建立自訂機密 VM 映像檔

您可以根據自己的自訂 Linux 映像檔建立機密 VM 執行個體。這與為 Compute Engine 建立自訂 Linux 映像檔的程序相同,但有額外要求。

機密 VM 自訂映像檔需求

為機密 VM 執行個體建立自訂映像檔時,請務必遵守下列規定。

Linux 核心詳細資料

AMD SEV 和 SEV-SNP

機密 VM 的最低核心版本取決於您需要的技術。

  • 如要使用 SEV,請使用 5.11 以上的核心版本。

  • 如要使用 SEV 搭配即時遷移功能,請使用 6.6 以上的 Kernel 版本。如要使用長期支援 (LTS) 核心,請使用 6.1 LTS 以上版本。

  • 如為 SEV-SNP,請使用 6.1LTS 以上版本。

此外,請確認已啟用下列核心選項:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

如需使用舊版核心,您可能需要額外安裝裝置驅動程式。

Intel TDX

如要支援 Intel TDX,請使用核心 6.6 以上版本。

如需瞭解如何將 TDX 支援功能新增至核心,請參閱設定 TDX 主機和訪客的說明

此外,請確認已啟用下列核心選項:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Google 虛擬網路介面控制器 (gVNIC) 裝置驅動程式

使用 1.01 以上版本的 gVNIC 驅動程式。如需其他操作說明,請參閱「使用 Google Virtual NIC」。

NVMe 介面

永久磁碟和連結的 SSD 必須在客體作業系統開機時提供 NVMe 介面。

核心和 initramfs 映像檔 (如使用) 必須包含 NVMe 驅動程式模組,才能掛接根目錄。

作業系統功能標記

建立機密 VM 執行個體時,映像檔必須具備下列其中一個訪客 OS 功能標記,視使用的機密運算技術而定:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

此外,也請加入下列作業系統功能標記:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

如要瞭解如何使用 --guest-os-features 標記新增標記,請參閱「啟用自訂映像檔上的訪客作業系統功能」。

後續步驟

進一步瞭解如何使用作業系統映像檔,為 Compute Engine 執行個體建立開機磁碟。