Pour créer une instance de Confidential VM, vous avez besoin d'une machine virtuelle présentant les propriétés suivantes:
Vous pouvez configurer manuellement votre propre instance de VM Confidential ou accepter les paramètres suggérés lorsque vous activez le service VM Confidential dans la console Google Cloud.
Limites
Les restrictions suivantes s'appliquent en fonction de la configuration de votre instance de VM confidentielle.
Toutes les instances de Confidential VM
Vous devez créer une instance de VM pour activer Confidential VM. Les instances existantes ne peuvent pas être converties en instances Confidential VM.
Vous ne pouvez pas associer de GPU ni de TPU à des instances Confidential VM.
Les instances de VM Confidential nécessitent une interface NVMe pour les disques. SCSI n'est pas compatible.
Seuls les nouveaux disques peuvent être formatés au format XFS sur les versions de noyau Linux antérieures à 5.10. Pour formater des disques existants en XFS, vous devez disposer de la version 5.10 du noyau ou d'une version ultérieure.
Vous ne pouvez pas associer plus de 40 disques à une instance Confidential VM. Vous pouvez demander une exception via un canal d'assistance, même si les instances comportant plus de 40 disques peuvent échouer sans notification.
Le temps de démarrage est proportionnel à la quantité de mémoire attribuée à une instance. Vous pouvez constater des temps de démarrage plus longs pour les instances Confidential VM qui disposent d'une grande quantité de mémoire.
L'établissement de connexions SSH prend plus de temps sur les instances de VM Confidentielles que sur les instances de VM non confidentielles.
La migration à chaud n'est compatible qu'avec les types de machines N2D dotés de plates-formes de processeur AMD EPYC Milan exécutant AMD SEV.
AMD SEV
Debian 12 n'est pas compatible avec l'attestation pour AMD SEV en raison de l'absence du package
/dev/sev-guest.AMD SEV sur les types de machines C2D et N2D a un nombre maximal de files d'attente vNIC de
8.AMD SEV sur le type de machine C3D est soumis aux restrictions suivantes:
Les instances de VM confidentielles qui utilisent des types de machines C3D peuvent présenter une bande passante réseau inférieure à celle des VM non confidentielles équivalentes, même si les performances de mise en réseau Tier_1 par VM sont activées.
Les VM comportant plus de 180 vCPU ne sont pas compatibles.
L'image
rhel-8-4-sap-hataguéeSEV_CAPABLEne fonctionne pas avec AMD SEV sur les machines C3D comportant plus de 8 vCPU. Cette image ne comporte pas de correctif obligatoire qui augmente la taille du tampon SWIOTLB pour les files d'attente réseau élevées.Les VM confidentielles avec AMD SEV sur les types de machines C3D ne sont pas compatibles avec Hyperdisk Balanced et Hyperdisk Throughput.
AMD SEV-SNP
Debian 12 n'est pas compatible avec l'attestation pour AMD SEV-SNP en raison de l'absence du package
/dev/sev-guest.AMD SEV-SNP sur les types de machines N2D a un nombre maximal de files d'attente vNIC de
8.Les instances de VM ne sont pas compatibles avec
kdump. Utilisez plutôt les journaux de la console invitée.
Intel TDX
Les types de machines avec SSD local ne sont pas acceptés.
L'arrêt des instances de VM prend plus de temps que celui des instances de VM standards. Ce délai augmente avec la taille de la mémoire de la VM.
Seuls les volumes de disques persistants équilibrés qui utilisent l'interface NVMe sont compatibles.
La bande passante réseau et la latence des instances de VM peuvent être inférieures et supérieures, respectivement, par rapport aux instances de VM non confidentielles.
Les instances de VM ne peuvent pas être provisionnées sur des groupes de nœuds à locataire unique.
En raison de contraintes de sécurité supplémentaires, l'instruction CPUID peut renvoyer des informations limitées sur l'architecture du processeur ou aucune. Cela peut avoir un impact sur les performances des charges de travail qui dépendent de ces valeurs CPUID.
