Konfigurasi yang didukung

Untuk membuat instance Confidential VM, Anda memerlukan virtual machine yang memiliki properti berikut:

Anda dapat mengonfigurasi instance Confidential VM sendiri secara manual, atau menerima setelan yang disarankan saat mengaktifkan layanan Confidential VM di konsolGoogle Cloud .

Batasan

Batasan berikut berlaku bergantung pada cara Anda mengonfigurasi instance VM Rahasia.

Semua instance Confidential VM

  • Anda harus membuat instance VM baru untuk mengaktifkan Confidential VM. Instance yang ada tidak dapat dikonversi menjadi instance Confidential VM.

  • Anda tidak dapat memasang TPU ke instance Confidential VM.

  • Instance Confidential VM memerlukan antarmuka NVME untuk disk. SCSI tidak didukung.

  • Hanya disk baru yang dapat diformat ke XFS pada versi kernel Linux yang lebih lama dari 5.10. Untuk memformat disk yang ada ke XFS, Anda memerlukan kernel versi 5.10 atau yang lebih baru.

  • Anda tidak dapat memasang lebih dari 40 disk ke instance Confidential VM. Anda dapat meminta pengecualian melalui saluran dukungan, meskipun instance dengan lebih dari 40 disk mungkin gagal tanpa ada peringatan.

  • Waktu booting sebanding dengan jumlah memori yang ditetapkan ke instance. Anda mungkin melihat waktu booting yang lebih lama untuk instance Confidential VM dengan jumlah memori yang besar.

  • Membuat koneksi SSH memerlukan waktu lebih lama pada instance Confidential VM dibandingkan dengan instance VM non-Confidential.

  • Migrasi langsung hanya didukung pada jenis mesin N2D dengan platform CPU AMD EPYC Milan yang menjalankan AMD SEV.

  • Instance Confidential VM mungkin mengalami bandwidth jaringan yang lebih rendah dan latensi yang lebih tinggi dibandingkan dengan instance VM non-Confidential.

AMD SEV

  • Debian 12 tidak memiliki dukungan pengesahan untuk AMD SEV karena paket /dev/sev-guest tidak ada.

  • AMD SEV pada jenis mesin C2D dan N2D memiliki jumlah antrean vNIC maksimum sebesar 8.

  • Jenis mesin N2D dengan AMD SEV dan Hyperdisk Throughput memiliki ukuran transfer data maksimum (MDTS) yang dibatasi. Agar permintaan baca-di muka tidak melebihi batas ini, tetapkan read_ahead_kb ke 124 KiB saat menggunakan I/O yang di-buffer.

* AMD SEV pada jenis mesin C4D dan C3D memiliki batasan berikut:

  • Instance Confidential VM yang menggunakan jenis mesin C4D dan C3D mungkin mengalami bandwidth jaringan yang lebih rendah daripada VM non-rahasia yang setara, meskipun dengan performa jaringan per VM Tier_1 yang diaktifkan.

  • VM dengan lebih dari 255 vCPU dan instance bare metal tidak didukung.

  • Image rhel-8-4-sap-ha yang diberi tag SEV_CAPABLE tidak berfungsi dengan AMD SEV di mesin C4D dan C3D dengan lebih dari 8 vCPU. Gambar ini tidak memiliki patch yang diperlukan untuk meningkatkan ukuran buffer SWIOTLB bagi antrean jaringan tinggi.

  • Instance Confidential VM dengan AMD SEV pada jenis mesin C3D tidak mendukung Hyperdisk Balanced dan Hyperdisk Throughput.

AMD SEV-SNP

  • Debian 12 tidak memiliki dukungan pengesahan untuk AMD SEV-SNP karena paket /dev/sev-guest tidak ada.

  • AMD SEV-SNP pada jenis mesin N2D memiliki jumlah antrean vNIC maksimum sebesar 8.

  • Instance VM tidak mendukung kdump. Sebagai gantinya, gunakan log konsol tamu.

