Architettura e componenti di SEV-ES

L'architettura di SEV-ES è composta dai seguenti componenti.

• La CPU AMD, in particolare il processore PSP (Platform Security Processor), che gestisce le chiavi di crittografia e la crittografia stessa.
• Sistema operativo rilevato, ovvero un sistema operativo che utilizza chiamate avviate dal guest all'hypervisor.
• Virtual Machine Monitor (VMM) e Virtual Machine Executable (VMX) per inizializzare lo stato di una macchina virtuale crittografata durante l'attivazione della macchina virtuale, nonché per gestire le chiamate dal sistema operativo guest.
• Driver VMkernel per comunicare dati non crittografati tra l'hypervisor e il sistema operativo guest.

Implementazione e gestione di SEV-ES su ESXi

È innanzitutto necessario attivare SEV-ES nella configurazione del BIOS di un sistema. Per ulteriori informazioni sull'accesso alla configurazione del BIOS, vedere la documentazione del sistema. Dopo aver attivato SEV-ES nel BIOS per il sistema, è possibile aggiungere SEV-ES a una macchina virtuale.

È possibile utilizzare i comandi di vSphere Client (in vSphere 7.0 Update 2 e versioni successive) o di PowerCLI per attivare e disattivare SEV-ES nelle macchine virtuali. È possibile creare nuove macchine virtuali con SEV-ES oppure attivare SEV-ES su macchine virtuali esistenti. I privilegi per gestire le macchine virtuali attivate con SEV-ES sono gli stessi necessari per la gestione delle macchine virtuali normali.

Funzionalità VMware non supportate su SEV-ES

Le funzionalità seguenti non sono supportate quando SEV-ES è attivato.

• Modalità di gestione del sistema
• vMotion
• Snapshot attivati (tuttavia, gli snapshot senza memoria sono supportati)
• Aggiunta o rimozione a caldo di CPU o memoria
• Sospendi/riprendi
• VMware Fault Tolerance
• Cloni e cloni istantanei
• Integrità guest
• Avvio protetto UEFI