軽減策の有効化

VMware vSphere ESXiサーバ、及び仮想マシン用の軽減策について説明します。

VMware vSphere ESXiサーバ用の軽減策(Hypervisor-Specific Mitigation)の有効化
L1 Terminal Fault(L1TF)、及びMicroarchitectural Data Sampling(MDS)

ESXi Side-Channel-Aware Schedulerを有効化することで、L1TF、及びMDSへのHypervisor-Specific Mitigationが有効になります。

L1TFの詳細、及びESXi Side-Channel-Aware Schedulerを有効化する方法は、Broadcom社が提供する以下のKnowledge Baseをご覧ください。

※ MDSに対応しているIIJリビジョンは、「対応しているCPUの脆弱性」をご参照ください。

【注意】

【参考】

  • ESXi Side-Channel-Aware Schedulerが無効化されている場合は、VMware vSphere ESXiサーバの「サマリ」タブに警告が表示されます。しかし、本サービスにおいては、この警告を非表示に設定した状態でお引き渡しします。お引き渡し後に、お客様にて本警告を表示する場合は、「留意事項」をご参照ください。

Machine Check Error on Page Size Change(MCEPSC)

MCEPSCへのHypervisor-Specific Mitigationを有効にする方法は、Broadcom社が提供する「Knowledge Base(https://knowledge.broadcom.com/external/article?legacyId=59139)」をご覧ください。

【注意】

  • 本軽減策を有効化したVMware vSphere ESXiサーバでは、CPUの性能が低下する可能性があります。
  • 本軽減策を有効化した場合のVMware vSphere ESXiサーバへの影響の詳細は、Broadcom社が提供する「Knowledge Base(https://knowledge.broadcom.com/external/article?legacyId=76050)」をご覧ください。  

仮想マシン用の軽減策(Hypervisor-Assisted Guest Mitigation)の有効化

CPUの脆弱性に対応しているVMware vSphere ESXiサーバ上の仮想マシンの電源をONにすることで、Hypervisor-Assisted Guest Mitigationが有効になります。

【注意】

Hypervisor-Assisted Guest Mitigationの有効化により、VMware vSphere vMotionの機能に制限が生じる場合があります。制限の詳細は、「機能制限」をご参照ください。

【参考】

  • Hypervisor-Assisted Guest Mitigationを有効化する場合は、お客様が構築された仮想マシンのハードウェアのバージョンが「9」以上である必要があります。 
  • 一部のHypervisor-Assisted Guest Mitigationは、お客様が構築された仮想マシン上で有効化されたことを確認できます。
    Spectre、及びMeltdownへのHypervisor-Assisted Guest Mitigationの有効化を確認する場合は、「Knowledge Base(https://knowledge.broadcom.com/external/article?legacyId=52085)」をご覧ください。
    MDSへのHypervisor-Assisted Guest Mitigationの有効化を確認する場合は、「Knowledge Base(https://knowledge.broadcom.com/external/article?legacyId=68024)」をご覧ください