Diese Seite wurde von der Cloud Translation API übersetzt.

Unterstützte Konfigurationen

Zum Erstellen einer Confidential VM-Instanz benötigen Sie eine virtuelle Maschine mit den folgenden Eigenschaften:

Sie können Ihre eigene Confidential VM-Instanz manuell konfigurieren oder die vorgeschlagenen Einstellungen akzeptieren, wenn Sie den Confidential VM-Dienst in der Google Cloud Console aktivieren.

Beschränkungen

Je nach Konfiguration Ihrer vertraulichen VM-Instanz gelten die folgenden Einschränkungen.

Alle Confidential VM-Instanzen

Sie müssen eine neue VM-Instanz erstellen, um Confidential VM zu aktivieren. Vorhandene Instanzen können nicht in Confidential VM-Instanzen umgewandelt werden.
Sie können Confidential VM-Instanzen keine GPUs oder TPUs hinzufügen.
Confidential VM-Instanzen benötigen eine NVMe-Schnittstelle für Laufwerke. SCSI wird nicht unterstützt.
Unter Linux-Kernel-Versionen niedriger als 5.10 können nur neue Laufwerke in XFS formatiert werden. Wenn Sie vorhandene Laufwerke mit XFS formatieren möchten, benötigen Sie die Kernelversion 5.10 oder höher.
Sie können einer Confidential VM-Instanz nicht mehr als 40 Laufwerke zuordnen. Sie können über einen Supportkanal eine Ausnahme beantragen. Instanzen mit mehr als 40 Laufwerken können jedoch in der Regel nicht gestartet werden.
Die Bootzeit ist proportional zur Größe des Arbeitsspeichers, der einer Instanz zugewiesen ist. Sie bemerken möglicherweise längere Bootzeiten für Confidential VM-Instanzen mit großem Arbeitsspeicher.
Das Herstellen von SSH-Verbindungen dauert bei Confidential VM-Instanzen länger als bei nicht vertraulichen VM-Instanzen.
Die Livemigration wird nur auf N2D-Maschinentypen mit AMD EPYC Milan-CPU-Plattformen unterstützt, auf denen AMD SEV ausgeführt wird.

AMD SEV

Debian 12 bietet aufgrund des fehlenden /dev/sev-guest-Pakets keine Attestierung für AMD SEV.
AMD SEV auf C2D- und N2D-Maschinentypen hat eine maximale Anzahl von vNIC-Warteschlangen von 8.
AMD SEV auf dem C3D-Maschinentyp hat die folgenden Einschränkungen:
- Bei vertraulichen VM-Instanzen, die C3D-Maschinentypen verwenden, ist die Netzwerkbandbreite möglicherweise niedriger als bei vergleichbaren nicht vertraulichen VMs, auch wenn die Netzwerkleistung der VM_Tier_1 aktiviert ist.
- VMs mit mehr als 180 vCPUs werden nicht unterstützt.
- Die folgenden Images mit dem Tag SEV_CAPABLE funktionieren nicht mit AMD SEV auf C3D-Maschinen mit mehr als 8 vCPUs:
  - rhel-8-4-sap-ha
  - sles-15-sp2-sap
  Bei diesen Images fehlt ein erforderlicher Patch, der die Größe des SWIOTLB-Buffers für große Netzwerkwarteschlangen erhöht.

AMD SEV-SNP

Debian 12 unterstützt aufgrund des fehlenden /dev/sev-guest-Pakets keine Attestierung für AMD SEV-SNP.
AMD SEV-SNP auf N2D-Maschinentypen hat eine maximale Anzahl von vNIC-Warteschlangen von 8.
VM-Instanzen unterstützen kdump nicht. Verwenden Sie stattdessen die Protokolle der Gastkonsole.

Intel TDX

Maschinentypen mit lokalem SSD werden nicht unterstützt.
Der Herunterfahrvorgang von VM-Instanzen dauert im Vergleich zu Standard-VM-Instanzen länger. Diese Verzögerung nimmt mit der VM-Speichergröße zu.
Es werden nur Volumes vom Typ „Ausgewogener nichtflüchtiger Speicher“, die die NVMe-Schnittstelle verwenden, unterstützt.
VM-Instanzen haben möglicherweise eine geringere Netzwerkbandbreite und eine höhere Latenz als nicht vertrauliche VM-Instanzen.
VM-Instanzen können nicht auf Knotengruppen für einzelne Mandanten bereitgestellt werden.
Aufgrund zusätzlicher Sicherheitseinschränkungen gibt die CPUID-Anweisung möglicherweise nur wenige oder gar keine Details zur CPU-Architektur zurück. Dies kann sich auf die Leistung von Arbeitslasten auswirken, die von diesen CPUID-Werten abhängen.
VM-Instanzen unterstützen kdump nicht. Verwenden Sie stattdessen die Protokolle der Gastkonsole.

