独自のカスタム Linux イメージに基づいて Confidential VM インスタンスを作成できます。これは、Compute Engine 用のカスタム Linux イメージを作成する場合と同じプロセスですが、追加の要件があります。
Confidential VM カスタム イメージの要件
Confidential VM インスタンスのカスタム イメージをビルドする場合は、次の要件に従ってください。
Linux カーネルの詳細
AMD SEV と SEV-SNP
Confidential VM に必要な最小カーネル バージョンは、必要なテクノロジーによって異なります。
SEV の場合は、カーネル バージョン 5.11 以降を使用します。
ライブ マイグレーションを使用する SEV の場合は、カーネル バージョン 6.6 以降を使用します。長期サポート(LTS)カーネルの場合は、バージョン 6.1 LTS 以降を使用します。
SEV-SNP の場合は、6.1LTS 以降を使用します。
また、次のカーネル オプションが有効になっていることを確認します。
CONFIG_AMD_MEM_ENCRYPTCONFIG_GVECONFIG_NET_VENDOR_GOOGLECONFIG_PCI_MSICONFIG_SWIOTLB
それより前のカーネル バージョンを使用する必要がある場合は、デバイス ドライバをインストールする追加作業が必要になることがあります。
インテル TDX
Intel TDX をサポートするには、カーネル バージョン 6.6 以降を使用します。
カーネルに TDX サポートを追加する手順については、TDX ホストとゲストを設定する手順をご覧ください。
また、次のカーネル オプションが有効になっていることを確認します。
CONFIG_GVECONFIG_NET_VENDOR_GOOGLECONFIG_PCI_MSICONFIG_SWIOTLB
Google Virtual Network Interface Controller(gVNIC)デバイス ドライバ
gVNIC ドライバのバージョン 1.01 以降を使用します。その他の手順については、Google Virtual NIC の使用をご覧ください。
NVMe インターフェース
永続ディスクと接続された SSD のゲスト オペレーティング システムの起動時に NVMe インターフェースを使用できる必要があります。
ルート ディレクトリをマウントするには、カーネルと initramfs イメージ(使用する場合)に NVMe ドライバ モジュールが含まれている必要があります。
オペレーティング システムの機能タグ
Confidential VM インスタンスを作成するには、使用している Confidential Computing テクノロジーに応じて、イメージに次のいずれかのゲスト OS 機能タグが必要です。
SEV_CAPABLESEV_LIVE_MIGRATABLE_V2SEV_SNP_CAPABLETDX_CAPABALE
次の OS 機能タグも追加する必要があります。
GVNICUEFI_COMPATIBLEVIRTIO_SCSI_MULTIQUEUE
--guest-os-features フラグを使用してタグを追加する方法については、カスタム イメージでゲスト オペレーティング システムの機能を有効にするをご覧ください。
次のステップ
オペレーティング システム イメージを使用して Compute Engine インスタンスのブートディスクを作成する方法について詳細を確認する。