Red Hat Summit10.5.6.2. マシンセットを使用した Confidential VM の設定
Google Cloud 上でクラスターを拡張するには、マシンセットを作成します。マシンセットの YAML ファイルを編集することにより、マシンセットがデプロイするマシンに使用する Confidential VM オプションを設定できます。
Confidential VM の機能、互換性の詳細は、Confidential VM に関する Google Cloud Compute Engine のドキュメントを参照してください。
現在、Confidential 仮想マシンは 64 ビット ARM アーキテクチャーではサポートされていません。Confidential VM を使用する場合は、サポートされているリージョンを選択する必要があります。サポートされているリージョンと設定の詳細は、サポートされているゾーン に関する Google Cloud Compute Engine のドキュメントを参照してください。
手順
- テキストエディターで、既存のマシンセットの YAML ファイルを開くか、新しいマシンセットを作成します。
providerSpecフィールドの下の次のセクションを編集します。apiVersion: machine.openshift.io/v1 kind: ControlPlaneMachineSet # ... machines_v1beta1_machine_openshift_io: spec: providerSpec: value: confidentialCompute: Enabled onHostMaintenance: Terminate machineType: n2d-standard-8 # ...ここでは、以下のようになります。
spec.template.machines_v1beta1_machine_openshift_io.spec.providerSpec.value.confidentialCompute- 機密仮想マシンが有効になっているかどうかを指定します。次の値が有効です。
EnabledConfidential VM テクノロジーのデフォルトの選択を使用して Confidential VM を有効にします。デフォルトの選択は、AMD Secure Encrypted Virtualization (AMD SEV) です。
重要Enabled値を指定すると、非推奨の AMD Secure Encrypted Virtualization (AMD SEV) を使用した Confidential Computing が選択されます。Disabled- Confidential VM を無効化します。
AMDEncryptedVirtualizationNestedPaging- AMD Secure Encrypted Virtualization Secure Nested Paging (AMD SEV-SNP) を使用して Confidential VM を有効化します。AMD SEV-SNP は n2d マシンをサポートします。
AMDEncryptedVirtualizationAMD SEV を使用して Confidential VM を有効化します。AMD SEV は c2d、n2d、c3d マシンをサポートします。
重要Confidential Computing with AMD Secure Encrypted Virtualization (AMD SEV) の使用は非推奨となり、今後のリリースでは削除されます。
IntelTrustedDomainExtensions- Intel Trusted Domain Extensions (Intel TDX) を使用して Confidential VM を有効化します。Intel TDX は n2d マシンをサポートします。
spec.template.machines_v1beta1_machine_openshift_io.spec.providerSpec.value.onHostMaintenance-
ハードウェアやソフトウェアのアップデートなど、ホストのメンテナンスイベント発生時の仮想マシンの動作を指定します。Confidential 仮想マシンを使用するマシンの場合は、この値を
Terminateに設定する必要があります。これにより、VM が停止します。Confidential VM はライブ VM 移行をサポートしていません。 spec.template.machines_v1beta1_machine_openshift_io.spec.providerSpec.value.machineType-
confidentialComputeフィールドで指定した Confidential 仮想マシンオプションをサポートするマシンタイプを指定します。
検証
- Google Cloud コンソールで、マシンセットによってデプロイされたマシンの詳細を確認し、Confidential VM オプションが設定した値に一致していることを確認します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}