Enterprise Cloud Knowledge Center
メニューを閉じる
ホーム > Enterprise Cloud 2.0 サポート情報 > よくある質問 > CPUの脆弱性(CVE-2017-5715およびCVE-2017-5753(Spectre))に対するサービス基盤の対応による性能影響について教えてください。

よくある質問

CPUの脆弱性(CVE-2017-5715およびCVE-2017-5753(Spectre))に対するサービス基盤の対応による性能影響について教えてください。

(:更新)

Enterprise Cloud 2.0 仮想サーバーにおけるVMを収容しているホストについて、CVE-2017-5715およびCVE-2017-5753(Spectre)の脆弱性を緩和するためのサービス基盤側の対応実施前後の性能影響につきまして、Unixbenchで検証を行った結果をご案内いたします。

Unixbenchの結果より、サービス基盤側の対応による性能影響はほぼないことが確認されておりますが、ゲストOS上のパッチ適用につきましては、間接分岐の予測を制限する(IBRS)方式とRetpolineという手法を用いた場合で性能差があり、Retpoline方式の方が性能低下を抑えることが期待できます。

 

[2018/11/9追記]

■サービス基盤(ホストOS)の対応(NTT Com実施)
・下記の検証条件におけるサービス基盤側の脆弱性対応によるUnixbenchでの性能影響はほぼないことが確認されておりますが、お客さま環境によっては、CPU、メモリ、スループット等が低下する可能性がございます。影響度合いはお客さまのシステム環境に依存します。(特に、お客さまOS がWindows Server 2012 R2の際にみられる傾向がございます)
■お客さまOS(ゲストOS)側の対応(お客さま実施)
・上記ご案内のとおり、お客さまOS上でも脆弱性対応を有効にすると性能影響を与える可能性がございますので、予めご注意ください。

 

※ゲストOS上のパッチ適用に関する注意事項

・Retpoline方式

RedHat Enterprise Linux 7.3でRetpolineに対応したカーネルは

kernel-3.10.0-514.44.1.el7.x86_64 以降となります。( https://access.redhat.com/errata/RHSA-2018:0399

・IBRS方式

間接分岐の予測を制限する(IBRS)方式は、サービス基盤側の対応が行われた後に、

カーネルをアップデートしたお客さまインスタンスが停止・起動されることで初めて有効となります。

<Unixbench Tests検証結果に関する注釈>

・各ケースの内容につきましては下記を参照ください。

・Case-A

 サービス基盤側の対応実施前かつゲストOS上パッチ適用なし(kernel version: kernel-3.10.0-514)

・Case-B

 サービス基盤側の対応実施後かつゲストOS上パッチ適用なし(kernel version: kernel-3.10.0-514)

・Case-C

 サービス基盤側の対応実施後かつゲストOS上パッチ適用済(IBRS方式 )(kernel version: kernel-3.10.0-693.11.6.el7.x86_64)

・Case-D

 サービス基盤側の対応実施後かつゲストOS上パッチ適用済(Retpoline方式 )(kernel version: kernel-3.10.0-693.21.1.el7.x86_64 )

 

・いずれもRed Hat Enterprise Linuxのオフィシャルイメージから作成したVM、かつRed Hat Enterprise Linuxのデフォルト設定の状態Unixbenchを行った結果となります。

・Unixbenchのテスト項目の内容につきましては下記を参照ください。

テスト項目内容
Dhrystone 2 using register variables2つのレジスタを使ってシステム(整数)プログラミングの性能
Double-Precision Whetstone浮動小数点演算性能
Execl Throughput関数の呼び出し性能
File Copy 1024 bufsize 2000 maxblocksファイルのコピー(バッファサイズ1024バイト)
File Copy 256 bufsize 500 maxblocksファイルのコピー(バッファサイズ256バイト)
File Copy 4096 bufsize 8000 maxblocksファイルのコピー(バッファサイズ4096バイト)
Pipe Throughputパイプ処理のスループット
Pipe-based Context Switchingパイプベースのコンテキストのスイッチング処理
Process Creationプロセス作成
Shell Scripts (1 concurrent)1つだけシェルスクリプトの実行
Shell Scripts (8 concurrent)8つ同時にシェルスクリプトの実行
System Call Overheadシステムコールでのオーバーヘッド
System Benchmarks Index Scoreシステムベンチマークの総合スコア

