Criar imagens de VM confidenciais personalizadas

É possível criar uma instância de VM confidencial com base na sua própria imagem personalizada do Linux. É o mesmo processo de criação de uma imagem personalizada do Linux para o Compute Engine, com requisitos adicionais.

Requisitos de imagem personalizada de VM confidencial

Siga esses requisitos ao criar uma imagem personalizada para uma instância de VM confidencial.

Detalhes do kernel do Linux

AMD SEV e SEV-SNP

A versão mínima do kernel necessária para a VM confidencial varia de acordo com a tecnologia necessária.

  • Para o SEV, use a versão 5.11 ou mais recente do kernel.

  • Para SEV com migração em tempo real, use a versão 6.6 ou mais recente do kernel. Para kernels com suporte de longo prazo (LTS), use a versão 6.1 LTS ou mais recente.

  • Para SEV-SNP, use 6.1LTS ou mais recente.

Além disso, verifique se as seguintes opções do kernel estão ativadas:

  • CONFIG_AMD_MEM_ENCRYPT

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Se você precisar usar versões mais antigas do kernel, talvez seja necessário realizar tarefas adicionais para instalar os drivers do dispositivo.

Intel TDX

Para suporte ao Intel TDX, use a versão 6.6 ou mais recente do kernel.

Para instruções sobre como adicionar suporte a TDX a um kernel, consulte Instruções para configurar o host e o convidado do TDX.

Além disso, verifique se as seguintes opções do kernel estão ativadas:

  • CONFIG_GVE

  • CONFIG_NET_VENDOR_GOOGLE

  • CONFIG_PCI_MSI

  • CONFIG_SWIOTLB

Driver de dispositivo do controlador de interface de rede virtual do Google (gVNIC)

Use a versão 1.01 ou mais recente do driver gVNIC. Para mais instruções, consulte Como usar a NIC virtual do Google.

Interface NVMe

A interface NVMe precisa estar disponível durante a inicialização no sistema operacional convidado para discos permanentes e SSDs conectados.

O kernel e a imagem initramfs (se usada) precisam incluir o módulo do driver NVMe para montar o diretório raiz.

Tags de recursos do sistema operacional

A criação de instâncias de VM confidencial exige que a imagem tenha uma das seguintes tags de recurso do SO convidado, dependendo da tecnologia Computação confidencial em uso:

  • SEV_CAPABLE

  • SEV_LIVE_MIGRATABLE_V2

  • SEV_SNP_CAPABLE

  • TDX_CAPABALE

As seguintes tags de recursos do SO também precisam ser adicionadas:

  • GVNIC

  • UEFI_COMPATIBLE

  • VIRTIO_SCSI_MULTIQUEUE

Consulte Ativar os recursos do sistema operacional convidado em imagens personalizadas para saber como adicionar uma tag com a flag --guest-os-features.

A seguir

Saiba mais sobre como usar imagens do sistema operacional para criar discos de inicialização para instâncias do Compute Engine.