Mit der Funktion „Confidential Computing“ können Sie einen Managed Service for Apache Spark-Cluster mit Confidential VMs erstellen, um eine Inline-Speicherverschlüsselung bereitzustellen.
Voraussetzungen
Ein Cluster mit Confidential VMs muss die folgenden Anforderungen erfüllen:
- Master- und Worker-Instanzen müssen einen Maschinentyp verwenden, der von der ausgewählten Confidential Computing-Technologie unterstützt wird.
Unterstützte Maschinen, die mit den einzelnen Technologien verknüpft sind:
- SEV:
c4d,c3d,c2d,n2d,g4-standard-48 - SEV_SNP::
n2d - TDX:
c3-standard-*,a3-highgpu-1g - NVIDIA
g4-standard-48
- SEV:
- Der Cluster muss eines der unterstützten Ubuntu-Images verwenden.
- Der Cluster muss in einer Compute Engine-Zone erstellt werden, die die von der ausgewählten Confidential Computing-Technologie benötigte CPU-Plattform unterstützt. Weitere Informationen finden Sie unter Unterstützte Zonen ansehen.
- Mit dem folgenden Befehl können Sie die CPUs auflisten, die in einer Compute Engine-Zone unterstützt werden:
gcloud compute zones describe ZONE --format="value(availableCpuPlatforms)"
- Mit dem folgenden Befehl können Sie die CPUs auflisten, die in einer Compute Engine-Zone unterstützt werden:
Cluster mit Confidential VMs erstellen
Sie können die Google Cloud Console, die Google Cloud CLI oder die Managed Service for Apache Spark API verwenden, um einen Cluster zu erstellen, in Confidential VMs verwendet werden.
Google Cloud Console
Führen Sie die folgenden Schritte aus, um einen Cluster zu erstellen, in dem Confidential VMs verwendet werden:
- Öffnen Sie in der Google Cloud Console die Seite Apache Spark-Cluster in Compute Engine erstellen.
- Wählen Sie unter Cluster definieren eine unterstützte Zone aus.
- Wählen Sie unter Erweiterte Konfigurationen – Infrastruktur einen unterstützten Maschinentyp für Master- und Worker-Knoten aus.
- Wählen Sie unter Erweiterte Konfigurationen – Sicherheit die Option „Vertrauliche Datenverarbeitung aktivieren“ aus.
- Bestätigen oder geben Sie andere Clustereinstellungen an und klicken Sie dann auf Erstellen.
Google Cloud CLI
Verwenden Sie zum Erstellen eines Clusters, der Confidential VMs verwendet, den Befehl gcloud dataproc clusters create mit dem Flag --confidential-compute-type.
gcloud dataproc clusters create CLUSTER_NAME \ --confidential-compute-type=CONFIDENTIAL_COMPUTING_TECHNOLOGY (such asSEV,SEV_SNP, orTDX) \ --image-version=UBUNTU_IMAGE_VERSION \ --zone=ZONE \ --master-machine-type=MACHINE_TYPE \ --worker-machine-type=MACHINE_TYPE \ other args ...
REST API
Fügen Sie die ConfidentialInstanceConfig als Teil einer clusters.create-Anfrage hinzu, um einen Cluster zu erstellen, der Confidential VMs verwendet. Legen Sie confidentialInstanceType auf die ausgewählte Technologie fest, z. B. SEV, SEV_SNP oder TDX.