Vous pouvez ajouter un SEV-ES (Secure Encrypted Virtualization-Encrypted State) à une machine virtuelle existante pour apporter une sécurité renforcée au système d'exploitation invité.

Vous pouvez ajouter SEV-ES aux machines virtuelles exécutées sur ESXi 7.0 Update 1 ou version ultérieure.

Conditions préalables

  • Un CPU AMD EPYC 7xx2 (nom de code « Rome ») ou version ultérieure et prenant en charge le BIOS doit être installé sur le système.
  • SEV-ES doit être activé dans le BIOS.
  • Le nombre de machines virtuelles SEV-ES par hôte ESXi est contrôlé par le BIOS. Lors de l'activation de SEV-ES dans le BIOS, entrez une valeur pour le paramètre Minimum SEV non-ES ASID correspondant au nombre de machines virtuelles SEV-ES plus un. Par exemple, si vous disposez de 12 machines virtuelles que vous souhaitez exécuter simultanément, entrez 13. Des paramètres aussi élevés que 480 sont pris en charge par ESXi.
    Note : vSphere 7.0 Update 1 prend en charge 16 machines virtuelles compatibles SEV par hôte ESXi. L'utilisation d'un paramètre plus élevé dans le BIOS n'empêche pas SEV-ES de fonctionner. Cependant, la limite de 16 s'applique toujours.
  • Les hôtes ESXi en cours d'exécution dans votre environnement doivent être à la version ESXi 7.0 Update 1 ou version ultérieure.
  • Le système d'exploitation invité doit prendre en charge SEV-ES.

    Actuellement, seuls les noyaux Linux avec une prise en charge spécifique de SEV-ES sont pris en charge.

  • La machine virtuelle doit être à la version matérielle 18 ou ultérieure.
  • L'option Réserver toute la mémoire de l'invité doit être activée sur la machine virtuelle, sinon la mise sous tension échoue.
  • PowerCLI 12.1.0 ou version ultérieure doit être installé sur un système ayant accès à votre environnement.
  • Assurez-vous que la machine virtuelle est hors tension.

Procédure

  1. Dans une session PowerCLI, exécutez l'applet de commande Connect-VIServer pour vous connecter en tant qu'administrateur à l'instance de vCenter Server qui gère l'hôte ESXi avec la machine virtuelle à laquelle vous souhaitez ajouter des SEV-ES.
    Par exemple :
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. Ajoutez SEV-ES à la machine virtuelle avec l'applet de commande Set-VM, en spécifiant -SEVEnabled $true.
    Par exemple :
    $vmhost = Get-VMHost -Name 10.193.25.83
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true
    Si vous devez spécifier la version du matériel virtuel, exécutez l'applet de commande Set-VM avec le paramètre -HardwareVersion vmx-18. Par exemple :
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true -HardwareVersion vmx-18

Résultats

SEV-ES est ajouté à la machine virtuelle.