Konfigurasi yang didukung

Untuk membuat instance Confidential VM, Anda memerlukan virtual machine yang memiliki properti berikut:

Anda dapat mengonfigurasi instance Confidential VM Anda sendiri secara manual, atau menerima setelan yang disarankan saat mengaktifkan layanan Confidential VM di konsolGoogle Cloud .

Batasan

Batasan berikut berlaku bergantung pada cara Anda mengonfigurasi instance VM Rahasia.

Semua instance Confidential VM

  • Anda harus membuat instance VM baru untuk mengaktifkan Confidential VM. Instance yang ada tidak dapat dikonversi ke instance Confidential VM.

  • Anda tidak dapat memasang GPU atau TPU ke instance Confidential VM.

  • Instance VM rahasia memerlukan antarmuka NVME untuk disk. SCSI tidak didukung.

  • Hanya disk baru yang dapat diformat ke XFS pada versi kernel Linux sebelum versi 5.10. Untuk memformat disk yang ada ke XFS, Anda memerlukan kernel versi 5.10 atau yang lebih baru.

  • Anda tidak dapat memasang lebih dari 40 disk ke instance Confidential VM. Anda dapat meminta pengecualian melalui saluran dukungan, walaupun instance dengan lebih dari 40 disk mungkin gagal tanpa peringatan.

  • Waktu booting sebanding dengan jumlah memori yang ditetapkan ke instance. Anda mungkin melihat waktu booting yang lebih lama untuk instance Confidential VM dengan memori dalam jumlah besar.

  • Membuat koneksi SSH memerlukan waktu lebih lama di instance Confidential VM daripada instance VM non-Confidential.

  • Migrasi langsung hanya didukung pada jenis mesin N2D dengan platform CPU AMD EPYC Milan yang menjalankan AMD SEV.

AMD SEV

  • Debian 12 tidak memiliki dukungan pengesahan untuk AMD SEV karena paket /dev/sev-guest tidak ada.

  • AMD SEV pada jenis mesin C2D dan N2D memiliki jumlah antrean vNIC maksimum 8.

  • AMD SEV pada jenis mesin C3D memiliki batasan berikut:

    • Instance VM rahasia yang menggunakan jenis mesin C3D mungkin mengalami bandwidth jaringan yang lebih rendah daripada VM non-rahasia yang setara, meskipun performa jaringan per VM Tier_1 diaktifkan.

    • VM dengan lebih dari 180 vCPU tidak didukung.

    • Image berikut yang diberi tag SEV_CAPABLE tidak berfungsi dengan AMD SEV pada mesin C3D yang memiliki lebih dari 8 vCPU:

      • rhel-8-4-sap-ha

      • sles-15-sp2-sap

      Gambar ini tidak memiliki patch yang diperlukan untuk meningkatkan ukuran buffering SWIOTLB untuk antrean jaringan yang tinggi.

AMD SEV-SNP

  • Debian 12 tidak memiliki dukungan pengesahan untuk AMD SEV-SNP karena paket /dev/sev-guest tidak ada.

  • AMD SEV-SNP pada jenis mesin N2D memiliki jumlah antrean vNIC maksimum sebesar 8.

  • Instance VM tidak mendukung kdump. Sebagai gantinya, gunakan log konsol tamu.

Intel TDX

  • Jenis mesin SSD Lokal tidak didukung.

  • Instance VM memerlukan waktu lebih lama untuk dimatikan dibandingkan dengan instance VM standar. Penundaan ini meningkat seiring dengan ukuran memori VM.

  • Hanya volume Balanced Persistent Disk yang menggunakan antarmuka NVMe yang didukung.

  • Instance VM mungkin mengalami bandwidth jaringan yang lebih rendah dan latensi yang lebih tinggi dibandingkan dengan instance VM non-Confidential.

  • Instance VM tidak dapat disediakan di grup node tenant tunggal.

  • Karena batasan keamanan tambahan, petunjuk CPUID mungkin menampilkan detail arsitektur CPU yang terbatas atau tidak ada. Hal ini dapat memengaruhi performa beban kerja yang bergantung pada nilai CPUID tersebut.

  • Instance VM tidak mendukung kdump. Sebagai gantinya, gunakan log konsol tamu.

Jenis mesin, CPU, dan zona

VM Rahasia didukung pada jenis dan konfigurasi mesin berikut.

