Dataproc 机密计算

您可以创建使用 Compute Engine 机密虚拟机来提供内嵌内存加密的 Dataproc 集群。机密虚拟机使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。

创建具有机密虚拟机的集群

gcloud 命令

如需创建使用机密虚拟机的 Dataproc 集群,请使用带有 --confidential-compute 标志的 gcloud dataproc clusters create 命令。

要求:

  • 主实例和工作器实例必须使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。
  • 集群必须使用受支持的 Ubuntu 映像之一。
  • 必须在支持机密虚拟机使用的 MD EPYC Rome CPU(N2D 机器类型)的地区和 Compute Engine区域中创建(请参阅可用的地区和区域中的 CPU 列)。您可以运行以下命令,列出 Compute Engine 区域支持的 CPU:
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
      
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

REST API

如需创建使用机密虚拟机的 Dataproc 集群,请将 ConfidentialInstanceConfig 包括为 clusters.create 请求的一部分。将 enableConfidentialCompute 设置为 true

要求:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri,secondaryWorkerConfig.machineTypeUri:(如果适用)主实例和工作器实例必须使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。
  • softwareConfig.imageVersion: 集群必须使用受支持的 Ubuntu 映像之一。
  • gceClusterConfig.zoneUri: 集群必须在支持机密虚拟机使用的 N2D AMD EPYC Rome CPU 的 Compute Engine 区域中创建(请参阅可用的地区和区域中的 CPU列)。您可以运行以下命令,列出 Compute Engine 区域支持的 CPU:
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"