可以将 SEV-ES 添加到现有虚拟机,以增强客户机操作系统的安全性。

您可以将 SEV-ES 添加到在 ESXi 7.0 Update 1 或更高版本上运行的虚拟机。

前提条件

  • 系统必须安装有 AMD EPYC 7xx2(代码为“Rome”)或更高版本的 CPU 以及支持的 BIOS。
  • 必须在 BIOS 中激活 SEV-ES。
  • 每个 ESXi 主机的 SEV-ES 虚拟机数量由 BIOS 控制。在 BIOS 中激活 SEV-ES 时,请为Minimum SEV non-ES ASID 设置输入一个等于 SEV-ES 虚拟机数加 1 的值。例如,如果您有 12 个要并发运行的虚拟机,请输入 13
    注: vSphere 7.0 Update 1 支持每个 ESXi 主机拥有 16 个激活 SEV-ES 的虚拟机。在 BIOS 中使用较高的设置不会阻止 SEV-ES 正常运行,但是,限制值 16 仍适用。vSphere 7.0 Update 2 支持每个 ESXi 主机拥有 480 个激活 SEV-ES 的虚拟机。
  • 您环境中运行的 ESXi 主机必须为 ESXi 7.0 Update 1 或更高版本。
  • 客户机操作系统必须支持 SEV-ES。

    目前,仅支持为 SEV-ES 提供特定支持的 Linux 内核。

  • 虚拟机必须使用硬件版本 18 或更高版本。
  • 虚拟机必须选中预留所有客户机内存选项,否则打开电源将失败。
  • 必须在能够访问您环境的系统上安装 PowerCLI 12.1.0 或更高版本。
  • 确保已关闭虚拟机电源。

过程

  1. 在 PowerCLI 会话中,运行 Connect-VIServer cmdlet,以管理员身份连接到 vCenter Server,该服务器负责管理要在其中添加 SEV-ES 的虚拟机所在的 ESXi 主机。
    例如: 
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. 使用 Set-VM cmdlet,指定 -SEVEnabled $true 以在虚拟机中添加 SEV-ES。
    例如: 
    $vmhost = Get-VMHost -Name 10.193.25.83
Set-VM -Name MyVM2 $vmhost -SEVEnabled $true
    如果必须指定虚拟硬件版本,请使用 -HardwareVersion vmx-18 参数运行 Set-VM cmdlet。例如: 
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true -HardwareVersion vmx-18

结果

SEV-ES 添加到了虚拟机。