機械翻訳について

KVMインスタンスへのvTPMセキュリティの追加

警告:

Oracle Linux 7は現在延長サポート中です。 詳細は、Oracle Linux拡張サポートおよび Oracleオープン・ソース・サポート・ポリシーを参照してください。

できるだけ早くアプリケーションとデータをOracle Linux 8またはOracle Linux 9に移行してください。

仮想Trusted Platform Module (vTPM)セキュリティの使用に関する情報を次に示します。 また、KVMインスタンスでvTPMセキュリティを有効にするための構成情報も含まれています。

vTPMセキュリティについて

仮想Trusted Platform Module (vTPM)は、物理的なTrusted Platform Module 2.0チップのソフトウェアベースの表現です。 vTPMは、他の仮想デバイスと同様に機能し、乱数生成、アテステーション、キー生成などのセキュリティ関連の機能を提供します。 KVMインスタンスに追加すると、vTPMにより、プライベートで他のゲストに公開されていないキーをゲストOSが作成および格納できます。 KVMインスタンスが侵害され、vTPMが有効になっている場合、キーはKVMのゲストOSでのみ暗号化または署名に使用可能であるため、そのシークレットが侵害されるリスクは減少します。

vTPMは、既存のOracle Linux 8またはOracle Linux 9のKVMに追加できます。 vTPMを有効にすると、KVMファイルは暗号化されますが、ディスクは暗号化されません。 ただし、KVMおよびそのディスクの暗号化を明示的に追加することもできます。

前提条件

• 管理者権限。
• ホスト・システム上の既存のKVMインスタンス。

  詳細は、「作成: KVMインスタンス」を参照してください。

手順

vTPMソフトウェア・パッケージをインストールし、vTPMセキュリティ・プロパティを含めるようにゲストOS構成ファイルを編集するには、次の手順に従います。

1. vTPMソフトウェア・パッケージをインストールします。

   Yumを使用した構文の例。

   yum -y install swtpm libtpms swtpm-tools

2. KVMインスタンスを停止します。
   詳細は、「KVM: インスタンスの停止」を参照してください。
3. ゲストOSのXML構成ファイルにvTPM設定を追加するには、次の手順を実行します:
   1. virsh editコマンドを使用して、ゲストOSのXML構成を編集します。
      次に例を示します:

      virsh edit My_KVMGuest_Name 

      ノート:

      virsh editコマンドでは、$EDITORシェル・パラメータで指定されたテキスト・エディタでXMLファイルが開きます。 デフォルトでは、viエディタが設定されます。
   2. ゲストOSのXML構成ファイルを更新して、vTPMセキュリティ・プロパティを含めます。
      次に例を示します:

      <devices> ... </input> <input type='mouse' bus='ps2'/> <input type='keyboard' bus='ps2'/> <tpm model='tpm-crb'> <backend type='emulator' version='2.0'/> </tpm> <graphics type='vnc' port='-1' autoport='yes'> <listen type='address'/> </graphics> ... </devices>

      説明:

      • model='tpm-crb' - TPMモデル・タイプをコマンド・レスポンス・バッファ(CRB)に設定します。

        ノート:

        tpm-crbオプションは、version='2.0'を指定した場合にのみ使用できます。
      • type='emulator' - デバイス・タイプをエミュレータに設定します。
      • version='2.0' - TPMバージョンを2.0に設定します。

      ノート:

      Oracle Linux 8またはOracle Linux 9でKVMインスタンスを初めて作成する場合、virt-installコマンドの--tpmオプションを使用して、インストール時にTPMのエミュレートされたデバイス情報を指定することもできます。 次に例を示します:

      virt-install --name MY_KVMGuest_ol8-tpm2 --memory 2048 --vcpus 2 \ --disk path=/systest/images/My_KVMGuest_ol8-tpm2.qcow2,size=20 \ --location /systest/iso/ol8.iso --os-variant ol8 \ --network network=default --graphics vnc,listen=0.0.0.0 --tpm emulator,model=tpm-crb,version=2.0

   3. ゲストOSのXML構成の変更を保存します。
4. KVMインスタンスを起動します。
   詳細は、「KVM: インスタンスの起動」を参照してください。