Esta página se ha traducido con Cloud Translation API.

Crear una instancia con Confidential Computing

En este documento se describe cómo crear una instancia de Vertex AI Workbench con Confidential Computing habilitado.

Información general

La computación confidencial es la protección de los datos en uso mediante un entorno de ejecución de confianza (TEE) basado en hardware. Los TEEs son entornos seguros y aislados que impiden el acceso o la modificación no autorizados de aplicaciones y datos mientras se usan. Este estándar de seguridad lo define el Consorcio de Confidential Computing.

Cuando creas una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, tu nueva instancia de Vertex AI Workbench es una instancia de VM confidencial. Para obtener más información sobre las instancias de VM confidenciales, consulta la descripción general de las VMs confidenciales.

Antes de empezar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Roles obligatorios

Para obtener los permisos que necesitas para crear una instancia de Vertex AI Workbench, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Notebooks Runner (roles/notebooks.runner) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear una instancia

Puedes crear una instancia con Computación Confidencial habilitada mediante la Google Cloud consola, la CLI de gcloud o la API REST:

Consola

Para crear una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, sigue estos pasos:

En la consola, ve a la página Instancias. Google Cloud

Ve a Instancias
Haz clic en Crear.
En el cuadro de diálogo Nueva instancia, haz clic en Opciones avanzadas.
En el cuadro de diálogo Crear instancia, en la sección Tipo de máquina, selecciona un tipo de máquina N2D. Solo se admiten los tipos de máquinas N2D.
En Servicio de VM confidencial, selecciona Habilitar Confidential Computing.
En el cuadro de diálogo Habilitar computación confidencial, haz clic en Habilitar.
Haz clic en Crear.

Vertex AI Workbench crea una instancia y la inicia automáticamente. Cuando la instancia esté lista para usarse, Vertex AI Workbench activará el enlace Abrir JupyterLab.

gcloud

Para crear una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, usa el comando gcloud workbench instances create y asigna el valor SEV a --confidential-compute-type.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

INSTANCE_NAME: el nombre de tu instancia de Vertex AI Workbench. Debe empezar por una letra seguida de un máximo de 62 letras minúsculas, números o guiones (-), y no puede acabar en guion.
PROJECT_ID: tu ID de proyecto
LOCATION: la zona en la que quieres que se encuentre tu instancia
MACHINE_TYPE: el tipo de máquina de la VM de tu instancia, por ejemplo: n2d-standard-2

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Vertex AI Workbench crea una instancia y la inicia automáticamente. Cuando la instancia esté lista para usarse, Vertex AI Workbench activará un enlace Abrir JupyterLab en la consola. Google Cloud

REST

Para crear una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, usa el método projects.locations.instances.create e incluye un confidentialInstanceConfig en tu GceSetup.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: tu ID de proyecto
LOCATION: la zona en la que quieres que se encuentre tu instancia
MACHINE_TYPE: el tipo de máquina de la VM de tu instancia, por ejemplo: n2d-standard-2

Método HTTP y URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Cuerpo JSON de la solicitud:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar la cuenta activa, ejecuta el comando gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar la cuenta activa, ejecuta el comando gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Confirmar si una instancia tiene habilitado Confidential Computing

Para confirmar si una instancia de Vertex AI Workbench tiene habilitado Confidential Computing, haz lo siguiente:

En la consola, ve a la página Instancias. Google Cloud

Ve a Instancias
En la columna Nombre de la instancia, haz clic en el nombre de la instancia que quieras comprobar.

Se abrirá la página Detalles de la instancia.
Junto a Detalles de la VM, haz clic en Ver en Compute Engine.
En la página de detalles de Compute Engine, el valor de Servicio de VM confidencial muestra Enabled o Disabled.

Limitaciones

Cuando creas o usas una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, se aplican las siguientes limitaciones:

Solo se admiten los tipos de máquinas N2D. Consulta los tipos de máquinas N2D.
Solo se admite la tecnología de computación confidencial SEV de AMD. Para obtener más información, consulta AMD SEV.
Confidential Computing no se puede habilitar ni inhabilitar después de crear la instancia de Vertex AI Workbench.

Facturación

Cuando usas instancias de Vertex AI Workbench con Confidential Computing, se te cobra por lo siguiente:

Uso de instancias de Vertex AI Workbench. Consulta los precios de Vertex AI.
Uso de Confidential Computing. Consulta los precios de las máquinas virtuales confidenciales.

Siguientes pasos

Para usar un cuaderno que te ayude a empezar a usar Vertex AI y otros Google Cloud servicios, consulta los tutoriales de cuadernos de Vertex AI.
Para comprobar el estado de tu instancia de Vertex AI Workbench, consulta Monitorizar el estado.