环境配置
使能机密计算TEE特性前,请参见本章节提前准备软硬件安装环境,以确保后续安装操作顺利进行。
硬件、固件和软件配套说明
- 硬件服务器需搭载鲲鹏920新型号处理器(7280Z、7270Z、7285Z、5253Z、5252Z、5235Z、5230Z、7260Z、7260Y、7250Y、5258F)。
- 机密虚机部署要求的固件和软件配套如下表1、表2所示。
表1 固件获取 固件名称
版本要求
说明
获取途径
BIOS
21.23版本及以上
服务器配套BIOS固件,支持TEE套件TMM固件引导启动。
BMC
5.05.12.5版本及以上
服务器配套BMC固件,支持TEE套件TMM固件安全升级。
表2 软件包配套 软件包名称
版本要求
说明
获取途径
BoostKit-virtCCA_1.6.0.zip
1.6.0
鲲鹏BoostKit机密计算TEE套件软件包,包含TMM固件。
请联系华为工程师获取
libvirt
9.10.0-16版本及以上
虚拟机管理接口库。
openEuler 24.03 LTS SP2 Yum源下载
QEMU
8.2.0-37版本及以上
开源虚拟机软件,可模拟不同的硬件平台和操作系统。
Kernel
6.6.0-100.0.0.103版本及以上
操作系统Linux内核。
edk2-aarch64
202308-23
UEFI固件开发工具包。
virtCCA_sdk
0.1.17-1版本及以上
virtCCA SDK软件包,提供virtCCA远程证明动态库及头文件。
iBMC导入License
服务器需加载TEE License使能TEE套件特性,在缺少TEE License情况下特性关闭,BIOS无法打开特性使能开关。获取License文件后需基于以下部署完成License导入。
如果需要申请TEE License,请联系华为业务负责人。
- 登录iBMC网页,选择。
在未导入License的情况下,Kunpeng TEE Function处于“已关闭”状态。
- 单击“安装”,选择获取的TEE License。
成功导入TEE License后,Kunpeng TEE Function处于“已开启”状态,并显示对应截止日期。
固件配置
为开启TEE套件特性需升级配套TEE套件固件服务器。
- BIOS固件升级
登录iBMC网页,下电机器,将BIOS hpm上传至升级文件处后开始升级,升级完成后上电。
- TMM固件升级
登录iBMC网页,下电机器,将tmm_image.hpm上传至升级文件处后开始升级,升级完成后上电。
配置TEE支持
TEE License已导入的情况下,可通过BIOS配置选项选择开启或关闭TEE特性以及TEE安全内存大小配置。
- 重启或上电服务器,登录BIOS配置选项。
- 在BIOS配置选项,进入配置菜单。
- 将“Channel Interleaving 3Way”选项配置为“Disabled”。
- 在BIOS配置选项中,进入配置菜单。
- 将“Support TEE”选项配置为“Enabled”。
- 根据业务场景需要配置TEE安全内存大小。
- Max Volume of Secure Memory:表示当前内存插法下NUMA均分时,允许配置的最大安全内存大小。
- TEE Memory Size:表示选取目标安全内存大小。其中AUTO模式,不会考虑NUMA均分,会分配尽可能多的安全内存。
- 按“F10”,保存、退出BIOS配置选项。