第18章 仮想化

IBM z Systems での KVM 仮想化

KVM 仮想化が IBM z Systems でサポートされるようになりました。ただし、この機能は、kernel-alt パッケージで提供されるカーネルバージョン 4.14 に基づく、新たに導入されたユーザー空間でのみ利用することができます。
また、ハードウェアが異なるため、KVM 仮想化の特定の特長および機能が、AMD64 システムおよび Intel 64 システムでサポートされるものと異なります。
IBM z Systems で KVM 仮想化をインストールして使用する方法は、『仮想化の導入および管理ガイド』を参照してください。(BZ#1400070、BZ#1379517、BZ#1479525、BZ#1479526、BZ#1471761)

IBM POWER9 で KVM 仮想化をサポート

今回の更新で、KVM 仮想化が IBM POWER9 システムでサポートされ、KVM 仮想化を IBM POWER9 マシンで使用できるようになりました。ただし、この機能は、kernel-alt パッケージで提供されるカーネルバージョン 4.14 に基づく、新たに導入されたユーザー空間でのみ利用することができます。
また、ハードウェアが異なるため、IBM POWER9 における KVM 仮想化の特定の特長および機能が、AMD64 システムおよび Intel 64 システムでサポートされるものと異なります。
POWER9 で KVM 仮想化をインストールして使用する方法は、『仮想化の導入および管理ガイド』を参照してください。(BZ#1465503、BZ#1478482、BZ#1478478)

IBM POWER8 で KVM 仮想化をサポート

今回の更新で、KVM 仮想化が IBM POWER8 システムでサポートされ、KVM 仮想化を IBM POWER8 マシンで使用できるようになりました。
ハードウェアが異なるため、IBM POWER8 における KVM 仮想化の特定の特長および機能が、AMD64 システムおよび Intel 64 システムでサポートされるものと異なります。
POWER8 で KVM 仮想化をインストールして使用する方法は、『仮想化の導入および管理ガイド』を参照してください。(BZ#1531672)

複数のゲストによる NVIDIA GPU デバイスの同時使用が可能

NVIDIA vGPU 機能が Red Hat Enterprise Linux 7 でサポートされるようになりました。これにより、vGPU 準拠の NVIDIA GPU を、媒介デバイス と呼ばれる複数の仮想デバイスに分割できるようになります。媒介デバイスをゲスト仮想マシンに割り当てると、このゲストは 1 つの物理 GPU のパフォーマンスを共有できるようになります。
この機能を設定するには、libvirt サービスが vGPU として使用できる媒介デバイスを手動で作成します。詳細は『仮想化の導入および管理ガイド』を参照してください。(BZ#1292451)

KVM ゲストの KASLR

Red Hat Enteprise Linux 7.5 では、KVM 仮想マシン用に KASLR (Kernel Address Space Randomization) 機能が導入されました。KASLR によりカーネルイメージの圧縮を解除する物理アドレスおよび仮想アドレスをランダムにすることができるため、カーネルオブジェクトの場所に基づいてゲストのセキュリティーが悪用されるのを防ぎます。
KASLR はデフォルトでアクティブになりますが、ゲストのカーネルコマンドラインに nokaslr 文字列を追加すると、特定のゲストで非アクティブ化することができます。
KASLR が有効なゲストのカーネルクラッシュダンプは、crash ユーティリティーを使用して解析することができません。この問題を解消するには、ゲストの XML 設定ファイルの <features> セクションに、<vmcoreinfo/> 要素を追加します。ただし、<vmcoreinfo/> が設定された KVM ゲストは、この要素をサポートしないホストシステム (たとえば Red Hat Enterprise Linux 7.4 以前を使用するホスト) に移行することができません。(BZ#1411490、BZ#1395248)

OVA ファイルの並列解凍のサポート

このリリースでは、解凍ユーティリティー pigz および pxzvirt-v2v ユーティリティーによりサポートされます。
これらのユーティリティーにより、マルチプロセッサーマシンで gzip および xz ユーティリティーを使用して圧縮した OVA ファイルが迅速に抽出されます。また、pigz および pxz のコマンドラインインターフェースは、gzip および xz のコマンドラインインターフェースと完全に互換性があります。
pigz および pxz がインストールされている場合は、デフォルトで使用されます。pigz および pxz がインストールされていない場合は、抽出動作に変更はありません。(BZ#1448739)

Cannonlake ゲストにおいて SMAP をサポート可能に

今回の更新で、Cannonlake というコードネームの第 7 世代 Intel プロセッサーを使用するゲストで SMAP (Superior Mode Access Prevention) 機能がサポートされるようになりました。これにより、悪意のあるプログラムにより、カーネルがユーザー空間のプログラムからデータを使用するのが防止されるため、ゲストのセキュリティーが向上します。
ホストの CPU がゲストに SMAP を提供しているのを確認するには、virsh capabilities コマンドを実行して、<feature name='smap'/> 文字列を確認します。(BZ#1465223)

libvirt が 3.9.0 にリベース

libvirt パッケージがバージョン 3.9.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • スパースファイルが、別のホストとの間で移動した後に保存されるようになりました。
  • リモートプロシージャーコール (RPC) の応答制限が上がりました。
  • 仮想化 IBM POWER9 CPU がサポートされるようになりました。
  • ゲスト仮想マシンを実行するデバイスの割り当て (デバイスのホットプラグとしても知られている) でサポートされるデバイスの種類 (入力デバイスなど) が増えました。
  • libvirt ライブラリーが、セキュリティー問題 CVE-2017-1000256 および CVE-2017-5715 に対して保護されるようになりました。
  • VFIO を媒介するデバイスの機能の信頼性が上がりました。(BZ#1472263)

