Intel® Software Guard Extensions (Intel® SGX) 是一种基于硬件的安全解决方案,支持在专用内存区域(称为安全区)中隔离特定的应用程序代码和数据。可以使用 vSphere Client 向 Intel 注册服务器注册具有多个 CPU 插槽且支持 SGX 的主机,并对在启用了 vSGX 的虚拟机中运行的应用程序使用远程证明。
从 vSphere 7.0 开始,可以在虚拟机上启用虚拟 Intel®® Software Guard Extensions (vSGX),从而为工作负载提供额外的安全保护。请参见《vSphere 虚拟机管理》文档中的使用 Intel Software Guard Extensions 确保虚拟机安全。此外,还可以对启用了 vSGX 的虚拟机使用远程证明。Intel SGX 远程证明是一种安全机制,允许您与受信任的远程实体建立经过身份验证的安全通信通道。要对使用 SGX 安全区的虚拟机使用远程证明,具有单个 CPU 插槽的主机不需要 Intel 注册。
从 vSphere 8.0 开始,要在具有多个 CPU 插槽的主机中运行的虚拟机上启用远程证明,必须先向 Intel 注册服务器注册该主机。如果具有多个 CPU 插槽且支持 SGX 的主机未向 Intel 注册服务器注册,则只能打开不需要远程证明且已启用 vSGX 的虚拟机的电源。
添加具有支持 SGX 的 CPU 的主机时,vCenter Server 将访问 BIOS 提供的统一可扩展固件接口 (UEFI) 变量并读取主机的当前注册状态。要使 vCenter Server 检索有关主机 SGX 状态的信息,必须将主机的固件引导模式设置为 UEFI 模式。请参见如何查看 ESXi 主机的 SGX 注册状态。
可以通过使用 vSphere Client 中的注册选项或在微码更新后重新引导 ESXi 主机并添加或替换 CPU 信息包,更改主机的当前 SGX 注册状态。每次重新引导主机后,都可以使用 vSphere Client 查看主机的更新注册状态。
主机的 SGX 注册状态
可以使用 vSphere Client 查看支持 SGX 的主机的当前状态,并执行必要的步骤以向 Intel 注册服务器注册主机。
SGX 注册状态 |
描述 |
|---|---|
不适用 |
具有单个 CPU 插槽且支持 SGX 的主机不需要向 Intel 注册服务器注册即可启用远程证明。 |
未完成 |
在以下用例之一中,注册状态为未完成:
|
完成 |
成功在 Intel 注册服务器中注册主机。 |
如何查看 ESXi 主机的 SGX 注册状态
可以使用 vSphere Client 查看 ESXi 主机的当前 SGX 注册状态。
前提条件
确保主机安装在具有 SGX 功能的 Intel CPU 上,并且已启用 SGX。
将主机的固件引导模式设置为 UEFI。
过程
下一步做什么
要对启用了 vSGX 的虚拟机使用远程认证功能,如果主机注册不完整且主机具有多个 CPU 插槽,则必须向英特尔注册服务器注册主机。请参见如何向 Intel SGX 注册服务器注册多插槽 ESXi 主机。
如何向 Intel SGX 注册服务器注册多插槽 ESXi 主机
要对多插槽主机使用 SGX 远程证明功能,请使用 vSphere Client 向 Intel 注册服务器注册 ESXi 主机。
Intel SGX 证明机制可确保 vSGX 安全区与外部实体之间具有信任关系。要在已启用 SGX 功能的多插槽主机上使用此功能,必须向 Intel SGX 注册服务器注册该主机。
前提条件
确保主机安装在具有 SGX 功能的 Intel CPU 上,并且已启用 SGX。
将主机的固件引导模式设置为 UEFI。
过程
- 在 vSphere Client 主页中,导航到。
- 从清单中选择支持 SGX 的主机,然后单击配置选项卡。
- 在“硬件”下,选择 SGX,然后单击注册。
结果
成功完成注册操作后,主机的注册状态将更改为“已完成”。
下一步做什么
为启用了 vSGX 的虚拟机启用远程证明。请参见《vSphere 虚拟机管理》文档中的使用 Intel Software Guard Extensions 确保虚拟机安全。
