Membuat image Confidential VM kustom

Anda dapat membuat instance Confidential VM berdasarkan image Linux kustom Anda sendiri. Proses ini sama dengan membuat image Linux kustom untuk Compute Engine, dengan persyaratan tambahan.

Persyaratan image kustom Confidential VM

Pastikan untuk mengikuti persyaratan berikut saat membuat image kustom untuk instance Confidential VM.

Detail kernel Linux

AMD SEV dan SEV-SNP

Versi kernel minimum yang diperlukan untuk Confidential VM berbeda-beda, bergantung pada teknologi yang Anda butuhkan.

  • Untuk SEV, gunakan kernel versi 5.11 atau yang lebih baru.

  • Untuk SEV dengan migrasi langsung, gunakan kernel versi 6.6 atau yang lebih baru. Untuk kernel dukungan jangka panjang (LTS), gunakan LTS versi 6.1 atau yang lebih baru.

  • Untuk SEV-SNP, gunakan 6.1LTS atau yang lebih baru.

Selain itu, pastikan opsi kernel berikut diaktifkan:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Jika Anda perlu menggunakan versi kernel yang lebih lama, Anda mungkin perlu melakukan pekerjaan tambahan untuk menginstal driver perangkat.

Intel TDX

Untuk dukungan Intel TDX, gunakan kernel versi 6.6 atau yang lebih baru.

Untuk mengetahui petunjuk tentang cara menambahkan dukungan TDX ke kernel, lihat Petunjuk untuk menyiapkan host dan tamu TDX.

Selain itu, pastikan opsi kernel berikut diaktifkan:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Driver perangkat Pengontrol Antarmuka Jaringan Virtual Google (gVNIC)

Gunakan driver gVNIC versi 1.01 atau yang lebih baru. Untuk mengetahui petunjuk tambahan, lihat Menggunakan NIC Virtual Google.

Antarmuka NVMe

Antarmuka NVMe harus tersedia selama booting di sistem operasi tamu untuk persistent disk dan SSD yang terpasang.

Kernel dan image initramfs (jika digunakan) harus menyertakan modul driver NVMe untuk memasang direktori root.

Tag fitur sistem operasi

Pembuatan instance Confidential VM mengharuskan image memiliki salah satu tag fitur OS tamu berikut, bergantung pada teknologi Confidential Computing yang digunakan:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Tag fitur OS berikut juga harus ditambahkan:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Lihat Mengaktifkan fitur sistem operasi tamu pada image kustom untuk mempelajari cara menambahkan tag dengan tanda --guest-os-features.

Langkah berikutnya

Pelajari lebih lanjut cara menggunakan image sistem operasi untuk membuat disk booting untuk instance Compute Engine.