Sie können die Befehlszeile verwenden, um SEV-ES zu einer virtuellen Maschine hinzuzufügen, um verbesserte Sicherheit für das Gastbetriebssystem bereitzustellen.

Sie können SEV-ES virtuellen Maschinen unter ESXi 7.0 Update 1 oder höher hinzufügen.

Voraussetzungen

  • Das System muss mit einer AMD EPYC 7xx2- (Codename „Rome“) oder höheren CPU und einem unterstützenden BIOS installiert werden.
  • SEV-ES muss im BIOS aktiviert sein.
  • Die Anzahl der SEV-ES-VMs pro ESXi-Host wird vom BIOS gesteuert. Geben Sie bei Aktivierung von SEV-ES im BIOS einen Wert für die Einstellung Mindestanzahl SEV-Nicht-ES-ASID ein, der der Anzahl an virtuellen SEV-ES-Maschinen plus eins entspricht. Wenn beispielsweise 12 virtuelle Maschinen gleichzeitig ausgeführt werden sollen, geben Sie 13 ein.
    Hinweis: vSphere 7.0 Update 1 und höher bietet Unterstützung für 16 SEV-ES-fähige VMs pro ESXi-Host. Die Verwendung einer höheren Einstellung im BIOS verhindert nicht, dass SEV-ES funktioniert. Der Grenzwert von 16 gilt jedoch weiterhin. vSphere 7.0 Update 2 und höher bietet Unterstützung für 480 SEV-ES-fähige VMs pro ESXi-Host.
  • Die in Ihrer Umgebung ausgeführten ESXi-Hosts müssen ESXi 7.0 Update 1 oder höher aufweisen.
  • Das Gastbetriebssystem muss SEV-ES unterstützen.

    Aktuell werden nur Linux-Kernel mit spezifischer Unterstützung für SEV-ES unterstützt.

  • Die virtuelle Maschine muss die Hardwareversion 18 oder höher aufweisen.
  • Für die virtuelle Maschine muss die Option Gesamten Gastarbeitsspeicher reservieren aktiviert sein, andernfalls kann die VM nicht eingeschaltet werden.
  • PowerCLI 12.1.0 oder höher muss auf einem System mit Zugriff auf Ihre Umgebung installiert sein.

Prozedur

  1. Führen Sie in einer PowerCLI-Sitzung das Cmdlet Connect-VIServer aus, um als Administrator eine Verbindung mit dem vCenter Server herzustellen, der den ESXi-Host verwaltet, auf dem Sie eine virtuelle Maschine mit SEV-ES hinzufügen möchten.
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. Erstellen Sie die virtuelle Maschine mit dem Cmdlet New-VM und geben Sie -SEVEnabled $true an.
    Beispiel: Weisen Sie die Hostinformationen zuerst zu einer Variable zu und erstellen Sie dann die virtuelle Maschine.
    $vmhost = Get-VMHost -Name 10.193.25.83
    New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true
    Wenn Sie die Version der virtuelle Hardware angeben müssen, führen Sie das Cmdlet New-VM mit dem Parameter -HardwareVersion vmx-18 aus. Beispiel:
    New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true -HardwareVersion vmx-18

Ergebnisse

Die virtuelle Maschine wird mit SEV-ES erstellt.