在 vSphere 7.0 Update 1 及更新版本中,您可以在支援的 AMD CPU 和客體作業系統上啟用安全加密虛擬化-加密狀態 (SEV-ES)。
目前,SEV-ES 僅支援 AMD EPYC 7xx2 CPU (名為「Rome」的代碼) 及更新版本的 CPU,以及僅支援包含對 SEV-ES 的特定支援的 Linux 核心版本。
SEV-ES 元件和架構
SEV-ES 架構由以下元件所組成。
- AMD CPU,尤其是管理加密金鑰和處理加密的平台安全性處理器 (PSP)。
- 啟發性的作業系統,也就是對 Hypervisor 使用客體起始呼叫的作業系統。
- 虛擬機器監控器 (VMM) 和虛擬機器可執行檔 (VMX),用於在開啟虛擬機器電源期間初始化已加密的虛擬機器狀態,並同時處理來自客體作業系統的呼叫。
- VMkernel 驅動程式,用於在 Hypervisor 與客體作業系統之間傳遞未加密的資料。
在 ESXi 上執行和管理 SEV-ES
必須先在系統的 BIOS 組態中啟用 SEV-ES。如需有關存取 BIOS 組態的詳細資訊,請參閱所用系統的說明文件。在系統的 BIOS 中啟用 SEV-ES 後,可以將 SEV-ES 新增到虛擬機器。
可以使用 vSphere Client (從 vSphere 7.0 Update 2 開始) 或 PowerCLI 命令在虛擬機器上啟用和停用 SEV-ES。可以使用 SEV-ES 建立新虛擬機器,或在現有虛擬機器上啟用 SEV-ES。管理啟用了 SEV-ES 的虛擬機器的權限與管理一般虛擬機器的權限相同。
SEV-ES 上不支援的 VMware 功能
在啟用了 SEV-ES 的情況下,不支援以下功能。
- 系統管理模式
- vMotion
- 已開啟電源的快照 (但支援無記憶體的快照)
- 熱新增或熱移除 CPU 或記憶體
- 暫停/繼續
- VMware Fault Tolerance
- 複製和即時複製
- 客體完整性
- UEFI 安全開機