您可以根据自己的自定义 Linux 映像创建机密虚拟机实例。此过程与为 Compute Engine 创建自定义 Linux 映像的流程相同,但有额外的要求。
机密虚拟机自定义映像要求
为机密虚拟机实例构建自定义映像时,请务必遵循以下要求。
Linux 内核详情
AMD SEV 和 SEV-SNP
机密虚拟机所需的最低内核版本因您所需的技术而异。
对于 SEV,请使用内核版本 5.11 或更高版本。
对于支持实时迁移的 SEV,请使用内核版本 6.6 或更高版本。对于长期支持 (LTS) 内核,请使用 6.1 LTS 或更高版本。
对于 SEV-SNP,请使用 6.1LTS 或更高版本。
此外,请确保已启用以下内核选项:
CONFIG_AMD_MEM_ENCRYPTCONFIG_GVECONFIG_NET_VENDOR_GOOGLECONFIG_PCI_MSICONFIG_SWIOTLB
如果您需要使用较低的内核版本,则可能需要执行其他工作才能安装设备驱动程序。
Intel TDX
如需支持 Intel TDX,请使用内核版本 6.6 或更高版本。
如需了解如何向内核添加 TDX 支持,请参阅设置 TDX 主机和客机的说明。
此外,请确保已启用以下内核选项:
CONFIG_GVECONFIG_NET_VENDOR_GOOGLECONFIG_PCI_MSICONFIG_SWIOTLB
Google 虚拟网络接口控制器 (gVNIC) 设备驱动程序
使用 1.01 或更高版本的 gVNIC 驱动程序。如需其他说明,请参阅使用 Google 虚拟 NIC。
NVMe 接口
在永久性磁盘和连接固态硬盘的客机操作系统启动期间 NVMe 接口必须可用。
内核和 initramfs 映像(如果使用)必须包含 NVMe 驱动程序模块,才能装载根目录。
操作系统功能标记
创建机密虚拟机实例要求映像具有以下某个客机操作系统功能标记,具体取决于所使用的机密计算技术:
SEV_CAPABLESEV_LIVE_MIGRATABLE_V2SEV_SNP_CAPABLETDX_CAPABALE
还应添加以下操作系统功能标记:
GVNICUEFI_COMPATIBLEVIRTIO_SCSI_MULTIQUEUE
如需了解如何使用 --guest-os-features 标志添加标记,请参阅在自定义映像上启用客机操作系统功能。
后续步骤
详细了解如何使用操作系统映像为 Compute Engine 实例创建启动磁盘。