5.6. 配置 AMD SEV Compute 节点，为实例提供内存加密

带有内存加密的实例的限制

• 您无法实时迁移，或使用内存加密挂起和恢复实例。
• 您不能使用 PCI 透传直接访问带有内存加密的实例的设备。

• 您不能使用 virtio-blk 作为带有比 kernel-4.18.0-115.el8 (RHEL-8.1.0)更早的 Red Hat Enterprise Linux (RHEL)内核进行内存加密的实例的引导磁盘。

  注意

  您可以使用 virtio-scsi 或 SATA 作为引导磁盘，或者 virtio-blk 用于非引导磁盘。

• 在加密实例中运行的操作系统必须提供 SEV 支持。如需更多信息，请参阅红帽知识库解决方案在 RHEL 8 中启用 AMD 安全加密虚拟化。
• 支持 SEV 的机器在其内存控制器中有有限数量的插槽来存储加密密钥。每个带有加密内存的实例都会消耗其中一个插槽。因此，可以同时运行的内存加密的实例数量限制为内存控制器中的插槽数量。例如，在1st Gen AMD EPYC™ 7001 系列("Naples")中，这个限制为 16，在第二代 Gen AMD EPYC™ 7002 系列("Rome")时，这个限制为 255。
• 带有内存加密固定页面的实例。Compute 服务无法交换这些页面，因此您无法在托管内存加密的实例的 Compute 节点上过量使用内存。
• 您不能将内存加密用于具有多个 NUMA 节点的实例。