Vous pouvez ajouter un SEV-ES (Secure Encrypted Virtualization-Encrypted State) à une machine virtuelle existante pour apporter une sécurité renforcée au système d'exploitation invité.
Vous pouvez ajouter SEV-ES aux machines virtuelles exécutées sur ESXi 7.0 Update 1 ou version ultérieure.
Conditions préalables
- Un CPU AMD EPYC 7xx2 (nom de code « Rome ») ou version ultérieure et prenant en charge le BIOS doit être installé sur le système.
- SEV-ES doit être activé dans le BIOS.
- Le nombre de machines virtuelles SEV-ES par hôte ESXi est contrôlé par le BIOS. Lors de l'activation de SEV-ES dans le BIOS, entrez une valeur pour le paramètre Minimum SEV non-ES ASID correspondant au nombre de machines virtuelles SEV-ES plus un. Par exemple, si vous disposez de 12 machines virtuelles que vous souhaitez exécuter simultanément, entrez 13.
Note : vSphere 7.0 Update 1 prend en charge 16 machines virtuelles sur lesquelles SEV-ES est activé par hôte ESXi. L'utilisation d'un paramètre plus élevé dans le BIOS n'empêche pas SEV-ES de fonctionner. Cependant, la limite de 16 s'applique toujours. vSphere 7.0 Update 2 prend en charge 480 machines virtuelles sur lesquelles SEV-ES est activé par hôte ESXi.
- Les hôtes ESXi en cours d'exécution dans votre environnement doivent être à la version ESXi 7.0 Update 1 ou version ultérieure.
- Le système d'exploitation invité doit prendre en charge SEV-ES.
Actuellement, seuls les noyaux Linux avec une prise en charge spécifique de SEV-ES sont pris en charge.
- La machine virtuelle doit être à la version matérielle 18 ou ultérieure.
- L'option Réserver toute la mémoire de l'invité doit être cochée sur la machine virtuelle, sinon la mise sous tension échoue.
- PowerCLI 12.1.0 ou version ultérieure doit être installé sur un système ayant accès à votre environnement.
- Assurez-vous que la machine virtuelle est hors tension.
Procédure
Résultats
SEV-ES est ajouté à la machine virtuelle.