Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazioni supportate

Per creare un'istanza Confidential VM, devi disporre di una macchina virtuale con le seguenti proprietà:

Puoi configurare manualmente la tua istanza Confidential VM o accettare le impostazioni suggerite quando attivi il servizio Confidential VM nella console Google Cloud.

Limitazioni

Si applicano le seguenti limitazioni a seconda di come hai configurato l'istanza VM con accesso riservato.

Tutte le istanze Confidential VM

Devi creare una nuova istanza VM per attivare Confidential VM. Le istanze esistenti non possono essere convertite in istanze VM riservate.
Non puoi collegare GPU o TPU alle istanze Confidential VM.
Le istanze Confidential VM richiedono un'interfaccia NVME per i dischi. SCSI non è supportato.
Solo i nuovi dischi possono essere formattati in XFS sulle versioni del kernel Linux precedenti alla 5.10. Per formattare i dischi esistenti in XFS, è necessaria la versione 5.10 o successiva del kernel.
Non puoi collegare più di 40 dischi a un'istanza VM Confidential. Puoi richiedere un'eccezione tramite un canale di assistenza, anche se le istanze con più di 40 dischi potrebbero non riuscire in modo silenzioso.
Il tempo di avvio è proporzionale alla quantità di memoria assegnata a un'istanza. Potresti notare tempi di avvio più lunghi per le istanze VM riservate con grandi quantità di memoria.
L'impostazione delle connessioni SSH richiede più tempo sulle istanze Confidential VM rispetto alle istanze VM non riservate.
La migrazione live è supportata solo su tipi di macchine N2D con piattaforme CPU AMD EPYC Milan in esecuzione su AMD SEV.

AMD SEV

Debian 12 non supporta l'attestazione per AMD SEV a causa del pacchetto /dev/sev-guest mancante.
AMD SEV sui tipi di macchine C2D e N2D ha un valore massimo di conteggio code vNIC pari a 8.
AMD SEV sul tipo di macchina C3D presenta le seguenti limitazioni:
- Le istanze VM riservate che utilizzano tipi di macchine C3D potrebbero avere una larghezza di banda di rete inferiore rispetto alle VM non riservate equivalenti, anche se sono attivate le prestazioni di networking Tier_1 per VM.
- Le VM con più di 180 vCPU non sono supportate.
- L'immagine rhel-8-4-sap-ha con tag SEV_CAPABLE non funziona con AMD SEV sulle macchine C3D con più di 8 vCPU. In questa immagine manca una patch obbligatoria che aumenta le dimensioni del buffer SWIOTLB per code di rete elevate.
- Le VM riservate con AMD SEV sui tipi di macchine C3D non supportano Hyperdisk Balanced e Hyperdisk Throughput.

AMD SEV-SNP

Debian 12 non supporta l'attestazione per AMD SEV-SNP a causa del pacchetto /dev/sev-guest mancante.
AMD SEV-SNP sui tipi di macchine N2D ha un valore massimo di conteggio code vNIC pari a 8.
Le istanze VM non supportano kdump. Utilizza invece i log della console ospite.

Intel TDX

I tipi di macchine con SSD locali non sono supportati.
L'arresto delle istanze VM richiede più tempo rispetto alle istanze VM standard. Questo ritardo aumenta con le dimensioni della memoria della VM.
Sono supportati solo i volumi di dischi permanenti bilanciati che utilizzano l'interfaccia NVMe.
Le istanze VM potrebbero avere una larghezza di banda di rete inferiore e una latenza superiore rispetto alle istanze VM non riservate.
Non è possibile eseguire il provisioning delle istanze VM nei gruppi di nodi single-tenant.
A causa di ulteriori vincoli di sicurezza, l'istruzione CPUID potrebbe restituire dettagli limitati o nulli sull'architettura della CPU. Ciò potrebbe influire sulle prestazioni degli eventuali carichi di lavoro che dipendono da questi valori CPUID.
Le istanze VM non supportano kdump. Utilizza invece i log della console ospite.

Tipi di macchine, CPU e zone

La VM con accesso protetto è supportata nei seguenti tipi di macchine e configurazioni.

