Computación confidencial de Dataproc

Puedes crear un clúster de Dataproc que use máquinas virtuales confidenciales de Compute Engine para proporcionar el cifrado de memoria insertado. Las máquinas virtuales confidenciales usan el tipo de máquina N2D (con AMD Secure Encrypted Virtualization [SEV]).

Crear un clúster con VMs confidenciales

Comando gcloud

Para crear un clúster de Dataproc que use máquinas virtuales confidenciales, usa el comando gcloud dataproc clusters create con la marca --confidential-compute.

Requisitos:

  • Las instancias maestras y de trabajador deben usar el tipo de máquina N2D (con AMD Secure Encrypted Virtualization [SEV]).
  • El clúster debe usar una de las imágenes de Ubuntu admitidas.
  • El clúster se debe crear en una región y una zona de Compute Engine que admitan la CPU AMD EPYC Rome (tipo de máquina N2D) que usan las VMs confidenciales (consulta la columna CPUs en Regiones y zonas disponibles). Puedes ejecutar el siguiente comando para enumerar las CPUs admitidas en una zona de Compute Engine: 
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
      
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

API REST

Para crear un clúster de Dataproc que use máquinas virtuales confidenciales, incluye ConfidentialInstanceConfig como parte de una solicitud clusters.create. Asigna el valor true a enableConfidentialCompute.

Requisitos:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri, y, si procede, secondaryWorkerConfig.machineTypeUri: las instancias de máquina maestra y de trabajador deben usar el tipo de máquina N2D (con AMD Secure Encrypted Virtualization [SEV]).
  • softwareConfig.imageVersion: El clúster debe usar una de las imágenes de Ubuntu admitidas.
  • gceClusterConfig.zoneUri: El clúster debe crearse en una zona de Compute Engine que admita la CPU AMD EPYC Rome N2D que usan las VMs confidenciales (consulta la columna CPUs en Regiones y zonas disponibles). Puedes ejecutar el siguiente comando para enumerar las CPUs admitidas en una zona de Compute Engine: 
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"