- Authors
- Name
- Youngju Kim
- @fjvbn20031
- はじめに
- コンフィデンシャルコンピューティング
- ARM仮想化
- GPUディスアグリゲーション
- NVIDIA BlueField DPU
- WebAssembly(Wasm)仮想化
- Kata Containers
- ユニカーネル
- サーバーレスGPU
- エッジコンピューティング仮想化
- グリーンコンピューティングと仮想化
- シリーズまとめ
- おわりに
はじめに
仮想化技術はメインフレーム時代から現在のクラウドネイティブ時代まで、絶えず進化してきました。この最終回では、仮想化の未来を形作る主要技術を見ていき、シリーズを締めくくります。
コンフィデンシャルコンピューティング
概要
コンフィデンシャルコンピューティングは、データを使用中(in-use)でも暗号化された状態で処理する技術です。従来は保存時(at-rest)と転送中(in-transit)のみ暗号化が可能でした。
従来の暗号化:
+------------------+ +------------------+ +------------------+
| 保存時 (at-rest) | | 転送中 | | 使用中 (in-use) |
| AES暗号化 | --> | TLS/SSL | --> | 平文処理 |
| [保護済み] | | [保護済み] | | [脆弱] |
+------------------+ +------------------+ +------------------+
コンフィデンシャルコンピューティング:
+------------------+ +------------------+ +------------------+
| 保存時 (at-rest) | | 転送中 | | 使用中 (in-use) |
| AES暗号化 | --> | TLS/SSL | --> | メモリ暗号化 |
| [保護済み] | | [保護済み] | | [保護済み] |
+------------------+ +------------------+ +------------------+
ハードウェア技術
AMD SEV(Secure Encrypted Virtualization)
+------------------------------------------+
| AMD SEVアーキテクチャ |
| |
| +------------------+ +---------------+ |
| | VM 1 | | VM 2 | |
| | 固有暗号化キー | | 固有暗号化キー | |
| | [メモリ暗号化済み] | | [メモリ暗号化済み]| |
| +------------------+ +---------------+ |
| |
| +--------------------------------------+|
| | AMD Secure Processor (PSP) ||
| | - キー管理 ||
| | - メモリ暗号化エンジン (SME) ||
| | - SEV-ES: レジスタ状態の暗号化 ||
| | - SEV-SNP: 整合性保護の追加 ||
| +--------------------------------------+|
+------------------------------------------+
- SEV: VMメモリの暗号化
- SEV-ES: CPUレジスタ状態の暗号化を追加
- SEV-SNP: メモリ整合性保護を追加(ハイパーバイザー攻撃防御)
Intel TDX(Trust Domain Extensions)
- Trust Domain(TD)という隔離された実行環境を提供
- ハイパーバイザーからのVM保護
- リモートアテステーション(remote attestation)サポート
ARM CCA(Confidential Compute Architecture)
- Realmという新しい実行環境を導入
- ARMベースのサーバー/エッジデバイスに適用
- モバイルからデータセンターまで統合セキュリティモデル
クラウドサービス
| サービス | 基盤技術 | 特徴 |
|---|---|---|
| AWS Nitro Enclaves | AWS Nitro System | 隔離されたコンピュート環境、ネットワークなし |
| Azure Confidential VMs | AMD SEV-SNP / Intel TDX | 完全なVMメモリ暗号化 |
| GCP Confidential VMs | AMD SEV | リフト&シフトマイグレーション |
ARM仮想化
Apple Virtualization.framework
macOSで軽量VMを実行するためのネイティブフレームワークです。
+------------------------------------------+
| macOS (Apple Silicon) |
| |
| +------------------------------------+ |
| | Virtualization.framework | |
| | | |
| | +----------+ +----------+ | |
| | | Linux VM | | macOS VM | | |
| | | (ARM64) | | (ARM64) | | |
| | +----------+ +----------+ | |
| | | |
| | - Rosetta 2 x86エミュレーションサポート| |
| | - virtioデバイスモデル | |
