In vSphere 7.0 Update 2 e versioni successive, è possibile utilizzare vSphere Client per aggiungere SEV-ES in una macchina virtuale esistente per garantire una sicurezza maggiore del sistema operativo guest.

È possibile aggiungere SEV-ES alle macchine virtuali in esecuzione su ESXi 7.0 Aggiornamento 1 (o versioni successive).

Prerequisiti

  • Il sistema deve essere installato con una CPU AMD EPYC 7xx2 (nome in codice "Rome") (o versioni successive) e un BIOS di supporto.
  • SEV-ES deve essere attivato nel BIOS.
  • Il numero di macchine virtuali SEV-ES per l'host ESXi è controllato dal BIOS. Quando si attiva SEV-ES nel BIOS, immettere un valore per l'impostazione ASID SEV non-ES minimo in modo che corrisponda al numero di macchine virtuali SEV-ES più una. Ad esempio, se si dispone di 12 macchine virtuali da eseguire contemporaneamente, immettere il valore 13.
    Nota: vSphere 7.0 Update 1 e le versioni successive supportano 16 macchine virtuali SEV-ES attivate per l'host ESXi. L'utilizzo di un'impostazione più elevata nel BIOS non impedisce a SEV-ES di funzionare. Tuttavia, viene comunque applicato il limite di 16. vSphere 7.0 Update 2 e le versioni successive supportano 480 macchine virtuali SEV-ES attivate per l'host ESXi.
  • L'host ESXi in esecuzione sull'ambiente deve essere impostato su ESXi 7.0 Aggiornamento 1 (o versioni successive).
  • vCenter Server deve corrispondere a vSphere 7.0 Update 2 (o versioni successive).
  • Il sistema operativo guest deve supportare SEV-ES.

    Attualmente sono supportati solo i kernel Linux con supporto specifico per SEV-ES.

  • La versione hardware della macchina virtuale deve corrispondere alla 18 (o versioni successive).
  • L'opzione Prenota tutta la memoria guest deve essere selezionata per la macchina virtuale. In caso contrario, l'accensione della macchina non riuscirà.
  • Assicurarsi che la macchina virtuale sia disattivata.

Procedura

  1. Connettersi a vCenter Server utilizzando vSphere Client.
  2. Fare clic con il pulsante destro del mouse sulla macchina virtuale nell'inventario che si desidera modificare e selezionare Modifica impostazioni.
  3. In Opzioni macchina virtuale > Opzioni di avvio > Firmware, assicurarsi che EFI sia selezionato.
  4. Nella finestra di dialogo Modifica impostazioni in Opzioni macchina virtuale > Crittografia, selezionare la casella di controllo Abilita per AMD SEV-ES.
  5. Fare clic su OK.

risultati

SEV-ES viene aggiunto alla macchina virtuale.