Créer des images de VM Confidential personnalisées

Vous pouvez créer une instance Confidential VM basée sur votre propre image Linux personnalisée. Il s'agit du même processus que pour créer une image Linux personnalisée pour Compute Engine, avec des exigences supplémentaires.

Exigences concernant les images personnalisées Confidential VM

Assurez-vous de respecter ces exigences lorsque vous créez une image personnalisée pour une instance Confidential VM.

Informations sur le noyau Linux

AMD SEV et SEV-SNP

La version minimale du noyau requise pour Confidential VM varie en fonction de la technologie dont vous avez besoin.

  • Pour SEV, utilisez la version 5.11 ou ultérieure du noyau.

  • Pour SEV avec migration à chaud, utilisez la version 6.6 ou ultérieure du noyau. Pour les noyaux LTS (Long-Term Support, support à long terme), utilisez la version 6.1 LTS ou ultérieure.

  • Pour SEV-SNP, utilisez la version 6.1LTS ou ultérieure.

Assurez-vous également que les options de noyau suivantes sont activées :

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Si vous devez utiliser des versions de noyau antérieures, vous devrez peut-être effectuer des tâches supplémentaires pour installer les pilotes d'appareils.

Intel TDX

Pour la prise en charge d'Intel TDX, utilisez le noyau version 6.6 ou ultérieure.

Pour savoir comment ajouter la compatibilité TDX à un noyau, consultez Instructions pour configurer l'hôte et l'invité TDX.

Assurez-vous également que les options de noyau suivantes sont activées :

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Pilote de périphérique de carte d'interface réseau virtuelle Google (gVNIC)

Utilisez la version 1.01 ou ultérieure du pilote gVNIC. Pour obtenir des instructions supplémentaires, consultez Utiliser la carte d'interface réseau virtuelle Google.

Interface NVMe

L'interface NVMe doit être disponible au démarrage du système d'exploitation invité pour les disques persistants et les disques SSD associés.

Le noyau et l'image initramfs (le cas échéant) doivent inclure le module de pilote NVMe pour installer le répertoire racine.

Tags de fonctionnalités du système d'exploitation

Lors de la création d'une instance Confidential VM, l'image doit comporter l'un des tags de fonctionnalité d'OS invité suivants, en fonction de la technologie informatique confidentielle utilisée :

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Les tags de fonctionnalité d'OS suivants doivent également être ajoutés :

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Pour savoir comment ajouter un tag avec l'indicateur --guest-os-features, consultez Activer des fonctionnalités d'un système d'exploitation invité sur des images personnalisées.

Étapes suivantes

Apprenez-en davantage sur l'utilisation d'images de système d'exploitation afin de créer des disques de démarrage pour les instances Compute Engine.