统必须安装有 AMD EPYC 7xx2(代码为“Rome”)或更高版本的 CPU 以及支持的 BIOS。
  • 必须在 BIOS 中激活 SEV-ES。
  • 每个 ESXi 主机的 SEV-ES 虚拟机数量由 BIOS 控制。在 BIOS 中激活 SEV-ES 时,请为Minimum SEV non-ES ASID 设置输入一个等于 SEV-ES 虚拟机数加 1 的值。例如,如果您有 12 个要并发运行的虚拟机,请输入 13
    注: vSphere 7.0 Update 1 支持每个 ESXi 主机拥有 16 个激活 SEV-ES 的虚拟机。在 BIOS 中使用较高的设置不会阻止 SEV-ES 正常运行,但是,限制值 16 仍适用。vSphere 7.0 Update 2 支持每个 ESXi 主机拥有 480 个激活 SEV-ES 的虚拟机。
  • 在您的环境中运行的 ESXi 主机必须为 ESXi 7.0 Update 1 或更高版本。
  • vCenter Server 必须为 vSphere 7.0 Update 2 或更高版本。
  • 客户机操作系统必须支持 SEV-ES。

    目前,仅支持为 SEV-ES 提供特定支持的 Linux 内核。

  • 虚拟机必须使用硬件版本 18 或更高版本。
  • 虚拟机必须选中预留所有客户机内存选项,否则打开电源将失败。
  • 确保已关闭虚拟机电源。

过程

  1. 使用 vSphere Client 连接到 vCenter Server
  2. 在清单中右键单击您要修改的虚拟机,然后选择编辑设置
  3. 虚拟机选项 > 引导选项 > 固件下,确保已选择 EFI。
  4. 编辑设置对话框中的虚拟机选项 > 加密下,选中 AMD SEV-ES 对应的启用复选框。
  5. 单击确定

结果

SEV-ES 添加到了虚拟机。