如需创建机密虚拟机实例,您需要一个具有以下属性的虚拟机:
您可以手动配置自己的机密虚拟机实例,也可以在Google Cloud 控制台中启用机密虚拟机服务时接受建议的设置。
限制
以下限制适用于您配置的保密虚拟机实例。
所有机密虚拟机实例
您必须创建新的虚拟机实例才能启用机密虚拟机。现有实例无法转换为机密虚拟机实例。
您不能将 TPU 挂接到机密虚拟机实例。
机密虚拟机实例需要使用 NVME 接口来连接磁盘。不支持 SCSI。
在 Linux 内核版本低于 5.10 的情况下,只有新磁盘可以格式化为 XFS。如需将现有磁盘格式化为 XFS,您需要使用内核版本 5.10 或更高版本。
您不能将超过 40 个磁盘挂接到机密虚拟机实例。您可以通过支持渠道申请例外情况,但具有 40 个以上磁盘的实例可能会在失败时发不出任何提示。
启动时间与分配给实例的内存量成正比。您可能会注意到,具有大量内存的机密虚拟机实例启动时间较长。
在机密虚拟机实例上建立 SSH 连接所需的时间比在非机密虚拟机实例上长。
只有使用运行 AMD SEV 的 AMD EPYC Milan CPU 平台的 N2D 机器类型支持实时迁移。
与非机密虚拟机实例相比,机密虚拟机实例的网络带宽可能会更低,延迟时间可能会更长。
AMD SEV
由于缺少
/dev/sev-guest软件包,Debian 12 不支持 AMD SEV 的证明。C2D 和 N2D 机器类型上的 AMD SEV 的最大 vNIC 队列数量为
8。具有 AMD SEV 和 Hyperdisk Throughput 的 N2D 机器类型具有受限的最大数据传输大小 (MDTS)。为避免预读请求超出此限值,在使用缓冲 I/O 时,请将
read_ahead_kb设置为124KiB。
* C4D 和 C3D 机器类型上的 AMD SEV 具有以下限制:
使用 C4D 和 C3D 机器类型的机密虚拟机实例的网络带宽可能低于同等的非机密虚拟机,即使启用了每个虚拟机的 Tier_1 网络性能也是如此。
不支持具有 255 个以上 vCPU 的虚拟机和裸金属实例。
标记为
SEV_CAPABLE的rhel-8-4-sap-ha映像无法在具有 8 个以上 vCPU 的 C4D 和 C3D 机器上与 AMD SEV 搭配使用。此映像缺少必需的补丁,该补丁可增加高网络队列的 SWIOTLB 缓冲区大小。在 C3D 机器类型上,具有 AMD SEV 的机密虚拟机实例不支持 Hyperdisk Balanced 和 Hyperdisk Throughput。
AMD SEV-SNP
Intel TDX
不支持本地 SSD 机器类型。
与标准虚拟机实例相比,虚拟机实例需要更长时间才能关停。 此延迟会随着虚拟机内存大小的增加而增加。
仅支持使用 NVMe 接口的平衡永久性磁盘卷。
无法在单租户节点组上预配虚拟机实例。
由于额外的安全限制,CPUID 指令可能会返回有限的 CPU 架构详细信息,甚至不返回任何信息。这可能会影响依赖这些 CPUID 值的工作负载的性能。
虚拟机实例不支持
kdump。请改用 guest 控制台日志。没有 TDX 暂停修复的 guest 映像可能会出现长时间暂停,导致性能下降。为避免性能下降,请验证这些补丁是否包含在您的客机内核 build 中。
采用 Intel TDX 的机密虚拟机实例不支持预留。
NVIDIA 机密计算
A3 机器系列上的机密虚拟机实例具有以下限制:
机器类型、CPU 和可用区
机密虚拟机支持以下机器类型和配置。
| 机器类型 | CPU 平台 | 机密计算技术 | 实时迁移支持 | GPU 支持 |
|---|---|---|---|---|
|
|
|
|
不支持 | 支持 |
|
C4D |
|
|
不支持 | 不支持 |
|
|
|
|
不支持 | 不支持 |
|
C3D |
|
|
不支持 | 不支持 |
|
C2D |
|
|
不支持 | 不支持 |
|
N2D |
|
|
仅限 Milan 上的 AMD SEV 虚拟机 | 不支持 |
查看支持的可用区
您可以使用以下方法之一查看哪些可用区支持这些机器类型和机密计算技术。
AMD SEV
参考表
如需查看哪些可用区支持机密虚拟机上的 SEV,请完成以下步骤。
前往可用区域和可用区。
点击选择机器类型,然后选择 N2D、C2D、C3D 和 C4D。
点击选择 CPU,然后选择 AMD EPYC Milan、AMD EPYC Genoa 或 AMD EPYC Turin。
gcloud
如需列出 Google Cloud中的可用地区,请运行以下命令:
gcloud compute zones list \
--format="value(NAME)"
如需列出特定可用区的可用 CPU 平台,请运行以下命令并检查是否支持 AMD Milan、AMD Genoa 或 AMD Turin:
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
以下可用区支持 AMD SEV-SNP,但前提是 N2D 机器类型使用 AMD Milan CPU 平台:
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
Intel TDX
以下可用区支持 Intel TDX,但仅限 c3-standard-* 机器类型。
asia-northeast1-b
asia-south1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
europe-west9-a
europe-west9-b
us-central1-a
us-central1-b
us-central1-c
us-east1-c
us-east1-d
us-east5-b
us-east5-c
us-west1-a
us-west1-b
NVIDIA 机密计算
以下可用区支持 NVIDIA 机密计算,前提是机密虚拟机实例挂接了 GPU,且机器类型为 a3-highgpu-1g。
europe-west4-c
us-central1-a
us-east5-a
操作系统
如需了解可用的机密虚拟机操作系统映像,请参阅操作系统详细信息。找到您选择的发行版,然后点击安全功能标签页,查看是否支持 Confidential VM。
或者,您也可以使用 gcloud 命令查看支持的操作系统映像,或创建自己的 Linux 映像。
使用 gcloud 查看受支持的操作系统映像
您可以使用的操作系统映像取决于您选择的机密计算技术。
您可以运行以下命令,列出支持 AMD 和 Intel 机密计算技术的操作系统映像、映像系列和版本:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
请提供以下值:
OS_FEATURE:您需要的机密计算支持类型。接受的值包括:
SEV_CAPABLE:支持 AMD SEV 的操作系统。SEV_LIVE_MIGRATABLE_V2:支持 AMD SEV 和实时迁移的操作系统。SEV_SNP_CAPABLE:支持 AMD SEV-SNP 隔离和证明的操作系统。TDX_CAPABLE:支持 Intel TDX 隔离和证明的操作系统。
如需将结果限制为特定映像系列、项目或上一个命令的响应中提供的其他文本,请使用 AND 运算符,并将 STRING 替换为部分文本匹配项,如以下示例所示:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
如需查看有关特定映像的详细信息,请使用之前命令的响应中的详细信息运行以下命令:
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
支持使用 GPU 的机密虚拟机实例的映像
对于 A3 机器系列上使用 Intel TDX 且挂接了 H100 GPU 的机密虚拟机实例,我们建议使用以下操作系统映像系列。
ubuntu-2204-ltscos-tdx-113-lts
虽然其他图片可能带有 TDX_CAPABLE 标记,但我们不会为这些图片提供官方支持。
后续步骤
了解如何创建机密虚拟机实例。
了解如何创建具有 GPU 的机密虚拟机实例。