Criptare la memoria con i cluster di Confidential VM

Puoi utilizzare la funzionalità Confidential Computing per creare un cluster Managed Service for Apache Spark con Confidential VM per fornire la crittografia della memoria in linea.

Requisiti

Un cluster con Confidential VM deve soddisfare i seguenti requisiti:

  • Le istanze master e worker devono utilizzare un tipo di macchina supportato dalla tecnologia Confidential Computing selezionata . Le macchine supportate associate a ogni tecnologia includono:
    • SEV: c4d, c3d, c2d, n2d, g4-standard-48
    • SEV_SNP: n2d
    • TDX: c3-standard-*, a3-highgpu-1g
    • NVIDIA g4-standard-48
  • Il cluster deve utilizzare una delle immagini Ubuntu supportate.
  • Il cluster deve essere creato in una zona di Compute Engine che supporta la piattaforma CPU richiesta dalla tecnologia Confidential Computing selezionata. Consulta Visualizzare le zone supportate.
    • Puoi eseguire il seguente comando per elencare le CPU supportate in una zona di Compute Engine:
      gcloud compute zones describe ZONE --format="value(availableCpuPlatforms)"
      

Creare un cluster con Confidential VM

Puoi utilizzare la Google Cloud console, Google Cloud CLI o l' API Managed Service for Apache Spark per creare un cluster che utilizza Confidential VM.

Google Cloud Console

Per creare un cluster che utilizza Confidential VM, completa i seguenti passaggi:

  1. Apri la pagina Crea un cluster Apache Spark su Compute Engine nella Google Cloud console.
  2. In Definisci il cluster, seleziona una zona supportata.
  3. In Configurazioni avanzate - Infrastruttura, seleziona un tipo di macchina per i nodi master e worker supportato.
  4. In Configurazioni avanzate - Sicurezza, seleziona "Abilita Confidential Computing".
  5. Conferma o specifica altre impostazioni del cluster, quindi fai clic su Crea.

Google Cloud CLI

Per creare un cluster che utilizza Confidential VM, utilizza il gcloud dataproc clusters create comando con il --confidential-compute-type flag.

gcloud dataproc clusters create CLUSTER_NAME \
    --confidential-compute-type=CONFIDENTIAL_COMPUTING_TECHNOLOGY (such as SEV, SEV_SNP, or TDX) \
    --image-version=UBUNTU_IMAGE_VERSION \
    --zone=ZONE \
    --master-machine-type=MACHINE_TYPE \
    --worker-machine-type=MACHINE_TYPE \
    other args ...

API REST

Per creare un cluster che utilizza Confidential VM, includi il ConfidentialInstanceConfig come parte di una clusters.create richiesta. Imposta confidentialInstanceType sulla tecnologia selezionata, ad esempio SEV, SEV_SNP o TDX.