SEV-ES を仮想マシンに追加して、ゲスト OS のセキュリティを強化することができます。
SEV-ES は ESXi 7.0 Update 1 以降で実行されている仮想マシンに追加できます。
前提条件
- システムに AMD EPYC 7xx2(コード ネームは「Rome」)以降の CPU が搭載されていて、BIOS をサポートしている必要があります。
- SEV-ES は BIOS で有効にする必要があります。
- ESXi ホスト 1 台あたりの SEV-ES 仮想マシンの数は、BIOS によって制御されます。BIOS で SEV-ES を有効にするときに、SEV-ES 仮想マシンの数に 1 を加えた値を [Minimum SEV non-ES ASID] の設定に入力します。たとえば、同時に実行できる仮想マシンの数が 12 の場合は、13 を入力します。
注: vSphere 7.0 Update 1 では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 16 台サポートされます。BIOS の設定を大きくしても SEV-ES の機能が停止することはありません。ただし、16 台という制限は引き続き適用されます。vSphere 7.0 Update 2 では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 480 台サポートされます。
- 環境内で実行されている ESXi ホストは、ESXi 7.0 Update1 以降である必要があります。
- ゲスト OS は SEV-ES をサポートしている必要があります。
現在、サポートされているのは、SEV-ES に対する特定のサポート機能を備えた Linux カーネルのみです。
- 仮想マシンのハードウェア バージョンが 18 以降である必要があります。
- 仮想マシンで [すべてのゲスト メモリを予約] オプションを有効にしておく必要があります。有効にしないと、パワーオンは失敗します。
- 環境にアクセスできるシステムに PowerCLI 12.1.0 以降がインストールされている必要があります。
手順
結果
SEV-ES を使用する仮想マシンが作成されました。