SEV-ES 组件和架构

SEV-ES 架构中包含以下组件。

• AMD CPU，具体来说，是管理加密密钥和处理加密的平台安全处理器 (PSP)。
• 开明的操作系统，也就是对 Hypervisor 使用客户机启动的调用的操作系统。
• 虚拟机监控 (VMM) 和虚拟机可执行 (VMX)，用于在虚拟机打开电源时初始化加密的虚拟机状态，还可以处理来自客户机操作系统的调用。
• VMkernel 驱动程序，用于在 Hypervisor 和客户机操作系统之间传递未加密的数据。

在 ESXi 上实施和管理 SEV-ES

您必须先在系统的 BIOS 配置中激活 SEV-ES。有关访问 BIOS 配置的详细信息，请参见系统的文档。在系统的 BIOS 中激活 SEV-ES 后，可以将 SEV-ES 添加到虚拟机。

可以使用 vSphere Client（从 vSphere 7.0 Update 2 开始）或 PowerCLI 命令在虚拟机上激活和停用 SEV-ES。您可以使用 SEV-ES 创建新的虚拟机，也可以在现有虚拟机上激活 SEV-ES。管理已激活 SEV-ES 的虚拟机的特权与管理常规虚拟机的特权相同。

SEV-ES 上不支持的 VMware 功能

激活 SEV-ES 后，不支持以下功能。

• 系统管理模式
• vMotion
• 已打开电源的快照（但是支持无内存快照）
• 热添加或移除 CPU 或内存
• 挂起/恢复
• VMware Fault Tolerance
• 克隆和即时克隆
• 客户机完整性
• UEFI 安全引导