・本検証結果はあくまで参考値であり、性能を保証するものではありませんので、予めご了承ください。

参考: CPU脆弱性(CVE-2017-5754(Meltdown)/CVE-2017-5715およびCVE-2017-5753(Spectre))の対応状況

このFAQは参考になりましたか?

参考になった 参考にならなかった
  • ECL2.0
    •  
  • 仮想サーバー
    •  

関連するページ

  • ルートボリュームをインスタンスからデタッチできません。ECL2.0, 仮想サーバー / 仕様, 運用

    ルートボリュームはデータボリュームのようにアタッチ、デタッチはできません。インスタンスを削除しない限り、当該インスタンスのルートボリュームとなります。
    参考:サービス説明書 - ボリュームの用語

    このFAQは参考になりましたか?

    参考になった 参考にならなかった
    ページを開く
  • 仮想サーバーのフレーバー変更時にインスタンスを停止する必要はありますか?ECL2.0, 仮想サーバー / 仕様, 運用

    いいえ。インスタンスを停止する必要はありません。
    フレーバー変更はインスタンス起動状態でも可能です。
    しかしながら、変更処理の過程でインスタンスの再起動が実行されるため、フレーバー変更の実行前に、データなどの保存を実施してください。

    変更方法についてはチュートリアルをご参照ください
    チュートリアル - インスタンスのフレーバー変更

    このFAQは参考になりましたか?

    参考になった 参考にならなかった
    ページを開く
  • ロジカルネットワークの DHCP サーバーが、意図しないキャッシュ (リゾルバ) DNS サーバーアドレスを配信する事象ECL2.0, ベアメタルサーバー, ロジカルネットワーク, 仮想サーバー, 共通機能ゲートウェイ

    事象概要

    事象

    •ロジカルネットワークの DHCP サーバーが、お客さまが意図しない IP アドレス (DHCP サーバーの IP アドレス) を、キャッシュ (リゾルバ) DNS サーバーの IP アドレスとしてDHCP で配信してしまう
    •仮想サーバーインスタンスまたはベアメタルサーバーの OS が、お客さまが意図しない IP アドレス (DHCP サーバーの IP アドレス) をキャッシュ (リゾルバ) DNS サーバーの IP アドレスとして DHCP で取得した場合に、グローバル名前空間の名前解決ができてしまう

