Confidential VM インスタンスを作成するには、次のプロパティを持つ仮想マシンが必要です。
独自の Confidential VM インスタンスを手動で構成することも、Google Cloud コンソールで Confidential VM サービスを有効にするときに推奨される設定を承認することもできます。
制限事項
Confidential VM インスタンスの構成方法に応じて、次の制限が適用されます。
すべての Confidential VM インスタンス
Confidential VM を有効にするには、新しい VM インスタンスを作成する必要があります。既存のインスタンスを Confidential VM インスタンスに変換することはできません。
Confidential VM インスタンスには、ディスク用の NVME インターフェースが必要です。SCSI はサポートされていません。
Linux カーネル バージョン 5.10 より前のバージョンでは、新しいディスクのみを XFS にフォーマットできます。既存のディスクを XFS にフォーマットするには、カーネル バージョン 5.10 以降が必要です。
Confidential VM インスタンスに 40 を超えるディスクをアタッチすることはできません。40 を超えるディスクを使用するインスタンスは、サイレント エラーになる可能性がありますが、サポート チャネルで例外をリクエストできます。
起動時間は、インスタンスに割り当てられるメモリの量に比例します。大容量メモリを使用する Confidential VM インスタンスは起動時間が長くなることがあります。
Confidential VM インスタンスでは、非 Confidential VM インスタンスよりも SSH 接続の確立に時間がかかります。
ライブ マイグレーションは、AMD SEV を実行する AMD EPYC Milan CPU プラットフォームの N2D マシンタイプでのみサポートされます。
AMD SEV
Debian 12 には
/dev/sev-guest
パッケージがないため、AMD SEV の構成証明はサポートされていません。C2D マシンタイプと N2D マシンタイプの AMD SEV の最大 vNIC キュー数は
8
です。C3D マシンタイプの AMD SEV には次の制限があります。
C3D マシンタイプを使用する Confidential VM インスタンスでは、VM ごとの Tier_1 ネットワーキング パフォーマンスを有効にしても、同等の非機密 VM よりもネットワーク帯域幅が低くなる場合があります。
180 個を超える vCPU を使用する VM はサポートされていません。
SEV_CAPABLE
タグが付いた次のイメージは、8 個を超える vCPU を備えた C3D マシンで AMD SEV と連携して動作しません。rhel-8-4-sap-ha
sles-15-sp2-sap
これらのイメージには、ネットワーク キューの負荷が高い場合に SWIOTLB バッファのサイズを増やすために必要なパッチがありません。
AMD SEV-SNP
Debian 12 には
/dev/sev-guest
パッケージがないため、AMD SEV-SNP の構成証明はサポートされていません。N2D マシンタイプの AMD SEV-SNP の最大 vNIC キュー数は
8
です。VM インスタンスは
kdump
をサポートしていません。代わりに、ゲスト コンソール ログを使用します。
Intel TDX
ローカル SSD マシンタイプはサポートされていません。
VM インスタンスのシャットダウンには、標準の VM インスタンスよりも時間がかかります。この遅延は VM メモリサイズとともに増加します。
NVMe インターフェースを使用する Balanced Persistent Disk ボリュームのみがサポートされます。
VM インスタンスでは、機密性のない VM インスタンスと比較して、ネットワーク帯域幅が低下し、レイテンシが増加する可能性があります。
VM インスタンスを単一テナントノード グループにプロビジョニングすることはできません。
追加のセキュリティ制約により、CPUID 命令が CPU アーキテクチャの詳細を制限付きで返すか、返さない場合があります。これにより、これらの CPUID 値に依存するワークロードのパフォーマンスに影響する可能性があります。
VM インスタンスは
kdump
をサポートしていません。代わりに、ゲスト コンソール ログを使用します。
マシンタイプ、CPU、ゾーン
Confidential VM は、次のマシンタイプと構成でサポートされています。
マシンタイプ | CPU プラットフォーム | Confidential Computing テクノロジー | ライブ マイグレーションのサポート |
---|---|---|---|
C2D |
|
|
非対応 |
|
|
|
非対応 |
C3D |
|
|
非対応 |
N2D |
|
|
Milan でのみ使用可能な AMD SEV VM |
サポートされているゾーンを表示する
これらのマシンタイプと Confidential Computing テクノロジーをサポートするゾーンは、次のいずれかの方法で確認できます。
AMD SEV
参照テーブル
Confidential VM で SEV をサポートするゾーンを表示するには、次の操作を行います。
使用可能なリージョンとゾーンに移動します。
[マシンタイプを選択] をクリックし、[N2D]、[C2D]、[C3D] を選択します。
[CPU を選択] をクリックし、[AMD EPYC Milan] と [AMD EPYC Genoa] を選択します。
gcloud
Google Cloudで使用可能なゾーンを一覧表示するには、次のコマンドを実行します。
gcloud compute zones list \
--format="value(NAME)"
特定のゾーンで使用可能な CPU プラットフォームを一覧表示するには、次のコマンドを実行して、AMD Milan または AMD Genoa のサポートを確認します。
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
AMD SEV-SNP は、AMD Milan CPU プラットフォームを搭載した N2D マシンタイプで、次のゾーンでサポートされています。
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
インテル TDX
Intel TDX は、c3-standard-*
マシンタイプで次のゾーンでサポートされています。
asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
us-west1-a
us-west1-b
オペレーティング システム
使用可能な Confidential VM オペレーティング システム イメージについては、オペレーティング システムの詳細をご覧ください。目的のディストリビューションを見つけて、[セキュリティ機能] タブをクリックし、Confidential VM がサポートされているかどうかを確認します。
または、gcloud
コマンドを使用してサポートされているオペレーティング システム イメージを表示することも、独自の Linux イメージを作成することもできます。
gcloud を使用してサポートされているオペレーティング システム イメージを表示する
使用できるオペレーティング システム イメージは、選択した Confidential Computing テクノロジーによって決まります。
AMD Confidential Computing テクノロジーをサポートするオペレーティング システム イメージ、そのイメージ ファミリー、バージョンを一覧表示するには、次のコマンドを実行します。
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
次の値を指定します。
OS_FEATURE
: 必要な Confidential Computing のサポートのタイプ。次の値が利用できます。
SEV_CAPABLE
: AMD SEV をサポートするオペレーティング システム。SEV_LIVE_MIGRATABLE_V2
: AMD SEV とライブ移行をサポートするオペレーティング システム。SEV_SNP_CAPABLE
: AMD SEV-SNP の分離と構成証明をサポートするオペレーティング システム。TDX_CAPABLE
: インテル TDX の分離と構成証明をサポートするオペレーティング システム。
結果を特定のイメージファミリー、プロジェクト、または前のコマンドのレスポンスで指定された他のテキストに制限するには、AND
演算子を使用し、STRING を部分的なテキスト一致に置き換えます。次に例を示します。
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
特定のイメージの詳細を表示するには、前のコマンドのレスポンスの詳細を使用して次のコマンドを実行します。
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
次のステップ
Confidential VM インスタンスを作成する方法を確認する。