12.4. 为内存加密创建镜像
当 overcloud 包含 AMD SEV Compute 节点时,您可以创建一个 AMD SEV 实例镜像,供您的云用户用于启动具有内存加密的实例。
流程
为内存加密创建新镜像:
(overcloud)$ openstack image create ... \ --property hw_firmware_type=uefi amd-sev-image
注意如果您使用现有镜像,镜像必须将
hw_firmware_type
属性设置为uefi
。可选:将属性
hw_mem_encryption=True
添加到镜像中,以便在镜像中启用 AMD SEV 内存加密:(overcloud)$ openstack image set \ --property hw_mem_encryption=True amd-sev-image
提示您可以在类别上启用内存加密。如需更多信息,请参阅为内存加密创建类别。
可选:如果尚未在 Compute 节点配置中设置,请将机器类型设置为
q35
:(overcloud)$ openstack image set \ --property hw_machine_type=q35 amd-sev-image
可选: 要在支持 SEV 的主机聚合上调度内存加密实例,请在镜像额外规格中添加以下特征:
(overcloud)$ openstack image set \ --property trait:HW_CPU_X86_AMD_SEV=required amd-sev-image
提示您还可以在类别上指定此特征。如需更多信息,请参阅为内存加密创建类别。