| | - GPUアクセラレーション (Metal) | |
| +------------------------------------+ |
+------------------------------------------+
Ampere Altra / AWS Graviton
ARMベースのサーバープロセッサがデータセンターで急速に普及しています。
| プロセッサ | コア数 | 用途 | 仮想化サポート |
|---|---|---|---|
| Ampere Altra Max | 128 | クラウドネイティブ | KVM/QEMU |
| AWS Graviton 4 | 96 | AWS EC2 | Nitro |
| NVIDIA Grace | 72 | AI/HPC | KVM |
ARM仮想化の利点は以下の通りです。
- 優れた電力効率(ワットあたりのパフォーマンス)
- コア数に対する高いVM密度
- クラウドコスト削減(x86比20-40%)
GPUディスアグリゲーション
コンセプト
GPUをコンピュートノードから分離し、ネットワーク経由で共有するアーキテクチャです。
従来のアーキテクチャ:
+------------------+ +------------------+ +------------------+
| Server 1 | | Server 2 | | Server 3 |
| CPU + GPU x4 | | CPU + GPU x4 | | CPU (GPUなし) |
| [GPU無駄の可能性] | | [GPU不足の可能性] | | [GPU必要] |
+------------------+ +------------------+ +------------------+
ディスアグリゲーション:
+------------------+ +------------------+ +------------------+
| Server 1 | | Server 2 | | Server 3 |
| CPU | | CPU | | CPU |
+--------+---------+ +--------+---------+ +--------+---------+
| | |
+--------v---------------------v---------------------v---------+
| GPUプール(ネットワーク接続) |
| +------+ +------+ +------+ +------+ +------+ +------+ |
| | GPU | | GPU | | GPU | | GPU | | GPU | | GPU | |
| +------+ +------+ +------+ +------+ +------+ +------+ |
+--------------------------------------------------------------+
インターコネクト技術
| 技術 | 帯域幅 | レイテンシ | 用途 |
|---|---|---|---|
| PCIe Gen5 | 128 GB/s(x16) | 非常に低い | ローカル |
| CXL 3.0 | 128 GB/s | 低い | ラック内 |
| NVLink 5.0 | 1.8 TB/s(GPU間) | 非常に低い | GPUクラスタ |
| InfiniBand NDR | 400 Gb/s | 中程度 | データセンター |
CXL(Compute Express Link)
CXLはGPUディスアグリゲーションの核となるインターコネクト技術です。
CXLメモリプーリング:
+--------+ +--------+ +--------+
| CPU 1 | | CPU 2 | | GPU |
+---+----+ +---+----+ +---+----+
| | |
+---v------------v------------v---+
| CXL Switch |
+---+------------+------------+---+
| | |
+---v----+ +---v----+ +---v----+
| メモリ | | メモリ | | メモリ |
| プール1 | | プール2 | | プール3 |
+--------+ +--------+ +--------+
NVIDIA BlueField DPU
SmartNICへの仮想化オフロード
BlueField DPUは仮想化、ネットワーキング、ストレージ処理をホストCPUから分離してSmartNICで処理します。
+------------------------------------------+
| Host Server |
| +------------------------------------+ |
| | CPU | |
| | - アプリケーションワークロードのみ実行| |
| | - 仮想化オーバーヘッドなし | |
| +------------------------------------+ |
| | |
| +------------------------------------+ |
| | BlueField DPU | |
| | | |
| | - ARMコアでハイパーバイザー実行 | |
| | - OVSアクセラレーション(ネットワーキング)| |
| | - SNAPアクセラレーション(ストレージ) | |
| | - IPsec/TLSハードウェアアクセラレーション| |
| | - Zero-trustセキュリティ | |
| +------------------------------------+ |
