vSphere 7.0 Update 2 以降では、vSphere Client を使用して SEV-ES を既存の仮想マシンに追加して、ゲスト OS のセキュリティを強化することができます。
SEV-ES は ESXi 7.0 Update 1 以降で実行されている仮想マシンに追加できます。
前提条件
- システムに AMD EPYC 7xx2(コード ネームは「Rome」)以降の CPU が搭載されていて、BIOS をサポートしている必要があります。
- SEV-ES は BIOS で有効にする必要があります。
- ESXi ホスト 1 台あたりの SEV-ES 仮想マシンの数は、BIOS によって制御されます。BIOS で SEV-ES を有効にするときは、SEV-ES 仮想マシンの数に 1 を加えた値を [Minimum SEV non-ES ASID] の設定に入力します。たとえば、同時に実行できる仮想マシンの数が 12 の場合は、13 を入力します。
注: vSphere 7.0 Update 1 以降では、SEV-ES が有効な仮想マシンが ESXi ホスト 1 台あたり 16 台サポートされます。BIOS の設定を大きくしても SEV-ES の機能が停止することはありません。ただし、16 台という制限は引き続き適用されます。vSphere 7.0 Update 2 以降では、SEV-ES が有効な仮想マシンが ESXi ホスト 1 台あたり 480 台サポートされます。
- 環境内で実行されている ESXi ホストは、ESXi 7.0 Update1 以降である必要があります。
- vCenter Server は、vSphere 7.0 Update 2 以降である必要があります。
- ゲスト OS は SEV-ES をサポートしている必要があります。
現在、サポートされているのは、SEV-ES に対する特定のサポート機能を備えた Linux カーネルのみです。
- 仮想マシンのハードウェア バージョンが 18 以降である必要があります。
- 仮想マシンで [すべてのゲスト メモリを予約] オプションを有効にしておく必要があります。有効にしないと、パワーオンは失敗します。
- 仮想マシンがパワーオフ状態であることを確認します。
手順
- vCenter Server に vSphere Client を使用して接続します。
- インベントリで、変更する仮想マシンを右クリックして、[設定の編集] を選択します。
- で、EFI が選択されていることを確認します。
- [設定の編集] ダイアログ ボックスの で、AMD SEV-ES の [有効化] チェック ボックスを選択します。
- [OK] をクリックします。
結果
仮想マシンに SEV-ES が追加されました。