Informatique confidentielle de Dataproc

Vous pouvez créer un cluster Dataproc qui utilise des Confidential VMs Compute Engine pour fournir un chiffrement de la mémoire intégrée. Les Confidential VMs utilisent le type de machine N2D (avec la norme AMD SEV, Secure Encrypted Virtualization).

Créer un cluster avec des Confidential VMs

Commande gcloud

Pour créer un cluster Dataproc qui utilise des Confidential VMs, utilisez la commande gcloud dataproc clusters create avec l'option --confidential-compute.

Conditions requises :

  • Les instances maîtres et de nœud de calcul doivent utiliser le type de machine N2D avec AMD SEV (Secure Encrypted Virtualization).
  • le cluster doit utiliser l'une des images Ubuntu compatibles.
  • Le cluster doit être créé dans une région et une zone Compute Engine compatibles avec le processeur AMD EPYC Rome (type de machine N2D) utilisé par les Confidential VMs (consultez la colonne Processeurs dans la section Régions et zones disponibles). Vous pouvez exécuter la commande suivante pour répertorier les processeurs compatibles dans une zone Compute Engine : 
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
      
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

API REST

Pour créer un cluster Dataproc qui utilise des Confidential VMs, incluez ConfidentialInstanceConfig dans la requête clusters.create. Définissez enableConfidentialCompute sur true.

Conditions requises :

  • masterConfig.machineTypeUri, masterConfig.machineTypeUri, et, le cas échéant, secondaryWorkerConfig.machineTypeUri: les instances maîtres et de nœud de calcul doivent utiliser le type de machine N2D avec AMD SEV (Secure Encrypted Virtualization).
  • softwareConfig.imageVersion: le cluster doit utiliser l'une des images Ubuntu compatibles.
  • gceClusterConfig.zoneUri: le cluster doit être créé dans une zone Compute Engine compatible avec le processeur N2D AMD EPYC Rome utilisé par les Confidential VMs (consultez la colonne Processeurs dans la section régions et zones disponibles). Vous pouvez exécuter la commande suivante pour répertorier les processeurs compatibles dans une zone Compute Engine : 
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"