您可以根據自己的自訂 Linux 映像檔建立機密 VM 執行個體。這與為 Compute Engine 建立自訂 Linux 映像檔的程序相同,但有額外要求。
機密 VM 自訂映像檔需求
為機密 VM 執行個體建立自訂映像檔時,請務必遵守下列規定。
Linux 核心詳細資料
AMD SEV 和 SEV-SNP
機密 VM 的最低核心版本取決於您需要的技術。
如要使用 SEV,請使用 5.11 以上的核心版本。
如要使用 SEV 搭配即時遷移功能,請使用 6.6 以上的 Kernel 版本。如要使用長期支援 (LTS) 核心,請使用 6.1 LTS 以上版本。
如為 SEV-SNP,請使用 6.1LTS 以上版本。
此外,請確認已啟用下列核心選項:
CONFIG_AMD_MEM_ENCRYPTCONFIG_GVECONFIG_NET_VENDOR_GOOGLECONFIG_PCI_MSICONFIG_SWIOTLB
如需使用舊版核心,您可能需要額外安裝裝置驅動程式。
Intel TDX
如要支援 Intel TDX,請使用核心 6.6 以上版本。
如需瞭解如何將 TDX 支援功能新增至核心,請參閱設定 TDX 主機和訪客的說明。
此外,請確認已啟用下列核心選項:
CONFIG_GVECONFIG_NET_VENDOR_GOOGLECONFIG_PCI_MSICONFIG_SWIOTLB
Google 虛擬網路介面控制器 (gVNIC) 裝置驅動程式
使用 1.01 以上版本的 gVNIC 驅動程式。如需其他操作說明,請參閱「使用 Google Virtual NIC」。
NVMe 介面
永久磁碟和連結的 SSD 必須在客體作業系統開機時提供 NVMe 介面。
核心和 initramfs 映像檔 (如使用) 必須包含 NVMe 驅動程式模組,才能掛接根目錄。
作業系統功能標記
建立機密 VM 執行個體時,映像檔必須具備下列其中一個訪客 OS 功能標記,視使用的機密運算技術而定:
SEV_CAPABLESEV_LIVE_MIGRATABLE_V2SEV_SNP_CAPABLETDX_CAPABALE
此外,也請加入下列作業系統功能標記:
GVNICUEFI_COMPATIBLEVIRTIO_SCSI_MULTIQUEUE
如要瞭解如何使用 --guest-os-features 標記新增標記,請參閱「啟用自訂映像檔上的訪客作業系統功能」。
後續步驟
進一步瞭解如何使用作業系統映像檔,為 Compute Engine 執行個體建立開機磁碟。