컨피덴셜 VM 인스턴스를 만들려면 다음 속성이 있는 가상 머신이 필요합니다.
자체 컨피덴셜 VM 인스턴스를 수동으로 구성하거나Google Cloud 콘솔에서 컨피덴셜 VM 서비스를 사용 설정할 때 추천 설정을 수락할 수 있습니다.
제한사항
Confidential VM 인스턴스를 구성한 방법에 따라 다음과 같은 제한사항이 적용됩니다.
모든 컨피덴셜 VM 인스턴스
컨피덴셜 VM을 사용 설정하려면 새 VM 인스턴스를 만들어야 합니다. 기존 인스턴스는 컨피덴셜 VM 인스턴스로 변환할 수 없습니다.
컨피덴셜 VM 인스턴스에는 디스크용 NVME 인터페이스가 필요합니다. SCSI는 지원되지 않습니다.
5.10 미만의 Linux 커널 버전에서는 새 디스크만 XFS로 포맷할 수 있습니다. 기존 디스크를 XFS로 포맷하려면 커널 버전 5.10 이상이 필요합니다.
컨피덴셜 VM 인스턴스에 40개를 초과하는 디스크를 연결할 수 없습니다. 디스크가 40개를 초과하는 인스턴스는 아무 표시 없이 실패할 수 있지만 지원 채널을 통해 예외를 요청할 수 있습니다.
부팅 시간은 인스턴스에 할당된 메모리 양에 비례합니다. 대용량 메모리를 사용하는 컨피덴셜 VM 인스턴스는 부팅 시간이 오래 걸릴 수 있습니다.
컨피덴셜 VM 인스턴스에서는 비 컨피덴셜 VM 인스턴스보다 SSH 연결을 설정하는 데 시간이 더 오래 걸립니다.
라이브 마이그레이션은 AMD SEV를 실행하는 AMD EPYC Milan CPU 플랫폼이 있는 N2D 머신 유형에서만 지원됩니다.
AMD SEV
Debian 12에는
/dev/sev-guest패키지가 없으므로 AMD SEV에 대한 증명 지원이 없습니다.C2D 및 N2D 머신 유형의 AMD SEV는 최대 vNIC 큐 수가
8입니다.C3D 머신 유형의 AMD SEV에는 다음과 같은 제한사항이 있습니다.
C3D 머신 유형을 사용하는 컨피덴셜 VM 인스턴스는 VM당 Tier_1 네트워킹 성능이 사용 설정되어 있더라도 비밀이 아닌 이와 동등한 VM보다 네트워크 대역폭이 낮을 수 있습니다.
vCPU가 180개를 초과하는 VM은 지원되지 않습니다.
SEV_CAPABLE태그가 지정된 다음 이미지는 vCPU가 8개를 초과하는 C3D 머신에서 AMD SEV와 함께 작동하지 않습니다.rhel-8-4-sap-hasles-15-sp2-sap
이러한 이미지에는 대규모 네트워킹 대기열을 위해 SWIOTLB 버퍼의 크기를 늘리는 필수 패치가 누락되어 있습니다.
AMD SEV-SNP
Debian 12에는
/dev/sev-guest패키지가 없으므로 AMD SEV-SNP에 대한 증명 지원이 없습니다.N2D 머신 유형의 AMD SEV-SNP는 최대 vNIC 큐 수가
8입니다.VM 인스턴스는
kdump를 지원하지 않습니다. 대신 게스트 콘솔 로그를 사용하세요.
Intel TDX
로컬 SSD 머신 유형은 지원되지 않습니다.
VM 인스턴스는 표준 VM 인스턴스보다 종료하는 데 시간이 더 오래 걸립니다. 이 지연 시간은 VM 메모리 크기에 따라 증가합니다.
NVMe 인터페이스를 사용하는 균형 잡힌 영구 디스크 볼륨만 지원됩니다.
VM 인스턴스에서는 비기밀 VM 인스턴스보다 네트워크 대역폭이 낮고 지연 시간이 길 수 있습니다.
단독 테넌트 노드 그룹에는 VM 인스턴스를 프로비저닝할 수 없습니다.
