vSphere 可讓您為虛擬機器設定虛擬 Intel® 軟體防護延伸 (vSGX)。使用 vSGX 可以為工作負載提供額外的安全性。
某些新型 Intel CPU 會執行稱為 Intel® 軟體防護延伸 (Intel® SGX) 的安全性延伸。Intel SGX 是一種特定於處理器的技術,適用於致力於保護特定代碼和資料免遭洩漏或修改的應用程式開發人員。Intel SGX 允許使用者層級代碼定義記憶體的私有區域 (稱為 Enclave)。Enclave 內容受到保護,因此,在 Enclave 外部執行的代碼無法存取 Enclave 內容。
vSGX 允許虛擬機器使用 Intel SGX 技術 (如果在硬體上可用)。若要使用 vSGX,ESXi 主機必須安裝在支援 SGX 的 CPU 上,並且必須在 ESXi 主機的 BIOS 中啟用 SGX。您可以使用 vSphere Client 為虛擬機器啟用 SGX。
在 vSphere 8.0 及更新版本中,可以對已啟用 vSGX 的虛擬機器使用遠端證明。Intel SGX 遠端證明是一種安全機制,允許您與受信任的遠端實體建立經過驗證的安全通訊通道。若要對使用 SGX Enclave 的虛擬機器使用遠端證明,具有單一 CPU 通訊端的主機不需要 Intel 登錄。若要在具有多個 CPU 通訊端的主機中執行的虛擬機器上啟用遠端證明,必須先向 Intel 登錄伺服器登錄該主機。如果具有多個 CPU 通訊端且支援 SGX 的主機未向 Intel 登錄伺服器登錄,則只能開啟不需要遠端證明且已啟用 vSGX 的虛擬機器的電源。
如需有關向 Intel 登錄伺服器登錄多通訊端 ESXi 主機的詳細資訊,請參閱 vCenter Server 和主機管理說明文件。
vSGX 入門
虛擬機器可使用 Intel SGX 技術 (如果在硬體上可用)。
vSGX 對 vSphere 的需求
若要使用 vSGX,您的 vSphere 環境必須符合下列需求:
- 虛擬機器需求:
- EFI 韌體
- 硬體版本 17 或更新版本
- 若要啟用遠端證明,請使用硬體版本 20 或更新版本
- 元件需求:
- vCenter Server 7.0 及更新版本
- ESXi 7.0 及更新版本
- ESXi主機必須安裝在支援 SGX 的 CPU 上,並且必須在ESXi 主機的 BIOS 中啟用 SGX。
- 若要為主機啟用遠端證明,請向 Intel 登錄伺服器登錄主機。這樣一來,在主機上執行的虛擬機器就可以使用遠端證明。如需有關如何登錄多通訊端 ESXi 的詳細資訊,請參閱vCenter Server 和主機管理說明文件。
- 客體作業系統支援:
- Linux
- Windows Server 2016 (64 位元) 及更新版本
- Windows 10 (64 位元) 及更新版本
vSGX 支援的 Intel 硬體
如需適用於 vSGX 的受支援的 Intel 硬體,請參閱位於 https://www.vmware.com/resources/compatibility/search.php 的《vSphere 相容性指南》。
您可能需要在某些 CPU 上關閉超執行緒,以在 ESXi 主機上啟用 SGX。如需詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/71367。
vSGX 上不支援的 VMware 功能
啟用 vSGX 時,虛擬機器不支援下列功能:
- vMotion/DRS 移轉
- 虛擬機器暫停和繼續
- 虛擬機器快照 (如果不建立虛擬機器記憶體的快照,則支援虛擬機器快照)。
- Fault Tolerance
- 客體完整性 (GI,VMware AppDefense™ 1.0 的平台基礎)
由於 Intel SGX 架構的運作方式,這些 VMware 功能不受支援。並非由 VMware 弊端所致。
在虛擬機器上啟用 vSGX
在現有虛擬機器上啟用 vSGX
從虛擬機器移除 vSGX
您可以從虛擬機器中移除 vSGX。