Se usó la API de Cloud Translation para traducir esta página.

Configuraciones admitidas

Para crear una instancia de Confidential VM, necesitas una máquina virtual que tenga las siguientes propiedades:

Puedes configurar tu propia instancia de Confidential VM de forma manual o aceptar la configuración sugerida cuando habilites el servicio de Confidential VM en la consola de Google Cloud.

Limitaciones

Se aplican las siguientes limitaciones según cómo hayas configurado tu instancia de VM confidencial.

Todas las instancias de Confidential VM

Debes crear una instancia de VM nueva para habilitar Confidential VM. Las instancias existentes no se pueden convertir en instancias de Confidential VM.
No puedes conectar GPU ni TPU a instancias de Confidential VM.
Las instancias de VM confidenciales requieren una interfaz NVMe para los discos. SCSI no es compatible.
Solo los discos nuevos se pueden formatear a XFS en versiones del kernel de Linux anteriores a la 5.10. Para formatear discos existentes a XFS, necesitas la versión 5.10 o posterior del kernel.
No puedes conectar más de 40 discos a una instancia de Confidential VM. Puedes solicitar una excepción a través de un canal de asistencia, aunque las instancias con más de 40 discos podrían fallar de forma silenciosa.
El tiempo de inicio es proporcional a la cantidad de memoria asignada a una instancia. Es posible que notes tiempos de inicio más largos para las instancias de Confidential VM con grandes cantidades de memoria.
Establecer conexiones SSH tarda más en instancias de Confidential VM que en instancias de VM no confidenciales.
La migración en vivo solo es compatible con los tipos de máquinas N2D con plataformas de CPU AMD EPYC Milan que ejecutan SEV de AMD.

AMD SEV

Debian 12 no tiene compatibilidad con la certificación para SEV de AMD debido a que falta el paquete /dev/sev-guest.
AMD SEV en los tipos de máquinas C2D y N2D tiene un registro de colas de vNIC máximo de 8.
AMD SEV en el tipo de máquina C3D tiene las siguientes limitaciones:
- Es posible que las instancias de VM confidenciales que usan tipos de máquinas C3D tengan un ancho de banda de red más bajo que las VMs no confidenciales equivalentes, incluso con el rendimiento de redes de nivel 1 por VM habilitado.
- No se admiten VMs con más de 180 CPU virtuales.
- Las siguientes imágenes etiquetadas como SEV_CAPABLE no funcionan con AMD SEV en máquinas C3D que tienen más de 8 CPU virtuales:
  - rhel-8-4-sap-ha
  - sles-15-sp2-sap
  A estas imágenes les falta un parche obligatorio que aumenta el tamaño del búfer SWIOTLB para colas de red de alta velocidad.

AMD SEV-SNP

Debian 12 no tiene compatibilidad con la certificación para AMD SEV-SNP debido a que falta el paquete /dev/sev-guest.
AMD SEV-SNP en los tipos de máquinas N2D tiene un recuento máximo de colas de vNIC de 8.
Las instancias de VM no admiten kdump. En su lugar, usa los registros de la consola de invitados.

Intel TDX

Los tipos de máquinas con SSD locales no son compatibles.
Las instancias de VM tardan más en apagarse en comparación con las instancias de VM estándar. Esta demora aumenta con el tamaño de la memoria de la VM.
Solo se admiten los volúmenes de disco persistente equilibrado que usan la interfaz NVMe.
Es posible que las instancias de VM experimenten un ancho de banda de red más bajo y una latencia más alta en comparación con las instancias de VM no confidenciales.
Las instancias de VM no se pueden aprovisionar en grupos de nodos de usuario único.
Debido a restricciones de seguridad adicionales, la instrucción CPUID podría mostrar detalles limitados de la arquitectura de la CPU o no mostrarlos. Esto podría afectar el rendimiento de las cargas de trabajo que dependen de esos valores de CPUID.
Las instancias de VM no admiten kdump. En su lugar, usa los registros de la consola de invitados.

Tipos de máquinas, CPUs y zonas

Confidential VM es compatible con los siguientes tipos de máquinas y configuraciones.

