vSphere 7.0 Update 2 以降では、vSphere Client を使用して SEV-ES を既存の仮想マシンに追加して、ゲスト OS のセキュリティを強化することができます。

SEV-ES は ESXi 7.0 Update 1 以降で実行されている仮想マシンに追加できます。

前提条件

  • システムに AMD EPYC 7xx2(コード ネームは「Rome」)以降の CPU が搭載されていて、BIOS をサポートしている必要があります。
  • SEV-ES は BIOS で有効にする必要があります。
  • ESXi ホスト 1 台あたりの SEV-ES 仮想マシンの数は、BIOS によって制御されます。BIOS で SEV-ES を有効にするときに、SEV-ES 仮想マシンの数に 1 を加えた値を [Minimum SEV non-ES ASID] の設定に入力します。たとえば、同時に実行できる仮想マシンの数が 12 の場合は、13 を入力します。
    注: vSphere 7.0 Update 1 では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 16 台サポートされます。BIOS の設定を大きくしても SEV-ES の機能が停止することはありません。ただし、16 台という制限は引き続き適用されます。vSphere 7.0 Update 2 では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 480 台サポートされます。
  • 環境内で実行されている ESXi ホストは、ESXi 7.0 Update1 以降である必要があります。
  • vCenter Server は、vSphere 7.0 Update 2 以降である必要があります。
  • ゲスト OS は SEV-ES をサポートしている必要があります。

    現在、サポートされているのは、SEV-ES に対する特定のサポート機能を備えた Linux カーネルのみです。

  • 仮想マシンのハードウェア バージョンが 18 以降である必要があります。
  • 仮想マシンで [すべてのゲスト メモリを予約] オプションを有効にしておく必要があります。有効にしないと、パワーオンは失敗します。
  • 仮想マシンがパワーオフ状態であることを確認します。

手順

  1. vCenter ServervSphere Client を使用して接続します。
  2. インベントリで、変更する仮想マシンを右クリックして、[設定の編集] を選択します。
  3. [仮想マシン オプション] > [起動オプション ] > [] で、EFI が選択されていることを確認します。
  4. [設定の編集] ダイアログ ボックスの [仮想マシン オプション] > [暗号化] で、AMD SEV-ES の [有効化] チェック ボックスを選択します。
  5. [OK] をクリックします。

結果

仮想マシンに SEV-ES が追加されました。