Microsoft Azure での RHEL のデプロイと管理

手順

1. Microsoft リポジトリーキーをインポートします。

   $ sudo rpm --import https://packages.microsoft.com/keys/microsoft-2025.asc

2. packages-microsoft-com-prod リポジトリーを作成します。

   [azure-cli]
   name=Azure CLI
   baseurl=https://packages.microsoft.com/yumrepos/packages.microsoft.com/rhel/10/prod/
   enabled=1
   gpgcheck=1
   gpgkey=https://packages.microsoft.com/keys/microsoft.asc

3. Microsoft Azure CLI をインストールします。ダウンロードした Microsoft Azure CLI パッケージのバージョンは、現在利用可能なバージョンによって異なる場合があります。

   $ sudo dnf install azure-cli

4. Microsoft Azure CLI を実行します。

   $ az login

   ターミナルに次のメッセージが表示されます。Note, we have launched a browser for you to login. For old experience with device code, use az login --use-device-code。その後、ターミナルで Login 画面が開き、そこからログインできるようになります。

   注記

   リモート (SSH) セッションを実行している場合、ログインページのリンクがブラウザーで開きません。この場合、リンクをブラウザーにコピーしてログインし、リモートセッションを認証できます。サインインするには、Web ブラウザーを使用して Login ページを開き、デバイスコードを入力して認証してください。

5. Microsoft Azure のストレージアカウントのキーをリスト表示し、コマンドの出力から key1 の値をメモします。

   $ az storage account keys list --resource-group <resource_group_name> --account-name <account_name>

   resource-group-name は、Microsoft Azure リソースグループの名前に、storage-account-name は Microsoft Azure ストレージアカウントの名前に置き換えます。

   1. 利用可能なリソースをリスト表示するには、次のコマンドを使用します。

      $ az resource list

6. ストレージコンテナーを作成します。

   $ az storage container create --account-name <storage_account_name> \
   --account-key <key1_value> --name <storage_account_name>

   storage-account-name はストレージアカウントの名前に置き換えます。

手順

1. イメージをビルドします。

   $ image-builder build <image-type>

2. イメージを Microsoft Azure にプッシュし、そこからインスタンスを作成します。

   $ az storage blob upload --account-name account_name --container-name container_name --file image_disk.vhd --name image-disk.vhd --type page

3. Microsoft Azure Blob ストレージへのアップロードが完了したら、そこから Microsoft Azure イメージを作成します。RHEL Image Builder で作成したイメージは、V1 = BIOS と V2 = UEFI の両方のインスタンスタイプをサポートするハイブリッドイメージとして生成されます。そのため、--hyper-v-generation 引数を指定できます。デフォルトのインスタンスタイプは V1 です。

   $ az image create --resource-group resource_group_name --name image-disk.vhd --os-type linux --location location \
   --source https://$account_name.blob.core.windows.net/container_name/image-disk.vhd
   - Running

検証

1. Microsoft Azure portal または次のようなコマンドを使用してインスタンスを作成します。

   $ az vm create --resource-group resource_group_name --location location --name vm_name --image image-disk.vhd(--admin-username azure-user --generate-ssh-keys*
   - Running

2. SSH を使用して秘密鍵を使用し、作成したインスタンスにアクセスします。azure-user としてログインします。このユーザー名は前のステップで設定したものです。

手順

1. RHEL Image Builder ダッシュボードで、使用するブループリントを選択します。
2. Images タブをクリックします。

3. Create Image をクリックして、カスタマイズした .vhd イメージを作成します。

   Create image ウィザードが開きます。

   1. Type ドロップダウンメニューリストから Microsoft Azure (.vhd) を選択します。
   2. イメージを Microsoft Azure クラウドにアップロードするには、Upload to Azure チェックボックスをオンします。
   3. Image Size を入力し、Next をクリックします。

4. Upload to Azure ページで、次の情報を入力します。

   1. 認証ページで、次のように入力します。

      1. Storage account の名前。Microsoft Azure portal の Storage account ページにあります。
      2. Storage access key: これは、Access Key ストレージページにあります。
      3. Next をクリックします。

   2. Authentication ページで、次のように入力します。

      1. イメージ名
      2. Storage container。これは、イメージのアップロード先の Blob コンテナーです。Microsoft Azure portal の Blob service セクションにあります。
      3. Next をクリックします。

5. Review ページで Create をクリックします。RHEL Image Builder が起動し、アップロードプロセスが開始します。

   Microsoft Azure Cloud にプッシュしたイメージにアクセスします。

6. Microsoft Azure portal にアクセスします。
7. 検索バーに "storage account" と入力し、リストから Storage accounts をクリックします。
8. 検索バーに "Images" と入力し、Services の下にある最初のエントリーを選択します。Image dashboard にリダイレクトされます。
9. ナビゲーションパネルで、Containers をクリックします。
10. 作成したコンテナーを見つけます。コンテナー内には、RHEL Image Builder を使用して作成およびプッシュした .vhd ファイルがあります。

検証

1. 仮想マシンイメージを作成して起動できることを確認します。

   1. 検索バーに images account と入力し、リストから Images をクリックします。
   2. +Create をクリックします。
   3. ドロップダウンリストから、前に使用したリソースグループを選択します。
   4. イメージの名前を入力します。
   5. OS type で Linux を選択します。
   6. VM generation で Gen 2 を選択します。
   7. Storage Blob で Browse をクリックし、VHD ファイルに到達するまでストレージアカウントとコンテナーをクリックします。
   8. ページの最後にある Select をクリックします。
   9. Account Type を選択します (例: Standard SSD)。
   10. Review + Create をクリックし、Create をクリックします。イメージが作成されるまでしばらく待機します。

2. 仮想マシンを起動するには、次の手順に従います。

   1. Go to resource をクリックします。
   2. ヘッダーのメニューバーから + Create VM をクリックします。
   3. 仮想マシンの名前を入力します。
   4. Size セクションと Administrator account セクションに入力します。

   5. Review + Create をクリックし、Create をクリックします。デプロイメントの進行状況を確認できます。

      デプロイメントが完了したら、仮想マシン名をクリックしてインスタンスのパブリック IP アドレスを取得し、SSH を使用して接続します。

   6. ターミナルを開いて SSH 接続を作成し、仮想マシンに接続します。

手順

1. Red Hat Enterprise Linux (RHEL) 仮想マシンを設定します。

   1. コマンドライン (CLI) からインストールするには、仮想マシンの要件に応じて、デフォルトのメモリー、ネットワークインターフェイス、CPU が設定されていることを確認します。詳細は、コマンドラインを使用した仮想マシンの作成 を参照してください。
   2. Web コンソールからインストールするには、Web コンソールを使用した仮想マシンの作成 を参照してください。

2. インストールが開始されたら、以下を実行します。

   1. root のパスワードを作成します。
   2. 管理者ユーザーアカウントを作成します。
3. インストールが完了してから、仮想マシンを再起動して root アカウントにログインします。
4. root としてログインすると、イメージを設定できます。

5. 仮想マシンを登録し、RHEL リポジトリーを有効にします。

   # subscription-manager register

手順

1. Microsoft リポジトリーキーをインポートします。

   $ sudo dnf --import https://packages.microsoft.com/keys/microsoft.asc

2. ローカル Azure CLI リポジトリーエントリーを作成します。

   $ sudo sh -c 'echo -e "[azure-cli]\nname=Azure CLI\nbaseurl=https://packages.microsoft.com/yumrepos/azure-cli\nenabled=1\ngpgcheck=1\ngpgkey=https://packages.microsoft.com/keys/microsoft.asc" > /etc/yum.repos.d/azure-cli.repo'

