SEV-ES 元件和架構

SEV-ES 架構由以下元件所組成。

• AMD CPU，尤其是管理加密金鑰和處理加密的平台安全性處理器 (PSP)。
• 啟發性的作業系統，也就是對 Hypervisor 使用客體起始呼叫的作業系統。
• 虛擬機器監控器 (VMM) 和虛擬機器可執行檔 (VMX)，用於在開啟虛擬機器電源期間初始化已加密的虛擬機器狀態，並同時處理來自客體作業系統的呼叫。
• VMkernel 驅動程式，用於在 Hypervisor 與客體作業系統之間傳遞未加密的資料。

在 ESXi 上執行和管理 SEV-ES

必須先在系統的 BIOS 組態中啟用 SEV-ES。如需有關存取 BIOS 組態的詳細資訊，請參閱所用系統的說明文件。在系統的 BIOS 中啟用 SEV-ES 後，可以將 SEV-ES 新增到虛擬機器。

可以使用 vSphere Client (從 vSphere 7.0 Update 2 開始) 或 PowerCLI 命令在虛擬機器上啟用和停用 SEV-ES。可以使用 SEV-ES 建立新虛擬機器，或在現有虛擬機器上啟用 SEV-ES。管理啟用了 SEV-ES 的虛擬機器的權限與管理一般虛擬機器的權限相同。

SEV-ES 上不支援的 VMware 功能

在啟用了 SEV-ES 的情況下，不支援以下功能。

• 系統管理模式
• vMotion
• 已開啟電源的快照 (但支援無記憶體的快照)
• 熱新增或熱移除 CPU 或記憶體
• 暫停/繼續
• VMware Fault Tolerance
• 複製和即時複製
• 客體完整性
• UEFI 安全開機