    ※ Enterprise Cloud 2.0 では、キャッシュ (リゾルバ) DNS サーバーの提供は行っておりません。

    事象詳細

    リージョン

    以下のリージョンのテナントをご利用の場合に事象が発生します。
    •JP3
    •JP4
    •JP5

    メニュー

    ロジカルネットワークとサーバー(仮想サーバーまたはベアメタルサーバー)両方で下記の条件を満たす場合に発生します。

    ロジカルネットワーク
    •ケース1. ロジカルネットワークメニューから作成し、サブネットの入力項目が以下のもの

    DHCP 有効 : チェックしている
    DNS サーバー : テキストボックスに IP アドレスを入力していない

    •ケース2. 共通機能ゲートウェイメニューから作成された共通機能ゲートウェイ用ロジカルネットワーク全て

    サーバー
    •ケース1. 仮想サーバーメニューで作成し、以下の設定のもの•インターフェイス : 上記の条件を満たすロジカルネットワークに接続している

    OS : DHCP にてキャッシュ (リゾルバ) DNS サーバーの IP アドレスを取得している

    •ケース2. ベアメタルサーバー•インターフェイス : 上記の条件を満たすロジカルネットワークに接続している

    OS : DHCP にてキャッシュ (リゾルバ) DNS サーバーの IP アドレスを取得している

    確認方法

    本事象が発生する条件を満たしているかの確認方法は以下の通りです。

    ロジカルネットワーク
    •サブネット

    •クラウドコンピューティングコントロールパネル > ネットワーク > ロジカルネットワーク > サブネット よりサブネット名を押下してください。

    •DHCP 有効 : 「サブネットの詳細」画面にて、有効となっているかご確認ください
    •DNS サーバー :「サブネットの詳細」画面にてDNSサーバーが「なし」の場合に対象となる可能性があります。「なし」の場合は、DNSサーバーにIP アドレスを入力していなくてDNSサーバーアドレスが配信されているか、0.0.0.0と入力してDNSサーバーアドレス配信を停止しているかのどちらかを示しています。

    仮想サーバー
    •インターフェイス

    •クラウドコンピューティングコントロールパネル > サーバー > 仮想サーバー > インスタンス よりインスタンス名を押下いただき、「インスタンスの詳細」画面にてご確認ください

    •OS

    •Windows Server 2012 R2 / Windows Server 2016 : ネットワークと共有センター > アダプターの設定の変更 > "ロジカルネットワークに接続しているインターフェイス名" > プロパティ > インターネット プロトコル バージョン 4 (TCP/IPv4) よりプロパティを押下いただき、「インターネット プロトコル バージョン 4 (TCP/IPv4) のプロパティ」画面にてご確認ください
    •Red Hat Enterprise Linux / CentOS : Shell にて以下コマンドを実行いただき、出力をご確認ください。

    •nmcli connection show <ロジカルネットワークに接続しているインターフェイス名>

    ベアメタルサーバー
    •インターフェイス

    •クラウドコンピューティングコントロールパネル > サーバー > ベアメタルサーバー よりベアメタルサーバー名を押下いただき、「ベアメタルサーバーの詳細」画面にてご確認ください。

    •OS

    •Windows Server 2012 R2 : ネットワークと共有センター > アダプターの設定の変更 > "ロジカルネットワークに接続している論理 (VLAN) インターフェイス" > プロパティ > インターネット プロトコル バージョン 4 (TCP/IPv4) よりプロパティを押下いただき、「インターネット プロトコル バージョン 4 (TCP/IPv4) のプロパティ」画面にてご確認ください
    •Red Hat Enterprse Linux / CentOS : Shell にて以下コマンドを実行いただき、出力をご確認ください

    •nmcli connection show <ロジカルネットワークに接続しているインターフェイス名>

    対処方法

    対処方法は以下の通りです。

    1. DHCP でキャッシュ (リゾルバ) DNS サーバーの IP アドレスを取得する必要がある場合

    以下のご設定をご実施ください。

    ロジカルネットワーク
    •「サブネットの編集」にて以下の設定を実施してください。

    •DNS サーバー : テキストボックスにキャッシュ (リゾルバ) DNS サーバーの IP アドレスを入力する(※1)

    2. DHCP でキャッシュ (リゾルバ) DNS サーバーの IP アドレスを取得する必要がない場合

    以下のご設定をご実施ください。

    ロジカルネットワーク
    •「サブネットの編集」にて以下の設定を実施してください。

    •DNS サーバー : 「DNSサーバーなし」のチェックボックスをオンにする。(※2)

    ※1 Enterprise Cloud 2.0 では、キャッシュ (リゾルバ) DNS サーバーの提供は行っておりません。このため、お客さまがお持ちの内部 DNS サーバーの IP アドレスや、お客さまが選定されたパブリック DNS サービスが提供するキャッシュ DNS サーバーの IP アドレスなどをご指定ください。

