Computação confidencial do Dataproc

É possível criar um cluster do Dataproc que use VMs confidenciais do Compute Engine para fornecer criptografia de memória in-line. VMs confidenciais usam o tipo de máquina N2D (com virtualização virtualizada AMD (SEV, na sigla em inglês).

Criar um cluster com VMs confidenciais

Comando gcloud

Para criar um cluster do Dataproc que use VMs confidenciais, use o comando gcloud dataproc clusters create com a sinalização --confidential-compute.

Requisitos:

  • As instâncias de mestre e de trabalho precisam usar o tipo de máquina N2D (com A virtualização criptografada com AMD (SEV, na sigla em inglês)).
  • O cluster precisa usar uma das imagens do Ubuntu compatíveis.
  • O cluster precisa ser criado em uma região e zona do Compute Engine compatíveis com oAMD EPYC Rome CPU (tipo de máquina N2D) usada por VMs confidenciais (consulte aCPUs coluna emRegiões e zonas disponíveis . Execute o comando a seguir para listar as CPUs compatíveis com uma zona do Compute Engine:
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
          
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

API REST

Para criar um cluster do Dataproc que use VMs confidenciais, inclua o ConfidencialInstanceInstanceConfig como parte de uma solicitação clusters.create. Defina enableConfidentialCompute como true.

Requisitos:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri, e, se aplicável, as instâncias de mestre e worker secondaryWorkerConfig.machineTypeUri: precisam usar o tipo de máquina N2D ( com a Virtual Secure Encrypted Virtualization (SEV, na sigla em inglês).
  • softwareConfig.imageVersion: O cluster precisa usar uma das imagens compatíveis do Ubuntu.
  • gceClusterConfig.zoneUri: O cluster precisa ser criado em uma zona do Compute Engine compatível com a CPU AMD EPYC Rome usada por VMs confidenciais. Consulte as CPUs (em inglês) em Regiões e zonas disponíveis). Execute o comando a seguir para listar as CPUs compatíveis com uma zona do Compute Engine:
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"