vSphere 7.0 업데이트 1 이상의 경우, 지원되는 AMD CPU 및 게스트 운영 체제에서 SEV-ES(Secure Encrypted Virtualization-Encrypted State)를 활성화할 수 있습니다.
현재 SEV-ES는 AMD EPYC 7xx2 CPU(코드명 "Rome") 이상 CPU와 SEV-ES에 대한 특정 지원을 포함하는 Linux 커널 버전만 지원합니다.
SEV-ES 구성 요소 및 아키텍처
SEV-ES 아키텍처는 다음과 같은 구성 요소로 이루어져 있습니다.
- AMD CPU: 특히 암호화 키를 관리하고 암호화를 처리하는 PSP(Platform Security Processor).
- 인식 운영 체제: 게스트 시작 하이퍼바이저 호출을 사용하는 운영 체제입니다.
- VMM(가상 시스템 모니터) 및 가상 시스템 실행 파일(VMX): 가상 시스템의 전원을 켜는 동안 암호화된 가상 시스템 상태를 초기화하고 게스트 운영 체제의 호출을 처리합니다.
- VMkernel 드라이버: 하이퍼바이저와 게스트 운영 체제 간에 암호화되지 않은 데이터를 전달합니다.
ESXi에서 SEV-ES 구현 및 관리
먼저 시스템의 BIOS 구성에서 SEV-ES를 활성화해야 합니다. BIOS 구성 액세스에 대한 자세한 내용은 시스템 설명서를 참조하십시오. 시스템의 BIOS에서 SEV-ES를 활성화한 후에 가상 시스템에 SEV-ES를 추가할 수 있습니다.
vSphere Client(vSphere 7.0 업데이트 2부터 시작) 또는 PowerCLI 명령을 사용하여 가상 시스템에서 SEV-ES를 활성화 및 비활성화합니다. SEV-ES가 있는 새 가상 시스템을 생성하거나 기존 가상 시스템에서 SEV-ES를 활성화할 수 있습니다. SEV-ES로 활성화된 가상 시스템을 관리할 수 있는 권한은 일반 가상 시스템을 관리하는 권한과 동일합니다.
SEV-ES에서 지원되지 않는 VMware 기능
SEV-ES가 활성화되면 다음 기능이 지원되지 않습니다.
- 시스템 관리 모드
- vMotion
- 전원이 켜진 스냅샷(단, 메모리가 없는 스냅샷은 지원됨)
- CPU 또는 메모리 무중단 추가 또는 제거
- 일시 중단/재개
- VMware Fault Tolerance
- 복제 및 즉시 복제
- 게스트 무결성
- UEFI 보안 부팅