Ce document explique comment créer une instance Gemini Enterprise Agent Platform Workbench avec l'informatique confidentielle activée.
Présentation
L'informatique confidentielle protège les données utilisées à l'aide d'un environnement d'exécution sécurisé (TEE) basé sur le matériel. Les TEE sont des environnements sécurisés et isolés qui empêchent les accès ou les modifications non autorisés des applications et des données lorsqu'elles sont utilisées. Cette norme de sécurité est définie par le Consortium d'informatique confidentielle.
Lorsque vous créez une instance Agent Platform Workbench avec l'informatique confidentielle activée, votre nouvelle instance Agent Platform Workbench est une instance Confidential VM. Pour en savoir plus sur les instances Confidential VM, consultez la présentation de Confidential VM.
Avant de commencer
- Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine and Notebooks APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine and Notebooks APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
Rôles requis
Pour obtenir les autorisations nécessaires pour créer une instance Agent Platform Workbench, demandez à votre administrateur de vous accorder le rôle IAM Exécuteur de notebooks (roles/notebooks.runner) sur le projet.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer une instance
Vous pouvez créer une instance avec l'informatique confidentielle activée à l'aide de la console Google Cloud , de la gcloud CLI ou de l'API REST :
Console
Pour créer une instance Agent Platform Workbench avec l'informatique confidentielle activée, procédez comme suit :
Dans la console Google Cloud , accédez à la page Instances.
Cliquez sur Créer.
Dans la boîte de dialogue Nouvelle instance, cliquez sur Options avancées.
Dans la boîte de dialogue Créer une instance, dans la section Type de machine, sélectionnez un type de machine N2D. Seuls les types de machines N2D sont compatibles.
Sous Service Confidential VM, sélectionnez Activer l'informatique confidentielle.
Dans la boîte de dialogue Activer l'informatique confidentielle, cliquez sur Activer.
Cliquez sur Créer.
Agent Platform Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Agent Platform Workbench active un lien Ouvrir JupyterLab.
gcloud
Pour créer une instance Agent Platform Workbench avec l'informatique confidentielle activée, utilisez la commande gcloud workbench
instances create et définissez --confidential-compute-type sur SEV.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
INSTANCE_NAME: nom de votre instance Agent Platform Workbench. Doit commencer par une lettre suivie de 62 caractères (lettres minuscules, chiffres ou traits d'union (-)) et ne peut pas se terminer par un trait d'union. PROJECT_ID: ID de votre projetLOCATION: zone dans laquelle vous souhaitez placer votre instance.-
MACHINE_TYPE: type de machine de la VM de votre instance (par exemple,n2d-standard-2).
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --machine-type=MACHINE_TYPE \ --confidential-compute-type=SEV
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --machine-type=MACHINE_TYPE ` --confidential-compute-type=SEV
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --machine-type=MACHINE_TYPE ^ --confidential-compute-type=SEV
Agent Platform Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Agent Platform Workbench active un lien Ouvrir JupyterLab dans la console Google Cloud .
REST
Pour créer une instance Agent Platform Workbench avec l'informatique confidentielle activée, utilisez la méthode projects.locations.instances.create et incluez un confidentialInstanceConfig dans votre GceSetup.
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
PROJECT_ID: ID de votre projetLOCATION: zone dans laquelle vous souhaitez placer votre instance.-
MACHINE_TYPE: type de machine de la VM de votre instance (par exemple,n2d-standard-2).
Méthode HTTP et URL :
POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances
Corps JSON de la requête :
{
"gce_setup": {
"machine_type": "MACHINE_TYPE",
"confidentialInstanceConfig": {
"confidentialInstanceType": SEV
}
}
}
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"
PowerShell
Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content
Agent Platform Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Agent Platform Workbench active un lien Ouvrir JupyterLab dans la console Google Cloud .
Vérifier si l'informatique confidentielle est activée sur une instance
Pour vérifier si l'informatique confidentielle est activée sur une instance Agent Platform Workbench :
Dans la console Google Cloud , accédez à la page Instances.
Dans la colonne Nom de l'instance, cliquez sur le nom de l'instance que vous souhaitez vérifier.
La page Détails de l'instance s'affiche.
À côté de Détails de la VM, cliquez sur Afficher dans Compute Engine.
Sur la page d'informations de Compute Engine, la valeur du service de VM confidentielles est
EnabledouDisabled.
Limites
Lorsque vous créez ou utilisez une instance Agent Platform Workbench avec le informatique confidentielle activé, les limites suivantes s'appliquent :
Seuls les types de machines N2D sont compatibles. Consultez Types de machines N2D.
Seule la technologie d'informatique confidentielle AMD SEV est acceptée. Pour en savoir plus, consultez AMD SEV.
Vous ne pouvez pas activer ni désactiver l'informatique confidentielle après avoir créé l'instance Agent Platform Workbench.
Facturation
Lorsque vous utilisez des instances Workbench Agent Platform avec informatique confidentielle, les éléments suivants vous sont facturés :
Utilisation des instances Agent Platform Workbench. Consultez les tarifs d'Agent Platform.
Utilisation de l'informatique confidentielle. Consultez les tarifs de Confidential VM.
Étapes suivantes
- Pour utiliser un notebook pour vous aider à démarrer avec Gemini Enterprise Agent Platform et d'autres services Google Cloud , consultez les tutoriels sur les notebooks Agent Platform.
- Pour vérifier l'état de votre instance Agent Platform Workbench, consultez Surveiller l'état.