Puoi creare un'istanza Confidential VM basata sulla tua immagine Linux personalizzata. Si tratta della stessa procedura per creare un'immagine Linux personalizzata per Compute Engine, con requisiti aggiuntivi.
Requisiti per le immagini personalizzate di Confidential VM
Assicurati di rispettare questi requisiti quando crei un'immagine personalizzata per un'istanza Confidential VM.
Dettagli del kernel Linux
AMD SEV e SEV-SNP
La versione minima del kernel richiesta per Confidential VM varia a seconda della tecnologia che ti serve.
Per SEV, utilizza la versione 5.11 o successive del kernel.
Per SEV con migrazione live, utilizza la versione 6.6 o successive del kernel. Per i kernel di assistenza a lungo termine (LTS), utilizza la versione 6.1 LTS o successive.
Per SEV-SNP, utilizza 6.1LTS o versioni successive.
Inoltre, assicurati che le seguenti opzioni del kernel siano abilitate:
CONFIG_AMD_MEM_ENCRYPT
CONFIG_GVE
CONFIG_NET_VENDOR_GOOGLE
CONFIG_PCI_MSI
CONFIG_SWIOTLB
Se devi utilizzare versioni precedenti del kernel, potresti dover eseguire ulteriori operazioni per installare i driver del dispositivo.
Intel TDX
Per il supporto di Intel TDX, utilizza la versione 6.6 o successive del kernel.
Per istruzioni sull'aggiunta del supporto TDX a un kernel, consulta Istruzioni per configurare l'host e il guest TDX.
Inoltre, assicurati che le seguenti opzioni del kernel siano abilitate:
CONFIG_GVE
CONFIG_NET_VENDOR_GOOGLE
CONFIG_PCI_MSI
CONFIG_SWIOTLB
Driver del dispositivo Google Virtual Network Interface Controller (gVNIC)
Utilizza la versione 1.01 o successive del driver gVNIC. Per ulteriori istruzioni, vedi Utilizzo di Google Virtual NIC.
Interfaccia NVMe
L'interfaccia NVMe deve essere disponibile durante l'avvio sul sistema operativo guest per i dischi permanenti e gli SSD collegati.
L'immagine del kernel e di initramfs (se utilizzata) deve includere il modulo del driver NVMe per montare la directory principale.
Tag delle funzionalità del sistema operativo
La creazione di un'istanza Confidential VM richiede che l'immagine abbia uno dei seguenti tag di funzionalità del sistema operativo guest, a seconda della tecnologia Confidential Computing in uso:
SEV_CAPABLE
SEV_LIVE_MIGRATABLE_V2
SEV_SNP_CAPABLE
TDX_CAPABALE
Devono essere aggiunti anche i seguenti tag delle funzionalità del sistema operativo:
GVNIC
UEFI_COMPATIBLE
VIRTIO_SCSI_MULTIQUEUE
Consulta la sezione
Attivare le funzionalità del sistema operativo guest sulle immagini personalizzate
per scoprire come aggiungere un tag con il flag --guest-os-features
.
Passaggi successivi
Scopri di più sull'utilizzo delle immagini del sistema operativo per creare dischi di avvio per le istanze Compute Engine.