Configurações aceitas

Para criar uma instância de VM confidencial, você precisa de uma máquina virtual com as seguintes propriedades:

É possível configurar sua própria instância de VM confidencial manualmente ou aceitar as configurações sugeridas ao ativar o serviço de VM confidencial no console do Google Cloud.

Limitações

As limitações a seguir se aplicam dependendo de como você configurou sua instância de VM confidencial.

Todas as instâncias de VM confidencial

  • É necessário criar uma nova instância de VM para ativar a VM confidencial. As instâncias existentes não podem ser convertidas em instâncias de VM confidenciais.

  • Não é possível anexar GPUs ou TPUs a instâncias de VM confidenciais.

  • As instâncias de VM confidenciais exigem uma interface NVME para discos. O SCSI não é compatível.

  • Somente novos discos podem ser formatados para XFS em versões do kernel do Linux anteriores à 5.10. Para formatar discos existentes para XFS, você precisa da versão 5.10 ou mais recente do kernel.

  • Não é possível anexar mais de 40 discos a uma instância de VM confidencial. É possível solicitar uma exceção por meio de um canal de suporte, mas instâncias com mais de 40 discos podem falhar silenciosamente.

  • O tempo de inicialização é proporcional à quantidade de memória atribuída a uma instância. Você pode perceber tempos de inicialização mais longos para instâncias de VM confidenciais com grandes quantidades de memória.

  • A criação de conexões SSH leva mais tempo em instâncias de VM confidenciais do que em instâncias de VM não confidenciais.

  • A migração em tempo real só é compatível com tipos de máquina N2D com plataformas de CPU AMD EPYC Milan que executam AMD SEV.

AMD SEV

  • O Debian 12 não tem suporte de atestado para AMD SEV devido à falta do pacote /dev/sev-guest.

  • O SEV AMD em tipos de máquina C2D e N2D tem uma contagem máxima de filas de vNIC de 8.

  • O AMD SEV no tipo de máquina C3D tem as seguintes limitações:

    • As instâncias de VM confidenciais que usam tipos de máquina C3D podem ter uma largura de banda de rede menor do que VMs não confidenciais equivalentes, mesmo com o desempenho de rede por VM de Tier_1 ativado.

    • Não há suporte para VMs com mais de 180 vCPUs.

    • As imagens a seguir com a tag SEV_CAPABLE não funcionam com o SEV AMD em máquinas C3D com mais de 8 vCPUs:

      • rhel-8-4-sap-ha

      • sles-15-sp2-sap

      Essas imagens não têm um patch necessário que aumenta o tamanho do buffer SWIOTLB para filas de rede altas.

AMD SEV-SNP

  • O Debian 12 não tem suporte a atestados para AMD SEV-SNP devido à ausência do pacote /dev/sev-guest.

  • O AMD SEV-SNP em tipos de máquina N2D tem uma contagem máxima de filas de vNIC de 8.

  • As instâncias de VM não são compatíveis com kdump. Em vez disso, use os registros de console de visitante.

Intel TDX

  • Tipos de máquina SSD local não são compatíveis.

  • As instâncias de VM levam mais tempo para serem encerradas em comparação com as instâncias de VM padrão. Esse atraso aumenta com o tamanho da memória da VM.

  • Somente volumes de disco permanente equilibrado que usam a interface NVMe são compatíveis.

  • As instâncias de VM podem ter largura de banda de rede menor e latência maior em comparação com instâncias de VM não confidenciais.

  • Não é possível provisionar instâncias de VM em grupos de nó de locatário individual.

  • Devido a outras restrições de segurança, a instrução CPUID pode retornar limitações ou nenhum detalhe da arquitetura da CPU. Isso pode afetar o desempenho das cargas de trabalho que dependem desses valores de CPUID.

  • As instâncias de VM não são compatíveis com kdump. Em vez disso, use os registros de console de visitante.

Tipos de máquina, CPUs e zonas

A VM confidencial é compatível com os seguintes tipos e configurações de máquina.

