Dataproc Confidential Compute

Puedes crear un clúster de Dataproc que use Confidential VMs de Compute Engine para proporcionar encriptación de memoria intercalada. Confidential VMs usan el tipo de máquina N2D (con virtualización encriptada segura [SEV] de AMD).

Crea un clúster con Confidential VMs

Comando de gcloud

Para crear un clúster de Dataproc que use VM confidenciales, usa el comando gcloud dataproc clusters create con la marca --confidencial-compute.

Requisitos:

  • Las instancias principales y de trabajador deben usar el tipo de máquina N2D (con virtualización segura encriptada [SEV] de AMD).
  • El clúster debe usar una de las imágenes de Ubuntu compatibles.
  • El clúster debe crearse en una región y una zona de Compute Engine que sea compatible con las CPU de AMD EPYC Rome (tipo de máquina N2D) que usan las Confidential VMs (Consulta la columna CPU en Regiones y zonas disponibles). Puedes ejecutar el siguiente comando para enumerar las CPU compatibles en una zona de Compute Engine:
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
          
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

API de REST

Para crear un clúster de Dataproc que use Confidential VMs, incluye ConfidentialInstanceConfig como parte de una solicitud clusters.create. Establece enableConfidentialCompute en true.

Requisitos:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri, y, si corresponde, las instancias principales y de trabajador de secondaryWorkerConfig.machineTypeUri: deben usar el tipo de máquina N2D (con la virtualización encriptada segura [SEV] de AMD).
  • softwareConfig.imageVersion: El clúster debe usar una de las imágenes de Ubuntu compatibles.
  • gceClusterConfig.zoneUri:El clúster debe crearse en una zona de Compute Engine que sea compatible con las CPU de AMD EPYC Rome de N2D que usan las Confidential VMs (Consulta la columna CPU en Regiones y zonas disponibles). Puedes ejecutar el siguiente comando para enumerar las CPU compatibles en una zona de Compute Engine:
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"