+------------------------------------------+
メリット
- ホストCPUサイクルをアプリケーションに100%活用
- ネットワーク/ストレージ仮想化オーバーヘッドの排除
- インフラとテナント間のハードウェアレベル分離
- GPU Direct RDMAアクセラレーション
WebAssembly(Wasm)仮想化
軽量仮想化の代替
WebAssemblyはコンテナより軽く、VMより速い新しい実行環境です。
比較:
VM Container Wasm
+--------+ +--------+ +--------+
| App | | App | | App |
+--------+ +--------+ +--------+
| Guest | | Libs | | Wasm |
| OS | +--------+ | Runtime|
+--------+ | Container| +--------+
| Hypervisor| | Runtime |
+--------+ +--------+
| Host OS| | Host OS| | Host OS|
+--------+ +--------+ +--------+
起動時間: 秒~分 ミリ秒 マイクロ秒
メモリ: GB MB KB~MB
分離: 強い 中間 Sandbox
主要Wasmランタイム
| ランタイム | 特徴 | 用途 |
|---|---|---|
| Wasmtime | Bytecode Alliance、標準準拠 | サーバーサイド |
| WasmEdge | CNCF Sandbox、軽量 | エッジ/IoT |
| Spin | Fermyon、サーバーレスフレームワーク | マイクロサービス |
| WAMR | Intel、超軽量 | 組み込み |
Kubernetes統合
# SpinKubeによるWasmワークロード例
apiVersion: core.spinoperator.dev/v1alpha1
kind: SpinApp
metadata:
name: my-wasm-app
spec:
image: ghcr.io/my-org/my-wasm-app:latest
replicas: 3
executor: containerd-shim-spin
Kata Containers
VM分離コンテナ
Kata Containersは各コンテナ(またはPod)を軽量VM内で実行し、ハードウェアレベルの分離を提供します。
通常のコンテナ:
+------------------+
| Container 1 | Container 2 |
| | |
| 同一カーネル共有 | 同一カーネル共有 |
+------------------+-------------------+
| Host Kernel |
+--------------------------------------+
Kata Containers:
+------------------+ +------------------+
| Container 1 | | Container 2 |
+------------------+ +------------------+
| Guest Kernel 1 | | Guest Kernel 2 |
+------------------+ +------------------+
| Lightweight VM 1 | | Lightweight VM 2 |
+------------------+ +------------------+
| Host Kernel + KVM |
+----------------------------------------+
メリット
- コンテナレベルの使いやすさ + VMレベルの分離
- OCI互換、既存のコンテナイメージをそのまま使用
- マルチテナント環境での強力なセキュリティ
- Kubernetesランタイムとして直接使用可能
ユニカーネル
目的別最小VM
ユニカーネルはアプリケーションに必要なOS機能のみを含む超軽量VMです。
通常のVM:
+----------------------------------+
| Application |
+----------------------------------+
| フルOS(カーネル + ユーザースペース)|
| - ファイルシステム、ネットワーキング |
| - 不要なサービス、デーモン |
| - 攻撃対象面が広い |
+----------------------------------+
サイズ: 数百MB~数GB
ユニカーネル:
+----------------------------------+
| Application + 必要なOS機能のみ |
| - 最小ネットワークスタック |
| - 最小メモリ管理 |
| - 単一アドレス空間 |
+----------------------------------+
サイズ: 数MB~数十MB
主要ユニカーネルプロジェクト
| プロジェクト | 言語 | 特徴 |
|---|---|---|
| MirageOS | OCaml | 学術的、型安全 |
| Unikraft | C/C++ | モジュラー、POSIX互換 |
| Nanos | C | 汎用、実行しやすい |
| OSv | Java/C | JVM最適化 |
サーバーレスGPU
オンデマンドGPU割り当て
VMやコンテナを管理する必要なく、関数レベルでGPUを使用するパラダイムです。
従来の方式:
ユーザー --> VM/コンテナプロビジョニング --> GPU割り当て --> アプリ実行
(数分) (固定割り当て)
サーバーレスGPU:
