第18章 仮想化
IBM Z での KVM 仮想化
KVM 仮想化が IBM Z でサポートされるようになりました。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザー空間でのみ使用できます。
また、ハードウェアの違いにより、KVM 仮想化の特定の機能が AMD64 および Intel 64 システムでサポートされているものと異なることにも注意してください。
IBM Z での KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1400070, BZ#1379517, BZ#1479525, BZ#1479526, BZ#1471761)
IBM POWER9 でサポートされる KVM 仮想化
この更新により、IBM POWER9 システムで KVM 仮想化がサポートされ、IBM POWER9 マシン上で KVM 仮想化を使用できるようになります。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザー空間でのみ使用できます。
また、ハードウェアの違いにより、IBM POWER9 上の KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
POWER9 システムでの KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1465503, BZ#1478482, BZ#1478478)
IBM POWER8 でサポートされる KVM 仮想化
この更新により、IBM POWER8 システムで KVM 仮想化がサポートされ、IBM POWER8 マシンで KVM 仮想化を使用できるようになります。
ハードウェアの違いにより、IBM POWER8 上の KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
POWER8 システムでの KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1531672)
NVIDIA GPU デバイスを複数のゲストが同時に使用できるようになりました
NVIDIA vGPU 機能が Red Hat Enterprise Linux 7 でサポートされるようになりました。これにより、vGPU 互換の NVIDIA GPU を、
mediated devices と呼ばれる複数の仮想デバイスに分割することができます。仲介デバイスをゲスト仮想マシンに割り当てることで、これらのゲストは単一の物理 GPU のパフォーマンスを共有できます。
この機能を設定するには、libvirt サービスの仲介デバイスを手動で作成し、vGPU として使用できるようにします。詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1292451)
KASLR for KVM ゲスト
Red Hat Enteprise Linux 7.5 では、KVM ゲスト仮想マシン用のカーネルアドレス空間ランダム化 (KASLR) 機能が導入されています。KASLR は、カーネルイメージを解凍する物理アドレスおよび仮想アドレスをランダム化できるため、カーネルオブジェクトの位置に基づいてゲストのセキュリティー攻撃を防ぎます。
KASLR はデフォルトで有効にされますが、ゲストのカーネルコマンドラインに
nokaslr 文字列を追加することで、特定のゲストで無効にできます。
KASLR がアクティブになっているゲストのカーネルクラッシュダンプは、
crash ユーティリティーを使用して分析できないことに注意してください。これを修正するには、ゲストの XML 設定ファイルの <features> セクションに <vmcoreinfo/> 要素を追加します。ただし、<vmcoreinfo/> を持つ KVM ゲストは、この要素をサポートしていないホストシステムには移行できません。これには、Red Hat Enterprise Linux 7.4 以前 (BZ# 1411490、BZ# 1395248) を使用するホストが含まれます。
OVA ファイルの並列展開をサポート
このリリースでは、
piggz および pxz 展開ユーティリティーが virt-v2v ユーティリティーでサポートされています。
これらのユーティリティーを使用すると、マルチプロセッサーマシン上で
gzip および xz ユーティリティーで圧縮された OVA ファイルの展開が高速化されます。さらに、pigz および pxz のコマンドラインインターフェイスは、gzip および xz のコマンドラインインターフェイスと完全な互換性があります。
SMAP が Cannonlake ゲストでサポートされるようになりました
この更新により、Cannonlake というコード名で呼ばれる第 7 世代インテルプロセッサーを使用するゲストでスーペリアモードアクセス防止 (SMAP) 機能がサポートされるようになりました。これにより、悪意のあるプログラムがカーネルにユーザー空間プログラムのデータの使用を強制することがなくなり、ゲストのセキュリティーが強化されます。
ホスト CPU がゲストに SMAP を提供できることを確認するには、virshabilities コマンドを使用して、
<feature name='smap'/> 文字列を探します。(BZ#1465223)
libvirt が 3.9.0 にリベースされました
libvirt パッケージがバージョン 3.9.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
- スパースファイルは、別のホストとの間で移動した後も保存されるようになりました。
- リモートプロシージャコール (RPC) の応答制限が増加しました。
- 仮想化された IBM POWER9 CPU がサポートされるようになりました。
- 実行中のゲスト仮想マシンへのデバイスの接続 (デバイスホットプラグとも呼ばれます) では、入力デバイスなど、より多くのデバイスタイプがサポートされるようになりました。
- libvirt ライブラリーは、CVE-2017-1000256 および CVE-2017-5715 のセキュリティー問題に対して保護されています。
- VFIO を介したデバイスがより確実に機能するようになりました。(BZ#1472263)
virt-manager が1.4.3 にリベースされました
virt-manager パッケージがバージョン 1.4.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
