可以使用命令列將 SEV-ES 新增到虛擬機器,以便為客體作業系統提供增強的安全性。

您可以將 SEV-ES 新增至 ESXi 7.0 Update 1 或更新版本上執行的虛擬機器。

必要條件

  • 系統必須安裝有 AMD EPYC 7xx2 (名為「Rome」的代碼) 或更新版本的 CPU 及支援 BIOS。
  • 必須在 BIOS 中啟用 SEV-ES。
  • 每台 ESXi 主機的 SEV-ES 虛擬機器數目受 BIOS 控制。在 BIOS 中啟用 SEV-ES 時,輸入的最小 SEV 非 ES ASID 設定值等於 SEV-ES 虛擬機器數目加上 1。例如,如果要同時執行的虛擬機器數目為 12,則輸入 13
    備註: vSphere 7.0 Update 1 及更新版本支援每台 ESXi 主機有 16 個啟用了 SEV-ES 的虛擬機器。在 BIOS 中使用較高的設定不會阻止 SEV-ES 正常運作,但是,限制值 16 仍適用。vSphere 7.0 Update 2 及更新版本支援每台 ESXi 主機有 480 個啟用了 SEV-ES 的虛擬機器。
  • 您環境中執行的 ESXi 主機必須是 ESXi 7.0 Update 1 或更新版本。
  • 客體作業系統必須支援 SEV-ES。

    目前,僅支援具有對 SEV-ES 的特定支援的 Linux 核心。

  • 虛擬機器必須具有硬體版本 18 或更新版本。
  • 虛擬機器必須已啟用保留所有客體記憶體選項,否則開啟電源會失敗。
  • 必須在具有環境存取權的系統上安裝 PowerCLI 12.1.0 或更新版本。

程序

  1. 在 PowerCLI 工作階段中,執行 Connect-VIServer cmdlet,以管理員身分連線至管理 ESXi 主機 (您要在其中新增具有 SEV-ES 的虛擬機器) 的 vCenter Server 
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. 使用 New-VM cmdlet 建立虛擬機器,並指定 -SEVEnabled $true
    例如,先將主機資訊指派給一個變數,然後再建立虛擬機器。 
    $vmhost = Get-VMHost -Name 10.193.25.83
New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true
    如果必須指定虛擬硬體版本,請將 New-VM cmdlet 與 -HardwareVersion vmx-18 參數搭配執行。例如: 
    New-VM -Name MyVM1 $vmhost -NumCPU 2 -MemoryMB 4 -DiskMB 4 -SEVEnabled $true -HardwareVersion vmx-18

結果

虛擬機器是使用 SEV-ES 建立的。