Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

8.3. IBM Z および IBM LinuxONE 上での IBM Secure Execution 仮想マシンの設定

IBM® Z® および IBM® LinuxONE 上で IBM® Secure Execution 仮想マシン (VM) を設定できます。

IBM® Secure Execution for Linux は、IBM® z15 および IBM® LinuxONE III で導入された s390x セキュリティーテクノロジーです。KVM ゲストで実行されるワークロードのデータが、サーバー環境によって検査または変更されるのを防ぎます。

特に、ハードウェア管理者、KVM コード、KVM 管理者は、IBM Secure Execution ゲストとして起動されたゲストのデータにアクセスできません。

クラスターのコンピュートノード上の IBM Z® および IBM® LinuxONE 上で IBM® Secure Execution 仮想マシン (VM) を有効にするには、前提条件を満たしていることを確認し、以下の手順を完了する必要があります。

前提条件

  • クラスターには、IBM® z15 以降、または IBM® LinuxONE III 以降で実行されている論理パーティション (LPAR) ノードがある。
  • クラスター上で実行できる IBM® Secure Execution ワークロードがある。
  • OpenShift CLI (oc) がインストールされている。

手順

  1. IBM® Secure Execution 仮想マシンを実行するには、各コンピュートノードに prot_virt=1 カーネルパラメーターを追加する必要があります。すべてのコンピュートノードを有効にするには、次のマシン設定マニフェストを含む secure-execution.yaml という名前のファイルを作成します。 

    apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
metadata:
  name: secure-execution
  labels:
    machineconfiguration.openshift.io/role: worker
spec:
  kernelArguments:
    - prot_virt=1
    Copy to Clipboard Toggle word wrap

    ここでは、以下のようになります。

    prot_virt=1
    ウルトラバイザーがメモリーセキュリティー情報を保存できることを指定します。

  2. 次のコマンドを実行して変更を適用します。 

    $ oc apply -f secure-execution.yaml
    Copy to Clipboard Toggle word wrap

    Machine Config Operator (MCO) は変更を適用し、制御されたロールアウトでノードを再起動します。

  3. 次のコマンドを実行して、HyperConverged カスタムリソース (CR) を編集します。 

    $ oc edit -n openshift-cnv HyperConverged kubevirt-hyperconverged
    Copy to Clipboard Toggle word wrap

  4. 次のアノテーションを適用して、IBM® Secure Execution のフィーチャーゲートを有効にします。 

    apiVersion: hco.kubevirt.io/v1beta1
kind: HyperConverged
metadata:
  annotations:
    kubevirt.kubevirt.io/jsonpatch: |-
     [
      {
       "op":"add",
       "path":"/spec/configuration/developerConfiguration/featureGates/-",
       "value":"SecureExecution"
      }
     ]
    Copy to Clipboard Toggle word wrap

8.3.2. IBM Z および IBM LinuxONE 上での IBM Secure Execution 仮想マシンの起動
リンクのコピー

IBM Z® および IBM® LinuxONE で IBM® Secure Execution 仮想マシンを起動する前に、仮想マシンマニフェストに launchSecurity パラメーターを追加する必要があります。そうしないと、デバイスにアクセスできないため、仮想マシンは正しく起動しません。

手順

  • 次の VirtualMachine マニフェストをクラスターに適用します。 

    apiVersion: kubevirt.io/v1
kind: VirtualMachine
metadata:
  labels:
    kubevirt.io/vm: f41-se
  name: f41-se
spec:
  runStrategy: Always
  template:
    metadata:
      labels:
        kubevirt.io/vm: f41-se
    spec:
      domain:
        launchSecurity: {}
        devices:
          disks:
          - disk:
              bus: virtio
            name: rootfs
        machine:
          type: ""
        resources:
          requests:
            memory: 4Gi
      terminationGracePeriodSeconds: 0
      volumes:
        - name: rootfs
          dataVolume:
            name: f41-se
    Copy to Clipboard Toggle word wrap

    IBM® Secure Execution 仮想マシンを起動するには、マニフェストに次の YAML を含める必要があります。 

    spec:
   domain:
     launchSecurity: {}
    Copy to Clipboard Toggle word wrap

    仮想マシンマニフェストの残りの部分は、セットアップに応じて異なります。

    注記

    仮想マシンのメモリーは保護されているため、IBM® Secure Execution 仮想マシンはライブマイグレーションできません。仮想マシンはオフラインでのみ移行できます。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat