Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

19.12.2. RHEL ゲストで SEV-SNP を有効にする

RHEL 仮想マシン (仮想マシン) でセキュア暗号化仮想化セキュアネストページング (SEV-SNP) を有効にするには、仮想マシンの作成時に SEV-SNP 設定を適用します。

または、既存の RHEL 仮想マシンで SEV-SNP を有効にするには、仮想マシンの設定を編集してください。

SEV-SNP は、仮想マシン (VM) に対して強力なメモリー暗号化と整合性保護を提供する、ハードウェアベースのセキュリティー機能です。これにより、仮想マシンはハイパーバイザーやその他のホストシステムソフトウェアから分離されます。SEV-SNP は AMD 製 CPU でのみ利用可能です。

前提条件

  • お使いの RHEL ホストで SEV-SNP が有効になっています。手順については、SEV-SNP が有効になっている RHEL ホストを 参照してください。
  • ホストには libvirtvirt-install、および virt-xml がインストールされています。

  • 仮想マシンは、サポートされている RHEL バージョンをゲストオペレーティングシステムとして使用します。

    • RHEL 9.2 以降
    • RHEL 10.0 以降

手順

  • SEV-SNP を有効にした新しい RHEL 仮想マシンを作成するには:

    • virt-install ユーティリティーを --launchSecurity sev-snp,policy=0x30000 オプション付きで使用してください。以下に例を示します。 

      # virt-install \
    --name <vm_name> --os-info rhel9.6 --memory 2048 --vcpus 2 \
    --boot uefi --import --disk /var/lib/libvirt/images/disk.qcow2 \
    --graphics none --console pty,target_type=serial \
    --launchSecurity sev-snp,policy=0x30000

  • 既存の RHEL 仮想マシンで SEV-SNP 機能を有効にするには:

    1. 既存の仮想マシンが実行中の場合は、シャットダウンしてください。 

      # virsh shutdown <vm_name>

    2. 現在の仮想マシン設定をエクスポートしてバックアップします。 

      # virsh dumpxml <vm_name> > /tmp/<vm_name>-backup.xml

    3. 仮想マシンドメインに SEV-SNP 起動セキュリティー設定を追加します。 

      # virt-xml <vm_name> --edit --launchSecurity type=sev-snp,policy=0x30000

      このコマンドは、SEV-SNP 設定を仮想マシンのドメイン XML に追加します。または、virsh edit vm-name を使用して設定を手動で編集し、<launchSecurity type='sev-snp'> 要素を追加することもできます。

    4. 仮想マシンが互換性のある CPU モデルで設定されていることを確認してください。 

      # virsh dumpxml <vm_name> --xpath //cpu

<cpu mode="host-passthrough" check="none" migratable="on"/>

      CPU は ホストパススルー に設定するか、AMD EPYC モデルを使用してください。そうでない場合は、更新してください。 

      # virt-xml <vm_name> --edit --cpu mode=host-passthrough

    5. 仮想マシンを起動します。 

      # virsh start <vm_name>

検証

  1. ホスト上で、仮想マシンが SEV-SNP を有効にした状態で実行されていることを確認してください。 

    # virsh dumpxml --xpath //launchSecurity <vm_name>

<launchSecurity type="sev-snp">
  <policy>0x00030000</policy>
</launchSecurity>
  2. ゲスト仮想マシンにログインしてください。

  3. SEV-SNP ゲストデバイスが存在することを確認してください。 

    # ls -l /dev/sev_guest

    ゲスト OS で SEV-SNP が正しく有効になっている場合、このコマンドは /dev/sev_guest キャラクタデバイスをリスト表示します。

    重要

    /dev/sev_guest の存在を確認することは、仮想マシンが正しく設定され、正常に動作していることを証明するだけです。仮想マシンが SEV-SNP を使用して悪意のあるホストから保護されていることをアテステーションするには、ゲストの暗号化認証を実行する必要があります。

    アテステーションの詳細は、機密コンピューティングアテステーションについて学ぶ (Red Hat ブログ) を参照してください。

トラブルシューティング

  • ゲスト OS で SEV-SNP が検出されない場合は、ホスト OS の SEV-SNP 設定が正しいこと、および設定変更後に仮想マシンが再起動されたことを確認してください。

  • 元の設定に戻すには、バックアップから復元してください。 

    # virsh undefine <vm_name>
# virsh define /tmp/<vm_name>-backup.xml
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る