En vSphere 7.0 Update 2 y versiones posteriores, puede utilizar vSphere Client para agregar SEV-ES a una máquina virtual con el fin de proporcionar una mayor seguridad al sistema operativo invitado.

Puede agregar el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) a las máquinas virtuales que se ejecutan en ESXi 7.0 Update 1 o posterior.

Requisitos previos

  • El sistema se debe instalar con una CPU AMD EPYC 7xx2 (código denominado "Roma") o una versión posterior y una BIOS compatible.
  • El estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) debe estar habilitado en la BIOS.
  • La BIOS controla el número de máquinas virtuales de SEV-ES por host ESXi. Al hacerlo, introduzca un valor para la opción de ASID mínimo de estado no cifrado de SEV que sea igual a la cantidad de máquinas virtuales con SEV-ES más una. Por ejemplo, si tiene 12 máquinas virtuales que desee ejecutar de forma simultánea, introduzca 13.
    Nota: vSphere 7.0 Update 1 admite 16 máquinas virtuales habilitadas para SEV-ES por host ESXi. Si se utiliza una configuración más alta en la BIOS, SEV-ES seguirá funcionando, pero se aplica el límite de 16. vSphere 7.0 Update 2 admite 480 máquinas virtuales habilitadas para SEV-ES por host ESXi.
  • El host ESXi que se ejecute en el entorno debe ser ESXi 7.0 Update 1 o una versión posterior.
  • vCenter Server debe ser vSphere 7.0 Update 2 o una versión posterior.
  • El sistema operativo invitado debe ser compatible con el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).

    Actualmente, solo se admiten kernels de Linux con soporte específico para el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).

  • La máquina virtual debe tener la versión de hardware 18 o una posterior.
  • La máquina virtual debe tener habilitada la opción Reservar toda la memoria de invitado; de lo contrario, se producirá un error de encendido.

Procedimiento

  1. Conéctese a vCenter Server mediante vSphere Client.
  2. Seleccione un objeto del inventario que sea un objeto primario válido de una máquina virtual, por ejemplo, un host o clúster ESXi.
  3. Haga clic con el botón derecho en el objeto, seleccione Nueva máquina virtual y siga las indicaciones para crear una máquina virtual.
    Opción Acción
    Seleccionar un tipo de creación Cree una máquina virtual.
    Seleccionar un nombre y una carpeta Especifique un nombre y una ubicación de destino.
    Seleccionar un recurso informático Especifique el objeto sobre el que tiene privilegios para crear máquinas virtuales.
    Seleccionar almacenamiento En la directiva de almacenamiento de máquina virtual, seleccione la directiva de almacenamiento. Seleccione un almacén de datos compatible.
    Seleccionar compatibilidad Asegúrese de seleccionar ESXi 7.0 y versiones posteriores.
    Seleccionar un sistema operativo invitado Seleccione Linux y una versión de Linux con compatibilidad específica para SEV-ES.
    Personalizar hardware En Opciones de máquina virtual > Opciones de arranque > Firmware, asegúrese de que EFI está seleccionado. En Opciones de máquina virtual > Cifrado, seleccione la casilla de verificación Habilitar para SEV-ES de AMD.
    Listo para finalizar Revise la información y haga clic en Finalizar.

Resultados

La máquina virtual se crea con estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).