在 vSphere 7.0 Update 2 及更高版本中,可以使用 vSphere Client 将 SEV-ES 添加到虚拟机,以便为客户机操作系统提供增强的安全性。

您可以将 SEV-ES 添加到在 ESXi 7.0 Update 1 或更高版本上运行的虚拟机。

前提条件

  • 系统必须安装有 AMD EPYC 7xx2(代码为“Rome”)或更高版本的 CPU 以及支持的 BIOS。
  • 必须在 BIOS 中启用 SEV-ES。
  • 每个 ESXi 主机的 SEV-ES 虚拟机数量由 BIOS 控制。在 BIOS 中启用 SEV-ES 时,请为最小 SEV 非 ES ASID设置输入一个等于 SEV-ES 虚拟机数加 1 的值。例如,如果您有 12 个要并发运行的虚拟机,请输入 13
    注: vSphere 7.0 Update 1 支持每个 ESXi 主机拥有 16 个启用了 SEV-ES 的虚拟机。在 BIOS 中使用较高的设置不会阻止 SEV-ES 正常运行,但是,限制值 16 仍适用。vSphere 7.0 Update 2 支持每个 ESXi 主机拥有 480 个启用了 SEV-ES 的虚拟机。
  • 在您的环境中运行的 ESXi 主机必须为 ESXi 7.0 Update 1 或更高版本。
  • vCenter Server 必须为 vSphere 7.0 Update 2 或更高版本。
  • 客户机操作系统必须支持 SEV-ES。

    目前,仅支持为 SEV-ES 提供特定支持的 Linux 内核。

  • 虚拟机必须使用硬件版本 18 或更高版本。
  • 虚拟机必须启用预留所有客户机内存选项,否则打开电源将失败。

过程

  1. 使用 vSphere Client 连接到 vCenter Server
  2. 在清单中选择一个对象(虚拟机的有效父对象),如 ESXi 主机或集群。
  3. 右键单击对象,选择新建虚拟机,并按照提示创建虚拟机。
    选项 操作
    选择创建类型 创建虚拟机。
    选择名称和文件夹 指定名称和目标位置。
    选择计算资源 指定您有权为其创建虚拟机的对象。
    选择存储 在虚拟机存储策略中,选择存储策略。选择兼容的数据存储。
    选择兼容性 确保选择 ESXi 7.0 及更高版本
    选择客户机操作系统 选择“Linux”,然后选择对 SEV-ES 具有特定支持的 Linux 版本。
    自定义硬件 虚拟机选项 > 引导选项 > 固件下,确保已选择 EFI。在虚拟机选项 > 加密下,选中 AMD SEV-ES 对应的启用复选框。
    即将完成 检查信息,然后单击完成

结果

将创建具有 SEV-ES 的虚拟机。