Sie können vSGX auf einer virtuellen Maschine aktivieren, wenn Sie eine virtuelle Maschine bereitstellen, eine vorhandene virtuelle Maschine bearbeiten oder klonen.

Zum Verwenden des Remote-Nachweises für virtuelle Maschinen mit SGX-Enclaves ist für Hosts mit einem einzelnen CPU-Socket keine Registrierung beim Intel-Registrierungsserver erforderlich.

Mit vSphere 8.0 ermöglichen Sie durch die Aktivierung der SGX-Hostregistrierung den Remote-Nachweis für VMs, die auf Hosts mit mehreren Sockets ausgeführt werden.

Voraussetzungen

Zur Verwendung von vSGX muss Ihre vSphere Client-Umgebung eine Reihe von Anforderungen erfüllen:
  • Anforderungen an virtuelle Maschinen:
  • Anforderungen an Komponenten:
    • vCenter Server 7.0 und höher
    • ESXi 7.0 oder höher
    • Der ESXi-Host muss auf einer SGX-fähigen CPU installiert und SGX muss im BIOS des ESXi-Hosts aktiviert sein. Informationen zu den unterstützten CPUs finden Sie im VMware KB-Artikel unter https://kb.vmware.com/s/article/71367.
    • Um den Remote-Nachweis für den Host zu aktivieren, registrieren Sie den Host beim Intel-Registrierungsserver. Auf diese Weise kann die auf dem Host ausgeführte virtuelle Maschine den Remote-Nachweis verwenden. Weitere Informationen zum Registrieren einer ESXi-Instanz mit mehreren Sockets finden Sie in der Dokumentation zum Thema vCenter Server und Hostverwaltung.
  • Unterstützung folgender Gastbetriebssysteme:
    • Linux
    • Windows Server 2016 (64 Bit) und höher
    • Windows 10 (64 Bit) und höher
Hinweis: Bestimmte Vorgänge und Funktionen werden auf einer virtuellen Maschine nicht unterstützt, wenn vSGX aktiviert ist.
  • Migration mit vMotion
  • Migration mit Storage vMotion
  • Anhalten oder Fortsetzen der virtuellen Maschine
  • Erstellen eines Snapshots der virtuellen Maschine, insbesondere beim Erstellen eines Snapshots des VM-Arbeitsspeichers
  • Fault Tolerance
  • Aktivieren von Gastintegrität (GI, Plattform für VMware AppDefense™ 1.0).

Prozedur

  1. Sie können SGX aktivieren, wenn Sie eine virtuelle Maschine bereitstellen oder eine vorhandene virtuelle Maschine bearbeiten.
    Option Aktion
    Bereitstellen einer virtuellen Maschine
    1. Klicken Sie mit der rechten Maustaste auf ein Bestandslistenobjekt, das ein gültiges übergeordnetes Objekt einer virtuellen Maschine ist, und wählen Sie die Option Neue virtuelle Maschine aus.
    2. Wählen Sie auf der Seite Erstellungstyp auswählen die Option Neue virtuelle Maschine erstellen aus und klicken Sie auf Weiter.
    3. Navigieren Sie durch die Seiten des Assistenten.
    4. Klicken Sie auf der Seite Hardware anpassen auf die Registerkarte Virtuelle Hardware.
    Bearbeiten einer virtuellen Maschine
    1. Klicken Sie in der Bestandsliste mit der rechten Maustaste auf eine virtuelle Maschine und wählen Sie Einstellungen bearbeiten aus.
    2. Klicken Sie auf die Registerkarte Virtuelle Hardware.
    Vorhandene virtuelle Maschine klonen
    1. Klicken Sie mit der rechten Maustaste auf eine virtuelle Maschine in der Bestandsliste und wählen Sie Klonen > Auf virtuelle Maschine klonen aus.
    2. Navigieren Sie durch die Seiten des Assistenten.
    3. Wählen Sie auf der Seite Klonoptionen auswählen die Option Hardware dieser virtuellen Maschine anpassen aus und klicken Sie auf Weiter.
    4. Klicken Sie auf die Registerkarte Virtuelle Hardware.
  2. Erweitern Sie auf der Registerkarte Virtuelle Hardware die Option Sicherheitsgeräte.

    Vorgehensweise zum Aktivieren von Intel Software Guard Extensions

  3. Markieren Sie zum Aktivieren von SGX das Kontrollkästchen Aktivieren.
  4. Geben Sie im Textfeld Cachegröße der Enclave-Seite (MB) die Cachegröße in MB ein.
    Hinweis: Die Cachegröße der Enclave-Seite muss ein Vielfaches von 2 MB sein.
  5. Um zu verhindern, dass die VM auf Hosts eingeschaltet wird, die den SGX-Remote-Nachweis nicht unterstützen, z. B. auf nicht registrierten SGX-Hosts mit mehreren Sockets, aktivieren Sie das Kontrollkästchen Remote-Nachweis.
  6. Wählen Sie im Dropdown-Menü Steuerungskonfiguration starten den entsprechenden Modus aus.
    Option Aktion
    Entsperrt Diese Option aktiviert die Enclave-Startkonfiguration des Gastbetriebssystems.
    Gesperrt Mit dieser Option können Sie die Start-Enclave konfigurieren.
    1. Wählen Sie die Option Öffentlicher Schlüssel-Hash der Start-Enclave aus.
    2. Zur Verwendung eines der auf dem Host konfigurierten öffentlichen Schlüssel wählen Sie Von Host verwenden aus. Wählen Sie anschließend im Dropdown-Menü einen öffentlichen Schlüssel-Hash aus.
    3. Zur manuellen Eingabe des öffentlichen Schlüssels wählen Sie Manuell eingeben aus und geben einen gültigen SHA256-Hash-Schlüssel (64 Zeichen) ein.
  7. Klicken Sie auf OK.