vSphere with Tanzu を使用すると、スーパーバイザー クラスタ 上で機密性の確保された vSphere ポッド を実行できます。機密性の確保された vSphere ポッド では、ゲスト OS のメモリを常に暗号化してハイパーバイザーからのアクセスから保護するハードウェア テクノロジーが使用されます。

vSphere 7.0 Update 2 以降の場合、機密性の確保された vSphere ポッド を作成するには、セキュリティ拡張として Secure Encrypted Virtualization-Encrypted State (SEV-ES) を追加する必要があります。SEV-ES により、CPU レジスタ内の情報がレジスタからハイパーバイザーなどのコンポーネントに漏洩することを防止できます。SEV-ES は、CPU レジスタの状態に対する悪意のある変更を検出することもできます。vSphere 環境での SEV-ES テクノロジーの使用の詳細については、「 AMD の Secure Encrypted Virtualization -Encrypted State による仮想マシンの保護」を参照してください。

前提条件

ESXi ホストで SEV-ES を有効にするには、vSphere 管理者が次のガイドラインに従う必要があります。
  • SEV-ES 機能をサポートするホストを使用します。現在、SEV-ES でサポートされているのは AMD EPYC 7xx2 CPU(コード名は Rome)およびそれ以降の CPU のみです。
  • ESXi バージョン 7.0 Update 2 以降を使用します。
  • ESXi システムの BIOS 構成で SEV-ES を有効にします。BIOS 構成へのアクセスの詳細については、システムのドキュメントを参照してください。
  • BIOS で SEV-ES を有効にするときに、ホスト上の SEV-ES 仮想マシンと機密性の確保された vSphere ポッド の数に 1 を加えた値を [Minimum SEV non-ES ASID] の設定に入力します。たとえば、100 台の SEV-ES 仮想マシンと 128 個の vSphere ポッド を実行する計画がある場合は、229 以上の値を入力します。入力できる設定の最大値は 500 です。

手順

  1. 次のパラメータを含む YAML ファイルを作成します。
    1. 注釈で、機密性の確保された vSphere ポッド 機能を有効にします。
      ...
      annotations:
              vmware/confidential-pod: enabled
      ...
    2. コンテナのメモリ リソースを指定します。
      この例のように、メモリ要求とメモリ制限を同じ値に設定してください。
      resources:
            requests:
              memory: "512Mi"
            limits:
              memory: "512Mi"
      例として、次の YAML ファイルを使用します。
      apiVersion: v1
      kind: Pod
      metadata:
        name: photon-pod
        namespace: my-podvm-ns
        annotations:
          vmware/confidential-pod: enabled
      spec:  # specification of the pod's contents
        restartPolicy: Never
        containers:
        - name: photon
          image: wcp-docker-ci.artifactory.eng.vmware.com/vmware/photon:1.0
          command: ["/bin/sh"]
          args:    ["-c", "while true; do echo hello, world!; sleep 1; done"]
          resources:
            requests:
              memory: "512Mi"
            limits:
              memory: "512Mi"
  2. スーパーバイザー クラスタ にログインします。
    kubectl vsphere login --server=https://<server_adress> --vsphere-username <your user account name>
  3. アプリケーションをデプロイする名前空間に切り替えます。
    kubectl config use-context <namespace>
  4. YAML ファイルから、機密性の確保された vSphere ポッド をデプロイします。
    kubectl apply -f <yaml file name>.yaml
    注: vSphere ポッド がデプロイされている場合、DRS は SEV-ES をサポートする ESXi ノードに配置されます。このようなノードを使用できない場合、 vSphere ポッド は失敗とマークされます。

    機密性の確保された vSphere ポッド を起動すると、このポッドで実行されているすべてのワークロードに対して、ハードウェア メモリ暗号化がサポートされます。

  5. 次のコマンドを実行して、機密性が確保された vSphere ポッド が作成されていることを確認します。
    kubectl describe pod/<yaml name>

次のタスク

vSphere 管理者には、機密性の確保された vSphere ポッド が表示されます。 vSphere Client では、この仮想マシンに [暗号化モード: 機密性の高いコンピューティング] というタグが付加されて表示されます。

暗号化モード:vSphere ポッドに機密性の高いコンピューティングが表示されます