Les instances de VM ne sont pas compatibles avec
kdump. Utilisez plutôt les journaux de la console invitée.
Types de machines, processeurs et zones
Confidential VM est compatible avec les types et configurations de machines suivants.
| Type de machine | Plate-forme du processeur | Technologie d'informatique confidentielle | Compatibilité avec la migration à chaud |
|---|---|---|---|
|
C2D |
|
|
Non compatible |
|
|
|
|
Non compatible |
|
C3D |
|
|
Non compatible |
|
N2D |
|
|
VM AMD SEV sur Milan uniquement |
Afficher les zones compatibles
Vous pouvez afficher les zones compatibles avec ces types de machines et la technologie de calcul confidentiel à l'aide de l'une des méthodes suivantes.
AMD SEV
Tableau de référence
Pour afficher les zones compatibles avec SEV sur Confidential VM, procédez comme suit :
Accédez à Régions et zones disponibles.
Cliquez sur Sélectionner un type de machine, puis sélectionnez N2D, C2D et C3D.
Cliquez sur Sélectionner un processeur, puis sélectionnez AMD EPYC Milan et AMD EPYC Genoa.
gcloud
Pour lister les zones disponibles dans Google Cloud, exécutez la commande suivante:
gcloud compute zones list \
--format="value(NAME)"
Pour répertorier les plates-formes de processeur disponibles pour une zone spécifique, exécutez la commande suivante et vérifiez la prise en charge d'AMD Milan ou d'AMD Genoa:
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
AMD SEV-SNP est compatible avec les zones suivantes, sur les types de machines N2D dotés de plates-formes de processeur AMD Milan:
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
Intel TDX
Intel TDX est compatible avec les zones suivantes, sur les types de machines c3-standard-*.
asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
europe-west9-a
europe-west9-b
us-central1-a
us-central1-b
us-central1-c
us-east5-b
us-east5-c
us-west1-a
us-west1-b
Systèmes d'exploitation
Pour connaître les images de système d'exploitation Confidential VM disponibles, consultez la section Détails des systèmes d'exploitation. Recherchez la distribution de votre choix, puis cliquez sur l'onglet Fonctionnalités de sécurité pour vérifier si Confidential VM est compatible.
Vous pouvez également afficher les images des systèmes d'exploitation compatibles à l'aide d'une commande gcloud ou créer votre propre image Linux.
Afficher les images de système d'exploitation compatibles avec gcloud
Les images de système d'exploitation que vous pouvez utiliser sont déterminées par la technologie de calcul confidentiel que vous choisissez.
Vous pouvez lister les images du système d'exploitation, leurs familles d'images et leurs versions compatibles avec les technologies de calcul confidentiel AMD en exécutant la commande suivante:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
Indiquez la valeur suivante :
OS_FEATURE: type de prise en charge de l'informatique confidentielle souhaité. Voici les valeurs acceptées:
SEV_CAPABLE: systèmes d'exploitation compatibles avec AMD SEV.SEV_LIVE_MIGRATABLE_V2: systèmes d'exploitation compatibles avec AMD SEV et la migration en direct.SEV_SNP_CAPABLE: systèmes d'exploitation compatibles avec l'isolation et l'attestation AMD SEV-SNP.TDX_CAPABLE: systèmes d'exploitation compatibles avec l'isolation et l'attestation Intel TDX.
Pour limiter les résultats à une famille d'images, un projet ou un autre texte spécifique fourni dans la réponse de la commande précédente, utilisez un opérateur AND et remplacez STRING par une correspondance textuelle partielle, comme dans l'exemple suivant:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
Pour afficher les détails d'une image spécifique, exécutez la commande suivante à l'aide des informations des réponses des commandes précédentes:
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
Étape suivante
Découvrez comment créer une instance Confidential VM.