3. dnf パッケージインデックスを更新します。

   $ sudo dnf update

4. Azure CLI をインストールします。

   $ sudo dnf install -y azure-cli

5. Azure CLI を実行します。

   $ az login

手順

1. システムに Hyper-V デバイスドライバーがあるかどうかを確認します。

   # lsinitrd | grep hv
   
   drwxr-xr-x   2 root     root            0 Aug 12 14:21 usr/lib/modules/3.10.0-932.el10.x86_64/kernel/drivers/hv
   -rw-r--r--   1 root     root        31272 Aug 11 08:45 usr/lib/modules/3.10.0-932.el10.x86_64/kernel/drivers/hv/hv_vmbus.ko.xz
   -rw-r--r--   1 root     root        25132 Aug 11 08:46 usr/lib/modules/3.10.0-932.el10.x86_64/kernel/drivers/net/hyperv/hv_netvsc.ko.xz
   -rw-r--r--   1 root     root         9796 Aug 11 08:45 usr/lib/modules/3.10.0-932.el10.x86_64/kernel/drivers/scsi/hv_storvsc.ko.xz

   すべてのドライバーがインストールされていない場合、または hv_vmbus ドライバーがリストされない場合は、残りのステップを完了します。

2. /etc/dracut.conf.d ディレクトリーに hv.conf ファイルを作成し、次のドライバーパラメーターを追加します。

   # vi hv.conf
   
   add_drivers+=" hv_vmbus "
   add_drivers+=" hv_netvsc "
   add_drivers+=" hv_storvsc "
   add_drivers+=" nvme "

   環境内に他の Hyper-V ドライバーがすでに存在する場合に備えて、一意のドライバーをロードするために、二重引用符の前後にスペースを追加してください (add_drivers+=" hv_vmbus ")。

3. initramfs イメージを再生成します。

   # dracut -f -v --regenerate-all

検証

1. マシンを再起動します。

2. ドライバーのインストールを確認します。

   # lsinitrd | grep hv

手順

1. 仮想マシンにログインします。

2. /etc/cloud/cloud.cfg.d/00-azure-swap.cfg 設定ファイルを作成して編集し、次の cloud-init 設定をファイルに追加します。

   # vi /etc/cloud/cloud.cfg.d/00-azure-swap.cfg

   #cloud-config
   disk_setup:
     ephemeral0:
       table_type: gpt
       layout: [66, [33,82]]
       overwrite: true
   fs_setup:
     - device: ephemeral0.1
       filesystem: ext4
     - device: ephemeral0.2
       filesystem: swap
   mounts:
     - ["ephemeral0.1", "/mnt"]
     - ["ephemeral0.2", "none", "swap", "sw,nofail,x-systemd.requires=cloud-init.service", "0", "0"]

   この設定の内容は次のとおりです。

   • GPT パーティションテーブルを使用して、エフェメラルディスク (ephemeral0) にパーティションを作成します。
   • 2 つのパーティションを作成します。66% はファイルシステム用 (/mnt にマウント)、33% は swap 領域用です。
   • 最初のパーティションを ext4 としてフォーマットし、2 番目のパーティションを swap としてフォーマットします。

   • 両方のパーティションを起動時に自動マウントするように設定します。

     注記

     パーティションレイアウト [66, [33,82]] は、ディスクの 66% を最初のパーティションに割り当て、33% を 2 番目のパーティションに割り当てます。2 番目のパーティション仕様の 82 は、Linux スワップパーティションのタイプを示しています。これらのパーセンテージは要件に応じて調整できます。

3. 設定ファイルにエラーがないか確認します。

   # cloud-init devel schema --config-file /etc/cloud/cloud.cfg.d/00-azure-swap.cfg

   設定が有効な場合、コマンドはエラーを返しません。

手順

1. ログインして仮想マシンを登録し、Red Hat Enterprise Linux (RHEL) リポジトリーを有効にします。

   # subscription-manager register
   
   Installed Product Current Status:
   Product Name: Red Hat Enterprise Linux for x86_64
   Status: Subscribed

2. cloud-init および hyperv-daemons パッケージをインストールします。

   # dnf install cloud-init hyperv-daemons -y

3. cloud-init 設定ファイルを作成し、Azure サービスと統合するための編集を行います。

   1. Hyper-V Data Exchange Service (KVP) へのログ記録を有効にするには、/etc/cloud/cloud.cfg.d/10-azure-kvp.cfg 設定ファイルを編集し、次の行を追加します。

      reporting:
          logging:
              type: log
          telemetry:
              type: hyperv

   2. Azure データソースを追加するには、/etc/cloud/cloud.cfg.d/91-azure_datasource.cfg ファイルを編集し、次の行を追加します。

      datasource_list: [ Azure ]
      datasource:
          Azure:
              apply_network_config: False

   3. エフェメラルディスク上のスワップ領域を設定するには、/etc/cloud/cloud.cfg.d/00-azure-swap.cfg 設定ファイルを作成し、そのファイルに次の行を追加します。

      重要

      エフェメラルディスクは一時的なストレージです。したがって、仮想マシンが割り当て解除または移動されると、スワップ領域を含め、そこに保存されているデータが失われます。エフェメラルディスクは、スワップ領域などの一時データにのみ使用してください。

      #cloud-config
      disk_setup:
        ephemeral0:
          table_type: gpt
          layout: [66, [33,82]]
          overwrite: true
      fs_setup:
        - device: ephemeral0.1
          filesystem: ext4
        - device: ephemeral0.2
          filesystem: swap
      mounts:
        - ["ephemeral0.1", "/mnt"]
        - ["ephemeral0.2", "none", "swap", "sw,nofail,x-systemd.requires=cloud-init.service", "0", "0"]

4. 特定のカーネルモジュールの自動ロードをブロックするには、/etc/modprobe.d/blocklist.conf ファイルを編集し、次の行を追加します。

   blacklist nouveau
   blacklist lbm-nouveau
   blacklist floppy
   blacklist amdgpu
   blacklist skx_edac
   blacklist intel_cstate

5. udev ネットワークデバイスルールを変更します。

   1. 存在する場合は、次の永続的なネットワークデバイスルールを削除します。

      # rm -f /etc/udev/rules.d/70-persistent-net.rules
      # rm -f /etc/udev/rules.d/75-persistent-net-generator.rules
      # rm -f /etc/udev/rules.d/80-net-name-slot-rules

   2. Azure で高速ネットワークが確実に機能するためには、/etc/udev/rules.d/68-azure-sriov-nm-unmanaged.rules の新しいネットワークデバイスルールを編集し、次の行を追加します。

      SUBSYSTEM=="net", DRIVERS=="hv_pci", ACTION=="add", ENV{NM_UNMANAGED}="1"

