Puede agregar SEV-ES a una máquina virtual existente para proporcionar una mayor seguridad al sistema operativo invitado.

Puede agregar el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) a las máquinas virtuales que se ejecutan en ESXi 7.0 Update 1 o posterior.

Requisitos previos

  • El sistema se debe instalar con una CPU AMD EPYC 7xx2 (código denominado "Roma") o una versión posterior y una BIOS compatible.
  • El estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) debe estar activado en la BIOS.
  • La BIOS controla el número de máquinas virtuales de SEV-ES por host ESXi. Al hacerlo, introduzca un valor para la opción de ASID mínimo de estado no cifrado de SEV que sea igual a la cantidad de máquinas virtuales con SEV-ES más una. Por ejemplo, si tiene 12 máquinas virtuales que desee ejecutar de forma simultánea, introduzca 13.
    Nota: vSphere 7.0 Update 1 admite 16 máquinas virtuales activadas para SEV-ES por host ESXi. Si se utiliza una configuración más alta en la BIOS, SEV-ES seguirá funcionando, pero se aplica el límite de 16. vSphere 7.0 Update 2 admite 480 máquinas virtuales activadas para SEV-ES por host ESXi.
  • El host ESXi que se ejecuta en el entorno debe ser ESXi 7.0 Update 1 o una versión posterior.
  • El sistema operativo invitado debe ser compatible con el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).

    Actualmente, solo se admiten kernels de Linux con soporte específico para el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES).

  • La máquina virtual debe tener la versión de hardware 18 o una posterior.
  • La máquina virtual debe tener marcada la opción Reservar toda la memoria de invitado; de lo contrario, se producirá un error de encendido.
  • PowerCLI 12.1.0 o una versión posterior debe estar instalada en un sistema con acceso a su entorno.
  • Compruebe que la máquina virtual esté apagada.

Procedimiento

  1. En una sesión de PowerCLI, ejecute el cmdlet Connect-VIServer para conectarse como administrador a la instancia de vCenter Server que administra el host ESXi con la máquina virtual a la que desea agregar SEV-ES.
    Por ejemplo:
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. Agregue SEV-ES a la máquina virtual con el cmdlet Set-VM, especificando -SEVEnabled $true.
    Por ejemplo:
    $vmhost = Get-VMHost -Name 10.193.25.83
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true
    Si debe especificar la versión del hardware virtual, ejecute el cmdlet Set-VM con el parámetro -HardwareVersion vmx-18. Por ejemplo:
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true -HardwareVersion vmx-18

Resultados

Se agregó SEV-ES a la máquina virtual.