Puedes crear una instancia de máquina virtual confidencial basada en tu propia imagen de Linux personalizada. Se trata del mismo proceso que para crear una imagen de Linux personalizada para Compute Engine, con requisitos adicionales.
Requisitos de las imágenes personalizadas de las VMs confidenciales
Asegúrese de cumplir estos requisitos al crear una imagen personalizada para una instancia de VM confidencial.
Detalles del kernel de Linux
AMD SEV y SEV-SNP
La versión mínima del kernel necesaria para las máquinas virtuales confidenciales varía en función de la tecnología que necesites.
Para SEV, usa la versión 5.11 del kernel o una posterior.
Para usar SEV con migración en directo, utiliza la versión 6.6 o posterior del kernel. Para los kernels de asistencia a largo plazo (LTS), usa la versión 6.1 LTS o una posterior.
Para SEV-SNP, usa 6.1LTS o una versión posterior.
Además, asegúrate de que estén habilitadas las siguientes opciones del kernel:
CONFIG_AMD_MEM_ENCRYPT
CONFIG_GVE
CONFIG_NET_VENDOR_GOOGLE
CONFIG_PCI_MSI
CONFIG_SWIOTLB
Si necesitas usar versiones anteriores del kernel, es posible que tengas que hacer más trabajo para instalar los controladores de dispositivos.
Intel TDX
Para usar Intel TDX, utiliza la versión 6.6 o una posterior del kernel.
Para obtener instrucciones sobre cómo añadir compatibilidad con TDX a un kernel, consulta Instrucciones para configurar el host y el invitado de TDX.
Además, asegúrate de que estén habilitadas las siguientes opciones del kernel:
CONFIG_GVE
CONFIG_NET_VENDOR_GOOGLE
CONFIG_PCI_MSI
CONFIG_SWIOTLB
Controlador de dispositivo de interfaz de red virtual de Google (gVNIC)
Usa la versión 1.01 o una posterior del controlador gVNIC. Para obtener más instrucciones, consulta Usar NIC virtual de Google.
Interfaz NVMe
La interfaz NVMe debe estar disponible durante el arranque en el sistema operativo invitado para los discos persistentes y las unidades SSD conectadas.
La imagen del kernel y de initramfs (si se usa) debe incluir el módulo del controlador NVMe para montar el directorio raíz.
Etiquetas de funciones del sistema operativo
Para crear una instancia de máquina virtual confidencial, la imagen debe tener una de las siguientes etiquetas de función del SO invitado, en función de la tecnología de computación confidencial que se utilice:
SEV_CAPABLE
SEV_LIVE_MIGRATABLE_V2
SEV_SNP_CAPABLE
TDX_CAPABALE
También se deben añadir las siguientes etiquetas de funciones del SO:
GVNIC
UEFI_COMPATIBLE
VIRTIO_SCSI_MULTIQUEUE
Consulta Habilitar funciones del sistema operativo invitado en imágenes personalizadas para saber cómo añadir una etiqueta con la marca --guest-os-features
.
Siguientes pasos
Consulta más información sobre cómo usar imágenes de sistemas operativos para crear discos de arranque para instancias de Compute Engine.