如需创建机密虚拟机实例,您需要一个具有以下属性的虚拟机:
您可以手动配置自己的机密虚拟机实例,也可以在Google Cloud 控制台中启用机密虚拟机服务时接受建议的设置。
限制
根据您配置 Confidential VM 实例的方式,存在以下限制。
所有机密虚拟机实例
您必须创建新的虚拟机实例才能启用机密虚拟机。现有实例无法转换为机密虚拟机实例。
您无法将 TPU 附加到机密虚拟机实例。
机密虚拟机实例需要为磁盘使用 NVME 接口。不支持 SCSI。
在低于 5.10 的 Linux 内核版本中,只有新磁盘可以格式化为 XFS。如需将现有磁盘格式化为 XFS,您需要内核版本 5.10 或更高版本。
您不能向机密虚拟机实例挂接超过 40 个磁盘。您可以通过支持渠道申请例外情况,但具有 40 个以上磁盘的实例可能会静默失败。
启动时间与分配给实例的内存量成正比。您可能会注意到具有大量内存的机密虚拟机实例启动时间较长。
与非机密虚拟机实例相比,机密虚拟机实例建立 SSH 连接所需的时间更长。
只有使用运行 AMD SEV 的 AMD EPYC Milan CPU 平台的 N2D 机器类型支持实时迁移。
AMD SEV
由于缺少
/dev/sev-guest软件包,Debian 12 不支持 AMD SEV 认证。C2D 和 N2D 机器类型上的 AMD SEV 的 vNIC 队列数上限为
8。C4D(预览版)和 C3D 机器类型上的 AMD SEV 存在以下限制:
与等效的非机密虚拟机相比,使用 C4D 和 C3D 机器类型的机密虚拟机实例可能会获得较低的网络带宽,即使启用了每个虚拟机的 Tier_1 网络性能也是如此。
不支持 vCPU 数量超过 255 的虚拟机。
标记为
SEV_CAPABLE的rhel-8-4-sap-ha映像无法在 vCPU 数量超过 8 的 C4D 和 C3D 机器上与 AMD SEV 搭配使用。此映像缺少一个必需的补丁,该补丁会增加高网络队列的 SWIOTLB 缓冲区大小。在 C3D 机器类型上,具有 AMD SEV 的机密虚拟机不支持 Hyperdisk Balanced 和 Hyperdisk Throughput。
AMD SEV-SNP
Debian 12 不支持 AMD SEV-SNP 认证,因为缺少
/dev/sev-guest软件包。N2D 机器类型上的 AMD SEV-SNP 的 vNIC 队列数上限为
8。虚拟机实例不支持
kdump。请改用访客控制台日志。
Intel TDX
不支持本地 SSD 机器类型。
与标准虚拟机实例相比,此类虚拟机实例的关闭时间更长。此延迟会随着虚拟机内存大小而增加。
仅支持使用 NVMe 接口的平衡永久性磁盘卷。
与非机密虚拟机实例相比,机密虚拟机实例的网络带宽可能会较低,延迟时间可能会较长。
无法在单租户节点组上预配虚拟机实例。
由于存在额外的安全限制,CPUID 指令可能会返回有限的 CPU 架构详细信息,也可能不返回任何 CPU 架构详细信息。这可能会影响依赖于这些 CPUID 值的工作负载的性能。
虚拟机实例不支持
kdump。请改用访客控制台日志。如果不包含 TDX 挂起修复程序的来宾映像,挂起时长可能会延长,导致性能下降。为避免性能下降,请务必在您的来宾内核 build 中添加这些补丁。
NVIDIA 机密计算
A3 机器系列上的机密虚拟机实例存在以下限制:
与非机密虚拟机实例相比,机密虚拟机实例的网络带宽可能会较低,延迟时间可能会较长。
虚拟机实例不支持为多节点工作负载创建集群。
机器类型、CPU 和可用区
以下机器类型和配置支持机密虚拟机。
| 机器类型 | CPU 平台 | 机密计算技术 | 实时迁移支持 | GPU 支持 |
|---|---|---|---|---|
|
|
|
|
不支持 | 支持 |
|
C4D(预览版) |
|
|
不支持 | 不支持 |
|
|
|
|
不支持 | 不支持 |
|
C3D |
|
|
不支持 | 不支持 |
|
C2D |
|
|
不支持 | 不支持 |
|
N2D |
|
|
仅在 Milan 上支持 AMD SEV 虚拟机 | 不支持 |
查看支持的可用区
您可以使用以下方法之一查看哪些可用区支持这些机器类型和机密计算技术。
AMD SEV
参考表
如需查看哪些可用区支持机密虚拟机上的 SEV,请完成以下步骤。
gcloud
如需列出 Google Cloud中可用的区域,请运行以下命令:
gcloud compute zones list \
--format="value(NAME)"
如需列出特定可用区中的可用 CPU 平台,请运行以下命令,并检查是否支持 AMD Milan、AMD Genoa 或 AMD Turin:
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
以下区域的搭载 AMD Milan CPU 平台的 N2D 机器类型支持 AMD SEV-SNP:
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
Intel TDX
以下可用区中的 c3-standard-* 机器类型支持 Intel TDX。
asia-northeast1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
europe-west9-a
europe-west9-b
us-central1-a
us-central1-b
us-central1-c
us-east5-b
us-east5-c
us-west1-a
us-west1-b
NVIDIA 机密计算
在以下区域,机密虚拟机实例(采用 a3-highgpu-1g 机器类型且挂接了 GPU)支持 Intel TDX。
us-central1-a
us-east5-a
操作系统
如需了解可用的机密虚拟机操作系统映像,请参阅操作系统详细信息。找到您选择的发行版,然后点击安全功能标签页,检查是否支持 Confidential VM。
或者,您也可以使用 gcloud 命令查看受支持的操作系统映像,或创建您自己的 Linux 映像。
使用 gcloud 查看受支持的操作系统映像
您可以使用的操作系统映像取决于您选择的 Confidential Computing 技术。
您可以运行以下命令,列出支持 AMD 和 Intel 机密计算技术的操作系统映像、其映像系列和版本:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
请提供以下值:
OS_FEATURE:您需要的机密计算支持类型。接受的值包括:
SEV_CAPABLE:支持 AMD SEV 的操作系统。SEV_LIVE_MIGRATABLE_V2:支持 AMD SEV 和实时迁移的操作系统。SEV_SNP_CAPABLE:支持 AMD SEV-SNP 隔离和证明的操作系统。TDX_CAPABLE:支持 Intel TDX 隔离和认证的操作系统。
如需将结果限制为特定映像系列、项目或上一个命令响应中提供的其他文本,请使用 AND 运算符,并将 STRING 替换为部分文本匹配,类似于以下示例:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
如需查看特定映像的详细信息,请使用上一个命令的响应中的详细信息运行以下命令:
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
带有 GPU 的机密虚拟机实例支持的映像
对于 A3 机器系列上使用 Intel TDX 且具有挂接 H100 GPU 的机密虚拟机实例,我们建议使用以下操作系统映像系列。
ubuntu-2204-ltscos-tdx-113-lts
虽然其他图片可能会被标记为 TDX_CAPABLE,但我们不为其提供官方支持。
后续步骤
了解如何创建机密虚拟机实例。
了解如何创建带有 GPU 的机密虚拟机实例。