    ※2 APIの場合は、DNSサーバーの項に0.0.0.0と入力してください。

    改修時期

    既存のお客さまのロジカルネットワークの設定を変更して、意図しないキャッシュ (リゾルバ) DNS サーバーアドレスの配信停止を実施する予定です。

    それまでに対処が必要な場合は、上記対処を参考にDNSサーバーアドレスの配信・配信停止の対処を実施してください。

    ページを開く
  • ゲストOSにWindows Serverを用いているインスタンスの起動中にインターフェースをデタッチした際にインスタンスがハングアップする事象ECL2.0, 仮想サーバー

    事象概要

    ゲストOSにWindows Serverを用いているインスタンスのインターフェースのデタッチ操作を行う際に、インスタンスが起動中の場合、稀にインスタンスがハングアップすることがございます。この場合そのインスタンスに対して、Webコンソールの利用や、クラウドコンピューティングコントロールパネルまたはAPIを用いた操作が出来なくなります。

    対処方法

    本事象を避けるためには、インスタンスの電源を落とした状態でインターフェースのデタッチ操作を行なってください。

    もしインスタンスの起動中にインターフェースのデタッチを行い、インスタンスがハングアップしてしまった場合には、チケットにてお問い合わせ下さい。

    ページを開く
  • Windowsの仮想サーバーインスタンスに対してリモートデスクトップで接続すると、「このリモートコンピューターのIDを識別できません。 接続しますか?」という証明書エラー画面が表示されます。ECL2.0, 仮想サーバー / 仕様, 運用

    証明書エラー画面が表示されるのは、オフィシャルテンプレートとして提供しているWindows Serverのデフォルトの動作です。

    具体的には、クライアントPCからリモートデスクトップを利用する場合、サーバー(リモートデスクトップ先)に対して、証明書が用いられます。この「証明書」の「サブジェクト」と言われる項目がクライアント側で指定した接続先のコンピュータ名と一致しているかどうかを確認します。その後、コンピュータ名の一致、および証明書が信頼に足るものであれば、接続し、不一致、ないし証明書が信頼できない場合は警告が出る、という動作となります。
    Windows Serverのデフォルトの仕様として、サーバ側でリモートデスクトップ接続を有効にすると専用の自己発行証明書が作成され、リモートデスクトップ接続時の認証に用いられるように自動で設定されます

     

    表示されないようにするためには、正規の証明書をサーバーにimportしてください。

    下記の手順は、一例としてご参考までにご案内します。本手順についてのご質問は承りかねます。

    1.発行された証明書をセッションホストの役割をもったWindows Serverへ格納し、
 証明書ファイルをダブルクリックします。

2.証明書のインポートウィザードが表示されるので、
 保存場所として[ローカルコンピューター]を選択し、[次へ]で進みます。

3.ウィザードに沿って進みます。

4.[秘密キーの保護]ページでは、証明書ファイルに設定されたパスワードを入力します。
 すべての拡張プロパティを含めるが選択されていることを確認し、[次へ]で進みます。

5.「証明書ストア」のページでは、証明書の種類に基づいて、
 自動的に証明書ストアを選択するが選択されていることを確認し、[次へ]で進みます。

6.インポートは完了です。

7.続けて、証明書のスナップインを開き、[詳細]タブで拇印をご確認ください。
 こちら、メモ帳などへコピーをお願いします。
。
8.Powershellを管理者で実行し、以下コマンドを実施ください。
 ・$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root  \cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
 ・Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="拇印"}

9.Powershellで以下コマンドを実行し、該当の証明書が設定されたことを確認ください。
 ・Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"

    このFAQは参考になりましたか?

    参考になった 参考にならなかった
    ページを開く

サポート情報

Enterprise Cloud 2.0

Enterprise Cloud 1.0






サービスの改善にご協力をお願いいたします

こちらのFAQは参考になりましたか? ご意見がございましたら、ぜひお聞かせください。

ありがとうございました

ご意見は送信されました。