Tipo de máquina	Plataforma de CPU	Tecnología de Confidential Computing	Compatibilidad con la migración en vivo
C2D Cómo ver los tipo de máquina máquinas	AMD EPYC Milan AMD EPYC Rome (obsoleto)	AMD SEV en Milan y Rome	No compatible
`c3-standard-*` Cómo ver los tipo de máquina máquinas	Intel Sapphire Rapids	Intel TDX	No compatible
C3D Cómo ver los tipo de máquina máquinas	AMD EPYC Genoa	AMD SEV	No compatible
N2D Cómo ver los tipo de máquina máquinas	AMD EPYC Milan AMD EPYC Rome (obsoleto)	AMD SEV en Milan y Rome AMD SEV-SNP solo en Milan	VMs de AMD SEV solo en Milan

Consulta las zonas admitidas

Puedes ver qué zonas admiten estos tipos de máquinas y la tecnología de Confidential Computing con uno de los siguientes métodos.

AMD SEV

Tabla de referencia

Para ver qué zonas admiten SEV en Confidential VM, completa los siguientes pasos.

Ve a Regiones y zonas disponibles.
Haz clic en Seleccionar un tipo de máquina y, luego, selecciona N2D, C2D y C3D.
Haz clic en Seleccionar una CPU y, luego, selecciona AMD EPYC Milan y AMD EPYC Genoa.

gcloud

Para obtener una lista de las zonas disponibles en Google Cloud, ejecuta el siguiente comando:

gcloud compute zones list \
    --format="value(NAME)"

Para enumerar las plataformas de CPU disponibles para una zona específica, ejecuta el siguiente comando y verifica la compatibilidad con AMD Milan o AMD Genoa:

gcloud compute zones describe ZONE_NAME \
    --format="value(availableCpuPlatforms)"

AMD SEV-SNP

AMD SEV-SNP es compatible con las siguientes zonas, en tipos de máquinas N2D con plataformas de CPU AMD Milan:

asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c

Intel TDX

Intel TDX es compatible con las siguientes zonas, en tipos de máquinas c3-standard-*.

asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
us-west1-a
us-west1-b

Sistemas operativos

Para obtener las imágenes del sistema operativo de Confidential VM disponibles, consulta Detalles de los sistemas operativos. Busca la distribución que elijas y, luego, haz clic en la pestaña Funciones de seguridad para verificar si se admite la VM confidencial.

Como alternativa, puedes ver las imágenes de los sistemas operativos compatibles con un comando gcloud o crear tu propia imagen de Linux.

Cómo ver las imágenes del sistema operativo compatibles con gcloud

Las imágenes del sistema operativo que puedes usar se determinan según la tecnología de Confidential Computing que elijas.

Para obtener una lista de las imágenes del sistema operativo, sus familias de imágenes y sus versiones que admiten las tecnologías de procesamiento confidencial de AMD, ejecuta el siguiente comando:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE)"

Ingresa el siguiente valor:

OS_FEATURE: Es el tipo de compatibilidad con el Confidential Computing que deseas. Los valores aceptados son los siguientes:

SEV_CAPABLE: Son los sistemas operativos que admiten AMD SEV.
SEV_LIVE_MIGRATABLE_V2: Sistemas operativos que admiten AMD SEV y la migración en vivo.
SEV_SNP_CAPABLE: Son sistemas operativos que admiten el aislamiento y la certificación de AMD SEV-SNP.
TDX_CAPABLE: Son sistemas operativos que admiten el aislamiento y la certificación de TDX de Intel.

Para limitar los resultados a una familia de imágenes, un proyecto o cualquier otro texto proporcionado en la respuesta del comando anterior, usa un operador AND y reemplaza STRING por una concordancia de texto parcial, similar al siguiente ejemplo:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"

Para ver los detalles de una imagen específica, ejecuta el siguiente comando con los detalles de las respuestas de los comandos anteriores:

gcloud compute images describe IMAGE_NAME \
    --project=IMAGE_PROJECT

¿Qué sigue?

Obtén más información para crear una instancia de Confidential VM.