仮想マシンをデプロイするときや、既存の仮想マシンの編集またはクローン作成を行うときに、仮想マシンで vSGX を有効にできます。

SGX エンクレーブを使用して仮想マシンのリモート認証を使用する場合、単一の CPU ソケットを使用するホストは Intel Registration Server に登録する必要はありません。

vSphere 8.0 では、SGX ホスト登録を有効にすることで、マルチソケット ホストで実行されている仮想マシンのリモート認証を許可します。

前提条件

vSGX を使用するには、 vSphere Client 環境が次の要件のリストを満たしている必要があります。
  • 仮想マシンの要件:
  • コンポーネントの要件:
    • vCenter Server 7.0 以降
    • ESXi 7.0 以降
    • SGX 対応の CPU に ESXi ホストをインストールし、ESXi ホストの BIOS で SGX を有効にする必要があります。サポートされている CPU については、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/71367) を参照してください。
    • ホストのリモート認証を有効にするには、ホストを Intel Registration Server に登録します。これにより、ホストで実行されている仮想マシンはリモート認証を使用できます。マルチソケット ESXi の登録方法の詳細は、『vCenter Server およびホスト管理』ドキュメントを参照してください。
  • ゲスト OS のサポート:
    • Linux
    • Windows Server 2016(64 ビット)以降
    • Windows 10(64 ビット)以降
注: vSGX を有効にした仮想マシンでは、一部の操作と機能がサポートされません。
  • vMotion での移行
  • Storage vMotion での移行
  • 仮想マシンのサスペンドまたはレジューム
  • 仮想マシンのスナップショットの作成(特に仮想マシンのメモリのスナップショットを作成する場合)
  • Fault Tolerance
  • ゲストの整合性 (GI)(VMware AppDefense™ 1.0 のプラットフォーム基盤)の有効化。

手順

  1. 仮想マシンをデプロイするときや、既存の仮想マシンを編集するときに、SGX を有効にできます。
    オプション 操作
    仮想マシンのデプロイ
    1. 仮想マシンの有効な親オブジェクトであるインベントリ オブジェクトを右クリックし、[新規仮想マシン] を選択します。
    2. [作成タイプの選択] 画面で、[新規仮想マシンの作成] を選択し、[次へ] をクリックします。
    3. ウィザードの次のページに進みます。
    4. [ハードウェアのカスタマイズ] 画面で、[仮想ハードウェア] タブをクリックします。
    仮想マシンの編集
    1. インベントリで仮想マシンを右クリックし、[設定の編集] を選択します。
    2. [仮想ハードウェア] タブをクリックします。
    既存の仮想マシンのクローン作成
    1. インベントリで仮想マシンを右クリックし、[クローン作成] > [仮想マシンにクローン作成] の順に選択します。
    2. ウィザードの次のページに進みます。
    3. [クローン オプションの選択] 画面で、[この仮想マシンのハードウェアをカスタマイズします] を選択し、[次へ] をクリックします。
    4. [仮想ハードウェア] タブをクリックします。
  2. [仮想ハードウェア] タブで、[セキュリティ デバイス] を展開します。

    Intel Software Guard Extensions を有効にする方法

  3. SGX を有効にするには、[有効化] チェック ボックスを選択します。
  4. [Enclave ページのキャッシュ サイズ (MB)] テキスト ボックスに、キャッシュ サイズを MB 単位で入力します。
    注: Enclave ページのキャッシュ サイズは 2 MB の倍数にする必要があります。
  5. 登録されていないマルチソケット SGX ホストなど、SGX リモート認証をサポートしていないホストで仮想マシンがパワーオンしないようにするには、[リモート認証] チェック ボックスをオンにします。
  6. [起動制御設定] ドロップダウン メニューから、適切なモードを選択します。
    オプション 操作
    ロック解除済み このオプションを使用すると、ゲスト OS の Launch Enclave 設定が有効になります。
    ロック済み このオプションでは Launch Enclave を設定できます。
    1. [Launch Enclave パブリック キー ハッシュ] オプションを選択します。
    2. ホストで設定されたいずれかのパブリック キーを使用するには、[ホストからの使用] を選択し、ドロップダウン メニューからパブリック キー ハッシュを選択します。
    3. パブリック キーを手動で入力するには、[手動入力] を選択し、有効な SHA256 ハッシュ(64 文字)キーを入力します。
  7. [OK] をクリックします。