Benutzerdefinierte Confidential VM-Images erstellen

Sie können eine Confidential VM-Instanz auf der Grundlage Ihres eigenen benutzerdefinierten Linux-Images erstellen. Das ist derselbe Prozess wie beim Erstellen eines benutzerdefinierten Linux-Images für die Compute Engine, mit zusätzlichen Anforderungen.

Anforderungen an benutzerdefinierte Images für Confidential VMs

Beachten Sie diese Anforderungen, wenn Sie ein benutzerdefiniertes Image für eine Confidential VM-Instanz erstellen.

Linux-Kernel-Details

AMD SEV und SEV-SNP

Die für Confidential VM erforderliche Mindestkernelversion hängt von der benötigten Technologie ab.

  • Verwenden Sie für SEV die Kernelversion 5.11 oder höher.

  • Verwenden Sie für SEV mit Live-Migration die Kernelversion 6.6 oder höher. Verwenden Sie für LTS-Kernel (Long Term Support) Version 6.1 LTS oder höher.

  • Verwenden Sie für SEV-SNP Version 6.1LTS oder höher.

Außerdem müssen die folgenden Kerneloptionen aktiviert sein:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Wenn Sie ältere Kernel-Versionen verwenden müssen, müssen Sie möglicherweise zusätzliche Schritte ausführen, um Gerätetreiber zu installieren.

Intel TDX

Für die Unterstützung von Intel TDX ist die Kernelversion 6.6 oder höher erforderlich.

Eine Anleitung zum Hinzufügen von TDX-Unterstützung zu einem Kernel finden Sie unter Anleitung zum Einrichten von TDX-Host und ‑Gast.

Außerdem müssen die folgenden Kerneloptionen aktiviert sein:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Gerätetreiber für Google Virtual Network Interface Controller (gVNIC)

Verwenden Sie Version 1.01 oder höher des gVNIC-Treibers. Weitere Informationen finden Sie unter Google Virtual NIC verwenden.

NVMe-Schnittstelle

Die NVMe-Schnittstelle muss während des Startvorgangs auf dem Gastbetriebssystem für nichtflüchtige Speicher und angehängte SSDs verfügbar sein.

Der Kernel und das initramfs-Image (falls verwendet) müssen zum Bereitstellen des Stammverzeichnisses das NVMe-Treibermodul enthalten.

Tags für Betriebssystemfunktionen

Für die Erstellung einer Confidential VM-Instanz muss das Image je nach verwendeter Confidential Computing-Technologie eines der folgenden Gastbetriebssystem-Feature-Tags haben:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Außerdem sollten die folgenden Tags für Betriebssystemfunktionen hinzugefügt werden:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Wie Sie ein Tag mit dem Flag --guest-os-features hinzufügen, erfahren Sie unter Gastbetriebssystem-Funktionen auf benutzerdefinierten Images aktivieren.

Nächste Schritte

Betriebssystem-Images für die Erstellung von Bootlaufwerken für Compute Engine-Instanzen verwenden.