SEV-ES-Komponenten und -Architektur

Die SEV-ES-Architektur besteht aus den folgenden Komponenten.

• AMD-CPU, insbesondere der speziell der Platform Security Processor (PSP), der Verschlüsselungsschlüssel verwaltet und Verschlüsselung verarbeitet.
• Optimiertes Betriebssystem, d. h., ein Betriebssystem, das vom Gast initiierte Aufrufe an den Hypervisor verwendet.
• Virtual Machine Monitor (VMM) und Virtual Machine Executable (VMX) zum Initialisieren eines verschlüsselten VM-Status beim Einschalten der VM sowie zum Verarbeiten von Aufrufen des Gastbetriebssystems.
• Der VMkernel-Treiber zum Kommunizieren unverschlüsselter Daten zwischen dem Hypervisor und dem Gastbetriebssystem.

Implementieren und Verwalten von SEV-ES auf ESXi

Sie müssen SEV-ES zuerst in der BIOS-Konfiguration eines Systems aktivieren. In der Systemdokumentation finden Sie weitere Informationen zum Zugriff auf die BIOS-Konfiguration Nach dem Aktivieren von SEV-ES im BIOS des Systems können Sie SEV-ES einer virtuellen Maschine hinzufügen.

Sie verwenden entweder den vSphere Client (ab vSphere 7.0 Update 2) oder PowerCLI-Befehle zum Aktivieren und Deaktivieren von SEV-ES auf virtuellen Maschinen. Sie können neue virtuelle Maschinen mit SEV-ES erstellen oder SEV-ES auf vorhandenen virtuellen Maschinen aktivieren. Berechtigungen zum Verwalten virtueller Maschinen, die mit SEV-ES aktiviert sind, entsprechen denjenigen zum Verwalten regulärer VMs.

Nicht unterstützte VMware-Funktionen in SEV-ES

Die folgenden Funktionen werden nicht unterstützt, wenn SEV-ES aktiviert ist.

• Systemverwaltungsmodus
• vMotion
• Eingeschaltete Snapshots (Snapshots ohne Arbeitsspeicher hingegen werden unterstützt)
• CPU oder Arbeitsspeicher im laufenden Betrieb hinzufügen oder entfernen
• Anhalten/fortsetzen
• VMware Fault Tolerance
• Klone und Instant Clones
• Gastintegrität
• UEFI Secure Boot