התחברות ל-TPU VM ללא כתובת IP ציבורית
אם בארגון שלכם יש constraints/compute.vmExternalIpAccess אילוץ של מדיניות הארגון, אתם צריכים ליצור מכונות וירטואליות של TPU ללא כתובת IP חיצונית. כדי להתחבר למכונת TPU וירטואלית ללא כתובת IP חיצונית, צריך:
- מפעילים גישה פרטית ל-Google לתת-הרשת שבה תיצרו מכונת TPU וירטואלית.
- מעניקים את ההרשאות
roles/iap.tunnelResourceAccessorו-roles/tpu.adminלמשתמשים שיתחברו למכונות ה-TPU VM. - יוצרים מכונת TPU ללא כתובת IP ציבורית.
- מתחברים ל-TPU VM באמצעות האפשרות
--tunnel-through-iap.
הפעלת גישה פרטית ל-Google
כדי להשתמש ב-IAP, צריך להפעיל גישה פרטית ל-Google, שמאפשרת להתחבר למכונות וירטואליות שאין להן כתובות IP חיצוניות. בפקודה הבאה, מחליפים את your-subnet בשם של רשת המשנה שבה תיצרו את מכונת ה-TPU הווירטואלית, ואת your-region באזור שבו מכונת ה-TPU הווירטואלית תמוקם.
gcloud compute networks subnets update your-subnet \ --region=your-region \ --enable-private-ip-google-access
מתן הרשאות
למשתמשים שצריכים להתחבר למכונות וירטואליות של TPU באמצעות SSH ואין להם כתובות IP ציבוריות, צריך להקצות את התפקיד iap.tunnelResourceAccessor. מידע נוסף על הקצאת תפקידים זמין במאמר הקצאת תפקיד ב-IAM.
יצירת מכונת TPU וירטואלית ללא כתובת IP ציבורית
הפקודה הבאה מראה איך ליצור מכונת TPU וירטואלית ללא כתובת IP ציבורית.
gcloud compute tpus tpu-vm create tpu-vm-name \ --zone $ZONE \ --project your-project \ --internal-ips \ --version tpu-vm-tf-2.17.1-pjrt \ --accelerator-type v2-8 \ --subnetwork your-subnet \
התחברות ל-VM של TPU באמצעות SSH עם מנהור IAP
הפקודה הבאה מראה איך להתחבר למכונת TPU וירטואלית באמצעות מנהור IAP.
gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap