가상 시스템에 SEV-ES를 추가하여 게스트 운영 체제에 향상된 보안을 제공할 수 있습니다.

ESXi 7.0 업데이트 1 이상에서 실행되는 가상 시스템에 SEV-ES를 추가할 수 있습니다.

사전 요구 사항

  • 시스템에 AMD EPYC 7xx2(코드명 "Rome") 이상의 CPU가 설치되어 있고 BIOS를 지원해야 합니다.
  • BIOS에 SEV-ES를 사용하도록 설정되어 있어야 합니다.
  • ESXi 호스트당 SEV-ES 가상 시스템 수는 BIOS에서 제어됩니다. BIOS에서 SEV-ES를 사용하도록 설정할 때 Minimum SEV non-ES ASID 설정 값을 SEV-ES 가상 시스템의 수에 1을 더한 값과 동일하게 입력합니다. 예를 들어 동시에 실행하려는 가상 시스템이 12개이면 13을 입력합니다.
    참고: vSphere 7.0 업데이트 1은 SEV-ES를 사용하도록 설정된 가상 시스템을 ESXi 호스트당 16개 지원합니다. BIOS에서 더 높은 설정을 사용해도 SEV-ES는 계속 작동하지만 16개라는 제한은 여전히 적용됩니다. vSphere 7.0 업데이트 2는 SEV-ES를 사용하도록 설정된 가상 시스템을 ESXi 호스트당 480개 지원합니다.
  • 환경에서 실행하는 ESXi 호스트는 ESXi 7.0 업데이트 1 이상이어야 합니다.
  • 게스트 운영 체제가 SEV-ES를 지원해야 합니다.

    현재는 SEV-ES를 지원하는 특정 Linux 커널만 지원됩니다.

  • 가상 시스템은 하드웨어 버전 18 이상이어야 합니다.
  • 가상 시스템에 모든 게스트 메모리 예약 옵션을 사용하도록 설정되어 있어야 합니다.그렇지 않으면 전원이 켜지지 않습니다.
  • 환경에 액세스할 수 있는 시스템에 PowerCLI 12.1.0 이상을 설치해야 합니다.

프로시저

  1. PowerCLI 세션에서 Connect-VIServer cmdlet을 실행하여 SEV-ES가 있는 가상 시스템을 추가하려는 ESXi 호스트를 관리하는 vCenter Server에 관리자로 연결합니다.
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. New-VM cmdlet을 사용하고 -SEVEnabled $true를 지정하여 가상 시스템을 생성합니다.
    예를 들어, 먼저 호스트 정보를 변수에 할당한 다음, 가상 시스템을 생성합니다.
    $vmhost = Get-VMHost -Name 10.193.25.83
    New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true
    가상 하드웨어 버전을 지정해야 하는 경우에는 New-VM cmdlet을 -HardwareVersion vmx-18 매개 변수와 함께 실행합니다. 예:
    New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true -HardwareVersion vmx-18

결과

SEV-ES가 있는 가상 시스템이 생성됩니다.