6. sshd サービスが自動的に起動するように設定します。

   # systemctl enable sshd
   # systemctl is-enabled sshd

7. カーネルブートパラメーターを変更します。

   1. /etc/default/grub ファイルの GRUB_TIMEOUT パラメーター値を更新します。

      GRUB_TIMEOUT=10

   2. 存在する場合は、GRUB_CMDLINE_LINUX 行の末尾から次のオプションを削除します。

      rhgb quiet

   3. 次の設定詳細で、/etc/default/grub ファイルを更新します。

      GRUB_CMDLINE_LINUX="loglevel=3 crashkernel=auto console=tty1 console=ttyS0 earlyprintk=ttyS0 rootdelay=300"
      GRUB_TIMEOUT_STYLE=countdown
      GRUB_TERMINAL="serial console"
      GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

      注記

      GRUB_CMDLINE_LINUX 行の末尾に elevator=none オプションを追加すると、I/O スケジューラーが完全に無効になります。このオプションは、ディスクパフォーマンスを最適化せずに、実行順序に従って I/O 要求を処理します。elevator=none がオンの場合、以下のとおりとなります。

      • ハードディスクドライブ (HDD): パフォーマンスとスループットが低下するため、ワークロードの実行には適していません。
      • ソリッドステートドライブ (SSD): 高性能でレイテンシーが低いため、ワークロードの実行に適しています。

   4. grub.cfg ファイルを再生成します。

      • BIOS ベースのマシンの場合:

        # grub2-mkconfig -o /boot/grub2/grub.cfg --update-bls-cmdline

      • UEFI ベースのマシンの場合:

        # grub2-mkconfig -o /boot/grub2/grub.cfg --update-bls-cmdline

        警告

        grub.cfg を再構築するパスは、BIOS ベースと UEFI ベースの両マシンで同じです。オリジナルの grub.cfg は BIOS パスにのみ存在します。UEFI パスには、grub2-mkconfig コマンドを使用して変更または再作成してはならないスタブファイルがあります。

        システムが grub.cfg にデフォルト以外の場所を使用している場合は、それに応じてコマンドを調整してください。

8. Windows Azure Linux Agent (WALinuxAgent) を設定します。

   1. WALinuxAgent パッケージをインストールして有効にします。

      # dnf install WALinuxAgent -y
      # systemctl enable waagent

   2. WALinuxAgent でスワップ設定を無効にするために (cloud-init を使用してスワップを管理する場合に必要)、/etc/waagent.conf ファイルで次の行を編集します。

      Provisioning.DeleteRootPassword=y
      ResourceDisk.Format=n
      ResourceDisk.EnableSwap=n
      ResourceDisk.SwapSizeMB=0

      注記

      WALinuxAgent でスワップを無効にすると、cloud-init がエフェメラルディスク上のスワップ設定を管理できるようになります。

9. Azure プロビジョニング用に VM を準備します。

   1. Red Hat Subscription Manager から仮想マシンの登録を解除します。

      # subscription-manager unregister

   2. 既存のプロビジョニングの詳細をクリーンアップします。

      # waagent -force -deprovision

      注記

      このコマンドは、Azure が仮想マシンのプロビジョニングを自動的に処理すると警告を生成します。

   3. シェル履歴をクリーンアップし、仮想マシンをシャットダウンします。

      # export HISTSIZE=0
      # poweroff

手順

1. イメージを qcow2 形式から raw 形式に変換します。

   $ qemu-img convert -f qcow2 -O raw <image_example_name>.qcow2 <image_name>.raw

2. align.sh シェルスクリプトを編集します。

   $ vi align.sh
   
   #!/bin/bash
   MB=$((1024 * 1024))
   size=$(qemu-img info -f raw --output json "$1" | gawk 'match($0, /"virtual-size": ([0-9]+),/, val) {print val[1]}')
   rounded_size=$((($size/$MB + 1) * $MB))
   if [ $(($size % $MB)) -eq  0 ]
   then
    echo "Your image is already aligned. You do not need to resize."
    exit 1
   fi
   echo "rounded size = $rounded_size"
   export rounded_size

3. スクリプトを実行します。

   $ sh align.sh <image_example_name>.raw

4. Your image is already aligned. You do not need to resize. というメッセージが表示された場合、以下を実行します。

   1. ファイルを固定 VHD 形式に変換します。

      $ qemu-img convert -f raw -o subformat=fixed,force_size -O vpc <image_example_name>.raw <image_example_name>.vhd

      変換されると、VHD ファイルは Azure にアップロードする準備が整います。

5. 値が表示される場合は、raw イメージが調整されていないことを意味します。

   1. 上記のように丸められた値を使用して、raw ファイルのサイズを変更します。

      $ qemu-img resize -f raw <image_example_name>.raw +1G

   2. raw イメージファイルを VHD 形式に変換します。

      $ qemu-img convert -f raw -o subformat=fixed,force_size -O vpc <image_example_name>.raw <image_example_name>.vhd

      変換されると、VHD ファイルは Azure にアップロードする準備が整います。

手順

1. Azure 認証情報を使用してホストを認証し、ログインします。

   $ az login

   ブラウザーからログインするには、CLI からブラウザーで Azure サインインページを開きます。詳細は、Sign in with a browser を参照してください。

2. Azure リージョンにリソースグループを作成します。

   $ az group create --name <resource-group> --location <azure-region>

   以下に例を示します。

   [clouduser@localhost]$ az group create --name azrhelclirsgrp --location southcentralus
   {
     "id": "/subscriptions//resourceGroups/azrhelclirsgrp",
     "location": "southcentralus",
     "managedBy": null,
     "name": "azrhelclirsgrp",
     "properties": {
       "provisioningState": "Succeeded"
     },
     "tags": null
   }

3. 有効な Stock Keeping Unit (SKU) タイプでストレージアカウントを作成します。詳細は、SKU Types を参照してください。

   $ az storage account create -l <azure-region> -n <storage-account-name> -g <resource-group> --sku <sku_type>

   以下に例を示します。

   $ az storage account create -l southcentralus -n azrhelclistact -g azrhelclirsgrp --sku Standard_LRS
   {
     "accessTier": null,
     "creationTime": "2017-04-05T19:10:29.855470+00:00",
     "customDomain": null,
     "encryption": null,
     "id": "/subscriptions//resourceGroups/azrhelclirsgrp/providers/Microsoft.Storage/storageAccounts/azrhelclistact",
     "kind": "StorageV2",
     "lastGeoFailoverTime": null,
     "location": "southcentralus",
     "name": "azrhelclistact",
     "primaryEndpoints": {
       "blob": "https://azrhelclistact.blob.core.windows.net/",
       "file": "https://azrhelclistact.file.core.windows.net/",
       "queue": "https://azrhelclistact.queue.core.windows.net/",
       "table": "https://azrhelclistact.table.core.windows.net/"
   },
   "primaryLocation": "southcentralus",
   "provisioningState": "Succeeded",
   "resourceGroup": "azrhelclirsgrp",
   "secondaryEndpoints": null,
   "secondaryLocation": null,
   "sku": {
     "name": "Standard_LRS",
     "tier": "Standard"
   },
   "statusOfPrimary": "available",
   "statusOfSecondary": null,
   "tags": {},
     "type": "Microsoft.Storage/storageAccounts"
   }

4. ストレージアカウントの詳細を表示します。

   $ az storage account show-connection-string -n <storage_account_name> -g <resource_group>

   以下に例を示します。

   $ az storage account show-connection-string -n azrhelclistact -g azrhelclirsgrp
   {
     "connectionString": "DefaultEndpointsProtocol=https;EndpointSuffix=core.windows.net;AccountName=azrhelclistact;AccountKey=NreGk...=="
   }

