In vSphere 7.0 Update 1 und höher können Sie Secure Encrypted Virtualization-Encrypted State (SEV-ES) auf unterstützten AMD-CPUs und Gastbetriebssystemen aktivieren.
Aktuell unterstützt SEV-ES nur AMD EPYC 7xx2- (Codename „Rome“) und höhere CPUs sowie ausschließlich Versionen von Linux-Kerneln, die spezifische Unterstützung für SEV-ES enthalten.
SEV-ES-Komponenten und -Architektur
Die SEV-ES-Architektur besteht aus den folgenden Komponenten.
- AMD-CPU, insbesondere der speziell der Platform Security Processor (PSP), der Verschlüsselungsschlüssel verwaltet und Verschlüsselung verarbeitet.
- Optimiertes Betriebssystem, d. h., ein Betriebssystem, das vom Gast initiierte Aufrufe an den Hypervisor verwendet.
- Virtual Machine Monitor (VMM) und Virtual Machine Executable (VMX) zum Initialisieren eines verschlüsselten VM-Status beim Einschalten der VM sowie zum Verarbeiten von Aufrufen des Gastbetriebssystems.
- Der VMkernel-Treiber zum Kommunizieren unverschlüsselter Daten zwischen dem Hypervisor und dem Gastbetriebssystem.
Implementieren und Verwalten von SEV-ES auf ESXi
Sie müssen SEV-ES zunächst in der BIOS-Konfiguration eines Systems aktivieren. Weitere Informationen zum Zugriff auf die BIOS-Konfiguration finden Sie in der Dokumentation zu Ihrem System. Nachdem Sie SEV-ES im BIOS für Ihr System aktiviert haben, können Sie SEV-ES zu einer virtuellen Maschine hinzufügen.
Sie verwenden entweder den vSphere Client (ab vSphere 7.0 Update 2) oder PowerCLI-Befehle zum Aktivieren und Deaktivieren von SEV-ES auf virtuellen Maschinen. Sie können neue virtuelle Maschinen mit SEV-ES erstellen oder SEV-ES auf vorhandenen virtuellen Maschinen aktivieren. Berechtigungen zum Verwalten virtueller Maschinen, die mit SEV-ES aktiviert sind, entsprechen denjenigen zum Verwalten regulärer VMs.
Nicht unterstützte VMware-Funktionen in SEV-ES
Die folgenden Funktionen werden nicht unterstützt, wenn SEV-ES aktiviert ist.
- Systemverwaltungsmodus
- vMotion
- Eingeschaltete Snapshots (Snapshots ohne Arbeitsspeicher hingegen werden unterstützt)
- CPU oder Arbeitsspeicher im laufenden Betrieb hinzufügen oder entfernen
- Anhalten/fortsetzen
- VMware Fault Tolerance
- Klone und Instant Clones
- Gastintegrität
- UEFI Secure Boot