SEV-ES を既存の仮想マシンに追加して、ゲスト OS のセキュリティを強化することができます。

SEV-ES は ESXi 7.0 Update 1 以降で実行されている仮想マシンに追加できます。

前提条件

  • システムに AMD EPYC 7xx2(コード ネームは「Rome」)以降の CPU が搭載されていて、BIOS をサポートしている必要があります。
  • SEV-ES は BIOS で有効にする必要があります。
  • ESXi ホスト 1 台あたりの SEV-ES 仮想マシンの数は、BIOS によって制御されます。BIOS で SEV-ES を有効にするときに、SEV-ES 仮想マシンの数に 1 を加えた値を [Minimum SEV non-ES ASID] の設定に入力します。たとえば、同時に実行できる仮想マシンの数が 12 の場合は、13 を入力します。
    注: vSphere 7.0 Update 1 では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 16 台サポートされます。BIOS の設定を大きくしても SEV-ES の機能が停止することはありません。ただし、16 台という制限は引き続き適用されます。vSphere 7.0 Update 2 では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 480 台サポートされます。
  • 環境内で実行されている ESXi ホストは、ESXi 7.0 Update1 以降である必要があります。
  • ゲスト OS は SEV-ES をサポートしている必要があります。

    現在、サポートされているのは、SEV-ES に対する特定のサポート機能を備えた Linux カーネルのみです。

  • 仮想マシンのハードウェア バージョンが 18 以降である必要があります。
  • 仮想マシンで [すべてのゲスト メモリを予約] オプションを有効にしておく必要があります。有効にしないと、パワーオンは失敗します。
  • 環境にアクセスできるシステムに PowerCLI 12.1.0 以降がインストールされている必要があります。
  • 仮想マシンがパワーオフ状態であることを確認します。

手順

  1. PowerCLI セッションで Connect-VIServer コマンドレットを実行して、SEV-ES を追加する仮想マシンが含まれている ESXi ホストを管理する vCenter Server に、管理者として接続します。
    例:
    Connect-VIServer -server vCenter_Server_ip_address -User admin_user -Password 'password'
  2. Set-VM コマンドレットに -SEVEnabled $true を指定して実行し、仮想マシンに SEV-ES を追加します。
    例:
    $vmhost = Get-VMHost -Name 10.193.25.83
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true
    仮想ハードウェア バージョンを指定する必要がある場合は、 -HardwareVersion vmx-18 パラメータを指定して Set-VM コマンドレットを実行します。例:
    Set-VM -Name MyVM2 $vmhost -SEVEnabled $true -HardwareVersion vmx-18

結果

仮想マシンに SEV-ES が追加されました。