  • Instance Confidential VM dengan AMD SEV-SNP tidak mendukung reservasi.

Intel TDX

  • Jenis mesin SSD lokal tidak didukung.

  • Instance VM memerlukan waktu lebih lama untuk dimatikan dibandingkan dengan instance VM standar. Penundaan ini meningkat seiring dengan ukuran memori VM.

  • Hanya volume Persistent Disk Seimbang yang menggunakan antarmuka NVMe yang didukung.

  • Instance VM tidak dapat disediakan di grup node tenant tunggal.

  • Karena batasan keamanan tambahan, instruksi CPUID mungkin menampilkan detail arsitektur CPU yang terbatas atau tidak ada. Hal ini dapat memengaruhi performa beban kerja yang bergantung pada nilai CPUID tersebut.

  • Instance VM tidak mendukung kdump. Sebagai gantinya, gunakan log konsol tamu.

  • Gambar tamu tanpa perbaikan penghentian TDX mungkin mengalami durasi penghentian yang lebih lama, sehingga menyebabkan penurunan performa. Untuk menghindari penurunan performa, pastikan patch ini ada di build kernel tamu Anda.

  • Instance Confidential VM dengan Intel TDX tidak mendukung reservasi.

NVIDIA Confidential Computing

Instance Confidential VM pada seri mesin A3 memiliki batasan berikut:

  • Instance VM tidak mendukung pembuatan cluster untuk workload multi-node.

  • Instance VM hanya mendukung Persistent Disk Seimbang (pd-balanced) dan Persistent Disk SSD (performa) (pd-ssd).

  • Semua batasan seri mesin A3 berlaku untuk instance Confidential VM dengan GPU NVIDIA H100.

  • Instance Confidential VM dengan GPU NVIDIA H100 tidak mendukung reservasi.

Jenis mesin, CPU, dan zona

Confidential VM didukung di jenis dan konfigurasi mesin berikut.

Jenis mesin CPU platform Teknologi Confidential Computing Dukungan migrasi langsung Dukungan GPU

a3-highgpu-1g (Pratinjau)

Melihat nama jenis mesin

  • Intel Sapphire Rapids
  • Intel TDX
  • NVIDIA
 Tidak didukung Didukung

C4D

Melihat nama jenis mesin

  • AMD EPYC Turin
  • AMD SEV
 Tidak didukung Tidak didukung

c3-standard-*

Melihat nama jenis mesin

  • Intel Sapphire Rapids
  • Intel TDX
 Tidak didukung Tidak didukung

C3D

Melihat nama jenis mesin

  • AMD EPYC Genoa
  • AMD SEV
 Tidak didukung Tidak didukung

C2D

Melihat nama jenis mesin

  • AMD EPYC Milan
  • AMD SEV
 Tidak didukung Tidak didukung

N2D

Melihat nama jenis mesin

  • AMD EPYC Milan
  • AMD EPYC Rome (tidak digunakan lagi)
  • AMD SEV di Milan dan Rome
  • AMD SEV-SNP hanya di Milan
 VM AMD SEV hanya di Milan Tidak didukung

Melihat zona yang didukung

Anda dapat melihat zona yang mendukung jenis mesin ini dan teknologi Confidential Computing dengan salah satu metode berikut.

AMD SEV

Tabel referensi

Untuk melihat zona mana yang mendukung SEV di Confidential VM, selesaikan langkah-langkah berikut.

