當您部署虛擬機器、編輯或複製現有的虛擬機器時,您可以在虛擬機器上啟用 vSGX。

若要對使用 SGX Enclave 的虛擬機器使用遠端證明,具有單一 CPU 通訊端的主機不需要向 Intel 登錄伺服器進行登錄。

在 vSphere 8.0 中,透過啟用 SGX 主機登錄,可以對多通訊端主機上執行的虛擬機器進行遠端證明。

必要條件

若要使用 vSGX,您的 vSphere Client 環境必須符合需求清單:
  • 虛擬機器需求:
  • 元件需求:
    • vCenter Server 7.0 及更新版本
    • ESXi 7.0 或更新版本
    • ESXi主機必須安裝在支援 SGX 的 CPU 上,並且必須在ESXi 主機的 BIOS 中啟用 SGX。如需支援 CPU 的相關資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/71367
    • 若要為主機啟用遠端證明,請向 Intel 登錄伺服器登錄主機。這樣一來,在主機上執行的虛擬機器就可以使用遠端證明。如需有關如何登錄多通訊端 ESXi 的詳細資訊,請參閱《vCenter Server 和主機管理》說明文件。
  • 客體作業系統支援:
    • Linux
    • Windows Server 2016 (64 位元) 及更新版本
    • Windows 10 (64 位元) 及更新版本
備註: 啟用 vSGX 時,虛擬機器不支援某些作業和功能。
  • 運用 vMotion 進行移轉
  • Storage vMotion 移轉
  • 暫停或恢復虛擬機器
  • 建立虛擬機器的快照,尤其是建立虛擬機器記憶體的快照時
  • Fault Tolerance
  • 啟用客體完整性 (GI,VMware AppDefense™ 1.0 的平台基礎)。

程序

  1. 當您部署虛擬機器或編輯現有的虛擬機器時,可以啟用 SGX。
    選項 動作
    部署虛擬機器
    1. 在屬於有效虛擬機器父系物件的任何詳細目錄物件上按一下滑鼠右鍵,然後選取新增虛擬機器
    2. 選取建立類型頁面上,選取建立新的虛擬機器,然後按下一步
    3. 導覽精靈的各個頁面。
    4. 自訂硬體頁面上,按一下虛擬硬體索引標籤。
    編輯虛擬機器
    1. 在詳細目錄中的虛擬機器上按一下滑鼠右鍵,然後選取編輯設定
    2. 按一下虛擬硬體索引標籤。
    複製現有的虛擬機器
    1. 在詳細目錄中的虛擬機器上按一下滑鼠右鍵,然後選取複製 > 複製到虛擬機器
    2. 導覽精靈的各個頁面。
    3. 選取複製選項頁面上,選取自訂此虛擬機器的硬體,然後按下一步
    4. 按一下虛擬硬體索引標籤。
  2. 虛擬硬體索引標籤上,展開安全性裝置

    如何啟用 Intel Software Guard Extensions

  3. 若要啟用 SGX,請選取啟用核取方塊。
  4. Enclave 頁面快取大小 (MB) 文字方塊中,輸入快取大小 (以 MB 為單位)。
    備註: Enclave 頁面快取大小必須為 2 MB 的倍數。
  5. 若要防止虛擬機器將不支援 SGX 遠端證明的主機 (如未登錄的多通訊端 SGX 主機) 開啟電源,請選取遠端證明核取方塊。
  6. 啟動控制組態下拉式功能表中,選取適當模式。
    選項 動作
    已解除鎖定 此選項可啟用客體作業系統的啟動 Enclave 組態。
    已鎖定 此選項可讓您設定啟動 Enclave。
    1. 選取啟動 Enclave 公開金鑰雜湊選項。
    2. 若要使用主機上設定的其中一個公開金鑰,請選取從主機使用,然後從下拉式功能表中選取公開金鑰雜湊。
    3. 若要手動輸入公開金鑰,請選取手動輸入,然後輸入有效的 SHA256 雜湊 (64) 字元金鑰。
  7. 按一下確定