Activer vSGX sur une machine virtuelle

Vous pouvez activer vSGX sur une machine virtuelle lorsque vous déployez une machine virtuelle, modifiez ou clonez une machine virtuelle existante.

Pour utiliser l'attestation à distance pour les machines virtuelles à l'aide d'environnements SGX, les hôtes disposant d'un seul socket de CPU ne nécessitent pas d'enregistrement auprès du serveur d'enregistrement Intel.

Avec vSphere 8.0, si vous activez l'enregistrement de l'hôte SGX, vous autorisez l'attestation à distance pour les machines virtuelles exécutés sur des hôtes à plusieurs sockets.

Conditions préalables

Pour utiliser vSGX, votre environnement vSphere Client doit répondre à une liste de conditions requises :

Configuration requise pour la machine virtuelle :
- Micrologiciel EFI
- Matériel version 17 ou ultérieure
- Vérifier que la machine virtuelle est hors tension
- Vérifiez que vous disposez des privilèges pour créer, cloner ou modifier des paramètres de machine virtuelle. Pour plus d'informations, reportez-vous à Créer une Machine virtuelle avec l'assistant Nouvelle machine virtuelle et Cloner une machine virtuelle existante.
- Pour activer l'attestation à distance, vérifiez que la machine virtuelle est de version matérielle 20 ou ultérieure
Configuration requise pour le composant :
- vCenter Server 7.0 et versions ultérieures
- ESXi 7.0 ou une version ultérieure
- L'hôte ESXi doit être installé sur un CPU compatible SGX et SGX doit être activé dans le BIOS de l'hôte ESXi. Pour plus d'informations sur les CPU pris en charge, consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/71367.
- Pour activer l'attestation à distance de l'hôte, enregistrez l'hôte auprès du serveur d'enregistrement Intel. Ainsi, la machine virtuelle exécutée sur l'hôte peut utiliser l'attestation à distance. Pour plus d'informations sur l'enregistrement d'un serveur ESXi à plusieurs sockets, reportez-vous à la documentation Gestion de vCenter Server et des hôtes.
Prise en charge du système d'exploitation invité :
- Linux
- Windows Server 2016 (64 bits) et versions ultérieures
- Windows 10 (64 bits) et versions ultérieures

Note : Certaines opérations et fonctionnalités ne sont pas prises en charge pour une machine virtuelle lorsque vSGX est activé.

Migration avec vMotion
Migration avec Storage vMotion
Interruption ou reprise de la machine virtuelle
Prise d'un snapshot de la machine virtuelle en particulier si vous prenez un snapshot de la mémoire de la machine virtuelle
Fault Tolerance
Activation de l'intégrité de l'invité (GI, fondation de plateforme pour VMware AppDefense™ 1.0).

Procédure

Vous pouvez activer SGX lors du déploiement d'une machine virtuelle ou de la modification d'une machine virtuelle existante.

Option	Action
Déployer une machine virtuelle	Cliquez avec le bouton droit de la souris sur n'importe quel objet d'inventaire qui est un objet parent valide d'une machine virtuelle et sélectionnez Nouvelle machine virtuelle. Sur la page Sélectionner un type de création, sélectionnez Créer une machine virtuelle et cliquez sur Suivant. Explorez les pages de l'assistant. Sur la page Personnaliser le matériel, cliquez sur l'onglet Matériel virtuel.
Modifier une machine virtuelle	Cliquez avec le bouton droit sur une machine virtuelle dans l'inventaire et sélectionnez Modifier les paramètres. Cliquez sur l'onglet Matériel Virtuel.
Cloner une machine virtuelle existante	Cliquez avec le bouton droit sur une machine virtuelle dans l'inventaire et sélectionnez Cloner > Cloner une machine virtuelle. Naviguez dans les pages de l'assistant. Sur la page Sélectionner les options de clonage, sélectionnez Personnaliser le matériel de cette machine virtuelle et cliquez sur Suivant. Cliquez sur l'onglet Matériel Virtuel.

Dans l'onglet Matériel virtuel, développez Périphériques de sécurité.
Pour activer SGX, cochez la case Activer.
Dans la zone de texte Taille du cache de la page d'enclave (Mo), entrez la taille du cache en Mo.

Note : La taille du cache de la page enclave doit être un multiple de 2 Mo.
Pour empêcher la machine virtuelle de mettre sous tension les hôtes qui ne prennent pas en charge l'attestation à distance SGX, tels que les hôtes SGX à plusieurs sockets non enregistrés, cochez la case Attestation à distance.

Dans le menu déroulant Lancer la configuration du contrôle, sélectionnez le mode approprié.

Option	Action
Déverrouillé	Cette option active la configuration de l'enclave de lancement du système d'exploitation invité.
Verrouillé	Cette option vous permet de configurer l'enclave de lancement. Sélectionnez l'option Lancer le hachage de la clé publique d'enclave. Pour utiliser l'une des clés publiques configurées sur l'hôte, sélectionnez Utiliser à partir de l'hôte et, dans le menu déroulant, sélectionnez un hachage de clé publique. Pour entrer la clé publique manuellement, sélectionnez Entrez manuellement et entrez une clé de caractères de hachage SHA256 (64) valide.

Option

Action

Déverrouillé

Cette option active la configuration de l'enclave de lancement du système d'exploitation invité.

Verrouillé

Cette option vous permet de configurer l'enclave de lancement.

Sélectionnez l'option Lancer le hachage de la clé publique d'enclave.
Pour utiliser l'une des clés publiques configurées sur l'hôte, sélectionnez Utiliser à partir de l'hôte et, dans le menu déroulant, sélectionnez un hachage de clé publique.
Pour entrer la clé publique manuellement, sélectionnez Entrez manuellement et entrez une clé de caractères de hachage SHA256 (64) valide.

Cliquez sur OK.