É possível criar um cluster do Dataproc que use VMs confidenciais do Compute Engine para fornecer criptografia de memória in-line. As VMs confidenciais usam o tipo de máquina N2D (com AMD Secure Encrypted Virtualization (SEV)).
Crie um cluster com VMs confidenciais
comando gcloud
Para criar um cluster do Dataproc que usa VMs confidenciais, use o comando gcloud dataproc clusters create com a sinalização --confidential-compute .
Requisitos:
- As instâncias mestre e de trabalho devem usar o tipo de máquina N2D (com AMD Secure Encrypted Virtualization (SEV)).
- O cluster deve usar uma das imagens suportadas do Ubuntu .
- O cluster precisa ser criado em uma região e zona do Compute Engine compatível com a CPU AMD EPYC Rome (tipo de máquina N2D) usada por VMs confidenciais (consulte a coluna CPUs em Regiões e zonas disponíveis ). Você pode executar o seguinte comando para listar as CPUs compatíveis em uma zona do Compute Engine:
gcloud compute zones describe ZONE_NAME --format="value(availableCpuPlatforms)"
gcloud dataproc clusters create cluster-name \ --confidential-compute \ --image-version=Ubuntu image version \ --region=region with zone that supports the AMD EPYC Rome CPU \ --zone=zone within the region that supports the AMD EPYC Rome CPU \ --master-machine-type=N2D machine type \ --worker-machine-type=N2D machine type" \ other args ...
API REST
Para criar um cluster do Dataproc que usa VMs confidenciais, inclua ConfidentialInstanceConfig como parte de uma solicitação clusters.create . Configure enableConfidentialCompute como true .
Requisitos:
-
masterConfig.machineTypeUrimasterConfig.machineTypeUri,e, se aplicável,secondaryWorkerConfig.machineTypeUri:as instâncias mestre e de trabalho devem usar o tipo de máquina N2D (com AMD Secure Encrypted Virtualization (SEV)). -
softwareConfig.imageVersion:O cluster deve usar uma das imagens Ubuntu suportadas . -
gceClusterConfig.zoneUri:o cluster precisa ser criado em uma zona do Compute Engine compatível com a CPU N2D AMD EPYC Rome usada por VMs confidenciais (consulte a coluna CPUs em Regiões e zonas disponíveis ). Você pode executar o seguinte comando para listar as CPUs compatíveis em uma zona do Compute Engine:gcloud beta compute zones describe "ZONE_NAME --format="value(availableCpuPlatforms)"