如需创建机密虚拟机实例,您需要具有以下属性的虚拟机:
您可以手动配置自己的机密虚拟机实例,也可以在 控制台中启用机密虚拟机服务时接受 Google Cloud 建议的设置。
限制
以下限制取决于您配置 机密虚拟机实例的方式。
所有机密虚拟机实例
您必须创建新的虚拟机实例才能启用机密虚拟机。现有 实例无法转换为机密虚拟机实例。
您不能将 TPU 挂接到机密虚拟机实例。
机密虚拟机实例需要使用 NVMe 接口来连接磁盘。不支持 SCSI。
只有新磁盘才能在低于 5.10 的 Linux 内核版本上格式化为 XFS。如需将现有磁盘格式化为 XFS,您需要使用内核版本 5.10 或更高版本。
您不能将 40 个以上的磁盘挂接到机密虚拟机实例。 您可以通过 支持渠道申请例外情况,但挂接 40 个以上磁盘的实例可能会静默失败。
启动时间与分配给实例的内存量成正比。 您可能会注意到具有大量 内存的机密虚拟机实例启动时间较长。
在机密虚拟机实例上建立 SSH 连接所需的时间比 非机密虚拟机实例长。
实时迁移只有使用运行 AMD SEV 的 AMD EPYC Milan CPU 平台的 N2D 机器类型 支持。
与非机密虚拟机实例相比,机密虚拟机实例的网络带宽可能会较低,延迟可能会较高 。
具有 Hyperdisk Throughput 的机密虚拟机实例的最大数据 传输大小 (MDTS) 受限,这会降低性能。如需最大限度地减少性能 下降,请在使用缓冲 I/O 时将
read_ahead_kb设置为124KiB,以避免预读请求超出 MDTS 限制。
AMD SEV
由于缺少
/dev/sev-guest软件包,Debian 12 不支持 AMD SEV 的证明。C2D 和 N2D 机器类型上的 AMD SEV 的最大 vNIC 队列数为
8。
C4D 和 C3D 机器类型上的 AMD SEV 具有以下限制:
即使启用了 虚拟机 Tier_1 网络性能 ,使用 C4D 和 C3D 机器类型的机密虚拟机实例的网络带宽也可能 低于同等的非机密虚拟机 。
不支持具有 255 个以上 vCPU 的虚拟机和裸金属实例。
标记为
SEV_CAPABLE的rhel-8-4-sap-ha映像不适用于具有 8 个以上 vCPU 的 C4D 和 C3D 机器上的 AMD SEV。此映像缺少一个必需的 补丁 ,该补丁用于增加高网络 队列的 SWIOTLB 缓冲区的大小。在 C3D 机器类型上,具有 AMD SEV 的机密虚拟机不支持 Hyperdisk Balanced 和 Hyperdisk Throughput。
AMD SEV-SNP
Intel TDX
本地 SSD 机器类型 不受支持。
与标准虚拟机实例相比,虚拟机实例关停所需的时间更长。 这种延迟会随着虚拟机内存大小的增加而增加。
仅支持使用 NVMe 接口的 Balanced Persistent Disk 卷。
无法在单租户节点组上预配虚拟机实例。
由于额外的安全限制,CPUID 指令可能会返回 有限的 CPU 架构详细信息,甚至不返回任何详细信息。这可能会影响依赖于这些 CPUID 值的负载的性能。
虚拟机实例不支持
kdump。请改用访客控制台日志。没有 TDX 停止修复 的访客映像可能会出现较长的停止时间,从而导致性能 下降。为避免性能下降,请验证这些 补丁是否已安装在访客内核 build 中。
具有 Intel TDX 的机密虚拟机实例不支持 预留。
NVIDIA 机密计算
在挂接了 NVIDIA H100 GPU 的 A3 High 机器类型上运行的机密虚拟机实例具有以下限制:
这些虚拟机实例不支持为多节点 工作负载创建集群。
这些虚拟机实例不支持预留。
这些虚拟机实例不支持 Hyperdisk Extreme。
所有其他 A3 High 机器类型限制 也适用于在 A3 High 机器类型上运行的机密虚拟机实例。
机器类型、CPU 和可用区
以下机器类型和配置支持机密虚拟机。
| 机器类型 | CPU 平台 | 机密计算技术 | 实时迁移支持 | GPU 支持 |
|---|---|---|---|---|
|
|
|
不支持 | 支持 | |
|
C4D |
|
|
不支持 | 不支持 |
|
|
|
|
不支持 | 不支持 |
|
C3D |
|
|
不支持 | 不支持 |
|
C2D |
|
|
不支持 | 不支持 |
|
N2D |
|
仅支持 Milan 上的 AMD SEV 虚拟机 | 不支持 |
查看支持的可用区
您可以使用以下方法之一查看哪些可用区支持这些机器类型和机密计算 技术。
AMD SEV
参考表
如需查看哪些可用区支持机密虚拟机上的 SEV,请完成以下 步骤。
前往 可用区域和可用区。
