Intel® Software Guard Extensions (Intel® SGX) 是一種以硬體為基礎的安全性解決方案,支援在專用記憶體區域 (稱為 Enclave) 中隔離特定的應用程式代碼和資料。可以使用 vSphere Client 向 Intel 登錄伺服器登錄具有多個 CPU 通訊端且支援 SGX 的主機,並針對在已啟用 vSGX 的虛擬機器中執行的應用程式使用遠端證明。
從 vSphere 7.0 開始,可以在虛擬機器上啟用虛擬 Intel® Software Guard Extensions (vSGX),從而為工作負載提供額外的安全性。請參閱 vSphere 虛擬機器管理說明文件中的使用 Intel Software Guard Extensions 保護虛擬機器。此外,還可以針對已啟用 vSGX 的虛擬機器使用遠端證明。Intel SGX 遠端證明是一種安全機制,允許您與受信任的遠端實體建立經過驗證的安全通訊通道。若要對使用 SGX Enclave 的虛擬機器使用遠端證明,具有單一 CPU 通訊端的主機不需要 Intel 登錄。
從 vSphere 8.0 開始,若要在具有多個 CPU 通訊端的主機中執行的虛擬機器上啟用遠端證明,必須先向 Intel 登錄伺服器登錄該主機。如果具有多個 CPU 通訊端且支援 SGX 的主機未向 Intel 登錄伺服器登錄,則只能開啟不需要遠端證明且已啟用 vSGX 的虛擬機器的電源。
新增具有支援 SGX 的 CPU 的主機時,vCenter Server 將存取 BIOS 提供的整合可延伸韌體介面 (UEFI) 變數並讀取主機的目前登錄狀態。若要使 vCenter Server 擷取有關主機 SGX 狀態的資訊,必須將主機的韌體開機模式設定為 UEFI 模式。請參閱如何檢視 ESXi 主機的 SGX 登錄狀態。
可以透過使用 vSphere Client 中的登錄選項或在微碼更新後將 ESXi 主機重新開機並新增或取代 CPU 套件,變更主機的目前 SGX 登錄狀態。每次將主機重新開機後,都可以使用 vSphere Client 檢視主機的更新登錄狀態。
主機的 SGX 登錄狀態
可以使用 vSphere Client 檢視支援 SGX 的主機的目前狀態,並執行必要的步驟以向 Intel 登錄伺服器登錄主機。
SGX 登錄狀態 |
說明 |
|---|---|
不適用 |
具有單一 CPU 通訊端且支援 SGX 的主機不需要向 Intel 登錄伺服器登錄即可啟用遠端證明。 |
未完成 |
在以下其中一個使用案例中,登錄狀態為未完成:
|
完成 |
成功地向 Intel 登錄伺服器登錄主機。 |
如何檢視 ESXi 主機的 SGX 登錄狀態
使用 vSphere Client,可以檢視 ESXi 主機的目前 SGX 登錄狀態。
必要條件
確保主機安裝在具有 SGX 功能的 Intel CPU 上,並且已啟用 SGX。
將主機的韌體開機模式設定為 UEFI。
程序
下一步
若要對已啟用 vSGX 的虛擬機器使用遠端認證功能,如果主機登錄未完成且主機具有多個 CPU 通訊端,則必須向 Intel 登錄伺服器登錄主機。請參閱如何向 Intel SGX 登錄伺服器登錄多通訊端 ESXi 主機。
如何向 Intel SGX 登錄伺服器登錄多通訊端 ESXi 主機
若要對多通訊端主機使用 SGX 遠端證明功能,請使用 vSphere Client 向 Intel 登錄伺服器登錄 ESXi 主機。
Intel SGX 證明機制可確保 vSGX Enclave 與外部實體之間具有信任關係。若要在已啟用 SGX 功能的多通訊端主機上使用此功能,必須向 Intel SGX 登錄伺服器登錄該主機。
必要條件
確保主機安裝在具有 SGX 功能的 Intel CPU 上,並且已啟用 SGX。
將主機的韌體開機模式設定為 UEFI。
程序
- 在 vSphere Client 首頁中,導覽至。
- 從詳細目錄中選取支援 SGX 的主機,然後按一下設定索引標籤。
- 在 [硬體] 下,選取 SGX,然後按一下登錄。
結果
成功完成登錄作業後,主機的登錄狀態將變更為 [已完成]。
下一步
為已啟用 vSGX 的虛擬機器啟用遠端證明。請參閱 vSphere 虛擬機器管理說明文件中的使用 Intel Software Guard Extensions 保護虛擬機器。