5. 既存の接続文字列をエクスポートして環境変数を設定し、システムをストレージアカウントに接続します。

   $ export AZURE_STORAGE_CONNECTION_STRING="<storage_connection_string>"

   以下に例を示します。

   $ export AZURE_STORAGE_CONNECTION_STRING="DefaultEndpointsProtocol=https;EndpointSuffix=core.windows.net;AccountName=azrhelclistact;AccountKey=NreGk...=="

6. ストレージコンテナーを作成します。

   $ az storage container create -n <container_name>

   以下に例を示します。

   $ az storage container create -n azrhelclistcont
   {
     "created": true
   }

7. 仮想ネットワークを作成します。

   $ az network vnet create -g <resource group> --name <vnet_name> --subnet-name <subnet_name>

   以下に例を示します。

   $ az network vnet create --resource-group azrhelclirsgrp --name azrhelclivnet1 --subnet-name azrhelclisubnet1
   {
     "newVNet": {
       "addressSpace": {
         "addressPrefixes": [
         "10.0.0.0/16"
         ]
     },
     "dhcpOptions": {
       "dnsServers": []
     },
     "etag": "W/\"\"",
     "id": "/subscriptions//resourceGroups/azrhelclirsgrp/providers/Microsoft.Network/virtualNetworks/azrhelclivnet1",
     "location": "southcentralus",
     "name": "azrhelclivnet1",
     "provisioningState": "Succeeded",
     "resourceGroup": "azrhelclirsgrp",
     "resourceGuid": "0f25efee-e2a6-4abe-a4e9-817061ee1e79",
     "subnets": [
       {
         "addressPrefix": "10.0.0.0/24",
         "etag": "W/\"\"",
         "id": "/subscriptions//resourceGroups/azrhelclirsgrp/providers/Microsoft.Network/virtualNetworks/azrhelclivnet1/subnets/azrhelclisubnet1",
         "ipConfigurations": null,
         "name": "azrhelclisubnet1",
         "networkSecurityGroup": null,
         "provisioningState": "Succeeded",
         "resourceGroup": "azrhelclirsgrp",
         "resourceNavigationLinks": null,
         "routeTable": null
       }
     ],
     "tags": {},
     "type": "Microsoft.Network/virtualNetworks",
     "virtualNetworkPeerings": null
     }
   }

手順

1. ストレージコンテナーに VHD ファイルをアップロードします。

   $ az storage blob upload \
       --account-name _<storage_account_name> --container-name _<container_name> \
       --type page --file _<path_to_vhd> --name _<image_name>.vhd

   以下に例を示します。

   $ az storage blob upload \
   --account-name azrhelclistact --container-name azrhelclistcont \
   --type page --file ~/Downloads/rhel-image-10.vhd --name rhel-image-10.vhd
   
   Percent complete: 100.0%

2. ストレージコンテナーをリスト表示します。

   1. 表形式で表示するには、次のように入力します。

      $ az storage container list --output table

   2. YAML 形式で表示するには、次のように入力します。

      $ az storage container list --output yaml

3. 最初のステップでアップロードした VHD ファイルの URL を使用します。

   $ az storage blob url -c <container_name> -n _<image_name>.vhd _<url_of_vhd_file>_

   以下に例を示します。

   $ az storage blob url -c azrhelclistcont -n rhel-image-10.vhd "https://azrhelclistact.blob.core.windows.net/azrhelclistcont/rhel-image-10.vhd"

4. Azure カスタムイメージを作成します。

   $ az image create -n _<image_name> -g _<resource_group> -l _<azure_region> --source _<URL> --os-type linux

   注記

   仮想マシンのハイパーバイザーのデフォルトの生成は V1 です。必要に応じて、--hyper-v-generation V2 オプションを使用して V2 ハイパーバイザーの世代を指定できます。第 2 世代の仮想マシンは、UEFI ベースのブートアーキテクチャーを使用します。詳細は、Support for generation 2 VMs on Azure を参照してください。このコマンドは、"Only blobs formatted as VHDs can be imported" エラーを返す場合があります。このエラーは、イメージが VHD に変換される前に最も近い 1 MB の境界に合致していないことを意味します。

   以下に例を示します。

   $ az image create -n rhel10 -g azrhelclirsgrp2 -l southcentralus --source https://azrhelclistact.blob.core.windows.net/azrhelclistcont/rhel-image-10.vhd --os-type linux

手順

1. 仮想マシンを作成します。

   $ az vm create \
       -g <resource_group> -l <azure_region> -n <vm_name> \
       --vnet-name <vnet_name> --subnet <subnet_name> --size Standard_A2 \
       --os-disk-name <simple_name> --admin-username <administrator_name> \
       --generate-ssh-keys --image <path_to_image>

   以下に例を示します。

   $ az vm create \
   -g azrhelclirsgrp2 -l southcentralus -n rhel-azure-vm-1 \ 

   1

   
   --vnet-name azrhelclivnet1 --subnet azrhelclisubnet1 --size Standard_A2 \
   --os-disk-name vm-1-osdisk --admin-username clouduser \ 

   2

   
   --generate-ssh-keys --image rhel10
   
   {
     "fqdns": "",
     "id": "/subscriptions//resourceGroups/azrhelclirsgrp/providers/Microsoft.Compute/virtualMachines/rhel-azure-vm-1",
     "location": "southcentralus",
     "macAddress": "",
     "powerState": "VM running",
     "privateIpAddress": "10.0.0.4",
     "publicIpAddress": "<public_ip_address>",
     "resourceGroup": "azrhelclirsgrp2"
   }

   • --generate-ssh-keys オプションは、~/.ssh ディレクトリーに秘密鍵と公開鍵のペアファイルを作成します。

   • 公開鍵は、--admin-username オプションで指定したユーザーの仮想マシン上の authorized_keys ファイルに追加されます。

     詳細は、SSH 認証方法の種類 を参照してください。次のステップで仮想マシンにログインするときに必要となる publicIpAddress をメモしておきます。

2. SSH セッションを開始し、Azure 仮想マシンにログインします。

   [clouduser@localhost]$ ssh -i /home/clouduser/.ssh/id_rsa clouduser@<public_ip_address>
   
   The authenticity of host '<public_ip_address>' can't be established.
   Are you sure you want to continue connecting (yes/no)? yes
   Warning: Permanently added '<public_ip_address>' (ECDSA) to the list of known hosts.

