Dataproc Confidential Compute

Compute Engine Confidential VMs を使用してインライン メモリ暗号化を提供する Dataproc クラスタを作成できます。Confidential VMs は、N2D マシンタイプ(AMD Secure Encrypted Virtualization(SEV)機能を有する)を使用します。

Confidential VMs を含むクラスタを作成する

gcloud コマンド

Confidential VMs を使用する Dataproc クラスタを作成するには、--confidential-compute フラグを指定して gcloud dataproc clusters create コマンドを使用します。

要件:

  • マスター インスタンスとワーカー インスタンスは N2D マシンタイプ(AMD Secure Encrypted Virtualization(SEV)機能を有する)を使用する必要があります。
  • クラスタは、サポートされている Ubuntu イメージのいずれかを使用する必要があります。
  • クラスタは、Confidential VMs で使用される AMD EPYC Rome CPU(N2D マシンタイプ)をサポートするリージョンの Compute Engine ゾーンに作成する必要があります(使用可能なリージョンとゾーンCPU 列をご覧ください)。Compute Engine ゾーンでサポートされている CPU を一覧表示するには、次のコマンドを実行します。
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
          
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

REST API

Confidential VMs を使用する Dataproc クラスタを作成するには、clusters.create リクエストの一部として ConfidentialInstanceConfig を含めます。enableConfidentialComputetrue に設定します。

要件:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri, および(該当する場合)secondaryWorkerConfig.machineTypeUri: マスター インスタンスとワーカー インスタンスでは N2D マシンタイプ(AMD Secure Encrypted Virtualization(SEV)機能を有する)を使用する必要があります。
  • softwareConfig.imageVersion: クラスタでは、サポートされている Ubuntu イメージのいずれかを使用する必要があります。
  • gceClusterConfig.zoneUri: クラスタは、Confidential VMs で使用される N2D AMD EPYC Rome CPU をサポートする Compute Engine ゾーンに作成する必要があります(使用可能なリージョンとゾーンCPU 列をご覧ください)。Compute Engine ゾーンでサポートされている CPU を一覧表示するには、次のコマンドを実行します。
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"