Vous pouvez activer vSGX sur une machine virtuelle lorsque vous déployez une machine virtuelle, modifiez ou clonez une machine virtuelle existante.

Pour utiliser l'attestation à distance pour les machines virtuelles à l'aide d'environnements SGX, les hôtes disposant d'un seul socket de CPU ne nécessitent pas d'enregistrement auprès du serveur d'enregistrement Intel.

Avec vSphere 8.0, si vous activez l'enregistrement de l'hôte SGX, vous autorisez l'attestation à distance pour les machines virtuelles exécutés sur des hôtes à plusieurs sockets.

Conditions préalables

Pour utiliser vSGX, votre environnement vSphere Client doit répondre à une liste de conditions requises :
  • Configuration requise pour la machine virtuelle :
  • Configuration requise pour le composant :
    • vCenter Server 7.0 et versions ultérieures
    • ESXi 7.0 ou une version ultérieure
    • L'hôte ESXi doit être installé sur un CPU compatible SGX et SGX doit être activé dans le BIOS de l'hôte ESXi. Pour plus d'informations sur les CPU pris en charge, consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/71367.
    • Pour activer l'attestation à distance de l'hôte, enregistrez l'hôte auprès du serveur d'enregistrement Intel. Ainsi, la machine virtuelle exécutée sur l'hôte peut utiliser l'attestation à distance. Pour plus d'informations sur l'enregistrement d'un serveur ESXi à plusieurs sockets, reportez-vous à la documentation Gestion de vCenter Server et des hôtes.
  • Prise en charge du système d'exploitation invité :
    • Linux
    • Windows Server 2016 (64 bits) et versions ultérieures
    • Windows 10 (64 bits) et versions ultérieures
Note : Certaines opérations et fonctionnalités ne sont pas prises en charge pour une machine virtuelle lorsque vSGX est activé.
  • Migration avec vMotion
  • Migration avec Storage vMotion
  • Interruption ou reprise de la machine virtuelle
  • Prise d'un snapshot de la machine virtuelle en particulier si vous prenez un snapshot de la mémoire de la machine virtuelle
  • Fault Tolerance
  • Activation de l'intégrité de l'invité (GI, fondation de plateforme pour VMware AppDefense™ 1.0).

Procédure

  1. Vous pouvez activer SGX lors du déploiement d'une machine virtuelle ou de la modification d'une machine virtuelle existante.
    Option Action
    Déployer une machine virtuelle
    1. Cliquez avec le bouton droit de la souris sur n'importe quel objet d'inventaire qui est un objet parent valide d'une machine virtuelle et sélectionnez Nouvelle machine virtuelle.
    2. Sur la page Sélectionner un type de création, sélectionnez Créer une machine virtuelle et cliquez sur Suivant.
    3. Explorez les pages de l'assistant.
    4. Sur la page Personnaliser le matériel, cliquez sur l'onglet Matériel virtuel.
    Modifier une machine virtuelle
    1. Cliquez avec le bouton droit sur une machine virtuelle dans l'inventaire et sélectionnez Modifier les paramètres.
    2. Cliquez sur l'onglet Matériel Virtuel.
    Cloner une machine virtuelle existante
    1. Cliquez avec le bouton droit sur une machine virtuelle dans l'inventaire et sélectionnez Cloner > Cloner une machine virtuelle.
    2. Naviguez dans les pages de l'assistant.
    3. Sur la page Sélectionner les options de clonage, sélectionnez Personnaliser le matériel de cette machine virtuelle et cliquez sur Suivant.
    4. Cliquez sur l'onglet Matériel Virtuel.
  2. Dans l'onglet Matériel virtuel, développez Périphériques de sécurité.

    Activation d'Intel Software Guard Extensions

  3. Pour activer SGX, cochez la case Activer.
  4. Dans la zone de texte Taille du cache de la page d'enclave (Mo), entrez la taille du cache en Mo.
    Note : La taille du cache de la page enclave doit être un multiple de 2 Mo.
  5. Pour empêcher la machine virtuelle de mettre sous tension les hôtes qui ne prennent pas en charge l'attestation à distance SGX, tels que les hôtes SGX à plusieurs sockets non enregistrés, cochez la case Attestation à distance.
  6. Dans le menu déroulant Lancer la configuration du contrôle, sélectionnez le mode approprié.
    Option Action
    Déverrouillé Cette option active la configuration de l'enclave de lancement du système d'exploitation invité.
    Verrouillé Cette option vous permet de configurer l'enclave de lancement.
    1. Sélectionnez l'option Lancer le hachage de la clé publique d'enclave.
    2. Pour utiliser l'une des clés publiques configurées sur l'hôte, sélectionnez Utiliser à partir de l'hôte et, dans le menu déroulant, sélectionnez un hachage de clé publique.
    3. Pour entrer la clé publique manuellement, sélectionnez Entrez manuellement et entrez une clé de caractères de hachage SHA256 (64) valide.
  7. Cliquez sur OK.