Crear imágenes de máquinas virtuales confidenciales personalizadas

Puedes crear una instancia de máquina virtual confidencial basada en tu propia imagen de Linux personalizada. Se trata del mismo proceso que para crear una imagen de Linux personalizada para Compute Engine, con requisitos adicionales.

Requisitos de las imágenes personalizadas de las VMs confidenciales

Asegúrese de cumplir estos requisitos al crear una imagen personalizada para una instancia de VM confidencial.

Detalles del kernel de Linux

AMD SEV y SEV-SNP

La versión mínima del kernel necesaria para las máquinas virtuales confidenciales varía en función de la tecnología que necesites.

  • Para SEV, usa la versión 5.11 del kernel o una posterior.

  • Para usar SEV con migración en directo, utiliza la versión 6.6 o posterior del kernel. Para los kernels de asistencia a largo plazo (LTS), usa la versión 6.1 LTS o una posterior.

  • Para SEV-SNP, usa 6.1LTS o una versión posterior.

Además, asegúrate de que estén habilitadas las siguientes opciones del kernel:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Si necesitas usar versiones anteriores del kernel, es posible que tengas que hacer más trabajo para instalar los controladores de dispositivos.

Intel TDX

Para usar Intel TDX, utiliza la versión 6.6 o una posterior del kernel.

Para obtener instrucciones sobre cómo añadir compatibilidad con TDX a un kernel, consulta Instrucciones para configurar el host y el invitado de TDX.

Además, asegúrate de que estén habilitadas las siguientes opciones del kernel:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Controlador de dispositivo de interfaz de red virtual de Google (gVNIC)

Usa la versión 1.01 o una posterior del controlador gVNIC. Para obtener más instrucciones, consulta Usar NIC virtual de Google.

Interfaz NVMe

La interfaz NVMe debe estar disponible durante el arranque en el sistema operativo invitado para los discos persistentes y las unidades SSD conectadas.

La imagen del kernel y de initramfs (si se usa) debe incluir el módulo del controlador NVMe para montar el directorio raíz.

Etiquetas de funciones del sistema operativo

Para crear una instancia de máquina virtual confidencial, la imagen debe tener una de las siguientes etiquetas de función del SO invitado, en función de la tecnología de computación confidencial que se utilice:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

También se deben añadir las siguientes etiquetas de funciones del SO:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Consulta Habilitar funciones del sistema operativo invitado en imágenes personalizadas para saber cómo añadir una etiqueta con la marca --guest-os-features.

Siguientes pasos

Consulta más información sobre cómo usar imágenes de sistemas operativos para crear discos de arranque para instancias de Compute Engine.