Abilitazione di vSGX in una macchina virtuale

È possibile abilitare vSGX su una macchina virtuale quando si distribuisce una macchina virtuale, oppure si modifica o clona una macchina virtuale esistente.

Per utilizzare l'attestazione remota per le macchine virtuali tramite enclave SGX, gli host con un singolo socket CPU non richiedono la registrazione nel server di registrazione Intel.

In vSphere 8.0, abilitando la registrazione dell'host SGX, si consente l'attestazione remota per le macchine virtuali in esecuzione negli host multi-socket.

Prerequisiti

Per utilizzare vSGX, l'ambiente di vSphere Client deve soddisfare un elenco di requisiti:

Requisiti delle macchine virtuali:
- Firmware EFI
- Hardware versione 17 o successiva
- Verificare che la macchina virtuale sia spenta
- Verificare di disporre dei privilegi necessari per creare, clonare o modificare le impostazioni della macchina virtuale. Per ulteriori informazioni, consulta Creazione di una macchina virtuale con la creazione guidata di una nuova macchina virtuale e Clonazione di una macchina virtuale esistente
- Per abilitare l'attestazione remota, verificare che la versione dell'hardware della macchina virtuale sia 20 o successiva
Requisiti dei componenti:
- vCenter Server 7.0 e versioni successive
- ESXi 7.0 o versioni successive
- L'host ESXi deve essere installato su una CPU compatibile con SGX e SGX deve essere abilitato nel BIOS dell'host di ESXi. Per informazioni sulle CPU supportate. vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/71367.
- Per abilitare l'attestazione remota per l'host, registrare l'host con il server di registrazione Intel. In questo modo, la macchina virtuale in esecuzione nell'host può utilizzare l'attestazione remota. Per ulteriori informazioni su come registrare un ESXi multi-socket, vedere la documentazione vCenter Server e gestione degli host.
Supporto del sistema operativo guest:
- Linux
- Windows Server 2016 (a 64 bit) e versioni successive
- Windows 10 (a 64 bit) e versioni successive

Nota: Alcune operazioni e funzionalità non sono supportate per una macchina virtuale se è abilitato vSGX.

Migrazione tramite vMotion
Migrazione con Storage vMotion
Sospensione o ripresa della macchina virtuale
Creazione di uno snapshot della macchina virtuale, specialmente se si crea uno snapshot della memoria della macchina virtuale
Fault Tolerance
Abilitazione dell'integrità guest (GI, platform foundation per VMware AppDefense™ 1.0).

Procedura

È possibile abilitare SGX quando si distribuisce una macchina virtuale o si modifica una macchina virtuale esistente.

Opzione	Azione
Distribuzione di una macchina virtuale	Fare clic con il pulsante destro del mouse su un oggetto di inventario qualsiasi corrispondente a un oggetto principale valido di una macchina virtuale e selezionare Nuova macchina virtuale. Nella pagina Seleziona un tipo di creazione, selezionare Crea una nuova macchina virtuale, quindi fare clic su Avanti. Navigare tra le pagine della procedura guidata. Nella pagina Personalizza hardware, fare clic sulla scheda Hardware virtuale.
Modifica di una macchina virtuale	Fare clic con il pulsante destro del mouse su una macchina virtuale nell'inventario e scegliere Modifica impostazioni. Fare clic sulla scheda Hardware virtuale.
Clonazione di una macchina virtuale esistente	Fare clic con il pulsante destro del mouse su una macchina virtuale nell'inventario e scegliere Clona > Clone su macchina virtuale. Sfogliare le pagine della procedura guidata. Nella pagina Selezionare le opzioni di clonazione, scegliere Personalizza l'hardware di questa macchina virtuale e fare clic su Avanti. Fare clic sulla scheda Hardware virtuale.

Nella scheda Hardware virtuale, espandere Dispositivi di sicurezza.
Per abilitare SGX, selezionare la casella di controllo Abilita.
Nella casella di testo Dimensioni della cache della pagina enclave (MB), immettere le dimensioni della cache in MB.

Nota: Le dimensioni della cache della pagina enclave devono essere multiple di 2 MB.
Per impedire che la macchina virtuale accenda host che non supportano l'attestazione remota SGX, ad esempio host SGX multi-socket non registrati, selezionare la casella di controllo Attestazione remota.

Nel menu a discesa Avvia configurazione controllo, selezionare la modalità appropriata.

Opzione	Azione
Sbloccato	Questa opzione abilita l'avvio della configurazione Enclave del sistema operativo guest.
Bloccato	Questa opzione consente di configurare il pulsante di avvio. Selezionare l'opzione Avvia hash chiave pubblica Enclave. Per utilizzare una delle chiavi pubbliche configurate nell'host, selezionare Usa da host e, dal menu a discesa, selezionare un hash della chiave pubblica. Per immettere manualmente la chiave pubblica, selezionare Immetti manualmente e immettere una chiave hash SHA256 (64) valida.

Opzione

Azione

Sbloccato

Questa opzione abilita l'avvio della configurazione Enclave del sistema operativo guest.

Bloccato

Questa opzione consente di configurare il pulsante di avvio.

Selezionare l'opzione Avvia hash chiave pubblica Enclave.
Per utilizzare una delle chiavi pubbliche configurate nell'host, selezionare Usa da host e, dal menu a discesa, selezionare un hash della chiave pubblica.
Per immettere manualmente la chiave pubblica, selezionare Immetti manualmente e immettere una chiave hash SHA256 (64) valida.

Fare clic su OK.