在 vSphere 7.0 Update 2 及更新版本中,可以使用 vSphere Client 將 SEV-ES 新增至虛擬機器,以增強客體作業系統的安全性。

您可以將 SEV-ES 新增至 ESXi 7.0 Update 1 或更新版本上執行的虛擬機器。

必要條件

  • 系統必須安裝有 AMD EPYC 7xx2 (名為「Rome」的代碼) 或更新版本的 CPU 及支援 BIOS。
  • 必須在 BIOS 中啟用 SEV-ES。
  • 每台 ESXi 主機的 SEV-ES 虛擬機器數目受 BIOS 控制。在 BIOS 中啟用 SEV-ES 時,輸入的最小 SEV 非 ES ASID 設定值等於 SEV-ES 虛擬機器數目加上 1。例如,如果要同時執行的虛擬機器數目為 12,則輸入 13
    備註: vSphere 7.0 Update 1 支援每台 ESXi 主機有 16 個啟用了 SEV-ES 的虛擬機器。在 BIOS 中使用較高的設定不會阻止 SEV-ES 正常運作,但是,限制值 16 仍適用。vSphere 7.0 Update 2 支援每台 ESXi 主機有 480 個啟用了 SEV-ES 的虛擬機器。
  • 您環境中執行的 ESXi 主機必須是 ESXi 7.0 Update 1 或更新版本。
  • vCenter Server 必須為 vSphere 7.0 Update 2 或更新版本。
  • 客體作業系統必須支援 SEV-ES。

    目前,僅支援具有對 SEV-ES 的特定支援的 Linux 核心。

  • 虛擬機器必須具有硬體版本 18 或更新版本。
  • 虛擬機器必須已啟用保留所有客體記憶體選項,否則開啟電源會失敗。

程序

  1. 透過使用 vSphere Client 連線至 vCenter Server
  2. 在詳細目錄中選取一個物件,此物件必須為虛擬機器的有效父系物件,例如 ESXi 主機或叢集。
  3. 在物件上按一下滑鼠右鍵,選取新虛擬機器,然後遵循提示來建立虛擬機器。
    選項 動作
    選取建立類型 建立虛擬機器。
    選取名稱和資料夾 指定名稱和目標位置。
    選取運算資源 指定您有權限為其建立虛擬機器的物件。
    選取儲存區 在虛擬機器儲存區原則中,選取儲存區原則。選取相容的資料存放區。
    選取相容性 確保已選取 ESXi 7.0 及更新版本
    選取客體作業系統 選取 Linux,然後選取具有 SEV-ES 之特定支援的 Linux 版本。
    自訂硬體 虛擬機器選項 > 開機選項 > 韌體下,請確保已選取 EFI。在虛擬機器選項 > 加密下,選取 AMD SEV-ES 的啟用核取方塊。
    即將完成 檢閱資訊,然後按一下完成

結果

虛擬機器是使用 SEV-ES 建立的。