Dans vSphere 7.0 Update 1 et versions ultérieures, vous pouvez activer SEV-ES (Secure Encrypted Virtualization-Encrypted State) sur les CPU AMD et les systèmes d'exploitation invités pris en charge.
Actuellement, SEV-ES prend uniquement en charge les CPU AMD EPYC 7xx2 (nom de code « Rome ») et les CPU ultérieurs, et uniquement les versions des noyaux Linux qui incluent une prise en charge spécifique de SEV-ES.
Composants et architecture de SEV-ES
L'architecture SEV-ES comprend les composants suivants.
- CPU AMD, en particulier le processeur PSP (Platform Security Processor) qui gère les clés de chiffrement et le chiffrement.
- Système d'exploitation recommandé, c'est-à-dire système d'exploitation qui utilise des appels initiés par l'invité à l'hyperviseur.
- Moniteur de machine virtuelle (VMM) et exécutable de machine virtuelle (VMX), pour initialiser un état de machine virtuelle chiffré pendant la mise sous tension de la machine virtuelle et pour gérer les appels du système d'exploitation invité.
- Pilote VMkernel, pour échanger des données non chiffrées entre l'hyperviseur et le système d'exploitation invité.
Implémentation et gestion de SEV-ES sur ESXi
Vous devez d'abord activer SEV-ES dans la configuration du BIOS d'un système. Reportez-vous à la documentation de votre système pour plus d'informations sur l'accès à la configuration du BIOS. Après avoir activé SEV-ES dans le BIOS du système, vous pouvez ajouter SEV-ES à une machine virtuelle.
Utilisez vSphere Client (à partir de vSphere 7.0 Update 2) ou les commandes PowerCLI pour activer et désactiver SEV-ES sur les machines virtuelles. Vous pouvez créer des machines virtuelles avec SEV-ES ou activer SEV-ES sur des machines virtuelles existantes. Les privilèges de gestion des machines virtuelles activées disposant de SEV-ES sont les mêmes que pour la gestion de machines virtuelles standard.
Fonctionnalités de VMware non prises en charge sur SEV-ES
Les fonctionnalités suivantes ne sont pas prises en charge lorsque SEV-ES est activé.
- Mode de gestion du système
- vMotion
- Snapshots sous tension (les snapshots de mémoire ne sont toutefois pas pris en charge)
- Ajouter ou supprimer à chaud un CPU ou de la mémoire
- Interrompre/reprendre
- VMware Fault Tolerance
- Clones et clones instantanés
- Intégrité d'invité
- Démarrage sécurisé UEFI