Creare immagini Confidential VM personalizzate

Puoi creare un'istanza Confidential VM basata sulla tua immagine Linux personalizzata. Si tratta della stessa procedura per creare un'immagine Linux personalizzata per Compute Engine, con requisiti aggiuntivi.

Requisiti per le immagini personalizzate di Confidential VM

Assicurati di rispettare questi requisiti quando crei un'immagine personalizzata per un'istanza Confidential VM.

Dettagli del kernel Linux

AMD SEV e SEV-SNP

La versione minima del kernel richiesta per Confidential VM varia a seconda della tecnologia che ti serve.

  • Per SEV, utilizza la versione 5.11 o successive del kernel.

  • Per SEV con migrazione live, utilizza la versione 6.6 o successive del kernel. Per i kernel di assistenza a lungo termine (LTS), utilizza la versione 6.1 LTS o successive.

  • Per SEV-SNP, utilizza 6.1LTS o versioni successive.

Inoltre, assicurati che le seguenti opzioni del kernel siano abilitate:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Se devi utilizzare versioni precedenti del kernel, potresti dover eseguire ulteriori operazioni per installare i driver del dispositivo.

Intel TDX

Per il supporto di Intel TDX, utilizza la versione 6.6 o successive del kernel.

Per istruzioni sull'aggiunta del supporto TDX a un kernel, consulta Istruzioni per configurare l'host e il guest TDX.

Inoltre, assicurati che le seguenti opzioni del kernel siano abilitate:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Driver del dispositivo Google Virtual Network Interface Controller (gVNIC)

Utilizza la versione 1.01 o successive del driver gVNIC. Per ulteriori istruzioni, vedi Utilizzo di Google Virtual NIC.

Interfaccia NVMe

L'interfaccia NVMe deve essere disponibile durante l'avvio sul sistema operativo guest per i dischi permanenti e gli SSD collegati.

L'immagine del kernel e di initramfs (se utilizzata) deve includere il modulo del driver NVMe per montare la directory principale.

Tag delle funzionalità del sistema operativo

La creazione di un'istanza Confidential VM richiede che l'immagine abbia uno dei seguenti tag di funzionalità del sistema operativo guest, a seconda della tecnologia Confidential Computing in uso:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Devono essere aggiunti anche i seguenti tag delle funzionalità del sistema operativo:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Consulta la sezione Attivare le funzionalità del sistema operativo guest sulle immagini personalizzate per scoprire come aggiungere un tag con il flag --guest-os-features.

Passaggi successivi

Scopri di più sull'utilizzo delle immagini del sistema operativo per creare dischi di avvio per le istanze Compute Engine.