Membuat image Confidential VM kustom

Anda dapat membuat instance Confidential VM berdasarkan image Linux kustom Anda sendiri. Proses ini sama dengan membuat image Linux kustom untuk Compute Engine, dengan persyaratan tambahan.

Persyaratan image kustom Confidential VM

Pastikan untuk mengikuti persyaratan ini saat mem-build image kustom untuk instance Confidential VM.

Detail kernel Linux

AMD SEV dan SEV-SNP

Versi kernel minimum yang diperlukan untuk VM Rahasia berbeda-beda, bergantung pada teknologi yang Anda perlukan.

  • Untuk SEV, gunakan kernel versi 5.11 atau yang lebih baru.

  • Untuk SEV dengan migrasi langsung, gunakan kernel versi 6.6 atau yang lebih baru. Untuk kernel dukungan jangka panjang (LTS), gunakan versi 6.1 LTS atau yang lebih baru.

  • Untuk SEV-SNP, gunakan 6.1LTS atau yang lebih baru.

Selain itu, pastikan opsi kernel berikut diaktifkan:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Jika perlu menggunakan versi kernel sebelumnya, Anda mungkin perlu melakukan tindakan tambahan untuk menginstal driver perangkat.

Intel TDX

Untuk dukungan Intel TDX, gunakan kernel versi 6.6 atau yang lebih baru.

Untuk petunjuk tentang cara menambahkan dukungan TDX ke kernel, lihat Petunjuk untuk menyiapkan host dan tamu TDX.

Selain itu, pastikan opsi kernel berikut diaktifkan:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Driver perangkat Pengontrol Antarmuka Jaringan Virtual Google (gVNIC)

Gunakan driver gVNIC versi 1.01 atau yang lebih baru. Untuk petunjuk tambahan, lihat Menggunakan NIC Virtual Google.

Antarmuka NVMe

Antarmuka NVMe harus tersedia selama booting di sistem operasi tamu untuk persistent disk dan SSD yang terpasang.

Image kernel dan initramfs (jika digunakan) harus menyertakan modul driver NVMe untuk memasang direktori root.

Tag fitur sistem operasi

Pembuatan instance Confidential VM mengharuskan image memiliki salah satu tag fitur OS tamu berikut, bergantung pada teknologi Confidential Computing yang digunakan:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

Tag fitur OS berikut juga harus ditambahkan:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Lihat Mengaktifkan fitur sistem operasi tamu pada image kustom untuk mempelajari cara menambahkan tag dengan flag --guest-os-features.

Langkah selanjutnya

Pelajari lebih lanjut cara menggunakan image sistem operasi untuk membuat disk booting untuk instance Compute Engine.