Creare immagini Confidential VM personalizzate

Puoi creare un'istanza Confidential VM basata sulla tua immagine Linux personalizzata. Si tratta della stessa procedura di creazione di un'immagine Linux personalizzata per Compute Engine, con requisiti aggiuntivi.

Requisiti delle immagini personalizzate di Confidential VM

Assicurati di rispettare questi requisiti quando crei un'immagine personalizzata per un'istanza Confidential VM.

Dettagli del kernel Linux

AMD SEV e SEV-SNP

La versione minima del kernel richiesta per Confidential VM varia a seconda della tecnologia di cui hai bisogno.

  • Per SEV, utilizza la versione del kernel 5.11 o successive.

  • Per SEV con migrazione live, utilizza la versione del kernel 6.6 o successive. Per i kernel con assistenza a lungo termine (LTS), utilizza la versione 6.1 LTS o successive.

  • Per SEV-SNP, utilizza 6.1LTS o versioni successive.

Inoltre, assicurati che le seguenti opzioni del kernel siano attive:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Se devi utilizzare versioni precedenti del kernel, potresti dover eseguire operazioni aggiuntive per installare i driver di dispositivo.

Intel TDX

Per il supporto di Intel TDX, utilizza la versione del kernel 6.6 o successive.

Per istruzioni su come aggiungere il supporto TDX a un kernel, consulta Istruzioni per configurare l'host e il guest TDX.

Inoltre, assicurati che le seguenti opzioni del kernel siano attive:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Driver del dispositivo Google Virtual Network Interface Controller (gVNIC)

Utilizza la versione 1.01 o successive del driver gVNIC. Per ulteriori istruzioni, consulta Utilizzare Google Virtual NIC.

Interfaccia NVMe

L'interfaccia NVMe deve essere disponibile durante l'avvio sul sistema operativo guest per i dischi persistenti e le unità SSD collegate.

L'immagine del kernel e di initramfs (se utilizzata) deve includere il modulo del driver NVMe per montare la home directory.

Tag delle funzionalità del sistema operativo

La creazione di un'istanza Confidential VM richiede che l'immagine abbia uno dei seguenti tag delle funzionalità del sistema operativo guest, a seconda della tecnologia di Confidential Computing in uso:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

È necessario aggiungere anche i seguenti tag delle funzionalità del sistema operativo:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Consulta Attivare le funzionalità del sistema operativo guest nelle immagini personalizzate per scoprire come aggiungere un tag con il flag --guest-os-features.

Passaggi successivi

Scopri di più sull'utilizzo delle immagini del sistema operativo per creare dischi di avvio per le istanze Compute Engine.