Agregar el estado cifrado de SEV (Secure Encrypted Virtualization) de AMD a una máquina virtual

Puede agregar el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) de AMD a una máquina virtual para proporcionar mayor seguridad al sistema operativo invitado.

Puede agregar el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) a las máquinas virtuales que se ejecutan en ESXi 7.0 Update 1 o posterior.

Requisitos previos

El sistema se debe instalar con una CPU AMD EPYC 7xx2 (código denominado "Roma") o una versión posterior y una BIOS compatible.
El estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) debe estar habilitado en la BIOS.
La BIOS controla el número de máquinas virtuales de SEV-ES por host ESXi. Al hacerlo, introduzca un valor para la opción de ASID mínimo de estado no cifrado de SEV que sea igual a la cantidad de máquinas virtuales con SEV-ES más una. Por ejemplo, si tiene 12 máquinas virtuales que desee ejecutar de forma simultánea, introduzca 13.
Nota: vSphere 7.0 Update 1 admite 16 máquinas virtuales habilitadas para SEV-ES por host ESXi. Si se utiliza una configuración más alta en la BIOS, SEV-ES seguirá funcionando, pero se aplica el límite de 16. vSphere 7.0 Update 2 admite 480 máquinas virtuales habilitadas para SEV-ES por host ESXi.
El host ESXi que se ejecute en el entorno debe ser ESXi 7.0 Update 1 o una versión posterior.
El sistema operativo invitado debe ser compatible con el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).
Actualmente, solo se admiten kernels de Linux con soporte específico para el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).
La máquina virtual debe tener la versión de hardware 18 o una posterior.
La máquina virtual debe tener habilitada la opción Reservar toda la memoria de invitado; de lo contrario, se producirá un error de encendido.
PowerCLI 12.1.0 o una versión posterior debe estar instalada en un sistema con acceso a su entorno.

Procedimiento

En una sesión de PowerCLI, ejecute el cmdlet Connect-VIServer para conectarse como administrador a la instancia de vCenter Server que administra el host ESXi en el que desea agregar una máquina virtual con SEV-ES.
```
Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
```
Cree la máquina virtual con el cmdlet New-VM y especifique -SEVEnabled $true.
Por ejemplo, asigne primero la información del host a una variable y, a continuación, cree la máquina virtual.
```
$vmhost = Get-VMHost -Name 10.193.25.83
New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true
```
Si debe especificar la versión del hardware virtual, ejecute el cmdlet New-VM con el parámetro -HardwareVersion vmx-18. Por ejemplo:
```
New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true -HardwareVersion vmx-18
```

Resultados

La máquina virtual se crea con estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).