手順

1. システムを登録します。

   # subscription-manager register

2. サブスクリプションを割り当てます。

   • アクティベーションキーを使用して、サブスクリプションを割り当てることができます。詳細は、カスタマーポータルのアクティベーションキーを作成する を参照してください。
   • または、サブスクリプションプール (Pool ID) の ID を使用してサブスクリプションを手動で割り当てることができます。ホストベースのサブスクリプションのハイパーバイザーへの割り当て を参照してください。

3. オプション: Red Hat Hybrid Cloud Console でインスタンスに関するさまざまなシステムメトリクスを収集するには、インスタンスを Red Hat Lightspeed に登録できます。

   # insights-client register --display-name <display_name_value>

   Red Hat Lightspeed の詳細な設定は、Red Hat Lightspeed のクライアント設定ガイド を参照してください。

手順

1. kdump および必要なパッケージをインストールします。

   # dnf install kexec-tools kdump-utils makedumpfile

2. クラッシュダンプファイルのデフォルトの場所が kdump 設定ファイルで設定されており、/var/crash ファイルが使用可能であることを確認します。

   # grep -v "#" /etc/kdump.conf
   
   path /var/crash
   core_collector makedumpfile -l --message-level 7 -d 31

3. RHEL 仮想マシンのサイズとバージョンに基づき、より多くの空き領域を持つ vmcore ターゲット (例: /mnt/crash) が必要かどうかを確認します。

   Expand

   表3.3 Azure 上の GEN2 VM でテストされた仮想マシンのサイズ

   RHEL バージョン	Standard DS1 v2 (1 vCPU、3.5GiB)	Standard NV16as v4 (16 vCPU、56 GiB)	Standard M416-208s v2 (208 vCPU、5700 GiB)	Standard M416ms v2 (416 vCPU、11400 GiB)
   RHEL 9.4 - RHEL 10	デフォルト	デフォルト	ターゲット	ターゲット

   Show more
   • Default は、デフォルトのメモリーとデフォルトの kdump ターゲットで kdump が期待どおりに動作することを示します。デフォルトの kdump ターゲットは /var/crash ファイルです。
   • Target は、kdump がデフォルトのメモリーで期待どおりに動作することを示します。ただし、より多くの空き領域を持つターゲットを割り当てる必要がある場合があります。

4. /mnt/crash などの空き領域のあるターゲットを割り当てるには、/etc/kdump.conf ファイルを編集してデフォルトのパスを置き換えます。

   $ sed s/"path /var/crash"/"path /mnt/crash"

   オプションパス /mnt/crash は、kdump がクラッシュダンプファイルを保存するファイルシステムへのパスを表します。

   クラッシュダンプファイルを別のパーティションに書き込む、デバイスに直接書き込む、リモートマシンに保存するなどの詳細は、kdump ターゲットの設定 を参照してください。

5. インスタンスで必要な場合は、適切なブートパラメーターを追加して、クラッシュカーネルのサイズを、kdump が vmcore をキャプチャーするのに十分なサイズまで増やします。

   たとえば、Standard M416-208s v2 仮想マシンの場合、十分なサイズは 512 MB なので、ブートパラメーターは crashkernel=512M になります。

   1. GRUB 設定ファイルを開き、ブートパラメーター行に crashkernel=512M を追加します。

      # vi /etc/default/grub
      
      GRUB_CMDLINE_LINUX="console=tty1 console=ttyS0 earlyprintk=ttyS0 rootdelay=300 crashkernel=512M"

   2. GRUB 設定ファイルを更新します。

      # grub2-mkconfig -o /boot/grub2/grub.cfg --update-bls-cmdline

6. 仮想マシンを再起動して、仮想マシンに個別のカーネルクラッシュメモリーを割り当てます。

手順

1. Azure 仮想マシンのパブリック IP アドレスを取得するには、Azure Portal で仮想マシンのプロパティーを開くか、次のように入力します。

   $ az vm list -g <resource_group> -d --output table

   以下に例を示します。

   $ az vm list -g azrhelclirsgrp -d --output table
   
   Name    ResourceGroup           PowerState      PublicIps        Location
   ------  ----------------------  --------------  -------------    --------------
   node01  azrhelclirsgrp          VM running      192.98.152.251    southcentralus

2. 仮想マシンを Red Hat に登録します。

   $ sudo -i
   # subscription-manager register

3. すべてのリポジトリーを無効にします。

   # subscription-manager repos --disable= *

4. RHEL サーバーの HA リポジトリーを有効にします。

   # subscription-manager repos --enable=rhel-10-for-x86_64-highavailability-rpms

5. すべてのパッケージを更新します。

   # dnf update -y

6. Red Hat HA アドオンパッケージを Azure フェンシングエージェントと共にインストールします。

   # dnf install pcs pacemaker fence-agents-azure-arm

7. 直のステップで pcs および pacemaker をインストールすると、hacluster ユーザーが作成されます。ここで、hacluster のパスワードを作成し、それをすべてのクラスターノードに使用します。

   # passwd hacluster

8. システムに firewalld.service がある場合は、RHEL ファイアウォールに high availability サービスを追加します。

   # firewall-cmd --permanent --add-service=high-availability
   # firewall-cmd --reload

9. pcs サービスを起動し、システムの起動時に開始できるようにします。

   # systemctl start pcsd.service
   # systemctl enable pcsd.service
   
   Created symlink from /etc/systemd/system/multi-user.target.wants/pcsd.service to /usr/lib/systemd/system/pcsd.service.

手順

1. HA クラスター内の任意のノードで、Azure アカウントにログインします。

   $ az login

2. Azure フェンスエージェントのカスタムロールの json 設定ファイルを作成します。次の設定を使用します。ただし、<subscription_id> は実際のサブスクリプション ID に置き換えます。

   {
         "Name": "Linux Fence Agent Role",
         "description": "Allows to power-off and start virtual machines",
         "assignableScopes": [
                 "/subscriptions/<subscription_id>"
         ],
         "actions": [
                 "Microsoft.Compute/*/read",
                 "Microsoft.Compute/virtualMachines/powerOff/action",
                 "Microsoft.Compute/virtualMachines/start/action"
         ],
         "notActions": [],
         "dataActions": [],
         "notDataActions": []
   }

3. Azure フェンスエージェントのカスタムロールを定義します。前のステップで作成した json ファイルを使用します。

   $ az role definition create --role-definition <azure_fence_role.json>
   
   {
     "assignableScopes": [
       "/subscriptions/<my_subscription_id>"
     ],
     "description": "Allows to power-off and start virtual machines",
     "id": "/subscriptions/<my_subscription_id>/providers/Microsoft.Authorization/roleDefinitions/<role_id>",
     "name": "<role_id>",
     "permissions": [
       {
         "actions": [
           "Microsoft.Compute/*/read",
           "Microsoft.Compute/virtualMachines/powerOff/action",
           "Microsoft.Compute/virtualMachines/start/action"
         ],
         "dataActions": [],
         "notActions": [],
         "notDataActions": []
       }
     ],
     "roleName": "Linux Fence Agent Role",
     "roleType": "CustomRole",
     "type": "Microsoft.Authorization/roleDefinitions"
   }

4. Azure Web コンソールインターフェイスで、Virtual Machine を選択し、左側のメニューで Identity をクリックします。
5. On を選択→ Save をクリック→ Yes をクリックして確認します。
6. Azure role assignments → Add role assignment をクリックします。
7. ロールに必要な Scope (例: Resource Group) を選択します。
8. 必要な Resource Group を選択します。
9. オプション: 必要に応じて Subscription を変更します。
10. Linux Fence Agent Role ロールを選択します。
11. Save をクリックします。

手順

1. pcs を実行するノードでクラスター内の各ノードの pcs ユーザー hacluster を認証します。

   次のコマンドは、z1.example.com と z2.example.com で構成される 2 ノードクラスターの両ノードに対して、z1.example.com の hacluster ユーザーを認証します。

   [root@z1 ~]# pcs host auth z1.example.com z2.example.com
   Username: hacluster
   Password:
   z1.example.com: Authorized
   z2.example.com: Authorized

2. z1.example.com で以下のコマンドを実行し、2 つのノード z1.example.com と z2.example.com で構成される 2 ノードクラスター my_cluster を作成します。これにより、クラスター設定ファイルが、クラスターの両ノードに伝搬されます。このコマンドには --start オプションが含まれます。このオプションを使用すると、クラスターの両ノードでクラスターサービスが起動します。