点击选择机器类型 ,然后选择 N2D 、C2D 、C3D 和 C4D 。
点击选择 CPU,然后选择AMD EPYC Milan、 AMD EPYC Genoa或AMD EPYC Turin。
gcloud
如需列出 Google Cloud中的可用可用区,请运行以下命令:
gcloud compute zones list \
--format="value(NAME)"
如需列出特定可用区的可用 CPU 平台,请运行以下 命令并检查是否支持 AMD Milan、AMD Genoa 或 AMD Turin :
gcloud compute zones describe ZONE_NAME \
--format="value(availableCpuPlatforms)"
AMD SEV-SNP
以下可用区支持 AMD SEV-SNP,适用于具有 AMD Milan CPU 平台的 N2D 机器类型:
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west3-a
europe-west3-b
europe-west3-c
europe-west4-a
europe-west4-b
europe-west4-c
us-central1-a
us-central1-b
us-central1-c
Intel TDX
以下可用区支持 Intel TDX,适用于 c3-standard-* 机器
类型。
asia-northeast1-b
asia-south1-b
asia-southeast1-a
asia-southeast1-b
asia-southeast1-c
europe-west4-a
europe-west4-b
europe-west4-c
europe-west9-a
europe-west9-b
us-central1-a
us-central1-b
us-central1-c
us-east1-c
us-east1-d
us-east4-a
us-east4-c
us-east5-b
us-east5-c
us-west1-a
us-west1-b
NVIDIA 机密计算
以下可用区支持 NVIDIA 机密计算,适用于在 a3-highgpu-1g 机器类型上挂接了 GPU 的机密虚拟机实例
。
europe-west4-c
us-central1-a
us-east5-a
操作系统
如需了解可用的机密虚拟机操作系统映像,请参阅 操作系统详细信息。找到您选择的 发行版,然后点击安全功能 标签页,检查是否支持 机密虚拟机。
或者,您也可以
使用 gcloud 命令查看支持的操作系统映像
,或
创建自己的 Linux 映像。
使用 gcloud 查看支持的操作系统映像
您可以使用的操作系统映像取决于您选择的 机密计算技术。
您可以运行以下命令,列出支持 AMD 和 Intel 机密计算技术的操作系统映像、映像系列和其 版本:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE)"
请提供以下值:
OS_FEATURE:您需要的机密计算支持类型。接受的值包括:
SEV_CAPABLE:支持 AMD SEV 的操作系统。SEV_LIVE_MIGRATABLE_V2:支持 AMD SEV 和实时 迁移的操作系统。SEV_SNP_CAPABLE:支持 AMD SEV-SNP 隔离和 证明的操作系统。TDX_CAPABLE:支持 Intel TDX 隔离和 证明的操作系统。
如需将结果限制为特定映像系列、项目或先前命令响应中提供的其他文本,请使用 AND 运算符,并将 STRING 替换为部分文本匹配项,类似于以下示例:
gcloud compute images list \
--filter="guestOsFeatures[].type:(OS_FEATURE) AND STRING"
如需查看特定映像的详细信息,请使用先前命令响应中的详细信息 运行以下命令:
gcloud compute images describe IMAGE_NAME \
--project=IMAGE_PROJECT
具有 GPU 的机密虚拟机实例支持的映像
对于 A3 机器系列上使用 Intel TDX 且 挂接了 H100 GPU 的机密虚拟机实例,我们建议使用以下操作系统 映像系列。
ubuntu-2204-ltscos-tdx-113-lts
虽然其他映像可能会标记为 TDX_CAPABLE,但我们不提供将这些映像与 GPU 搭配使用时的官方
支持。
后续步骤
了解如何 创建机密虚拟机实例。
了解如何 创建具有 GPU 的机密虚拟机实例。