Crea una instancia de Confidential VM

En esta página, se explica cómo configurar una instancia de Confidential VM nueva.

Para obtener más información sobre Confidential VMs, consulta Confidential VMs y Compute Engine.

Limitaciones

Confidential VM no es compatible con la migración en vivo.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyecto

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  4. Habilita la API de Compute Engine.
  5. Habilitar la API de Compute Engine
  6. Si deseas usar los ejemplos de línea de comandos en esta guía, haz lo siguiente:
  7. Si deseas usar los ejemplos de la API de esta guía, configura el acceso a la API.

Crea una nueva instancia de Confidential VM

Cloud Console

Para crear una Confidential VM nueva en la plataforma de CPU de virtualización segura encriptada (SEV) de AMD mediante Google Cloud Console, sigue estos pasos:

  1. En Cloud Console, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Haz clic en Crear instancia.

  3. Haz clic en Plataforma de CPU y GPU para expandir la sección.

  4. Deja Plataforma de CPU configurada como Automática.

  5. Selecciona la casilla de verificación Servicio de VM confidencial.

  6. Aparecerá un mensaje en el que se indicará qué configuración se modificará si habilitas el servicio. Haz clic en Habilitar.

El disco de arranque del SO predeterminado cambia a Container-Optimized OS (COS) protegido. Si deseas cambiar el disco de arranque a un SO diferente, haz clic en Cambiar a fin de seleccionar uno de los SO compatibles para una Confidential VM.

Puedes mantener las opciones restantes en sus valores predeterminados o realizar cualquier cambio que desees. Para obtener más información sobre las opciones disponibles, consulta Crea una instancia de VM con un tipo personalizado de máquina en la documentación de Compute Engine. Cuando termines, haz clic en Crear.

Cuando termines, haz clic en Crear.

gcloud

Para crear instancias de Confidential VM nuevas, puedes usar una de varias imágenes de Compute Engine compatibles con Confidential VM.

Obtén una lista de las imágenes compatibles

Para obtener una lista de todas las imágenes compatibles con Confidential VM que existen, usa uno de los siguientes comandos:

Container-Optimized OS (COS) protegido:

gcloud compute images list --filter="guestOsFeatures[].type:(SEV_CAPABLE)" --project cos-cloud;

Ubuntu de Linux:

gcloud compute images list --filter="guestOsFeatures[].type:(SEV_CAPABLE)" --project ubuntu-os-cloud;

Visualiza los detalles de la imagen

Para obtener detalles sobre una imagen específica, usa el subcomando zones describe como se muestra aquí y reemplaza el marcador de posición IMAGE_NAME por el nombre de la imagen y IMAGE_PROJECT_NAME por el nombre del proyecto de la imagen:

gcloud compute images describe IMAGE_NAME --project IMAGE_PROJECT_NAME;

Obtén una lista de las plataformas de CPU disponibles por zona

Para obtener una lista de las plataformas de CPU disponibles en zonas específicas, usa el subcomando zones describe como se muestra aquí y reemplaza el marcador de posición ZONE_NAME por el nombre de la zona:

gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"

Por ejemplo, el siguiente comando muestra qué plataformas de CPU están disponibles en la zona us-central1-f:

gcloud compute zones describe us-central1-f --format="value(availableCpuPlatforms)"

Cree una instancia nueva

Para crear una nueva instancia de Confidential VM en la plataforma de CPU de encriptación segura (SEV) de AMD usa la herramienta de línea de comandos de gcloud.

Para crear la instancia nueva, usa el subcomando instances create seguido de la marca --confidential-compute a fin de especificar una participación en Confidential VM. Debes usar --maintenance-policy=TERMINATE porque Confidential VM no admite la migración en vivo.

Reemplaza los siguientes marcadores de posición por sus valores correspondientes:

  • INSTANCE_NAME: Es el nombre que se asignará a la instancia nueva.
  • MACHINE_TYPE: Es el tipo de máquina N2D que se usará.
  • ZONE_NAME: Es el nombre de la zona en la que se creará la instancia. Para aprender cómo acceder a una lista de las plataformas de CPU disponibles en zonas específicas, consulta Lista de plataformas de CPU disponibles por zona, que se encuentra más arriba en este tema.
  • IMAGE_NAME: Es el nombre de la imagen compatible con Confidential VM que se usará.
  • IMAGE_PROJECT: Es el proyecto que contiene la imagen.
gcloud compute instances create INSTANCE_NAME \
  --machine-type "MACHINE_TYPE" --zone "ZONE_NAME" \
  --confidential-compute --maintenance-policy=TERMINATE \
  --image=IMAGE_NAME \
  --image-project=IMAGE_PROJECT

Con el siguiente comando de ejemplo, se crea una instancia n2d-standard-16-type llamada “example-instance” en la plataforma de CPU de SEV de AMD en la zona us-central1-f:

gcloud compute instances create example-instance \
  --machine-type "n2d-standard-16" --zone "us-central1-f" \
  --confidential-compute --maintenance-policy=TERMINATE \
  --image="example-cvm-image" \
  --image-project="public-image-project"

API

Para crear una Confidential VM nueva en la plataforma de CPU de virtualización segura encriptada (SEV) de AMD con la API de Compute Engine, publica una solicitud de creación de instancia como lo harías con normalidad. Una diferencia fundamental es que se debe configurar enableConfidentialCompute como verdadero. Debes usar onHostMaintenance=TERMINATE porque Confidential VM no admite la migración en vivo.

De manera opcional, puedes especificar una plataforma de CPU mínima mediante la configuración de la propiedad minCpuPlatform como un valor.

A continuación, se muestra un ejemplo de un objeto JSON publicado en el recurso de REST Instances de la API de Compute Engine. Si quieres usar esta solicitud para crear una instancia nueva compatible con Confidential VM, reemplaza los marcadores de posición correspondientes:

  • PROJECT_ID: Es el identificador de tu proyecto.
  • ZONE_NAME: Es la zona en la que se creará la instancia.
  • MACHINE_TYPE: Es el tipo de máquina N2D que se usará.
  • INSTANCE_NAME: Es el nombre que se asignará a la instancia nueva.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE_NAME/instances

{
  "machineType": "zones/ZONE_NAME/machineTypes/MACHINE_TYPE",
  "name": "INSTANCE_NAME",
  "confidentialInstanceConfig": {
    "enableConfidentialCompute": true
  },
    "scheduling": {
    "automaticRestart": true,
    "nodeAffinities": [],
    "onHostMaintenance": "TERMINATE",
    "preemptible": false
  }
  ...
}

Conéctate a la instancia

Para conectarte a la instancia recién creada, haz lo siguiente:

  1. En Cloud Console, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En la lista de instancias de máquinas virtuales, haz clic en SSH en la fila de la instancia a la que deseas conectarte.

Ahora tienes una ventana de la terminal para interactuar con tu instancia de Confidential VM.

Verifica que la SEV de AMD esté habilitada

Para verificar que la instancia de Confidential VM recién creada use SEV de AMD, ejecuta el siguiente comando después de conectarte a la instancia:

dmesg | grep SEV | head

Si la SEV de AMD está habilitada, verás una respuesta como la siguiente:

[    0.290272] AMD Secure Encrypted Virtualization (SEV) active

Para aprender a obtener información más detallada sobre el estado de la instancia de VM confidencial, mediante la evaluación de los eventos de validación de integridad de Cloud Monitoring, consulta Valida instancias de Confidential VMs con Cloud Monitoring.

¿Qué sigue?