Red Hat Summit7.3. AMD SEV SNP を使用した Google Cloud 上での RHEL インスタンスの設定
AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) は、Google Cloud インスタンス上の Red Hat Enterprise Linux (RHEL) 向け Confidential Virtual Machine (CVM) テクノロジーのセキュリティータイプです。これは AMD EPYC プロセッサーファミリーでのみ使用できます。SEV-SNP は、信頼できるブート環境を実現することで、ハイパーバイザーやクラウドサービスプロバイダーがデータにアクセスできないように、プロセス全体をセキュアにして保護します。
前提条件
-
opensshおよびopenssh-clientsパッケージがインストールされている。 -
google-cloud-cliユーティリティーがインストールされている。詳細は、installing gcloud CLI on RHEL を参照してください。 - 指定されたインスタンスタイプのリストからインスタンスを起動している。詳細は、指定された Google Cloud インスタンスタイプ を参照してください。
手順
google-cloud-cliユーティリティーを使用して Google Cloud にログインします。gcloud auth login
$ gcloud auth loginCopy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい Google Cloud プロジェクトを作成します。
gcloud projects create <example_sev_snp_project> --name="RHEL SEV SNP Project"
$ gcloud projects create <example_sev_snp_project> --name="RHEL SEV SNP Project"Copy to Clipboard Copied! Toggle word wrap Toggle overflow Google Cloud プロジェクトを設定します。
gcloud config set project <example_sev_snp_project>
$ gcloud config set project <example_sev_snp_project>Copy to Clipboard Copied! Toggle word wrap Toggle overflow RHEL コンピュートインスタンスを作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 公開 RSA キーと秘密 RSA キーのペアを使用して RHEL インスタンスに接続します。
新しい公開 RSA キーと秘密 RSA キーのペアを使用して RHEL インスタンスに接続します。
gcloud compute ssh <cloud_user>@<example-rhel-10-sev-snp-instance>
$ gcloud compute ssh <cloud_user>@<example-rhel-10-sev-snp-instance>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 既存のキーペアを使用して RHEL インスタンスに接続します。
ssh -i <example_private_key> <cloud_user>@<instance_ip>
$ ssh -i <example_private_key> <cloud_user>@<instance_ip>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
RHEL インスタンス上の仮想マシン設定のメタデータを確認します。
gcloud compute instances describe <example-rhel-10-sev-snp-instance> --format="get(metadata)"
$ gcloud compute instances describe <example-rhel-10-sev-snp-instance> --format="get(metadata)"Copy to Clipboard Copied! Toggle word wrap Toggle overflow カーネルログを確認して、SEV-SNP のステータスを検証します。
sudo dmesg | grep -i sev
$ sudo dmesg | grep -i sevCopy to Clipboard Copied! Toggle word wrap Toggle overflow Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}