Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

19.13.2. RHEL ゲストで TDX を有効にする

RHEL 仮想マシン (仮想マシン) でドメイン拡張機能 (TDX) を有効にするには、仮想マシンの作成時に TDX 設定を適用します。

または、既存の RHEL 仮想マシンで TDX を有効にするには、仮想マシンの設定を編集してください。

TDX はハードウェアベースのセキュリティー機能であり、仮想マシン (仮想マシン) に対して強力なメモリー暗号化と整合性保護を提供し、仮想マシンをハイパーバイザーやその他のホストシステムソフトウェアから隔離します。TDX は Intel CPU でのみ利用可能です。

前提条件

  • RHEL ホストで TDX が有効になっています。手順については、TDX が有効になっている RHEL ホストを 参照してください。
  • ホストには libvirtvirt-install、および virt-xml がインストールされています。

  • 仮想マシンは、サポートされている RHEL バージョンをゲストオペレーティングシステムとして使用します。

    • RHEL 9.6 以降
    • RHEL 10.0 以降
注記

TDX は kdump と互換性がありません。仮想マシン内で TDX を有効にすると、その仮想マシン内で kdump が失敗するようになります。

手順

  • TDX を有効にした新しい RHEL 仮想マシンを作成するには:

    • virt-install ユーティリティーを --launchSecurity tdx,quoteGenerationService=on オプション付きで使用してください。以下に例を示します。 

      # virt-install \
     --name <vm_name> --os-info rhel9.6 --memory 2048 --vcpus 2 \
     --boot uefi --import --disk /var/lib/libvirt/images/disk.qcow2 \
     --graphics none --console pty,target_type=serial \
     --launchSecurity tdx,quoteGenerationService=on

  • 既存の RHEL 仮想マシンで TDX 機能を有効にするには:

    1. 実行中の仮想マシンがある場合は、シャットダウンしてください。 

      # virsh shutdown <vm_name>

    2. 現在の仮想マシン設定をエクスポートしてバックアップします。 

      # virsh dumpxml <vm_name> > /tmp/<vm_name>-backup.xml

    3. 仮想マシンドメインに TDX 起動セキュリティー設定を追加します。 

      # virt-xml <vm_name> --edit --launchSecurity type=tdx

      このコマンドは、TDX 設定を仮想マシンのドメイン XML に追加します。または、virsh edit <vm_name> を使用して設定を手動で編集し、<launchSecurity type='tdx'> 要素を追加することもできます。

    4. 仮想マシンが互換性のある CPU モデルで設定されていることを確認してください。 

      # virsh dumpxml <vm_name> --xpath //cpu

<cpu mode="host-passthrough" check="none" migratable="on"/>

      CPU は ホストパススルー に設定するか、Intel Xeon モデルを使用してください。そうでない場合は、更新してください。 

      # virt-xml <vm_name> --edit --cpu mode=host-passthrough

    5. 仮想マシンを起動します。 

      # virsh start <vm_name>

検証

  1. ホスト側で、仮想マシンが TDX を有効にした状態で実行されていることを確認してください。 

    # virsh dumpxml --xpath //launchSecurity <vm_name>

<launchSecurity type="tdx">
  <quoteGenerationService/>
</launchSecurity>
  2. 仮想マシンにログインします。

  3. TDX ゲストデバイスが存在することを確認してください。 

    # ls -l /dev/tdx_guest

    ゲスト OS で TDX が正しく有効になっている場合、このコマンドは /dev/tdx_guest キャラクタデバイスをリスト表示します。

    重要

    /dev/tdx_guest の存在を確認することは、仮想マシンが正しく設定され、正常に動作していることを証明するだけです。仮想マシンが TDX を使用して悪意のあるホストから保護されていることをアテステーションするには、ゲストの暗号化認証を実行する必要があります。

    アテステーションの詳細は、機密コンピューティングアテステーションについて学ぶ (Red Hat ブログ) を参照してください。

トラブルシューティング

  • ゲスト OS で TDX が検出されない場合は、ホスト OS の TDX 設定が正しいこと、および設定変更後に仮想マシンが再起動されたことを確認してください。

  • 元の設定に戻すには、バックアップから復元してください。 

    # virsh undefine <vm_name>
# virsh define /tmp/<vm_name>-backup.xml
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る