Managed Service for Apache Spark 保密计算

您可以创建使用 Compute Engine 机密虚拟机来提供内嵌内存加密的 Managed Service for Apache Spark 集群。机密虚拟机使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。

创建具有机密虚拟机的集群

gcloud 命令

如需创建使用机密虚拟机的 Managed Service for Apache Spark 集群,请使用带有 --confidential-compute 标志的 gcloud dataproc clusters create 命令。

要求:

  • 主实例和工作器实例必须使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。
  • 集群必须使用受支持的 Ubuntu 映像之一。
  • 必须在支持机密虚拟机使用的 AMD EPYC Milan CPU(N2D 机器类型)的地区和 Compute Engine 区域中创建(请参阅可用的地区和区域中的 CPU 列)。您可以运行以下命令,列出 Compute Engine 区域支持的 CPU:
    gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
      
gcloud dataproc clusters create cluster-name \  
    --confidential-compute \  
    --image-version=Ubuntu image version \
    --region=region with zone that supports the AMD EPYC Milan CPU \
    --zone=zone within the region that supports the AMD EPYC Milan CPU \
    --master-machine-type=N2D machine type \  
    --worker-machine-type=N2D machine type" \  
    other args ...

REST API

如需创建使用机密虚拟机的 Managed Service for Apache Spark 集群,请将 ConfidentialInstanceConfig 包括为 clusters.create 请求的一部分。将 enableConfidentialCompute 设置为 true

要求:

  • masterConfig.machineTypeUri masterConfig.machineTypeUri,secondaryWorkerConfig.machineTypeUri:(如果适用)主实例和工作器实例必须使用 N2D 机器类型(搭配 AMD Secure Encrypted Virtualization (SEV))。
  • softwareConfig.imageVersion: 集群必须使用受支持的 Ubuntu 映像之一。
  • gceClusterConfig.zoneUri: 集群必须在支持机密虚拟机使用的 N2D AMD EPYC Milan CPU 的 Compute Engine 区域中创建(请参阅可用的地区和区域中的 CPU 列)。您可以运行以下命令,列出 Compute Engine 区域支持的 CPU:
          gcloud compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"