Benutzerdefinierte Confidential VM-Images erstellen

Sie können eine Confidential VM-Instanz auf Grundlage Ihres eigenen benutzerdefinierten Linux-Images erstellen. Das ist derselbe Prozess wie beim Erstellen eines benutzerdefinierten Linux-Images für Compute Engine, mit zusätzlichen Anforderungen.

Anforderungen an benutzerdefinierte Confidential VM-Images

Beachten Sie die folgenden Anforderungen, wenn Sie ein benutzerdefiniertes Image für eine Confidential VM-Instanz erstellen.

Details zum Linux-Kernel

AMD SEV und SEV-SNP

Die für Confidential VM erforderliche Mindestkernelversion hängt von der benötigten Technologie ab.

  • Für SEV verwenden Sie Kernel-Version 5.11 oder höher.

  • Für SEV mit Live-Migration verwenden Sie Kernelversion 6.6 oder höher. Verwenden Sie für LTS-Kernel (Long-Term Support) Version 6.1 LTS oder höher.

  • Verwenden Sie für SEV-SNP 6.1LTS oder höher.

Achten Sie außerdem darauf, dass die folgenden Kernel-Optionen aktiviert sind:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Wenn Sie ältere Kernel-Versionen verwenden müssen, müssen Sie möglicherweise zusätzliche Schritte ausführen, um Gerätetreiber zu installieren.

Intel TDX

Für die Unterstützung von Intel TDX ist Kernel-Version 6.6 oder höher erforderlich.

Eine Anleitung zum Hinzufügen von TDX-Unterstützung zu einem Kernel finden Sie unter Anleitung zum Einrichten von TDX-Host und ‑Gast.

Achten Sie außerdem darauf, dass die folgenden Kernel-Optionen aktiviert sind:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Gerätetreiber für Google Virtual Network Interface Controller (gVNIC)

Verwenden Sie Version 1.01 oder höher des gVNIC-Treibers. Weitere Anleitungen finden Sie unter Google Virtual NIC verwenden.

NVMe-Schnittstelle

Die NVMe-Schnittstelle muss während des Startvorgangs auf dem Gastbetriebssystem für nichtflüchtige Speicher und angehängte SSDs verfügbar sein.

Der Kernel und das initramfs-Image (falls verwendet) müssen zum Bereitstellen des Stammverzeichnisses das NVMe-Treibermodul enthalten.

Tags für Betriebssystemfunktionen

Für die Erstellung einer Confidential VM-Instanz muss das Image eines der folgenden Gastbetriebssystem-Feature-Tags haben, je nach verwendeter Confidential Computing-Technologie:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Außerdem sollten die folgenden OS-Feature-Tags hinzugefügt werden:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Informationen zum Hinzufügen eines Tags mit dem Flag --guest-os-features finden Sie unter Gastbetriebssystem-Funktionen auf benutzerdefinierten Images aktivieren.

Nächste Schritte

Betriebssystem-Images für die Erstellung von Bootlaufwerken für Compute Engine-Instanzen verwenden.