Tipo di macchina	Piattaforma CPU	Tecnologia Confidential Computing	Supporto per la migrazione live
C2D Visualizzare i nomi dei tipi di macchine	AMD EPYC Milan AMD EPYC Rome (disponibile solo per i clienti con contratti in essere)	AMD SEV su Milano e Roma	Non supportata
`c3-standard-*` Visualizzare i nomi dei tipi di macchine	Intel Sapphire Rapids	Intel TDX	Non supportata
C3D Visualizzare i nomi dei tipi di macchine	AMD EPYC Genoa	AMD SEV	Non supportata
N2D Visualizzare i nomi dei tipi di macchine	AMD EPYC Milan AMD EPYC Rome (disponibile solo per i clienti con contratti in essere)	AMD SEV su Milano e Roma AMD SEV-SNP solo su Milan	VM AMD SEV solo su Milan

Visualizza le zone supportate

Puoi visualizzare le zone che supportano questi tipi di macchine e la tecnologia Confidential Computing con uno dei seguenti metodi.

AMD SEV

Tabella di riferimento

Per visualizzare le zone che supportano SEV sulle VM riservate, completa i seguenti passaggi.

Vai a Regioni e zone disponibili.
Fai clic su Seleziona un tipo di macchina e poi su N2D, C2D e C3D.
Fai clic su Seleziona una CPU, quindi seleziona AMD EPYC Milan e AMD EPYC Genoa.

gcloud

Per elencare le zone disponibili in Google Cloud, esegui il comando seguente:

gcloud compute zones list \
    --format="value(NAME)"

Per elencare le piattaforme CPU disponibili per una zona specifica, esegui il seguente comando e controlla se è supportato AMD Milan o AMD Genoa:

gcloud compute zones describe ZONE_NAME \
    --format="value(availableCpuPlatforms)"

AMD SEV-SNP

AMD SEV-SNP è supportato nelle seguenti zone, sui tipi di macchine N2D con piattaforme CPU AMD Milan:

asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c

Intel TDX

Intel TDX è supportato nelle seguenti zone e su c3-standard-* tipi di macchine.

asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
europe-west9-a
europe-west9-b
us-central1-a
us-central1-b
us-central1-c
us-east5-b
us-east5-c
us-west1-a
us-west1-b

Sistemi operativi

Per le immagini del sistema operativo delle VM riservate disponibili, consulta Dettagli del sistema operativo. Individua la distribuzione che preferisci, poi fai clic sulla scheda Funzionalità di sicurezza per verificare se Confidential VM è supportata.

In alternativa, puoi visualizzare le immagini dei sistemi operativi supportati con un comando gcloud o creare la tua immagine Linux.

Visualizzare le immagini del sistema operativo supportate con gcloud

Le immagini del sistema operativo che puoi utilizzare dipendono dalla tecnologia Confidential Computing che hai scelto.

Puoi elencare le immagini del sistema operativo, le relative famiglie e le relative versioni che supportano le tecnologie AMD Confidential Computing eseguendo il seguente comando:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE)"

Specifica il seguente valore:

OS_FEATURE: il tipo di assistenza per il Confidential Computing che vuoi. I valori accettati sono:

SEV_CAPABLE: sistemi operativi che supportano AMD SEV.
SEV_LIVE_MIGRATABLE_V2: sistemi operativi che supportano AMD SEV e la migrazione in tempo reale.
SEV_SNP_CAPABLE: sistemi operativi che supportano l'isolamento e l'attestazione AMD SEV-SNP.
TDX_CAPABLE: sistemi operativi che supportano l'isolamento e l'attestazione di Intel TDX.

Per limitare i risultati a una famiglia di immagini, un progetto o un altro testo specifico fornito nella risposta del comando precedente, utilizza un operatore AND e sostituisci AND con una corrispondenza parziale del testo, in modo simile all'esempio seguente:STRING

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"

Per visualizzare i dettagli di un'immagine specifica, esegui il seguente comando utilizzando i dettagli delle risposte dei comandi precedenti:

gcloud compute images describe IMAGE_NAME \
    --project=IMAGE_PROJECT

Passaggi successivi

Scopri come creare un'istanza Confidential VM.