您可以创建使用 Compute Engine 机密虚拟机来提供内嵌内存加密的 Dataproc 集群。机密虚拟机使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。
创建具有机密虚拟机的集群
gcloud 命令
如需创建使用机密虚拟机的 Dataproc 集群,请使用带有 --confidential-compute 标志的 gcloud dataproc clusters create 命令。
要求:
- 主实例和工作器实例必须使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。
- 集群必须使用受支持的 Ubuntu 映像之一。
- 必须在支持机密虚拟机使用的 MD EPYC Rome CPU(N2D 机器类型)的地区和 Compute Engine区域中创建(请参阅可用的地区和区域中的 CPU 列)。您可以运行以下命令,列出 Compute Engine 区域支持的 CPU:
gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
gcloud dataproc clusters create cluster-name \ --confidential-compute \ --image-version=Ubuntu image version \ --region=region with zone that supports the AMD EPYC Rome CPU \ --zone=zone within the region that supports the AMD EPYC Rome CPU \ --master-machine-type=N2D machine type \ --worker-machine-type=N2D machine type" \ other args ...
REST API
如需创建使用机密虚拟机的 Dataproc 集群,请将 ConfidentialInstanceConfig 包括为 clusters.create 请求的一部分。将 enableConfidentialCompute 设置为 true。
要求:
masterConfig.machineTypeUrimasterConfig.machineTypeUri,和secondaryWorkerConfig.machineTypeUri:(如果适用)主实例和工作器实例必须使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。softwareConfig.imageVersion:集群必须使用受支持的 Ubuntu 映像之一。gceClusterConfig.zoneUri:集群必须在支持机密虚拟机使用的 N2D AMD EPYC Rome CPU 的 Compute Engine 区域中创建(请参阅可用的地区和区域中的 CPU列)。您可以运行以下命令,列出 Compute Engine 区域支持的 CPU:gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"