7.14. 仮想化
入れ子仮想マシンの作成
入れ子 KVM 仮想化は、RHEL 9 で Intel、AMD64、および IBM Z ホストで実行している KVM 仮想マシン用のテクノロジープレビューとして提供されます。この機能を使用すると、物理 RHEL 9 ホストで実行中の RHEL 7、RHEL 8、または RHEL 9 仮想マシンがハイパーバイザーとして機能し、独自の仮想マシンをホストできます。
Jira:RHELDOCS-17040[1]
KVM 仮想マシン用の AMD SEV、SEV-ES、および SEV-SNP
RHEL 9 は、テクノロジープレビューとして、KVM ハイパーバイザーを使用する AMD EPYC ホストマシンに、セキュア暗号化仮想化 (SEV) 機能を提供します。仮想マシンで有効になっている場合は、SEV が仮想マシンのメモリーを暗号化して、ホストから仮想マシンへのアクセスを防ぎます。これにより、仮想マシンのセキュリティーが向上します。
さらに、強化された SEV (Encrypted State) バージョンの SEV (SEV-ES) もテクノロジープレビューとして提供されます。SEV-ES は、仮想マシンの実行が停止すると、すべての CPU レジスターの内容を暗号化します。これにより、ホストが仮想マシンの CPU レジスターを変更したり、そこから情報を読み取ったりできなくなります。
RHEL 9.5 以降では、Secure Nested Paging (SEV-SNP) 機能もテクノロジープレビューとして提供されます。SNP は、メモリー整合性保護を改善することで SEV と SEV-ES を強化します。これにより、データの再生やメモリーの再マッピングなどのハイパーバイザーベースの攻撃を防ぐことができます。
SEV および SEV-ES は、第 2 世代の AMD EPYC CPU (コードネーム Rome) 以降のみで動作することに注意してください。同様に、SEV-SNP は第 4 世代 AMD EPYC CPU (コード名 Genoa) 以降でのみ動作します。また、RHEL 9 には SEV、SEV-ES、SEV-SNP 暗号化が含まれていますが、SEV、SEV-ES、SEV-SNP のセキュリティーアテステーションとライブマイグレーションは含まれていないことに注意してください。
Jira:RHELPLAN-65217[1]
RHEL ゲストのインテル TDX
テクノロジープレビューとして、Intel Trust Domain Extension (TDX) 機能が RHEL 9.2 以降のゲストオペレーティングシステムで使用できるようになりました。ホストシステムが TDX をサポートしている場合は、トラストドメイン (TD) と呼ばれる、ハードウェアから分離された RHEL 9 仮想マシン (VM) をデプロイできます。ただし、TDX は現在 kdump
では機能せず、TDX を有効にすると VM 上で kdump
が失敗することに注意してください。
Bugzilla:1955275[1]
RHEL の Unified Kernel Image がテクノロジープレビューとして利用可能に
テクノロジープレビューとして、RHEL カーネルを仮想マシン (VM) の Unified Kernel Image (UKI) として入手できるようになりました。Unified Kernel Image は、カーネル、initramfs、およびカーネルコマンドラインを単一の署名付きバイナリーファイルに結合します。
UKI は、仮想化環境やクラウド環境、特に強力な SecureBoot ケイパビリティーが必要な機密仮想マシンで使用できます。UKI は、RHEL 9 リポジトリーの kernel-uki-virt
パッケージとして利用できます。
現在、RHEL UKI は、UEFI ブート設定のみで使用できます。
Bugzilla:2142102[1]
64 ビット ARM 上の CPU クラスター
テクノロジープレビューとして、CPU トポロジーで複数の 64 ビット ARM CPU クラスターを使用する KVM 仮想マシンを作成できるようになりました。
Jira:RHEL-7043[1]
Mellanox の Virtual Function による仮想マシンのライブマイグレーションがテクノロジープレビューとして利用可能になりました
テクノロジープレビューとして、Mellanox ネットワークデバイスの Virtual Function (VF) がアタッチされた仮想マシン (VM) のライブマイグレーションを利用できるようになりました。
現在、この機能は Mellanox CX-7 ネットワークデバイスでのみ利用できます。Mellanox CX-7 ネットワークデバイス上の VF は、ライブマイグレーションに必要な機能を追加する新しい mlx5_vfio_pci
ドライバーを使用します。この新しいドライバーは、libvirt
によって VF に自動的にバインドされます。
Jira:RHEL-13007[1]