   [root@z1 ~]# pcs cluster setup my_cluster --start z1.example.com z2.example.com

3. クラスターサービスを有効にし、ノードの起動時にクラスターの各ノードでクラスターサービスが実行するようにします。

   注記

   使用している環境でクラスターサービスを無効のままにしておきたい場合などは、この手順を省略できます。この手順を行うことで、ノードがダウンした場合にクラスターやリソース関連の問題をすべて解決してから、そのノードをクラスターに戻すことができます。クラスターサービスを無効にしている場合には、ノードを再起動する時に pcs cluster start コマンドを使用して手作業でサービスを起動しなければならないので注意してください。

   [root@z1 ~]# pcs cluster enable --all

4. pcs cluster status コマンドを使用して、作成したクラスターのステータスを表示します。pcs cluster setup コマンドで --start オプションを使用してクラスターサービスを起動した場合は、クラスターが稼働するのに時間が少しかかる可能性があるため、クラスターとその設定で後続の動作を実行する前に、クラスターが稼働していることを確認する必要があります。

   [root@z1 ~]# pcs cluster status
   Cluster Status:
    Stack: corosync
    Current DC: z2.example.com (version 2.0.0-10.el8-b67d8d0de9) - partition with quorum
    Last updated: Thu Oct 11 16:11:18 2018
    Last change: Thu Oct 11 16:11:00 2018 by hacluster via crmd on z2.example.com
    2 Nodes configured
    0 Resources configured
   
   ...

手順

1. 基本ロードバランサーを作成 します。IP アドレスの割り当てタイプの場合は、内部ロードバランサー、基本 SKU、および 動的 を選択します。
2. バックエンドのアドレスプールを作成します。バックエンドプールを HA に Azure リソースを作成した時に作成された可用性セットに関連付けます。ターゲットネットワーク IP 設定は設定しないでください。
3. ヘルスプローブを作成します。ヘルスプローブの場合は TCP を選択し、ポート 61000 を入力します。別のサービスに干渉しない TCP ポート番号を使用できます。特定の HA 製品アプリケーション (SAP HANA や SQL Server など) には、Microsoft と連携して使用する正しいポートを指定する必要がある場合があります。
4. ロードバランサールールを作成します。ロードバランシングルールを作成する場合は、デフォルト値が事前に設定されます。フローティング IP (ダイレクトサーバーを返す) を 有効 に設定してください。

手順

1. すべてのノードに nmap-ncat リソースエージェントをインストールします。

   # dnf install nmap-ncat resource-agents-cloud

2. 1 つのノードで以下のステップを実行します。

   1. IPaddr2 アドレスの FrontendIP ロードバランサーを使用して、pcs リソースとグループを作成します。

      # pcs resource create resource-name IPaddr2 ip="10.0.0.7" --group <cluster_resources_group>

   2. load balancer リソースエージェントを設定します。

      # pcs resource create resource-loadbalancer-name azure-lb port=port-number --group <cluster_resources_group>

手順

1. 共有ブロックボリューム を作成します。

   $ az disk create -g <resource_group> -n <shared_block_volume_name> --size-gb <disk_size> --max-shares <number_vms> -l <location>

   たとえば、以下のコマンドは、Azure Availability Zone westcentralus 内のリソースグループ sharedblock に shared-block-volume.vhd という名前の共有ブロックボリュームを作成します。

   $ az disk create -g sharedblock-rg -n shared-block-volume.vhd --size-gb 1024 --max-shares 3 -l westcentralus
   
   {
     "creationData": {
       "createOption": "Empty",
       "galleryImageReference": null,
       "imageReference": null,
       "sourceResourceId": null,
       "sourceUniqueId": null,
       "sourceUri": null,
       "storageAccountId": null,
       "uploadSizeBytes": null
     },
     "diskAccessId": null,
     "diskIopsReadOnly": null,
     "diskIopsReadWrite": 5000,
     "diskMbpsReadOnly": null,
     "diskMbpsReadWrite": 200,
     "diskSizeBytes": 1099511627776,
     "diskSizeGb": 1024,
     "diskState": "Unattached",
     "encryption": {
       "diskEncryptionSetId": null,
       "type": "EncryptionAtRestWithPlatformKey"
     },
     "encryptionSettingsCollection": null,
     "hyperVgeneration": "V1",
     "id": "/subscriptions/12345678910-12345678910/resourceGroups/sharedblock-rg/providers/Microsoft.Compute/disks/shared-block-volume.vhd",
     "location": "westcentralus",
     "managedBy": null,
     "managedByExtended": null,
     "maxShares": 3,
     "name": "shared-block-volume.vhd",
     "networkAccessPolicy": "AllowAll",
     "osType": null,
     "provisioningState": "Succeeded",
     "resourceGroup": "sharedblock-rg",
     "shareInfo": null,
     "sku": {
       "name": "Premium_LRS",
       "tier": "Premium"
     },
     "tags": {},
     "timeCreated": "2020-08-27T15:36:56.263382+00:00",
     "type": "Microsoft.Compute/disks",
     "uniqueId": "cd8b0a25-6fbe-4779-9312-8d9cbb89b6f2",
     "zones": null
   }

2. 共有ブロックボリューム を確認します。

   $ az disk show -g <resource_group> -n <shared_block_volume_name>

   たとえば、次のコマンドは、リソースグループ sharedblock-rg 内の共有ブロックボリューム shared-block-volume.vhd の詳細を表示します。

   $ az disk show -g sharedblock-rg -n shared-block-volume.vhd
   
   {
     "creationData": {
       "createOption": "Empty",
       "galleryImageReference": null,
       "imageReference": null,
       "sourceResourceId": null,
       "sourceUniqueId": null,
       "sourceUri": null,
       "storageAccountId": null,
       "uploadSizeBytes": null
     },
     "diskAccessId": null,
     "diskIopsReadOnly": null,
     "diskIopsReadWrite": 5000,
     "diskMbpsReadOnly": null,
     "diskMbpsReadWrite": 200,
     "diskSizeBytes": 1099511627776,
     "diskSizeGb": 1024,
     "diskState": "Unattached",
     "encryption": {
       "diskEncryptionSetId": null,
       "type": "EncryptionAtRestWithPlatformKey"
     },
     "encryptionSettingsCollection": null,
     "hyperVgeneration": "V1",
     "id": "/subscriptions/12345678910-12345678910/resourceGroups/sharedblock-rg/providers/Microsoft.Compute/disks/shared-block-volume.vhd",
     "location": "westcentralus",
     "managedBy": null,
     "managedByExtended": null,
     "maxShares": 3,
     "name": "shared-block-volume.vhd",
     "networkAccessPolicy": "AllowAll",
     "osType": null,
     "provisioningState": "Succeeded",
     "resourceGroup": "sharedblock-rg",
     "shareInfo": null,
     "sku": {
       "name": "Premium_LRS",
       "tier": "Premium"
     },
     "tags": {},
     "timeCreated": "2020-08-27T15:36:56.263382+00:00",
     "type": "Microsoft.Compute/disks",
     "uniqueId": "cd8b0a25-6fbe-4779-9312-8d9cbb89b6f2",
     "zones": null
   }

3. 3 つの ネットワークインターフェース を作成します。各ノードに異なる <nic_name> を使用して、以下のコマンドを 3 回実行します。

   $ az network nic create \
       -g <resource_group> -n <nic_name> --subnet <subnet_name> \
       --vnet-name <virtual_network> --location <location> \
       --network-security-group <network_security_group> --private-ip-address-version IPv4

