如需创建机密虚拟机实例,您需要一个具有以下属性的虚拟机:
您可以手动配置自己的机密虚拟机实例,也可以在 Google Cloud 控制台中启用机密虚拟机服务时接受建议的设置。
限制
根据您配置 Confidential VM 实例的方式,存在以下限制。
所有机密虚拟机实例
您必须创建新的虚拟机实例才能启用机密虚拟机。现有实例无法转换为机密虚拟机实例。
机密虚拟机实例需要为磁盘使用 NVME 接口。不支持 SCSI。
在低于 5.10 的 Linux 内核版本中,只有新磁盘可以格式化为 XFS。如需将现有磁盘格式化为 XFS,您需要内核版本 5.10 或更高版本。
您不能向机密虚拟机实例挂接超过 40 个磁盘。您可以通过支持渠道申请例外情况,但具有超过 40 个磁盘的实例可能会静默失败。
启动时间与分配给实例的内存量成正比。您可能会注意到具有大量内存的机密虚拟机实例启动时间较长。
与非机密虚拟机实例相比,机密虚拟机实例建立 SSH 连接所需的时间更长。
只有使用运行 AMD SEV 的 AMD EPYC Milan CPU 平台的 N2D 机器类型支持实时迁移。
AMD SEV
由于缺少
/dev/sev-guest软件包,Debian 12 不支持 AMD SEV 认证。C2D 和 N2D 机器类型上的 AMD SEV 的 vNIC 队列数上限为
8。C3D 机器类型上的 AMD SEV 存在以下限制:
与等效的非机密虚拟机相比,使用 C3D 机器类型的机密虚拟机实例的网络带宽可能会较低,即使启用了每个虚拟机的 Tier_1 网络性能也是如此。
不支持 vCPU 数量超过 180 个的虚拟机。
标记为
SEV_CAPABLE的rhel-8-4-sap-ha映像无法在 vCPU 数量超过 8 的 C3D 机器上与 AMD SEV 搭配使用。此映像缺少一个必需的补丁,该补丁会增加高网络队列的 SWIOTLB 缓冲区大小。在 C3D 机器类型上,具有 AMD SEV 的机密虚拟机不支持 Hyperdisk Balanced 和 Hyperdisk Throughput。
AMD SEV-SNP
由于缺少
/dev/sev-guest软件包,Debian 12 不支持 AMD SEV-SNP 认证。N2D 机器类型上的 AMD SEV-SNP 的 vNIC 队列数上限为
8。虚拟机实例不支持
kdump。请改用访客控制台日志。
Intel TDX
不支持本地 SSD 机器类型。
与标准虚拟机实例相比,此类虚拟机实例的关闭时间更长。此延迟会随着虚拟机内存大小而增加。
仅支持使用 NVMe 接口的平衡永久性磁盘卷。
与非机密虚拟机实例相比,机密虚拟机实例的网络带宽可能会较低,延迟时间可能会较长。
无法在单租户节点组上预配虚拟机实例。
由于存在额外的安全限制,CPUID 指令可能会返回有限的 CPU 架构详细信息,也可能不返回任何 CPU 架构详细信息。这可能会影响依赖于这些 CPUID 值的工作负载的性能。
虚拟机实例不支持
kdump。请改用访客控制台日志。
机器类型、CPU 和可用区
以下机器类型和配置支持机密虚拟机。
| 机器类型 | CPU 平台 | 机密计算技术 | 实时迁移支持 |
|---|---|---|---|
|
C2D |
|
|
不支持 |
|
|
|
|
不支持 |
|
C3D |
|
|
不支持 |
|
N2D |
|
|
仅在 Milan 上支持 AMD SEV 虚拟机 |
查看支持的可用区
您可以使用以下任一方法查看哪些可用区支持这些机器类型和机密计算技术。
AMD SEV
参考表
如需查看哪些可用区支持机密虚拟机上的 SEV,请完成以下步骤。
前往可用区域和可用区。
点击选择机器类型,然后选择 N2D、C2D 和 C3D。
点击选择 CPU,然后选择 AMD EPYC Milan 和 AMD EPYC Genoa。
gcloud
如需列出 Google Cloud中可用的区域,请运行以下命令:
gcloud compute zones list \
--format="value(NAME)"
如需列出特定可用区中的可用 CPU 平台,请运行以下命令并检查是否支持 AMD Milan 或 AMD Genoa:
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
在以下区域,使用 AMD Milan CPU 平台的 N2D 机器类型支持 AMD SEV-SNP:
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
Intel TDX
以下可用区中的 c3-standard-* 机器类型支持 Intel TDX。
asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
europe-west9-a
europe-west9-b
us-central1-a
us-central1-b
us-central1-c
us-east5-b
us-east5-c
us-west1-a
us-west1-b
操作系统
如需了解可用的机密虚拟机操作系统映像,请参阅操作系统详细信息。找到您选择的发行版,然后点击安全功能标签页,检查是否支持 Confidential VM。
或者,您也可以使用 gcloud 命令查看受支持的操作系统映像,或创建您自己的 Linux 映像。
使用 gcloud 查看受支持的操作系统映像
您可以使用的操作系统映像取决于您选择的 Confidential Computing 技术。
您可以运行以下命令,列出支持 AMD 机密计算技术的操作系统映像、映像系列和版本的详细信息:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
请提供以下值:
OS_FEATURE:您需要的机密计算支持类型。接受的值包括:
SEV_CAPABLE:支持 AMD SEV 的操作系统。SEV_LIVE_MIGRATABLE_V2:支持 AMD SEV 和实时迁移的操作系统。SEV_SNP_CAPABLE:支持 AMD SEV-SNP 隔离和证明的操作系统。TDX_CAPABLE:支持 Intel TDX 隔离和认证的操作系统。
如需将结果限制为特定映像系列、项目或上一个命令响应中提供的其他文本,请使用 AND 运算符,并将 STRING 替换为部分文本匹配,如以下示例所示:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
如需查看特定映像的详细信息,请使用上一个命令的响应中的详细信息运行以下命令:
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
后续步骤
了解如何创建机密虚拟机实例。