En vSphere 7.0 Update 2 y versiones posteriores, puede utilizar vSphere Client para agregar SEV-ES a una máquina virtual existente con el fin de proporcionar una mayor seguridad al sistema operativo invitado.

Puede agregar el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) a las máquinas virtuales que se ejecutan en ESXi 7.0 Update 1 o posterior.

Requisitos previos

  • El sistema se debe instalar con una CPU AMD EPYC 7xx2 (código denominado "Roma") o una versión posterior y una BIOS compatible.
  • El estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) debe estar habilitado en la BIOS.
  • La BIOS controla el número de máquinas virtuales de SEV-ES por host ESXi. Al hacerlo, introduzca un valor para la opción de ASID mínimo de estado no cifrado de SEV que sea igual a la cantidad de máquinas virtuales con SEV-ES más una. Por ejemplo, si tiene 12 máquinas virtuales que desee ejecutar de forma simultánea, introduzca 13.
    Nota: vSphere 7.0 Update 1 admite 16 máquinas virtuales habilitadas para SEV-ES por host ESXi. Si se utiliza una configuración más alta en la BIOS, SEV-ES seguirá funcionando, pero se aplica el límite de 16. vSphere 7.0 Update 2 admite 480 máquinas virtuales habilitadas para SEV-ES por host ESXi.
  • El host ESXi que se ejecute en el entorno debe ser ESXi 7.0 Update 1 o una versión posterior.
  • vCenter Server debe ser vSphere 7.0 Update 2 o una versión posterior.
  • El sistema operativo invitado debe ser compatible con el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).

    Actualmente, solo se admiten kernels de Linux con soporte específico para el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).

  • La máquina virtual debe tener la versión de hardware 18 o una posterior.
  • La máquina virtual debe tener habilitada la opción Reservar toda la memoria de invitado; de lo contrario, se producirá un error de encendido.
  • Compruebe que la máquina virtual esté apagada.

Procedimiento

  1. Conéctese a vCenter Server mediante vSphere Client.
  2. Haga clic con el botón derecho en la máquina virtual en el inventario que desee modificar y seleccione Editar configuración.
  3. En Opciones de máquina virtual > Opciones de arranque > Firmware, asegúrese de que EFI está seleccionado.
  4. En el cuadro de diálogo Editar configuración, en Opciones de máquina virtual > Cifrado, seleccione la casilla de verificación Habilitar para SEV-ES de AMD.
  5. Haga clic en Aceptar.

Resultados

Se agregó SEV-ES a la máquina virtual.