Maschinentypen, CPUs und Zonen

Confidential VM wird auf den folgenden Maschinentypen und Konfigurationen unterstützt.

Maschinentyp	CPU-Plattform	Confidential Computing-Technologie	Unterstützung für die Live-Migration
C2D Namen von Maschinentypen ansehen	AMD EPYC Milan AMD EPYC Rome (veraltet)	AMD SEV auf Milan und Rome	Nicht unterstützt
`c3-standard-*` Namen von Maschinentypen ansehen	Intel Sapphire Rapids	Intel TDX	Nicht unterstützt
C3D Namen von Maschinentypen ansehen	AMD EPYC Genoa	AMD SEV	Nicht unterstützt
N2D Namen von Maschinentypen ansehen	AMD EPYC Milan AMD EPYC Rome (veraltet)	AMD SEV auf Milan und Rome AMD SEV-SNP nur auf Milan	AMD SEV-VMs nur auf Milan

Unterstützte Zonen ansehen

Sie können mit einer der folgenden Methoden nachsehen, in welchen Zonen diese Maschinentypen und die Confidential Computing-Technologie unterstützt werden.

AMD SEV

Referenztabelle

So rufen Sie auf, welche Zonen SEV auf Confidential VM unterstützen:

Rufen Sie Verfügbare Regionen und Zonen auf.
Klicken Sie auf Maschinentyp auswählen und wählen Sie dann N2D, C2D und C3D aus.
Klicken Sie auf CPU auswählen und wählen Sie dann AMD EPYC Milan und AMD EPYC Genoa aus.

gcloud

Führen Sie den folgenden Befehl aus, um die in Google Cloudverfügbaren Zonen aufzulisten:

gcloud compute zones list \
    --format="value(NAME)"

Führen Sie den folgenden Befehl aus, um eine Liste der verfügbaren CPU-Plattformen für eine bestimmte Zone aufzurufen, und prüfen Sie, ob AMD Milan oder AMD Genoa unterstützt wird:

gcloud compute zones describe ZONE_NAME \
    --format="value(availableCpuPlatforms)"

AMD SEV-SNP

AMD SEV-SNP wird in den folgenden Zonen auf N2D-Maschinentypen mit AMD Milan-CPU-Plattformen unterstützt:

asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c

Intel TDX

Intel TDX wird in den folgenden Zonen auf c3-standard-*-Maschinentypen unterstützt.

asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
us-west1-a
us-west1-b

Betriebssysteme

Informationen zu den verfügbaren Betriebssystem-Images für Confidential VM finden Sie unter Details zu Betriebssystemen. Suchen Sie die gewünschte Distribution und klicken Sie dann auf den Tab Sicherheitsfunktionen, um zu prüfen, ob Confidential VM unterstützt wird.

Alternativ können Sie unterstützte Betriebssystem-Images mit einem gcloud-Befehl ansehen oder ein eigenes Linux-Image erstellen.

Unterstützte Betriebssystem-Images mit gcloud ansehen

Welche Betriebssystem-Images Sie verwenden können, hängt von der von Ihnen ausgewählten Confidential Computing-Technologie ab.

Mit dem folgenden Befehl können Sie die Betriebssystem-Images, ihre Image-Familien und ihre Versionen auflisten, die AMD Confidential Computing-Technologien unterstützen:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE)"

Geben Sie folgenden Wert an:

OS_FEATURE: Die gewünschte Art der Unterstützung für Confidential Computing. Zulässige Werte:

SEV_CAPABLE: Betriebssysteme, die AMD SEV unterstützen.
SEV_LIVE_MIGRATABLE_V2: Betriebssysteme, die AMD SEV und die Live-Migration unterstützen.
SEV_SNP_CAPABLE: Betriebssysteme, die die Isolation und Attestierung von AMD SEV-SNP unterstützen.
TDX_CAPABLE: Betriebssysteme, die die Intel TDX-Isolation und ‑Attestierung unterstützen.

Wenn Sie die Ergebnisse auf eine bestimmte Image-Familie, ein bestimmtes Projekt oder einen anderen Text beschränken möchten, der in der Antwort des vorherigen Befehls enthalten ist, verwenden Sie den Operator AND und ersetzen Sie STRING durch eine teilweise Textübereinstimmung, ähnlich wie im folgenden Beispiel:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"

Führen Sie den folgenden Befehl aus, um Details zu einem bestimmten Bild aufzurufen. Verwenden Sie dabei Details aus den Antworten der vorherigen Befehle:

gcloud compute images describe IMAGE_NAME \
    --project=IMAGE_PROJECT

Nächste Schritte

Informationen zum Erstellen einer Confidential VM-Instanz