  1. Buka Region dan zona yang tersedia.

  2. Klik Pilih jenis mesin, lalu pilih N2D, C2D, C3D, dan C4D.

  3. Klik Pilih CPU, lalu pilih AMD EPYC Milan, AMD EPYC Genoa, atau AMD EPYC Turin.

gcloud

Untuk mencantumkan zona yang tersedia di Google Cloud, jalankan perintah berikut:

gcloud compute zones list \
    --format="value(NAME)"

Untuk mencantumkan platform CPU yang tersedia untuk zona tertentu, jalankan perintah berikut dan periksa dukungan AMD Milan, AMD Genoa, atau AMD Turin:

gcloud compute zones describe ZONE_NAME \
    --format="value(availableCpuPlatforms)"

AMD SEV-SNP

AMD SEV-SNP didukung di zona berikut, pada jenis mesin N2D dengan platform CPU AMD Milan:

  • asia-southeast1-a

  • asia-southeast1-b

  • asia-southeast1-c

  • europe-west3-a

  • europe-west3-b

  • europe-west3-c

  • europe-west4-a

  • europe-west4-b

  • europe-west4-c

  • us-central1-a

  • us-central1-b

  • us-central1-c

Intel TDX

Intel TDX didukung di zona berikut, pada jenis mesin c3-standard-*.

  • asia-northeast1-b

  • asia-south1-b

  • asia-southeast1-a

  • asia-southeast1-b

  • asia-southeast1-c

  • europe-west4-a

  • europe-west4-b

  • europe-west4-c

  • europe-west9-a

  • europe-west9-b

  • us-central1-a

  • us-central1-b

  • us-central1-c

  • us-east1-c

  • us-east1-d

  • us-east5-b

  • us-east5-c

  • us-west1-a

  • us-west1-b

NVIDIA Confidential Computing

NVIDIA Confidential Computing didukung di zona berikut, pada instance VM Confidential dengan GPU yang terpasang pada jenis mesin a3-highgpu-1g.

  • europe-west4-c

  • us-central1-a

  • us-east5-a

Sistem operasi

Untuk image sistem operasi Confidential VM yang tersedia, lihat Detail sistem operasi. Temukan distribusi pilihan Anda, lalu klik tab Fitur keamanan untuk memeriksa apakah Confidential VM didukung.

Atau, Anda dapat melihat image sistem operasi yang didukung dengan perintah gcloud, atau membuat image Linux Anda sendiri.

Melihat image sistem operasi yang didukung dengan gcloud

Image sistem operasi yang dapat Anda gunakan ditentukan oleh pilihan teknologi Confidential Computing Anda.

Anda dapat mencantumkan image sistem operasi, kelompok image, dan versi yang mendukung teknologi AMD dan Intel Confidential Computing dengan menjalankan perintah berikut:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE)"

Berikan nilai berikut:

OS_FEATURE: Jenis dukungan Confidential Computing yang Anda inginkan. Nilai yang diterima adalah:

  • SEV_CAPABLE: Sistem operasi yang mendukung AMD SEV.

  • SEV_LIVE_MIGRATABLE_V2: Sistem operasi yang mendukung AMD SEV dan migrasi langsung.

  • SEV_SNP_CAPABLE: Sistem operasi yang mendukung isolasi dan pengesahan AMD SEV-SNP.

  • TDX_CAPABLE: Sistem operasi yang mendukung isolasi dan pengesahan Intel TDX.

Untuk membatasi hasil pada kelompok gambar, project, atau teks lain tertentu yang diberikan dalam respons perintah sebelumnya, gunakan operator AND, dan ganti STRING dengan kecocokan teks parsial, mirip dengan contoh berikut:

gcloud compute images list \
    --filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"

Untuk melihat detail tentang image tertentu, jalankan perintah berikut menggunakan detail dari respons perintah sebelumnya:

gcloud compute images describe IMAGE_NAME \
    --project=IMAGE_PROJECT

Image yang didukung untuk instance Confidential VM dengan GPU

Untuk instance Confidential VM pada seri mesin A3, yang menggunakan Intel TDX dan memiliki GPU H100 yang terpasang, sebaiknya gunakan kelompok image sistem operasi berikut.

  • ubuntu-2204-lts

  • cos-tdx-113-lts

Meskipun gambar lain mungkin ditandai sebagai TDX_CAPABLE, kami tidak memberikan dukungan resmi untuk gambar tersebut.

Langkah berikutnya