Dataproc 機密運算

您可以建立使用 Compute Engine 機密 VM 的 Dataproc 叢集,以提供內嵌記憶體加密。機密 VM 使用 N2D 機器類型 (搭配 AMD 安全加密虛擬化 (SEV))。

建立含有機密 VM 的叢集

gcloud 指令

如要建立使用機密 VM 的 Dataproc 叢集,請使用 gcloud dataproc clusters create 指令搭配 --confidential-compute 標記。

需求條件:

  • 主要和工作站執行個體必須使用 N2D 機器類型 (搭配 AMD 安全加密虛擬化 (SEV))。
  • 叢集必須使用支援的 Ubuntu 映像檔
  • 叢集必須在支援 AMD EPYC Rome CPU (N2D 機型) 的區域和 Compute Engine 可用區中建立,機密 VM 會使用這類 CPU (請參閱「可用區域和可用區」中的「CPU」欄)。您可以執行下列指令,列出 Compute Engine 區域支援的 CPU:
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
      
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Rome CPU \
    --zone=zone within the region that supports the AMD EPYC Rome CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

REST API

如要建立使用機密 VM 的 Dataproc 叢集,請在 clusters.create 要求中加入 ConfidentialInstanceConfig。將 enableConfidentialCompute 設為 true

需求條件:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri, 和 (如適用) secondaryWorkerConfig.machineTypeUri: 主要和工作站執行個體必須使用 N2D 機器類型 (搭配 AMD 安全加密虛擬化 (SEV))。
  • softwareConfig.imageVersion: 叢集必須使用支援的 Ubuntu 映像檔
  • gceClusterConfig.zoneUri: 叢集必須在支援 N2D AMD EPYC Rome CPU 的 Compute Engine 可用區中建立,這類 CPU 適用於機密 VM (請參閱「可用區域和可用區」中的「CPU」欄)。您可以執行下列指令,列出 Compute Engine 區域支援的 CPU:
    gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"