在部署虚拟机以及编辑或克隆现有虚拟机时,可以在虚拟机上启用 vSGX。

要对使用 SGX 安全区的虚拟机使用远程证明,具有单个 CPU 插槽的主机不需要向 Intel 注册服务器进行注册。

在 vSphere 8.0 中,通过启用 SGX 主机注册,可以对多插槽主机上运行的虚拟机进行远程证明。

前提条件

要使用 vSGX, vSphere Client 环境必须满足一系列要求:
  • 虚拟机要求:
    • EFI 固件
    • 硬件版本 17 或更高版本
    • 确认虚拟机已关闭电源
    • 确认您拥有创建、克隆或编辑虚拟机设置的特权。有关更多信息,请参见《使用新建虚拟机向导创建虚拟机》和《克隆现有虚拟机》。
    • 要启用远程证明,确认虚拟机的硬件版本为 20 或更高版本
  • 组件要求:
    • vCenter Server 7.0 及更高版本
    • ESXi 7.0 或更高版本
    • ESXi 主机必须安装在支持 SGX 的 CPU 上,并且必须在 ESXi 主机的 BIOS 中启用 SGX。有关受支持 CPU 的信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/71367
    • 要为主机启用远程证明,请向 Intel 注册服务器注册主机。这样,在主机上运行的虚拟机就可以使用远程证明。有关如何注册多插槽 ESXi 的详细信息,请参见《vCenter Server 和主机管理》文档。
  • 客户机操作系统支持:
    • Linux
    • Windows Server 2016(64 位)及更高版本
    • Windows 10(64 位)及更高版本
注: 启用 vSGX 时,虚拟机不支持某些操作和功能。
  • 通过 vMotion 迁移
  • 通过 Storage vMotion 迁移
  • 挂起或恢复虚拟机
  • 生成虚拟机快照,尤其是生成虚拟机内存的快照时。
  • Fault Tolerance
  • 启用客户机完整性(GI,VMware AppDefense™ 1.0 的平台基础)。

过程

  1. 在部署虚拟机或编辑现有虚拟机时,可以启用 SGX。
    选项 操作
    部署虚拟机
    1. 右键单击属于虚拟机的有效父对象的任何清单对象,然后选择新建虚拟机
    2. 选择创建类型页面上,选择创建新虚拟机,然后单击下一步
    3. 浏览向导的各个页面。
    4. 自定义硬件页面上,单击虚拟硬件选项卡。
    编辑虚拟机
    1. 右键单击清单中的虚拟机,然后选择编辑设置
    2. 单击虚拟硬件选项卡。
    克隆现有虚拟机
    1. 右键单击清单中的虚拟机,然后选择克隆 > 克隆到虚拟机
    2. 浏览向导的各个页面。
    3. 选择克隆选项页面上,选择自定义此虚拟机的硬件,然后单击下一步
    4. 单击虚拟硬件选项卡。
  2. 虚拟硬件选项卡上,展开安全设备

    如何启用 Intel Software Guard Extensions

  3. 要启用 SGX,请选中启用复选框。
  4. 安全区页面缓存大小 (MB) 文本框中,输入缓存大小(以 MB 为单位)。
    注: 安全区页面缓存大小必须为 2 MB 的倍数。
  5. 要防止虚拟机打开不支持 SGX 远程证明的主机(如未注册的多插槽 SGX 主机)的电源,请选中远程证明复选框。
  6. 启动控制配置下拉菜单中,选择相应的模式。
    选项 操作
    已解锁 此选项可启用客户机操作系统的启动安全区配置。
    已锁定 此选项可用于配置启动安全区。
    1. 选择启动安全区公钥哈希选项。
    2. 要使用主机上配置的一个公钥,请选择使用主机端,然后从下拉菜单中选择一个公钥哈希。
    3. 要手动输入公钥,请选择手动输入,然后输入有效的 SHA256 哈希 (64) 字符密钥。
  7. 单击确定