추가 보안 제약조건으로 인해 CPUID 명령어는 제한된 CPU 아키텍처 세부정보를 반환하거나 아예 반환하지 않을 수 있습니다. 이로 인해 이러한 CPUID 값에 종속된 워크로드의 성능이 영향을 받을 수 있습니다.
VM 인스턴스는
kdump를 지원하지 않습니다. 대신 게스트 콘솔 로그를 사용하세요.
머신 유형, CPU, 영역
컨피덴셜 VM은 다음 머신 유형 및 구성에서 지원됩니다.
| 머신 유형 | CPU 플랫폼 | 컨피덴셜 컴퓨팅 기술 | 라이브 마이그레이션 지원 |
|---|---|---|---|
|
C2D |
|
|
지원되지 않음 |
|
|
|
|
지원되지 않음 |
|
C3D |
|
|
지원되지 않음 |
|
N2D |
|
|
Milan의 AMD SEV VM만 해당 |
지원되는 영역 보기
다음 방법 중 하나를 사용하여 이러한 머신 유형과 컨피덴셜 컴퓨팅 기술을 지원하는 영역을 확인할 수 있습니다.
AMD SEV
참조 표
컨피덴셜 VM에서 SEV를 지원하는 영역을 보려면 다음 단계를 완료하세요.
사용 가능한 리전 및 영역으로 이동합니다.
머신 유형 선택을 클릭한 다음 N2D, C2D, C3D를 선택합니다.
CPU 선택을 클릭한 다음 AMD EPYC Milan 및 AMD EPYC Genoa를 선택합니다.
gcloud
Google Cloud에서 사용 가능한 영역을 나열하려면 다음 명령어를 실행합니다.
gcloud compute zones list \
--format="value(NAME)"
특정 영역에서 사용 가능한 CPU 플랫폼을 나열하려면 다음 명령어를 실행하고 AMD Milan 또는 AMD Genoa 지원 여부를 확인합니다.
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
AMD SEV-SNP는 AMD Milan CPU 플랫폼이 있는 N2D 머신 유형에서 다음 영역에서 지원됩니다.
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
Intel TDX
Intel TDX는 c3-standard-* 머신 유형에서 다음 영역에서 지원됩니다.
asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
us-west1-a
us-west1-b
운영체제
사용 가능한 컨피덴셜 VM 운영체제 이미지는 운영체제 세부정보를 참고하세요. 원하는 배포를 찾은 다음 보안 기능 탭을 클릭하여 Confidential VM이 지원되는지 확인합니다.
또는 gcloud 명령어로 지원되는 운영체제 이미지를 확인하거나 자체 Linux 이미지를 만들 수 있습니다.
gcloud로 지원되는 운영체제 이미지 보기
사용할 수 있는 운영체제 이미지는 비밀 컴퓨팅 기술 선택에 따라 결정됩니다.
다음 명령어를 실행하여 AMD 컨피덴셜 컴퓨팅 기술을 지원하는 운영체제 이미지, 이미지 계열, 버전을 나열할 수 있습니다.
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
다음 값을 제공합니다.
OS_FEATURE: 원하는 컨피덴셜 컴퓨팅 지원 유형입니다. 허용되는 값은 다음과 같습니다.
SEV_CAPABLE: AMD SEV를 지원하는 운영체제입니다.SEV_LIVE_MIGRATABLE_V2: AMD SEV 및 실시간 이전을 지원하는 운영체제입니다.SEV_SNP_CAPABLE: AMD SEV-SNP 격리 및 증명을 지원하는 운영체제입니다.TDX_CAPABLE: Intel TDX 격리 및 증명을 지원하는 운영체제입니다.
결과를 이전 명령어의 응답에 제공된 특정 이미지 패밀리, 프로젝트 또는 기타 텍스트로 제한하려면 AND 연산자를 사용하고 STRING를 다음 예와 같이 부분 텍스트 일치로 대체합니다.
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
특정 이미지에 대한 세부정보를 보려면 이전 명령어의 응답에 포함된 세부정보를 사용하여 다음 명령어를 실행합니다.
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
다음 단계
컨피덴셜 VM 인스턴스를 만드는 방법을 알아보세요.