- AMD64 および Intel 64 アーキテクチャーを使用しないゲスト仮想マシンを作成するときに、virt-manager インターフェイスに正しい CPU モデルが表示されるようになりました。
- デフォルトのデバイス選択は、IBM POWER、IBM Z、または 64 ビット ARM アーキテクチャーを使用するゲスト向けに最適化されています。
- ホストシステムにインストールされているネットワークカードがシングルルート I/O 仮想化 (SR-IOV) と互換性がある場合、選択した SR-IOV 対応カードの利用可能な仮想機能のプールをリストする仮想ネットワークを作成できるようになりました。
- 新しく作成されたゲストの OS の種類とバージョンの選択が拡張されました。(BZ#1472271)
virt-what がバージョン 1.18 にリベースされました
virt-what パッケージがアップストリームバージョン 1.18 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、
virt-what ユーティリティーは次のゲスト仮想マシンタイプを検出できるようになりました。
- 64 ビット ARM ホスト上で実行され、詳細設定および電源インターフェイスを使用して起動されたゲスト。
- oVirt または Red Hat Virtualization ハイパーバイザー上で実行されているゲスト。
- 論理パーティショニング (LPAR) を使用する IBM POWER7 ホスト上で実行されているゲスト。
- FreeBSD 上で実行されているゲストはハイパーバイザーを使用します。
- KVM ハイパーバイザーを使用する IBM Z ホスト上で実行されているゲスト。
- ゲストは QEMU Tiny Code Generator (TCG) を使用してエミュレートされました。
- OpenBSD 仮想マシンモニター (VMM) サービスで実行されているゲスト。
- Amazon Web Services (AWS) プラットフォームで実行されているゲスト。
- Oracle VM Server for SPARC プラットフォーム上で実行されているゲスト。
さらに、次のバグが修正されました。
virt-whatユーティリティーは、システム管理 BIOS (SMBIOS) を使用しないプラットフォームで失敗しなくなりました。- $PATH 変数が設定されていない場合でも、
virt-whatが正しく動作するようになりました。(BZ#1476878)
tboot がバージョン 1.9.6 にリベース
tboot パッケージはアップストリームバージョン 1.96 にアップグレードされ、いくつかのバグが修正され、さまざまな機能強化が追加されました。主な変更点は、以下のとおりです。
- OpenSSL ライブラリーバージョン 1.1.0 以降では、RSA キーの操作と ECDSA 署名の検証がサポートされるようになりました。
- Trusted Computing Group (TCG) のトラステッドプラットフォームモジュール (TPM) のイベントログのサポートが追加されました。
- x2APIC シリーズの Advanced Programmable Interrupt Controller (APIC) がサポートされるようになりました。
- カーネルイメージが意図せず上書きされないように、追加のチェックが追加されました。
tbootユーティリティーは、モジュールの移動中にモジュールを上書きできなくなりました。- Amazon Simple Storage Service (S3) シークレットのシールとシール解除が失敗する原因となるバグが修正されました。
- いくつかの null ポインター逆参照のバグが修正されました。(BZ#1457529)
virt-v2v はスナップショットを使用して VMware ゲストを変換できます
virt-v2v ユーティリティーは、スナップショットを持つ VMware ゲスト仮想マシンを変換するように拡張されました。変換後、そのようなゲストのステータスは最上位のスナップショットに設定され、他のスナップショットは削除されることに注意してください。(BZ#1172425)
virt-rescue の強化
virt-rescue ユーティリティーのこのリリースには、次の機能強化が含まれています。
- Ctrl+ 文字シーケンスは、
virt-rescue自体ではなく、virt-rescueで実行されるコマンドに作用するようになりました。 -iオプションを使用すると、ユーザーはゲストを検査した後にすべてのディスクをマウントできます。(BZ#1438710)
virt-v2v は、LUKS で暗号化された Linux ゲストを変換するようになりました
この更新により、
virt-v2v ユーティリティーは、フルディスク LUKS 暗号化を使用してインストールされた Linux ゲストを変換できるようになりました。つまり、/boot パーティション以外のすべてのパーティションが暗号化されます。
注記:
virt-v2vユーティリティーは、他のタイプの暗号化スキームを使用したパーティション上の Linux ゲストの変換をサポートしていません。virt-p2vユーティリティーは、フルディスク LUKS 暗号化がインストールされている Linux マシンの変換をサポートしていません。(BZ#1451665)
特定の CPU モデルの libvirt に CAT サポートが追加されました
libvirt サービスは、特定の CPU モデルでキャッシュ割り当てテクノロジー (CAT) をサポートするようになりました。これにより、ゲスト仮想マシンは、ホストの CPU キャッシュの一部を vCPU スレッドに割り当てることができます。
この機能の設定の詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/virtualization_tuning_and_optimization_guide/index.html#sect_VTOG-vCPU_cache_reservation を参照してください。(BZ#1289368)
KVM ゲストの時刻 Synchronization を改善するために PTP デバイスが追加されました
PTP デバイスが KVM ゲスト仮想マシンに追加されました。NTP 調整によるホストとゲスト間のクロックの相違を防止することで、
kvmlocks サービスを強化します。その結果、PTP デバイスは、KVM ホストとそのゲストの間でより信頼性の高い時刻 Synchronization を保証します。
PTP デバイスのセットアップの詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1379822)
