Computação confidencial do Dataproc

É possível criar um cluster do Dataproc que use VMs confidenciais do Compute Engine para fornecer criptografia de memória in-line. As VMs confidenciais usam o tipo de máquina N2D, com Virtualização criptografada segura AMD (SEV, na sigla em inglês).

Criar um cluster com VMs confidenciais

Comando gcloud

Para criar um cluster do Dataproc que utilize VMs confidenciais, use o comando gcloud dataproc clusters create com a sinalização --confidential-compute.

Requisitos:

  • As instâncias de worker e mestre precisam usar o tipo de máquina N2D com Virtualização criptografada segura AMD (SEV, na sigla em inglês).
  • O cluster precisa usar uma das das imagens que tenham suporte do Ubuntu.
  • O cluster precisa ser criado em uma região e zona do Compute Engine que ofereça suporte à CPU AMD EPYC Rome (tipo de máquina N2D) usada por VMs confidenciais. Veja a coluna sobre CPUs em Regiões e zonas disponíveis. Execute o seguinte comando para listar as CPUs que tenham suporte em uma zona do Compute Engine:
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
          
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

API REST

Para criar um cluster do Dataproc que use VMs confidenciais, inclua ConfidentialInstanceConfig como parte de uma solicitação clusters.create. Defina enableConfidentialCompute como true.

Requisitos:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri, e, se aplicável, secondaryWorkerConfig.machineTypeUri: As instâncias mestre e de trabalho precisam usar o tipo de máquina N2D com Virtualização criptografada segura AMD (SEV, na sigla em inglês).
  • softwareConfig.imageVersion: O cluster precisa usar uma das imagens que tenham suporte do Ubuntu.
  • gceClusterConfig.zoneUri: O cluster precisa ser criado em uma zona do Compute Engine que dê suporte a CPU N2D AMD EPYC Rome usado por VMs confidenciais. Veja a coluna sobre CPUs em Regiões e zonas disponíveis. Execute o seguinte comando para listar as CPUs que tenham suporte em uma zona do Compute Engine:
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"