Vous pouvez ajouter un SEV-ES (Secure Encrypted Virtualization-Encrypted State) à une machine virtuelle existante pour apporter une sécurité renforcée au système d'exploitation invité.

Vous pouvez ajouter SEV-ES aux machines virtuelles exécutées sur ESXi 7.0 Update 1 ou version ultérieure.

Conditions préalables

  • Un CPU AMD EPYC 7xx2 (nom de code « Rome ») ou version ultérieure et prenant en charge le BIOS doit être installé sur le système.
  • SEV-ES doit être activé dans le BIOS.
  • Le nombre de machines virtuelles SEV-ES par hôte ESXi est contrôlé par le BIOS. Lors de l'activation de SEV-ES dans le BIOS, entrez une valeur pour le paramètre Minimum SEV non-ES ASID correspondant au nombre de machines virtuelles SEV-ES plus un. Par exemple, si vous disposez de 12 machines virtuelles que vous souhaitez exécuter simultanément, entrez 13.
    Note : vSphere 7.0 Update 1 prend en charge 16 machines virtuelles compatibles SEV par hôte ESXi. L'utilisation d'un paramètre plus élevé dans le BIOS n'empêche pas SEV-ES de fonctionner. Cependant, la limite de 16 s'applique toujours. vSphere 7.0 Update 2 prend en charge 480 machines virtuelles compatibles SEV par hôte ESXi.
  • Les hôtes ESXi en cours d'exécution dans votre environnement doivent être à la version ESXi 7.0 Update 1 ou version ultérieure.
  • Le système d'exploitation invité doit prendre en charge SEV-ES.

    Actuellement, seuls les noyaux Linux avec une prise en charge spécifique de SEV-ES sont pris en charge.

  • La machine virtuelle doit être à la version matérielle 18 ou ultérieure.
  • L'option Réserver toute la mémoire de l'invité doit être activée sur la machine virtuelle, sinon la mise sous tension échoue.
  • PowerCLI 12.1.0 ou version ultérieure doit être installé sur un système ayant accès à votre environnement.
  • Assurez-vous que la machine virtuelle est hors tension.

Procédure

  1. Dans une session PowerCLI, exécutez l'applet de commande Connect-VIServer pour vous connecter en tant qu'administrateur à l'instance de vCenter Server qui gère l'hôte ESXi avec la machine virtuelle à laquelle vous souhaitez ajouter des SEV-ES.
    Par exemple :
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. Ajoutez SEV-ES à la machine virtuelle avec l'applet de commande Set-VM, en spécifiant -SEVEnabled $true.
    Par exemple :
    $vmhost = Get-VMHost -Name 10.193.25.83
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true
    Si vous devez spécifier la version du matériel virtuel, exécutez l'applet de commande Set-VM avec le paramètre -HardwareVersion vmx-18. Par exemple :
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true -HardwareVersion vmx-18

Résultats

SEV-ES est ajouté à la machine virtuelle.