AMD SEV机密虚拟机

项目位置链接

AMD SEV 技术基于AMD EPYC CPU，将物理机密计算能力传导至虚拟机实例，在公有云上打造一个立体化可信加密环境。 SEV可保证单个虚拟机实例使用独立的硬件密钥对内存加密，同时提供高性能支持。密钥由AMD 平台安全处理器 (PSP)在实例创建期间生成，而且仅位于处理器中，云厂商无法访问这些密钥。

测试环境

硬件配置

CPU: AMD EPYC 7763 *1

Memory: DDR4 3200 32G *16

软件信息

OS: Anolis 8.5.0-10.0.1

Kernel: 5.10.134-12.1.an8.x86_64

第一步 开启 SME和 SEV

开启 SME

将 mem_encrypt=on 添加到kernel的引导参数

Enable SEV

将 kvm_amd.sev=1 kvm.添加到kernel的引导参数中

确保Kernel的引导参数生效

1、vim /etc/default/grub

2、增加 "kvm_amd.sev=1 mem_encrypt=on" 到 "GRUB_CMDLINE_LINUX_DEFAULT=" 这一行

3、grub2-mkconfifig -o /boot/efifi/EFI/anolis/grub.cfg

第二步 重启服务器进入BIOS开启SEV相关选项

BIOS 配置项如下

1、Advanced->AMD CBS->CPU Common Options->SMEE->Enable

2、Advanced->AMD CBS->NBIO Common Options->IOMMU->Enabled

3、Advanced->AMD CBS->NBIO Common Options->SEV-SNP Support->Enable

Anolis OS 对SEV的配置进行确认

1、cat /proc/cmdline

确保输出有"mem_encrypt=on kvm_amd.sev=1"

类似输出如下

BOOT_IMAGE=(hd1,gpt2)/vmlinuz-5.10.134-12.1.an8.x86_64 root=/dev/mapper/ao-root ro
crashkernel=auto resume=/dev/mapper/ao-swap rd.lvm.lv=ao/root rd.lvm.lv=ao/swap rhgb 
quiet mem_encrypt=on kvm_amd.sev=1 kvm_amd.sev_es=1

2、dmesg | grep -i SEV

确保输出有 "SEV supported"

类似输出如下

[ 5.145496] ccp 0000:47:00.1: sev enabled
[ 5.234221] ccp 0000:47:00.1: SEV API:1.49 build:6
[ 5.445958] SEV supported: 253 ASIDs

3、cat /sys/module/kvm_amd/parameters/sev

确保输出值是 "1" 或者 "Y"

《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密虚拟机（2） https://developer.aliyun.com/article/1230949?groupCode=aliyun_linux