ユーザー --> API呼び出し --> GPU自動割り当て --> 関数実行 --> GPU自動解放
(ミリ秒) (オンデマンド) (コスト最小化)
主要サービス
| サービス | 特徴 |
|---|---|
| AWS Lambda(GPU未サポート) | サーバーレス標準、GPUサポート予定 |
| Modal | Pythonネイティブ、GPUサーバーレス |
| Banana | ML推論特化 |
| RunPod Serverless | GPUサーバーレスコンテナ |
エッジコンピューティング仮想化
課題
エッジ環境での仮想化は、リソース制約と管理の複雑さという固有の課題があります。
クラウド エッジ
+------------------+ +------------------+
| 豊富なリソース | | 限られたリソース |
| 安定したネットワーク| | 不安定な接続 |
| 集中管理 | | 分散管理が必要 |
| 物理セキュリティ良好| | 物理アクセスリスク |
+------------------+ +------------------+
エッジに適した仮想化技術
| 技術 | リソース要件 | 起動時間 | 適合度 |
|---|---|---|---|
| QEMU/KVM(microVM) | 低い | 100ms以下 | 高い |
| Kata Containers | 低い | 100ms以下 | 高い |
| WebAssembly | 非常に低い | マイクロ秒 | 非常に高い |
| ユニカーネル | 非常に低い | ミリ秒 | 高い |
| 通常のVM | 高い | 秒~分 | 低い |
グリーンコンピューティングと仮想化
エネルギー効率
仮想化はハードウェア使用率を高めてエネルギー消費を削減する中核技術です。
仮想化なし:
+--------+ +--------+ +--------+ +--------+
|Server 1| |Server 2| |Server 3| |Server 4|
| 使用率 | | 使用率 | | 使用率 | | 使用率 |
| 15% | | 10% | | 20% | | 5% |
+--------+ +--------+ +--------+ +--------+
合計: 4台、平均使用率: 12.5%
仮想化適用:
+--------+
|Server 1|
| 使用率 |
| 70% | <-- 4台のワークロードを統合
+--------+
合計: 1台、電力削減: 60-75%
未来技術
- ワークロード認識GPUパワーマネジメント
- カーボンアウェア(carbon-aware)スケジューリング
- 再生可能エネルギー利用可能時間に合わせたバッチジョブ
- AIベースのVM配置最適化
シリーズまとめ
本シリーズで取り上げた内容を整理します。
| 回 | テーマ | 主要内容 |
|---|---|---|
| 06 | KubeVirt | K8sネイティブVM実行、CRD、CDI、ライブマイグレーション |
| 07 | GPU Operator | GPUソフトウェアスタック自動化、ClusterPolicy、MIG |
| 08 | KubeVirt + GPU | VM GPUパススルー/vGPU、VFIO、Sandbox Plugin |
| 09 | プラットフォーム比較 | QEMU/VBox/VMware/KubeVirt総合比較 |
| 10 | 未来技術 | コンフィデンシャルコンピューティング、GPUディスアグリゲーション、Wasm |
おわりに
仮想化技術は単純なハードウェア抽象化を超えて、セキュリティ(コンフィデンシャルコンピューティング)、効率性(GPUディスアグリゲーション)、軽量化(Wasm/ユニカーネル)、自動化(KubeVirt/GPU Operator)など、多様な方向に進化しています。
特にAI/MLワークロードの爆発的な増加により、GPU仮想化とディスアグリゲーション技術は今後さらに重要になるでしょう。Kubernetesエコシステムにおいて、KubeVirtとGPU Operatorの組み合わせは、この未来に備える中核技術スタックとなるでしょう。
クイズ:仮想化未来技術理解度チェック
Q1. コンフィデンシャルコンピューティングが保護するデータ状態は?
A) 保存時(at-rest) B) 転送中(in-transit) C) 使用中(in-use) D) 削除時(at-deletion)
答え:C) コンフィデンシャルコンピューティングは、従来保護が困難だった使用中(in-use)のデータをハードウェアレベルで暗号化します。
Q2. GPUディスアグリゲーションの核となるインターコネクト技術は?
A) USB 4.0 B) CXL(Compute Express Link) C) Thunderbolt 5 D) SATA Express
答え:B) CXLはCPU、GPU、メモリ間の低レイテンシ高帯域幅接続を提供する、GPUディスアグリゲーションの核心技術です。
Q3. Kata Containersの核心的な特徴は?
A) GPUをネットワークで共有 B) WebAssemblyランタイムの提供 C) 各コンテナを軽量VMで実行して分離 D) ユニカーネルベースの超軽量OS
答え:C) Kata Containersはコンテナを軽量VM内で実行し、コンテナの利便性とVMの分離を両立します。
Q4. エッジコンピューティングに最も適した仮想化技術は?
A) 通常のVM(フルOS) B) VMware ESXi C) WebAssembly D) VirtualBox
答え:C) WebAssemblyはマイクロ秒単位の起動時間とKBレベルのメモリ使用量で、リソースが制限されたエッジ環境に最も適しています。