Créer des images de VM Confidential personnalisées

Vous pouvez créer une instance Confidential VM basée sur votre propre image Linux personnalisée. Il s'agit du même processus que la création d'une image Linux personnalisée pour Compute Engine, avec des exigences supplémentaires.

Exigences concernant les images personnalisées pour Confidential VM

Veillez à respecter ces exigences lorsque vous créez une image personnalisée pour une instance Confidential VM.

Informations sur le noyau Linux

AMD SEV et SEV-SNP

La version minimale du kernel requise pour Confidential VM varie en fonction de la technologie dont vous avez besoin.

  • Pour SEV, utilisez la version 5.11 ou ultérieure du noyau.

  • Pour SEV avec migration à chaud, utilisez la version 6.6 du kernel ou une version ultérieure. Pour les noyaux LTS (Long-Time-Support, support à long terme), utilisez la version 6.1 LTS ou ultérieure.

  • Pour SEV-SNP, utilisez la version 6.1LTS ou ultérieure.

Vérifiez également que les options de kernel suivantes sont activées:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Si vous devez utiliser des versions de noyau antérieures, vous devrez peut-être effectuer des tâches supplémentaires pour installer les pilotes d'appareils.

Intel TDX

Pour la prise en charge d'Intel TDX, utilisez la version 6.6 ou ultérieure du kernel.

Pour savoir comment ajouter la prise en charge de TDX à un noyau, consultez la section Instructions pour configurer l'hôte et l'invité TDX.

Vérifiez également que les options de noyau suivantes sont activées:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Pilote de périphérique gVNIC (Google Virtual Network Interface Controller)

Utilisez la version 1.01 ou ultérieure du pilote gVNIC. Pour obtenir des instructions supplémentaires, consultez la section Utiliser la carte d'interface réseau virtuelle Google.

Interface NVMe

L'interface NVMe doit être disponible au démarrage du système d'exploitation invité pour les disques persistants et les SSD associés.

Le noyau et l'image initramfs (le cas échéant) doivent inclure le module de pilote NVMe pour installer le répertoire racine.

Tags de fonctionnalités du système d'exploitation

Lors de la création d'une instance Confidential VM, l'image doit comporter l'un des tags de fonctionnalité d'OS invité suivants, en fonction de la technologie de informatique confidentielle utilisée:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Les tags de fonctionnalités d'OS suivants doivent également être ajoutés:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Consultez la section Activer des fonctionnalités d'un système d'exploitation invité sur des images personnalisées pour savoir comment ajouter un tag avec l'indicateur --guest-os-features.

Étape suivante

Découvrez comment utiliser des images de système d'exploitation pour créer des disques de démarrage pour les instances Compute Engine.