vSphere 7.0 Update 2 以降では、vSphere Client を使用して SEV-ES を仮想マシンに追加して、ゲスト OS のセキュリティを強化することができます。

SEV-ES は ESXi 7.0 Update 1 以降で実行されている仮想マシンに追加できます。

前提条件

  • システムに AMD EPYC 7xx2(コード ネームは「Rome」)以降の CPU が搭載されていて、BIOS をサポートしている必要があります。
  • SEV-ES は BIOS で有効にする必要があります。
  • ESXi ホスト 1 台あたりの SEV-ES 仮想マシンの数は、BIOS によって制御されます。BIOS で SEV-ES を有効にするときに、SEV-ES 仮想マシンの数に 1 を加えた値を [Minimum SEV non-ES ASID] の設定に入力します。たとえば、同時に実行できる仮想マシンの数が 12 の場合は、13 を入力します。
    注: vSphere 7.0 Update 1 以降では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 16 台サポートされます。BIOS の設定を大きくしても SEV-ES の機能が停止することはありません。ただし、16 台という制限は引き続き適用されます。vSphere 7.0 Update 2 以降では、SEV-ES 対応の仮想マシンが ESXi ホスト 1 台あたり 480 台サポートされます。
  • 環境内で実行されている ESXi ホストは、ESXi 7.0 Update1 以降である必要があります。
  • vCenter Server は、vSphere 7.0 Update 2 以降である必要があります。
  • ゲスト OS は SEV-ES をサポートしている必要があります。

    現在、サポートされているのは、SEV-ES に対する特定のサポート機能を備えた Linux カーネルのみです。

  • 仮想マシンのハードウェア バージョンが 18 以降である必要があります。
  • 仮想マシンで [すべてのゲスト メモリを予約] オプションを有効にしておく必要があります。有効にしないと、パワーオンは失敗します。

手順

  1. vCenter ServervSphere Client を使用して接続します。
  2. インベントリ内のオブジェクトから、仮想マシンの有効な親オブジェクト、例えば ESXi ホストまたはクラスタを選択します。
  3. オブジェクトを右クリックして [新規仮想マシン] を選択し、表示される画面に沿って仮想マシンを作成します。
    オプション 操作
    作成タイプの選択 仮想マシンを作成します。
    名前とフォルダの選択 名前とターゲットの場所を指定します。
    コンピューティング リソースの選択 仮想マシンを自分の権限で作成することのできるオブジェクトを指定します。
    ストレージの選択 仮想マシン ストレージ ポリシーでストレージ ポリシーを選択します。互換データストアを選択します。
    互換性の選択 [ESXi 7.0 以降] が選択されていることを確認します。
    ゲスト OS を選択 Linux を選択し、SEV-ES が明確にサポートされている Linux のバージョンを選択します。
    ハードウェアのカスタマイズ [仮想マシン オプション] > [起動オプション ] > [] で、EFI が選択されていることを確認します。[仮想マシン オプション] > [暗号化] の順に選択し、AMD SEV-ES の [有効化] チェック ボックスを選択します。
    設定の確認 情報を確認し、[終了] をクリックします。

結果

SEV-ES を使用する仮想マシンが作成されました。