Crea imágenes personalizadas de Confidential VM

Puedes crear una instancia de Confidential VM basada en tu propia imagen personalizada de Linux. Este proceso es el mismo que el de crear una imagen de Linux personalizada para Compute Engine, con requisitos adicionales.

Requisitos de las imágenes personalizadas de Confidential VM

Asegúrate de seguir estos requisitos cuando compiles una imagen personalizada para una instancia de Confidential VM.

Detalles del kernel de Linux

AMD SEV y SEV-SNP

La versión mínima del kernel requerida para Confidential VM difiere según la tecnología que necesites.

  • Para SEV, usa la versión 5.11 del kernel o una posterior.

  • Para SEV con migración en vivo, usa la versión 6.6 del kernel o una posterior. Para los kernels de asistencia a largo plazo (LTS), usa la versión 6.1 LTS o una posterior.

  • Para SEV-SNP, usa 6.1LTS o una versión posterior.

Además, asegúrate de que las siguientes opciones del kernel estén habilitadas:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Si necesitas usar versiones de kernel anteriores, es posible que debas realizar tareas adicionales para instalar los controladores de dispositivos.

Intel TDX

Para admitir Intel TDX, usa la versión 6.6 o posterior del kernel.

Para obtener instrucciones sobre cómo agregar compatibilidad con TDX a un kernel, consulta Instrucciones para configurar el host y el invitado de TDX.

Además, asegúrate de que las siguientes opciones del kernel estén habilitadas:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Controlador del dispositivo del controlador de interfaz de red virtual de Google (gVNIC)

Usa la versión 1.01 o posterior del controlador gVNIC. Para obtener instrucciones adicionales, consulta Usa la NIC virtual de Google.

Interfaz NVMe

La interfaz de NVMe debe estar disponible durante el inicio en el sistema operativo invitado para los discos persistentes y los SSD conectados.

El kernel y la imagen initramfs (si se usan) deben incluir el módulo del controlador de NVMe para activar el directorio raíz.

Etiquetas de funciones del sistema operativo

La creación de instancias de Confidential VM requiere que la imagen tenga una de las siguientes etiquetas de función de SO invitado, según la tecnología de Confidential Computing que se use:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

También se deben agregar las siguientes etiquetas de funciones del SO:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Consulta Habilita las funciones del sistema operativo invitado en imágenes personalizadas para aprender a agregar una etiqueta con la marca --guest-os-features.

¿Qué sigue?

Obtén más información sobre cómo usar imágenes del sistema operativo para crear discos de arranque para instancias de Compute Engine.