Crie imagens personalizadas de VMs confidenciais

Pode criar uma instância de Confidential VM com base na sua própria imagem Linux personalizada. Este é o mesmo processo que o de criar uma imagem Linux personalizada para o Compute Engine, com requisitos adicionais.

Requisitos de imagem personalizada da Confidential VM

Certifique-se de que segue estes requisitos quando criar uma imagem personalizada para uma instância de VM confidencial.

Detalhes do kernel do Linux

AMD SEV e SEV-SNP

A versão mínima do kernel necessária para a VM confidencial difere consoante a tecnologia de que precisa.

  • Para SEV, use a versão 5.11 ou posterior do kernel.

  • Para SEV com migração em direto, use a versão 6.6 ou posterior do kernel. Para kernels de apoio técnico a longo prazo (LTS), use a versão 6.1 LTS ou posterior.

  • Para SEV-SNP, use o 6.1LTS ou posterior.

Além disso, certifique-se de que as seguintes opções do kernel estão ativadas:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Se precisar de usar versões anteriores do kernel, pode ter de fazer trabalho adicional para instalar controladores de dispositivos.

Intel TDX

Para suporte do Intel TDX, use a versão 6.6 ou posterior do kernel.

Para obter instruções sobre como adicionar suporte de TDX a um kernel, consulte o artigo Instruções para configurar o anfitrião e o convidado do TDX.

Além disso, certifique-se de que as seguintes opções do kernel estão ativadas:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Controlador do dispositivo do controlador de interface de rede virtual da Google (gVNIC)

Use a versão 1.01 ou posterior do controlador gVNIC. Para ver instruções adicionais, consulte o artigo Usar a NIC virtual da Google.

Interface NVMe

A interface NVMe tem de estar disponível durante o arranque no sistema operativo convidado para discos persistentes e SSDs anexados.

A imagem do kernel e do initramfs (se usada) tem de incluir o módulo do controlador NVMe para montar o diretório raiz.

Etiquetas de funcionalidades do sistema operativo

A criação de instâncias de VMs confidenciais requer que a imagem tenha uma das seguintes etiquetas de funcionalidades do SO convidado, consoante a tecnologia de computação confidencial em utilização:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Também devem ser adicionadas as seguintes etiquetas de funcionalidades do SO:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Consulte o artigo Ative funcionalidades do sistema operativo convidado em imagens personalizadas para saber como adicionar uma etiqueta com a flag --guest-os-features.

O que se segue?

Saiba mais sobre a utilização de imagens do sistema operativo para criar discos de arranque para instâncias do Compute Engine.