Sie können einer vorhandenen virtuellen Maschine SEV-ES hinzufügen, um verbesserte Sicherheitseinstellungen für das Gastbetriebssystem zur Verfügung zu stellen.

Sie können SEV-ES virtuellen Maschinen unter ESXi 7.0 Update 1 oder höher hinzufügen.

Voraussetzungen

  • Das System muss mit einer AMD EPYC 7xx2- (Codename „Rome“) oder höheren CPU und einem unterstützenden BIOS installiert werden.
  • SEV-ES muss im BIOS aktiviert sein.
  • Die Anzahl der SEV-ES-VMs pro ESXi-Host wird vom BIOS gesteuert. Geben Sie bei Aktivierung von SEV-ES im BIOS einen Wert für die Einstellung Mindestanzahl SEV-Nicht-ES-ASID ein, der der Anzahl an virtuellen SEV-ES-Maschinen plus eins entspricht. Wenn beispielsweise 12 virtuelle Maschinen gleichzeitig ausgeführt werden sollen, geben Sie 13 ein.
    Hinweis: vSphere 7.0 Update 1 bietet Unterstützung für 16 SEV-ES-fähige VMs pro ESXi-Host. Die Verwendung einer höheren Einstellung im BIOS verhindert nicht, dass SEV-ES funktioniert. Der Grenzwert von 16 gilt jedoch weiterhin. vSphere 7.0 Update 2 bietet Unterstützung für 480 SEV-ES-fähige VMs pro ESXi-Host.
  • Die in Ihrer Umgebung ausgeführten ESXi-Hosts müssen ESXi 7.0 Update 1 oder höher aufweisen.
  • Das Gastbetriebssystem muss SEV-ES unterstützen.

    Aktuell werden nur Linux-Kernel mit spezifischer Unterstützung für SEV-ES unterstützt.

  • Die virtuelle Maschine muss die Hardwareversion 18 oder höher aufweisen.
  • Für die virtuelle Maschine muss die Option Gesamten Gastarbeitsspeicher reservieren aktiviert sein, andernfalls kann die VM nicht eingeschaltet werden.
  • PowerCLI 12.1.0 oder höher muss auf einem System mit Zugriff auf Ihre Umgebung installiert sein.
  • Stellen Sie sicher, dass die virtuelle Maschine ausgeschaltet ist.

Prozedur

  1. Führen Sie in einer PowerCLI-Sitzung das Cmdlet Connect-VIServer aus, um als Administrator eine Verbindung mit dem vCenter Server herzustellen, der den ESXi-Host mit der virtuellen Maschine verwaltet, der SEV-ES hinzugefügt werden soll.
    Beispiel:
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. Aktivieren Sie SEV-ES auf der virtuellen Maschine mit dem Cmdlet Set-VM und geben Sie -SEVEnabled $true an.
    Beispiel:
    $vmhost = Get-VMHost -Name 10.193.25.83
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true
    Wenn Sie die Version der virtuelle Hardware angeben müssen, führen Sie das Cmdlet Set-VM mit dem Parameter -HardwareVersion vmx-18 aus. Beispiel:
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true -HardwareVersion vmx-18

Ergebnisse

SEV-ES wird der virtuellen Maschine hinzugefügt.