8.1.4 留意事項

CPUの脆弱性への対応に伴い、以下の留意事項があります。

CPUの脆弱性(Spectre、Meltdown、及びL1 Terminal Fault)に対応するためのCPU命令セットが有効化されない事象への対応

EVCモードを有効化したクラスタ内において、すべてのVMware vSphere ESXiサーバをVMware vSphere ESXi 6.0 Update /ビルド番号:10719132以降にアップデートした際に、VMware vSphere ESXiサーバにおいてCPUの脆弱性(Spectre、Meltdown、及びL1 Terminal Fault)に対応するためのCPU命令セットが有効化されない事象が発生することがあります。このことにより、以下の状態になります。


本事象が発生したことを確認する方法は、以下のとおりです。

1.SSHを使用して、VMware vSphere ESXiサーバに接続します。
2.以下のコマンドを実行し、CPU脆弱性に対応するためのCPU命令セットを確認します。

実行結果にIBPB、IBRS、STIBP、SSBD、及びFCMDのいずれの文字列も含まれていないことが確認できた場合は、本事象が発生しています。

(実行例)
# egrep <IBPB|IBRS|STIBP|SSBD|FCMD> /etc/vmware/config
#

本事象が発生していることを確認した場合は、VMware vSphere ESXiサーバの再起動を実施することで本事象が解消することがあります。

本事象が解消されたことを確認する方法は、以下のとおりです。

1.SSHを使用して、VMware vSphere ESXiサーバに接続します。
2.以下のコマンドを実行し、CPU脆弱性に対応するためのCPU命令セットを確認します。

実行結果にIBPB、IBRS、STIBP、SSBD、及びFCMDのすべての文字列が含まれていることが確認できた場合は、本事象が解消されています。

(実行例)
# egrep <IBPB|IBRS|STIBP|SSBD|FCMD> /etc/vmware/config
featMask.evc.cpuid.IBPB = "Val:1"
featMask.evc.cpuid.IBRS = "Val:1"
featMask.evc.cpuid.STIBP = "Val:1"
featMask.evc.cpuid.SSBD = "Val:1"
featMask.evc.cpuid.FCMD = "Val:1"

ESXi Side-Channel-Aware Schedulerの警告の表示

ESXi Side-Channel-Aware Schedulerが無効化されている場合は、VMware社が定める製品仕様によりVMware vSphere ESXiサーバの「サマリ」タブに以下の警告が表示されます。しかし、本サービスにおいては、この警告を非表示に設定した状態でお引き渡しします。

警告非表示

お引き渡し後に、お客様にてこの警告を表示する場合は、以下の手順を実施してください。

1.VMware vSphere Web Clientを使用し、統合管理サーバに接続します。
2.「ホーム」をクリックし、「ホストおよびクラスタ」をクリックします。
ホストおよびクラスタ
3.設定を変更するVMware vSphere ESXiサーバ(今回の例では「ehv63283761esx001.pri.p2.local」)を選択し、「管理」タブをクリックします。次に、「設定」をクリックし、「システムの詳細設定」をクリックします。
システムの詳細設定
4.フィルタ(フィルタ)に「UserVars.SuppressHyperthreadWarning」を入力します。
フィルタ
5.一覧に表示された「UserVars.SuppressHyperthreadWarning」をクリックし、設定の編集(設定の編集)をクリックします。
設定の編集

「詳細オプションの編集」画面が表示されます。

6.「SuppressHyperthreadWarning」に「0.00」を入力後、「OK」をクリックします。
OK
7.「サマリ」タブに以下の警告が表示されたことを確認します。
警告