Habilitar vSGX en una máquina virtual

Puede habilitar vSGX en una máquina virtual al implementar una máquina virtual, editar o clonar una máquina virtual existente.

Para utilizar la atestación remota para máquinas virtuales que usan enclaves de SGX, los hosts con un solo socket de CPU no tienen que registrarse en el servidor de registro de Intel.

Con vSphere 8.0, al habilitar el registro de hosts SGX, se permite la atestación remota de máquinas virtuales que se ejecutan en hosts con varios sockets.

Requisitos previos

Para utilizar vSGX, el entorno de vSphere Client debe cumplir una lista de requisitos:

Requisitos de la máquina virtual:
- Firmware EFI.
- Versión de hardware 17 o posterior
- Compruebe que la máquina virtual esté apagada.
- Compruebe que dispone de los privilegios para crear, clonar o editar la configuración de la máquina virtual. Para obtener más información, consulte Crear una máquina virtual con el asistente Nueva máquina virtual y Clonar una máquina virtual existente.
- Para habilitar la atestación remota, compruebe que la máquina virtual tenga la versión de hardware 20 o posterior.
Requisitos de los componentes:
- vCenter Server 7.0 y versiones posteriores
- ESXi 7.0 o versiones posteriores
- El host ESXi debe estar instalado en una CPU compatible con SGX y SGX debe estar habilitado en el BIOS del host ESXi. Para obtener información sobre las CPU compatibles, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/71367.
- Para habilitar la atestación remota para el host, registre el host con el servidor de registro de Intel. De esta manera, la máquina virtual que se ejecuta en el host puede utilizar la atestación remota. Para obtener más información sobre cómo registrar un ESXi de socket múltiple, consulte la documentación de Administrar vCenter Server y hosts.
Compatibilidad con el sistema operativo invitado:
- Linux
- Windows Server 2016 (64 bits) y versiones posteriores
- Windows 10 (64 bits) y versiones posteriores

Nota: No se admiten algunas operaciones y funciones en una máquina virtual cuando se habilita vSGX.

Migrar con vMotion
Migrar con Storage vMotion
Suspender o reanudar la máquina virtual
Crear una instantánea de la máquina virtual, especialmente si se toma una instantánea de la memoria de la máquina virtual
Fault Tolerance
Habilitar la integridad del invitado (GI, base de la plataforma para VMware AppDefense™ 1.0).

Procedimiento

Puede habilitar SGX al implementar una máquina virtual o editar una máquina virtual existente.

Opción	Acción
Implementar una máquina virtual	Haga clic con el botón derecho en cualquier objeto de inventario que sea un objeto principal válido de una máquina virtual y seleccione Nueva máquina virtual. En la página Seleccionar un tipo de creación, seleccione Crear una nueva máquina virtual y haga clic en Siguiente. Desplácese por las páginas del asistente. En la página Personalizar hardware, haga clic en la pestaña Hardware virtual.
Editar una máquina virtual	Haga clic con el botón derecho en una máquina virtual del inventario y seleccione Editar configuración. Haga clic en la pestaña Hardware virtual.
Clonar una máquina virtual existente	Haga clic con el botón derecho en una máquina virtual del inventario y seleccione Clonar > Clonar a máquina virtual. Desplácese por las páginas del asistente. En la página Seleccionar opciones de clonación, seleccione Personalizar el hardware de esta máquina virtual y haga clic en Siguiente. Haga clic en la pestaña Hardware virtual.

En la pestaña Hardware virtual, expanda Dispositivos de seguridad.
Para habilitar SGX, active la casilla Habilitar.
En el cuadro de texto Tamaño de memoria caché de página de enclave (MB), introduzca el tamaño de la caché en MB.

Nota: El tamaño de la memoria caché de la página enclave debe ser un múltiplo de 2 MB.
Para evitar que la máquina virtual encienda hosts que no admiten la atestación remota de SGX, como hosts SGX de varios sockets no registrados, active la casilla de verificación Atestación remota.

En el menú desplegable Configuración de control de inicio, seleccione el modo adecuado.

Opción	Acción
Desbloqueado	Esta opción habilita la configuración de enclave de inicio del sistema operativo invitado.
Bloqueado	Esta opción permite configurar el enclave de inicio. Seleccione la opción Hash de clave pública de enclave de inicio. Para utilizar una de las claves públicas configuradas en el host, seleccione Utilizar a partir del host y, en el menú desplegable, seleccione un hash de clave pública. Para introducir la clave pública manualmente, seleccione Introducir manualmente y escriba una clave de caracteres hash SHA256 (64) válida.

Opción

Acción

Desbloqueado

Esta opción habilita la configuración de enclave de inicio del sistema operativo invitado.

Bloqueado

Esta opción permite configurar el enclave de inicio.

Seleccione la opción Hash de clave pública de enclave de inicio.
Para utilizar una de las claves públicas configuradas en el host, seleccione Utilizar a partir del host y, en el menú desplegable, seleccione un hash de clave pública.
Para introducir la clave pública manualmente, seleccione Introducir manualmente y escriba una clave de caracteres hash SHA256 (64) válida.

Haga clic en Aceptar.