Vous pouvez ajouter SEV-ES (Secure Encrypted Virtualization-Encrypted State) à une machine virtuelle pour apporter une sécurité renforcée au système d'exploitation invité.

Vous pouvez ajouter SEV-ES aux machines virtuelles exécutées sur ESXi 7.0 Update 1 ou version ultérieure.

Conditions préalables

  • Un CPU AMD EPYC 7xx2 (nom de code « Rome ») ou version ultérieure et prenant en charge le BIOS doit être installé sur le système.
  • SEV-ES doit être activé dans le BIOS.
  • Le nombre de machines virtuelles SEV-ES par hôte ESXi est contrôlé par le BIOS. Lors de l'activation de SEV-ES dans le BIOS, entrez une valeur pour le paramètre Minimum SEV non-ES ASID correspondant au nombre de machines virtuelles SEV-ES plus un. Par exemple, si vous disposez de 12 machines virtuelles que vous souhaitez exécuter simultanément, entrez 13.
    Note : vSphere 7.0 Update 1 prend en charge 16 machines virtuelles compatibles SEV par hôte ESXi. L'utilisation d'un paramètre plus élevé dans le BIOS n'empêche pas SEV-ES de fonctionner. Cependant, la limite de 16 s'applique toujours. vSphere 7.0 Update 2 prend en charge 480 machines virtuelles compatibles SEV par hôte ESXi.
  • Les hôtes ESXi en cours d'exécution dans votre environnement doivent être à la version ESXi 7.0 Update 1 ou version ultérieure.
  • Le système d'exploitation invité doit prendre en charge SEV-ES.

    Actuellement, seuls les noyaux Linux avec une prise en charge spécifique de SEV-ES sont pris en charge.

  • La machine virtuelle doit être à la version matérielle 18 ou ultérieure.
  • L'option Réserver toute la mémoire de l'invité doit être activée sur la machine virtuelle, sinon la mise sous tension échoue.
  • PowerCLI 12.1.0 ou version ultérieure doit être installé sur un système ayant accès à votre environnement.

Procédure

  1. Dans une session PowerCLI, exécutez l'applet de commande Connect-VIServer pour vous connecter en tant qu'administrateur à l'instance de vCenter Server qui gère l'hôte ESXi sur lequel vous souhaitez ajouter une machine virtuelle avec SEV-ES.
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. Créez la machine virtuelle avec l'applet de commande New-VM, en spécifiant -SEVEnabled $true.
    Par exemple, attribuez d'abord les informations de l'hôte à une variable, puis créez la machine virtuelle.
    $vmhost = Get-VMHost -Name 10.193.25.83
    New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true
    Si vous devez spécifier la version du matériel virtuel, exécutez l'applet de commande New-VM avec le paramètre -HardwareVersion vmx-18. Par exemple :
    New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true -HardwareVersion vmx-18

Résultats

La machine virtuelle est créée avec SEV-ES.