Jenis mesin CPU platform Teknologi Confidential Computing Dukungan migrasi langsung

C2D

Melihat nama jenis mesin

  • AMD EPYC Milan
  • AMD EPYC Rome (tidak digunakan lagi)
  • AMD SEV di Milan dan Rome
 Tidak didukung

c3-standard-*

Melihat nama jenis mesin

  • Intel Sapphire Rapids
  • Intel TDX
 Tidak didukung

C3D

Melihat nama jenis mesin

  • AMD EPYC Genoa
  • AMD SEV
 Tidak didukung

N2D

Melihat nama jenis mesin

  • AMD EPYC Milan
  • AMD EPYC Rome (tidak digunakan lagi)
  • AMD SEV di Milan dan Rome
  • AMD SEV-SNP hanya di Milan
 VM AMD SEV hanya di Milan

Melihat zona yang didukung

Anda dapat melihat zona mana yang mendukung jenis mesin dan teknologi Confidential Computing ini dengan salah satu metode berikut.

AMD SEV

Tabel referensi

Untuk melihat zona mana yang mendukung SEV di VM Rahasia, selesaikan langkah-langkah berikut.

  1. Buka Region dan zona yang tersedia.

  2. Klik Select a machine type, lalu pilih N2D, C2D, dan C3D.

  3. Klik Select a CPU, lalu pilih AMD EPYC Milan dan AMD EPYC Genoa.

gcloud

Untuk mencantumkan zona yang tersedia di Google Cloud, jalankan perintah berikut:

gcloud compute zones list \
    --format="value(NAME)"

Untuk mencantumkan platform CPU yang tersedia untuk zona tertentu, jalankan perintah berikut dan periksa dukungan AMD Milan atau AMD Genoa:

gcloud compute zones describe ZONE_NAME \
    --format="value(availableCpuPlatforms)"

AMD SEV-SNP

AMD SEV-SNP didukung di zona berikut, pada jenis mesin N2D dengan platform CPU AMD Milan:

  • asia-southeast1-a

  • asia-southeast1-b

  • asia-southeast1-c

  • europe-west3-a

  • europe-west3-b

  • europe-west3-c

  • europe-west4-a

  • europe-west4-b

  • europe-west4-c

  • us-central1-a

  • us-central1-b

  • us-central1-c

Intel TDX

Intel TDX didukung di zona berikut, pada jenis mesin c3-standard-*.

  • asia-northeast1-b

  • asia-southeast1-a

  • asia-southeast1-b

  • asia-southeast1-c

  • europe-west4-a

  • europe-west4-b

  • europe-west4-c

  • us-central1-a

  • us-central1-b

  • us-central1-c

  • us-west1-a

  • us-west1-b

Sistem operasi

Untuk image sistem operasi Confidential VM yang tersedia, lihat Detail sistem operasi. Temukan distribusi pilihan Anda, lalu klik tab Fitur keamanan untuk memeriksa apakah Confidential VM didukung.

Atau, Anda dapat melihat image sistem operasi yang didukung dengan perintah gcloud, atau membuat image Linux Anda sendiri.

Melihat image sistem operasi yang didukung dengan gcloud

Image sistem operasi yang dapat Anda gunakan ditentukan oleh pilihan teknologi Confidential Computing Anda.

Anda dapat mencantumkan image sistem operasi, kelompok image-nya, dan versinya yang mendukung teknologi AMD Confidential Computing dengan menjalankan perintah berikut:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE)"

Berikan nilai berikut:

OS_FEATURE: Jenis dukungan Confidential Computing yang Anda inginkan. Nilai yang diterima adalah:

  • SEV_CAPABLE: Sistem operasi yang mendukung AMD SEV.

  • SEV_LIVE_MIGRATABLE_V2: Sistem operasi yang mendukung AMD SEV dan migrasi langsung.

  • SEV_SNP_CAPABLE: Sistem operasi yang mendukung isolasi dan pengesahan AMD SEV-SNP.

  • TDX_CAPABLE: Sistem operasi yang mendukung isolasi dan atestasi Intel TDX.

Untuk membatasi hasil ke kelompok gambar, project, atau teks lain tertentu yang diberikan dalam respons perintah sebelumnya, gunakan operator AND, dan ganti STRING dengan kecocokan teks sebagian, mirip dengan contoh berikut:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"

Untuk melihat detail tentang image tertentu, jalankan perintah berikut menggunakan detail dari respons perintah sebelumnya:

gcloud compute images describe IMAGE_NAME \
    --project=IMAGE_PROJECT

Langkah selanjutnya

Pelajari cara membuat instance Confidential VM.