virt-manager が 1.4.3 にリベース

virt-manager パッケージがバージョン 1.4.3 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • virt-manager インターフェースが、AMD64 アーキテクチャーおよび Intel 64 アーキテクチャーを使用しないゲスト仮想マシンを作成するときに、正しい CPU モデルを表示するようになりました。
  • デフォルトのデバイス選択が、IBM POWER、IBM z Systems、または 64 ビット ARM のアーキテクチャーを使用するゲストに対して最適化されました。
  • ホストシステムに設置されたネットワークカードが SR-IOV (single root I/O virtualization) と互換性がある場合は、選択した SR-IOV 対応カードで利用可能な仮想機能のプールを一覧表示する仮想ネットワークを作成できるようになりました。
  • 新たに作成したゲストに選択できる OS の種類とバージョンが増えました。(BZ#1472271)

virt-what がバージョン 1.18 にリベース

virt-what パッケージがアップストリームバージョン 1.18 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。たとえば、virt-what ユーティリティーは、以下の種類のゲスト仮想マシンを検出できるようになりました。
  • 64 ビットの ARM ホストで実行し、API (Advanced Configuration and Power Interface) を使用して起動したゲスト
  • oVirt または Red Hat Virtualization Hypervisor で実行しているゲスト
  • LPAR (logical partitioning) を使用する IBM POWER7 ホストで実行しているゲスト
  • FreeBSD bhyve ハイパーバイザーで実行しているゲスト
  • KVM ハイパーバイザーを使用する IBM z Systems ホストで実行しているゲスト
  • QEMU TCG (Tiny Code Generator) を使用してエミュレートしたゲスト
  • OpenBSD VMM (virtual machine monitor) サービスで実行しているゲスト
  • AWS (Amazon Web Services) プラットフォームで実行しているゲスト
  • SPARC プラットフォーム用の Oracle VM Server で実行しているゲスト
また、以下のバグが修正されました。
  • virt-what ユーティリティーが、SMBIOS (System Managemement BIOS) を使用しないプラットフォームで失敗しなくなりました。
  • $PATH 変数が設定されていなくても、virt-what が適切に動作するようになりました。(BZ#1476878)

tboot がバージョン 1.96 にリベース

tboot パッケージがアップストリームバージョン 1.96 にアップグレードされ、バグ修正および機能拡張がいくつか追加されました。主な変更点は以下のとおりです。
  • RSA 鍵操作および ECDSA 署名検証で、OpenSSL ライブラリーのバージョン 1.1.0 以降がサポートされるようになりました。
  • TCG (Trusted Computing Group) の TPM (Trusted Platform Module) のイベントログに対するサポートが追加されました。
  • x2APIC シリーズの APIC (Advanced Programmable Interrupt Controller) がサポートされるようになりました。
  • カーネルイメージが意図せず上書きされないように、新たなチェックが追加されました。
  • モジュールを移動しているときに、tboot ユーティリティーでモジュールを上書きできなくなりました。
  • Amazon S3 (Amazon Simple Storage Service) のシークレットのシーリングまたはシーリング解除に失敗していたバグが修正されました。
  • 複数の Null ポインターが逆参照しているバグが修正されました。(BZ#1457529)

virt-v2v でスナップショットがある VMware ゲストを変換可能

virt-v2v ユーティリティーが強化され、スナップショットがある VMware ゲスト仮想マシンを変換できるようになりました。その変換後、そのようなゲストのステータスは最上位スナップショットに設定され、その他のスナップショットは削除されます。(BZ#1172425)

virt-rescue の機能拡張

virt-rescue ユーティリティーのこのリリースには、以下の機能拡張が含まれています。
  • Ctrl キーと文字キーを同時に押すシーケンスは、virt-rescue そのものではなく virt-rescue で実行されるコマンドに対して機能するようになりました。
  • -i オプションにより、ゲストの検査後にすべてのディスクをマウントすることができます。(BZ#1438710)

virt-v2v が LUKS で暗号化された Linux ゲストを変換可能

今回の更新で、/boot パーティション以外のすべてのパーティションが暗号化された場合に、virt-v2v ユーティリティーが、ディスク全体を LUKS で暗号化してインストールした Linux ゲストを変換できるようになりました。
注記:
  • virt-v2v ユーティリティーは、その他の暗号化スキームを使用しているパーティションでは、Linux ゲストの変換をサポートしません。
  • virt-p2v ユーティリティーは、ディスク全体を LUKS で暗号化してインストールした Linux マシンの変換をサポートしません。(BZ#1451665)

一部の CPU モデルで libvirt に CAT サポートを追加

一部の CPU モデルで、libvirt サービスが CAT (Cache Allocation Technology) をサポートするようになりました。これにより、ゲスト仮想マシンが、ホストの CPU キャッシュの一部を vCPU スレッドに割り当てられるようになりました。
この機能の設定方法は、『仮想化のチューニングと最適化ガイド』を参照してください。(BZ#1289368)

KVM ゲストの時刻同期を改善するために PTP デバイスを追加

KVM ゲスト仮想マシン用に PTP デバイスが追加されました。これにより、NTP 調整によるホストとゲスト間のクロックの差異が抑えられ kvmclocks サービスの精度が向上します。その結果、PTP デバイスにより KVM ホストとそのゲスト間の時刻同期の信頼性が向上します。
PTP デバイスのセットアップについては、『仮想化の導入および管理ガイド』を参照してください。(BZ#1379822)