Tipo de máquina Plataforma de CPU Tecnologia de computação confidencial Suporte para migração em tempo real

C2D

Conferir os nomes tipo de máquina máquina

  • AMD EPYC Milan
  • AMD EPYC Rome (descontinuado)
  • SEV AMD em Milan e Rome
 Sem suporte

c3-standard-*

Conferir os nomes tipo de máquina máquina

  • Intel Sapphire Rapids
  • Intel TDX
 Sem suporte

C3D

Conferir os nomes tipo de máquina máquina

  • AMD EPYC Genoa
  • AMD SEV
 Sem suporte

N2D

Conferir os nomes tipo de máquina máquina

  • AMD EPYC Milan
  • AMD EPYC Rome (descontinuado)
  • SEV AMD em Milan e Rome
  • AMD SEV-SNP apenas no Milan
 VMs AMD SEV apenas no Milan

Conferir as zonas com suporte

É possível conferir quais zonas oferecem suporte a esses tipos de máquina e à tecnologia de computação confidencial com um dos métodos a seguir.

AMD SEV

Tabela de referência

Para conferir quais zonas são compatíveis com o SEV na VM confidencial, siga as etapas a seguir.

  1. Acesse Regiões e zonas disponíveis.

  2. Clique em Selecionar um tipo de máquina e escolha N2D, C2D e C3D.

  3. Clique em Selecionar uma CPU e selecione AMD EPYC Milan e AMD EPYC Genoa.

gcloud

Para listar as zonas disponíveis no Google Cloud, execute o seguinte comando:

gcloud compute zones list \
    --format="value(NAME)"

Para listar as plataformas de CPU disponíveis em uma zona específica, execute o comando a seguir e verifique o suporte a AMD Milan ou AMD Genoa:

gcloud compute zones describe ZONE_NAME \
    --format="value(availableCpuPlatforms)"

AMD SEV-SNP

O AMD SEV-SNP tem suporte nas seguintes zonas, em tipos de máquina N2D com plataformas de CPU AMD Milan:

  • asia-southeast1-a

  • asia-southeast1-b

  • asia-southeast1-c

  • europe-west3-a

  • europe-west3-b

  • europe-west3-c

  • europe-west4-a

  • europe-west4-b

  • europe-west4-c

  • us-central1-a

  • us-central1-b

  • us-central1-c

Intel TDX

O Intel TDX é compatível com as zonas a seguir em tipos de máquina c3-standard-*.

  • asia-northeast1-b

  • asia-southeast1-a

  • asia-southeast1-b

  • asia-southeast1-c

  • europe-west4-a

  • europe-west4-b

  • europe-west4-c

  • us-central1-a

  • us-central1-b

  • us-central1-c

  • us-west1-a

  • us-west1-b

Sistemas operacionais

Para conferir as imagens do sistema operacional da VM confidencial disponíveis, consulte Detalhes do sistema operacional. Encontre a distribuição de sua preferência e clique na guia Recursos de segurança para verificar se a VM confidencial é compatível.

Também é possível ver as imagens do sistema operacional com suporte usando um comando gcloud ou criar sua própria imagem do Linux.

Conferir imagens de sistema operacional com suporte no gcloud

As imagens do sistema operacional que você pode usar são determinadas pela escolha da tecnologia de computação confidencial.

É possível listar as imagens do sistema operacional, as famílias de imagens e as versões que oferecem suporte às tecnologias de computação confidencial da AMD executando o seguinte comando:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE)"

Forneça o seguinte valor:

OS_FEATURE: o tipo de suporte à computação confidencial que você quer. Os valores aceitos são:

  • SEV_CAPABLE: sistemas operacionais compatíveis com a AMD SEV.

  • SEV_LIVE_MIGRATABLE_V2: sistemas operacionais compatíveis com AMD SEV e migração ativa.

  • SEV_SNP_CAPABLE: sistemas operacionais que oferecem suporte ao isolamento e à atestação do AMD SEV-SNP.

  • TDX_CAPABLE: sistemas operacionais que oferecem suporte ao isolamento e à atestação do Intel TDX.

Para limitar os resultados a uma família de imagens, projeto ou outro texto específico fornecido na resposta do comando anterior, use um operador AND e substitua STRING por uma correspondência de texto parcial, semelhante ao exemplo abaixo:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"

Para conferir detalhes sobre uma imagem específica, execute o seguinte comando usando detalhes das respostas dos comandos anteriores:

gcloud compute images describe IMAGE_NAME \
    --project=IMAGE_PROJECT

A seguir

Saiba como criar uma instância de VM confidencial.