Intel® Software Guard Extensions (Intel® SGX) 是一種以硬體為基礎的安全性解決方案,支援在專用記憶體區域 (稱為 Enclave) 中隔離特定的應用程式代碼和資料。可以使用 vSphere Client 向 Intel 登錄伺服器登錄具有多個 CPU 通訊端且支援 SGX 的主機,並針對在已啟用 vSGX 的虛擬機器中執行的應用程式使用遠端證明。

從 vSphere 7.0 開始,可以在虛擬機器上啟用虛擬 Intel® Software Guard Extensions (vSGX),從而為工作負載提供額外的安全性。請參閱 vSphere 虛擬機器管理說明文件中的使用 Intel Software Guard Extensions 保護虛擬機器。此外,還可以針對已啟用 vSGX 的虛擬機器使用遠端證明。Intel SGX 遠端證明是一種安全機制,允許您與受信任的遠端實體建立經過驗證的安全通訊通道。若要對使用 SGX Enclave 的虛擬機器使用遠端證明,具有單一 CPU 通訊端的主機不需要 Intel 登錄。

從 vSphere 8.0 開始,若要在具有多個 CPU 通訊端的主機中執行的虛擬機器上啟用遠端證明,必須先向 Intel 登錄伺服器登錄該主機。如果具有多個 CPU 通訊端且支援 SGX 的主機未向 Intel 登錄伺服器登錄,則只能開啟不需要遠端證明且已啟用 vSGX 的虛擬機器的電源。

新增具有支援 SGX 的 CPU 的主機時,vCenter Server 將存取 BIOS 提供的整合可延伸韌體介面 (UEFI) 變數並讀取主機的目前登錄狀態。若要使 vCenter Server 擷取有關主機 SGX 狀態的資訊,必須將主機的韌體開機模式設定為 UEFI 模式。請參閱檢視主機的 SGX 登錄狀態

可以透過使用 vSphere Client 中的登錄選項或在微碼更新後將 ESXi 主機重新開機並新增或取代 CPU 套件,變更主機的目前 SGX 登錄狀態。每次將主機重新開機後,都可以使用 vSphere Client 檢視主機的更新登錄狀態。

主機的 SGX 登錄狀態

可以使用 vSphere Client 檢視支援 SGX 的主機的目前狀態,並執行必要的步驟以向 Intel 登錄伺服器登錄主機。

SGX 登錄狀態

說明

不適用

具有單一 CPU 通訊端且支援 SGX 的主機不需要向 Intel 登錄伺服器登錄即可啟用遠端證明。

未完成

在以下其中一個使用案例中,登錄狀態為未完成:

  • 將新主機新增到 vCenter Server 執行個體且該主機尚未登錄時。

  • 執行 Intel SGX 受信任的運算基礎 (TCB) 復原的主機韌體更新後。

  • 對於具有多個 CPU 套件的主機,在新增或取代 CPU 套件時,必須在 BIOS 設定中手動執行 SGX 出廠重設。然後,必須登錄主機,正如新增的主機一樣。

  • 在 BIOS 設定上手動執行 SGX 出廠重設時,必須重新登錄主機。

完成

成功地向 Intel 登錄伺服器登錄主機。

檢視主機的 SGX 登錄狀態

vSphere Client 中可以檢視 ESXi 主機的目前 SGX 登錄狀態。

必要條件

  • 確保主機安裝在具有 SGX 功能的 Intel CPU 上,並且已啟用 SGX。

  • 將主機的韌體開機模式設定為 UEFI。

程序

  1. vSphere Client 中,導覽到支援 SGX 的主機。
  2. 摘要索引標籤上,導覽到硬體卡。
  3. 展開 SGX 節點,檢視登錄狀態內容的值。

    如需有關不同登錄狀態的詳細資訊,請參閱 主機的 SGX 登錄狀態

下一步

若要對已啟用 vSGX 的虛擬機器使用遠端認證功能,如果主機登錄未完成且主機具有多個 CPU 通訊端,則必須向 Intel 登錄伺服器登錄主機。請參閱向 Intel SGX 登錄伺服器登錄多通訊端 ESXi 主機

向 Intel SGX 登錄伺服器登錄多通訊端 ESXi 主機

若要對多通訊端主機使用 SGX 遠端證明功能,請使用 vSphere Client 向 Intel 登錄伺服器登錄 ESXi 主機。

Intel SGX 證明機制可確保 vSGX Enclave 與外部實體之間具有信任關係。若要在已啟用 SGX 功能的多通訊端主機上使用此功能,必須向 Intel SGX 登錄伺服器登錄該主機。

必要條件

  • 確保主機安裝在具有 SGX 功能的 Intel CPU 上,並且已啟用 SGX。

  • 將主機的韌體開機模式設定為 UEFI。

程序

  1. vSphere Client 首頁中,導覽至首頁 > 主機和叢集
  2. 從詳細目錄中選取支援 SGX 的主機,然後按一下設定索引標籤。
  3. 在 [硬體] 下,選取 SGX,然後按一下登錄

結果

成功完成登錄作業後,主機的登錄狀態將變更為 [已完成]。

下一步

為已啟用 vSGX 的虛擬機器啟用遠端證明。請參閱 vSphere 虛擬機器管理說明文件中的使用 Intel Software Guard Extensions 保護虛擬機器