Dataproc Confidential Compute

Sie können einen Dataproc-Cluster erstellen, der Compute Engine-Confidential VMs verwendet, um eine Inline-Speicherverschlüsselung bereitzustellen. Confidential VMs verwenden den N2D-Maschinentyp (mit AMD Secure Encrypted Virtualization (SEV).

Cluster mit Confidential VMs erstellen

gcloud-Befehl

Verwenden Sie zum Erstellen eines Dataproc-Clusters, der Confidential VMs verwendet, den Befehl gcloud dataproc clusters create mit dem Flag --confidential-compute.

Voraussetzungen:

  • Die Master- und Worker-Instanzen müssen den N2D-Maschinentyp verwenden (mit AMD Secure Encrypted Virtualization (SEV)).
  • Der Cluster muss eines der unterstützten Ubuntu-Images verwenden.
  • Der Cluster muss in einer Region und einer Compute Engine-Zone erstellt werden, die denAMD EPYC Rome CPU-N2D-Maschinentyp unterstützt, der von vertraulichen VMs verwendet wird (siehe Spalte CPUs unter Verfügbare Regionen und Zonen). Mit dem folgenden Befehl können Sie die CPUs auflisten, die in einer Compute Engine-Zone unterstützt werden: 
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
      
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

REST API

Fügen Sie die ConfidentialInstanceConfig als Teil einer clusters.create-Anfrage hinzu, um einen Dataproc-Cluster zu erstellen, der Confidential VMs verwendet. Legen Sie enableConfidentialCompute auf true fest.

Voraussetzungen:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri, und gegebenenfalls secondaryWorkerConfig.machineTypeUri:-Master- und Worker-Instanzen müssen den N2D-Maschinentyp verwenden (mit AMD Secure Encrypted Virtualization (SEV))
  • softwareConfig.imageVersion: Der Cluster muss eines der unterstützten Ubuntu-Images verwenden.
  • gceClusterConfig.zoneUri: Der Cluster muss in einer Compute Engine-Zone erstellt werden, die die von vertraulichen VMs verwendete N2D-AMD EPYC Rome-CPU unterstützt (siehe Spalte CPUs). unter Verfügbare Regionen und Zonen. Mit dem folgenden Befehl können Sie die CPUs auflisten, die in einer Compute Engine-Zone unterstützt werden: 
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"