特性使能
- 导入TEE License
TEE特性启用受License控制,在特性使用前请确认BMC许可证管理界面TEE Function已处于开启状态,本章节主要介绍BMC如何导入TEE License。
- BIOS使能TEE
TEE Licnese已导入情况下,可通过BIOS配置选项选择开启/关闭TEE特性以及TEE安全内存大小配置。
- libvirt支持命令
机密虚机支持libvirt纳管,本章节介绍了当前版本机密虚机支持的libvirt virsh管理命令。
- 启动虚机
按照上述流程搭建好环境后,就可以启动机密虚机。当前支持的启动方式是使用以下libvirt命令启动。
- 获取安全内存信息
为满足普通侧运维需要,扩展了libvirt virsh命令,支持通过virsh命令查看TEE侧安全内存使用情况。
- 远程证明
TEE套件完成了rats-tls的适配,本章节主要介绍如何实现基于rats-tls的远程证明。
- 使能sealing key
机密虚机内提供硬件密钥派生功能(sealing key),每台服务器在出厂前会预置唯一、随机根密钥,即使相同的派生参数派生密钥结果也不同,本章节主要介绍如何使能硬件密钥派生功能。
- 使能机密设备直通
TEE侧机密虚机支持PCIe设备直通,包括网卡、磁盘、GPU卡等设备。本章节主要介绍如何使能IO设备直通机密虚机,实现IO性能大幅提升。
- kata机密容器
- 安全内存加密
安全内存加密(SME)是一种基于硬件实现的内存加密技术,有助于保护数据以免受到某些冷引导和物理攻击侵害。该技术透明地加密所有安全物理内存,不需要软件干预或支持。本章节主要介绍如何使用安全内存加密功能。
- 国密硬件加速
鲲鹏芯片支持国密算法加速,硬件实现SM2/3/4国密算法加解密。本章节主要介绍如何在机密虚机内使能鲲鹏芯片国密硬件加速功能。
- 机密虚机支持UEFI
- 机密虚机支持DPDK-OVS网络加速
机密虚机需要在云上支持OVS+DPDK,以实现网络加速功能。该功能基于openEuler-24.03-LTS-SP1完成开发调测。当前支持的网卡类型为:板载网卡-NIC 1 (SF221Q) 和1822网卡-SP580。