   たとえば、以下のコマンドは、shareblock-nodea-vm-nic-protected という名前のネットワークインターフェイスを作成します。

   $ az network nic create \
       -g sharedblock-rg -n sharedblock-nodea-vm-nic-protected --subnet sharedblock-subnet-protected \
       --vnet-name sharedblock-vn --location westcentralus \
       --network-security-group sharedblock-nsg --private-ip-address-version IPv4

4. 3 つの仮想マシンを作成し、共有ブロックボリュームを割り当てます。オプションの値は、各仮想マシンに独自の <vm_name>、<new_vm_disk_name> および <nic_name> が指定される点で異なります。

   $ az vm create \
       -n <vm_name> -g <resource_group> --attach-data-disks <shared_block_volume_name> \
       --data-disk-caching None --os-disk-caching ReadWrite --os-disk-name <new_vm_disk_name> \
       --os-disk-size-gb <disk_size> --location <location> --size <virtual_machine_size> \
       --image <image_name> --admin-username <vm_username> --authentication-type ssh \
       --ssh-key-values <ssh_key> --nics <nic_name> --availability-set <availability_set> --ppg <proximity_placement_group>

   たとえば、次のコマンドは、sharedblock-nodea-vm という名前の仮想マシンを作成します。

   $ az vm create \
   -n sharedblock-nodea-vm -g sharedblock-rg --attach-data-disks shared-block-volume.vhd \
   --data-disk-caching None --os-disk-caching ReadWrite --os-disk-name sharedblock-nodea-vm.vhd \
   --os-disk-size-gb 64 --location westcentralus --size Standard_D2s_v3 \
   --image /subscriptions/12345678910-12345678910/resourceGroups/sample-azureimagesgroupwestcentralus/providers/Microsoft.Compute/images/sample-azure-rhel-10.3.0-20200713.n.0.x86_64 --admin-username sharedblock-user --authentication-type ssh \
   --ssh-key-values @sharedblock-key.pub --nics sharedblock-nodea-vm-nic-protected --availability-set sharedblock-as --ppg sharedblock-ppg
   
   {
     "fqdns": "",
     "id": "/subscriptions/12345678910-12345678910/resourceGroups/sharedblock-rg/providers/Microsoft.Compute/virtualMachines/sharedblock-nodea-vm",
     "location": "westcentralus",
     "macAddress": "00-22-48-5D-EE-FB",
     "powerState": "VM running",
     "privateIpAddress": "198.51.100.3",
     "publicIpAddress": "",
     "resourceGroup": "sharedblock-rg",
     "zones": ""
   }

検証

1. クラスター内の各仮想マシンで、ブロックデバイスが使用可能であることを確認します。そのためには、仮想マシンの IP アドレスを指定した ssh コマンドを使用して仮想マシンに接続します。

   # ssh <ip_address> "hostname ; lsblk -d | grep ' 1T '"

   たとえば、次のコマンドは、仮想マシン IP 198.51.100.3 のホスト名およびブロックデバイスを含む詳細をリスト表示します。

   # ssh 198.51.100.3 "hostname ; lsblk -d | grep ' 1T '"
   
   nodea
   sdb    8:16   0    1T  0 disk

2. ssh ユーティリティーを使用して、クラスター内の各仮想マシンが同じ共有ディスクを使用していることを確認します。

   # ssh <ip_address> "hostname ; lsblk -d | grep ' 1T ' | awk '{print \$1}' | xargs -i udevadm info --query=all --name=/dev/{} | grep '^E: ID_SERIAL='"

   たとえば、以下のコマンドは、インスタンス IP アドレス 198.51.100.3 のホスト名および共有ディスクボリューム ID が含まれる詳細をリスト表示します。

   # ssh 198.51.100.3 "hostname ; lsblk -d | grep ' 1T ' | awk '{print \$1}' | xargs -i udevadm info --query=all --name=/dev/{} | grep '^E: ID_SERIAL='"
   
   nodea
   E: ID_SERIAL=3600224808dd8eb102f6ffc5822c41d89

   各仮想マシンが共有ディスクに接続されていることを確認したら、クラスターに対して Resilient Storage を設定できます。

手順

1. openssl ユーティリティーを使用してカスタム証明書 custom_db.cer を生成します。

   $ openssl req -quiet \
   -newkey rsa:4096 \
   -nodes -keyout custom_db.key \
   -new -x509 \
   -sha256 -days 3650 \
   -subj "/CN=Signature Database key/" \
   --outform DER \
   -out custom_db.cer

2. 証明書を base64 エンコード形式に変換します。

   $ echo base64 -w0 custom_db.cer
   
   MIIFIjCCAwqgAwIBAgITNf23J4k0d8c0NR ....

3. 新しい Azure Compute Gallery イメージバージョンを登録するための azure-example-template.json Azure Resource Manager (ARM) ファイルを作成して編集します。

   $ vi azure-example-template.json
   
   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "resources": [
           {
               "type": "Microsoft.Compute/galleries/images/versions",
               "apiVersion": "2023-07-03",
               "name": "<your compute gallery/your image definition/version>",
               "location": "<location of the VHD>",
               "properties": {
                   "storageProfile": {
                       "osDiskImage": {
                           "source": {
                               "id": "<your-storage-account-id>",
                               "uri": "<url-with-the-vhd>"
                           },
                           "hostCaching": "ReadOnly"
                       }
                   },
                   "securityProfile": {
                       "uefiSettings": {
                           "signatureTemplateNames": [
                               "MicrosoftUefiCertificateAuthorityTemplate"
                           ],
                           "additionalSignatures": {
                               "db": [
                                   {
                                       "type": "x509",
                                       "value": [
                                           "<base64 of custom_db.cer>"
                                       ]
                                   }
                               ]
                           }
                       }
                   }
               }
           }
       ]
   }

4. azure-cli ユーティリティーを使用して、イメージバージョンを登録します。

   $ az deployment group create --name <example_deployment> \
   --resource-group <example_resource_group> \
   --template-file <example_template.json>

5. Azure Portal からインスタンスを再起動します。

検証

1. 新しく作成された RHEL インスタンスでセキュアブートが有効になっているか確認します。

   $ mokutil --sb-state
   SecureBoot enabled

2. keyctl ユーティリティーを使用して、カスタム証明書のカーネルキーリングを確認します。

   $ sudo keyctl list %:.platform
   
   keys in keyring:
   ...
   586621657: ---lswrv   0   0
   asymmetric: Signature Database key: f064979641c24e1b935e402bdbc3d5c4672a1acc
   ...

1. 初期化と測定: TDX 対応ハイパーバイザーが、仮想マシンの初期状態を設定します。このハイパーバイザーは、ファームウェアバイナリーファイルを仮想マシンメモリーにロードし、初期レジスター状態を設定します。Intel プロセッサーが仮想マシンの初期状態を測定し、仮想マシンの初期状態を検証するための詳細を提供します。
2. ファームウェア: 仮想マシンが UEFI ファームウェアを初期化します。ファームウェアには、ステートフルまたはステートレスな Virtual Trusted Platform Module (vTPM) 実装が含まれる場合があります。ステートフルな vTPM は、仮想マシンの再起動後や移行後も永続的な暗号化状態を維持します。一方、ステートレスな vTPM は、永続性を持たず、仮想マシンセッションごとに新しい暗号化状態を生成します。vTPM は、Virtual Machine Privilege Levels (VMPL) テクノロジーによってゲストから隔離されます。VMPL は、各仮想マシンコンポーネントとハイパーバイザー間のハードウェアによる特権分離を提供します。
3. vTPM: クラウドサービスプロバイダーによっては、ステートフルな vTPM 実装の場合、UEFI ファームウェアがリモートアテステーションを実行して vTPM の永続的な状態を復号することがあります。また、vTPM は、セキュアブートの状態、ブートアーティファクトの署名に使用される証明書、UEFI バイナリーハッシュなど、ブートプロセスに関するデータを収集します。

4. Shim: UEFI ファームウェアは、初期化プロセスを完了すると、拡張ファームウェアインターフェイス (EFI) システムパーティションを検索します。その後、UEFI ファームウェアはそのパーティションから第 1 段階のブートローダーを検証して実行します。RHEL の場合、これは shim です。shim プログラムは、Microsoft 以外のオペレーティングシステムが、EFI システムパーティションから第 2 段階のブートローダーを読み込むことを可能にします。

   1. shim は Red Hat の証明書を使用して、第 2 段階のブートローダー (grub) または Red Hat Unified Kernel Image (UKI) を検証します。
   2. grub または UKI は、Linux カーネルと initramfs、およびカーネルコマンドラインを展開、検証、実行します。このプロセスにより、信頼できるセキュアな環境に Linux カーネルが確実にロードされます。

5. Initramfs: initramfs の処理中、フルディスク暗号化テクノロジーが使用されている場合、暗号化されたルートパーティションのロックが vTPM の情報によって自動的に解除されます。

   1. ルートボリュームが使用可能になると、initramfs は実行フローをルートボリュームへ移行します。
6. アテステーション: 仮想マシンのテナントは、システムへのアクセス権を得てから、リモートアテステーションを実行することで、アクセスした仮想マシンが改ざんされていない Confidential Virtual Machine (CVM) であることを確認できます。アテステーションは、Intel プロセッサーと vTPM からの情報に基づいて実行されます。このプロセスにより、RHEL インスタンスと Intel プロセッサーの CPU およびメモリー初期状態の真正性と信頼性が確認されます。
7. TEE: このプロセスでは、仮想マシンが信頼できるセキュアな環境で起動されるように、Trusted Execution Environment (TEE) を構築します。

手順

1. azure cli ユーティリティーを使用して Azure にログインします。

   $ az login

2. 選択したアベイラビリティーゾーンの Azure リソースグループを作成します。

   $ az group create --name <example_resource_group> --location westeurope

3. TDX が有効な RHEL インスタンス (Standard_DC2eds_v5 インスタンスタイプなど) をデプロイします。

   $ az vm create --resource-group <example_resource_group> \
   --name <example_rhel_instance> \
   --image <"RedHat:rhel-cvm:9_5_cvm:latest"> \
   --size <Standard_DC2eds_v5> \
   --admin-username <example_azure_user> \
   --generate-ssh-keys \
   --security-type ConfidentialVM \
   --os-disk-security-encryption-type DiskWithVMGuestState

4. RHEL インスタンスに接続します。

   $ ssh <example_azure_user>@<example_ip_address_of_the_instance>

1. 初期化と測定: SEV-SNP 対応ハイパーバイザーが、仮想マシンの初期状態を設定します。このハイパーバイザーは、ファームウェアバイナリーを仮想マシンメモリーにロードし、初期レジスター状態を設定します。AMD Secure Processor (SP) が仮想マシンの初期状態を測定し、仮想マシンの初期状態を検証するための詳細を提供します。
2. ファームウェア: 仮想マシンが UEFI ファームウェアを初期化します。ファームウェアには、ステートフルまたはステートレスな Virtual Trusted Platform Module (vTPM) 実装が含まれる場合があります。ステートフルな vTPM は、仮想マシンの再起動後や移行後も永続的な暗号化状態を維持します。一方、ステートレスな vTPM は、永続性を持たず、仮想マシンセッションごとに新しい暗号化状態を生成します。vTPM は、Virtual Machine Privilege Levels (VMPL) テクノロジーによってゲストから隔離されます。VMPL は、各仮想マシンコンポーネントとハイパーバイザー間のハードウェアによる特権分離を提供します。

3. vTPM: クラウドサービスプロバイダーによっては、ステートフルな vTPM 実装の場合、UEFI ファームウェアがリモートアテステーションを実行して vTPM の永続的な状態を復号することがあります。

   1. また、vTPM は、セキュアブートの状態、ブートアーティファクトの署名に使用される証明書、UEFI バイナリーハッシュなど、ブートプロセスに関する情報を測定します。

4. Shim: UEFI ファームウェアは、初期化プロセスを完了すると、拡張ファームウェアインターフェイス (EFI) システムパーティションを検索します。その後、UEFI ファームウェアはそのパーティションから第 1 段階のブートローダーを検証して実行します。RHEL の場合、これは shim です。shim プログラムは、Microsoft 以外のオペレーティングシステムが、EFI システムパーティションから第 2 段階のブートローダーを読み込むことを可能にします。

   1. shim は Red Hat の証明書を使用して、第 2 段階のブートローダー (grub) または Red Hat Unified Kernel Image (UKI) を検証します。
   2. grub または UKI は、Linux カーネルと初期 RAM ファイルシステム (initramfs)、およびカーネルコマンドラインを展開、検証、実行します。このプロセスにより、信頼できるセキュアな環境に Linux カーネルが確実にロードされます。

5. Initramfs: initramfs の処理中、フルディスク暗号化テクノロジーが使用されている場合、暗号化されたルートパーティションのロックが vTPM の情報によって自動的に解除されます。

   1. ルートボリュームが使用可能になると、initramfs は実行フローをルートボリュームへ移行します。
6. アテステーション: 仮想マシンのテナントは、システムへのアクセス権を得てから、リモートアテステーションを実行することで、アクセスした仮想マシンが改ざんされていない Confidential Virtual Machine (CVM) であることを確認できます。アテステーションは、AMD SP と vTPM からの情報に基づいて実行されます。このプロセスにより、RHEL インスタンスと AMD プロセッサーの CPU およびメモリー初期状態の真正性と信頼性が確認されます。
7. TEE: このプロセスでは、仮想マシンが信頼できるセキュアな環境で起動されるように、Trusted Execution Environment (TEE) を構築します。

手順

1. Azure CLI ユーティリティーを使用して Azure にログインします。

   $ az login

2. 選択したアベイラビリティーゾーンの Azure リソースグループを作成します。

   $ az group create --name <example_resource_group> --location eastus

3. SEV-SNP を使用する RHEL インスタンス (例: Standard_DC4as_V5 インスタンスタイプ) をデプロイします。

   $ az vm create --resource-group <example_resource_group> \
   --name <example-rhel-10-sev-snp-instance> \
   --image <RedHat:rhel:10_x64_Gen2:latest> \
   --size <Standard_DC4as_V5> \
   --admin-username <example_azure_user> \
   --generate-ssh-keys \
   --security-type ConfidentialVM \
   --os-disk-security-encryption-type DiskWithVMGuestState

4. RHEL インスタンスに接続します。

   $ ssh <example_azure_user>@<example_ip_address_of_VM>