Esta página foi traduzida pela API Cloud Translation.

Criar uma instância com a Computação confidencial

Neste documento, descrevemos como criar uma instância do Vertex AI Workbench com o Computação confidencial ativado.

Visão geral

A Computação confidencial é a proteção dos dados em uso com o ambiente de execução confiável (TEE) baseado em hardware. Os TEEs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizada de aplicativos e dados enquanto estão em uso. Esse padrão de segurança é definido pelo Confidential Computing Consortium.

Quando você cria uma instância do Vertex AI Workbench com o Computação confidencial ativado, a nova instância do Vertex AI Workbench é uma VM confidencial. Para saber mais sobre instâncias de VM confidencial, consulte a Visão geral de VM confidencial.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Funções exigidas

Para receber as permissões necessárias para criar uma instância do Vertex AI Workbench, peça ao administrador para conceder a você o papel do IAM de Notebooks Runner (roles/notebooks.runner) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Criar uma instância

É possível criar uma instância com o Computação confidencial ativado usando o console do Google Cloud , a CLI gcloud ou a API REST:

Console

Para criar uma instância do Vertex AI Workbench com o Computação confidencial ativado, faça o seguinte:

No console do Google Cloud , acesse a página Instâncias.

Acesse "Instâncias"
Clique em Criar.
Na caixa de diálogo Nova instância, clique em Opções avançadas.
Na caixa de diálogo Criar instância, na seção Tipo de máquina, selecione um tipo de máquina N2D. Somente tipos de máquinas N2D são compatíveis.
Em Serviço de VM confidencial, selecione Ativar a Computação confidencial.
Na caixa de diálogo Ativar Computação confidencial, clique em Ativar.
Clique em Criar.

O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab.

gcloud

Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o comando gcloud workbench instances create e defina --confidential-compute-type como SEV.

Antes de usar os dados do comando abaixo, faça estas substituições:

INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench. Precisa começar com uma letra seguida por até 62 letras minúsculas, números ou hifens (-) e não pode terminar com um hífen.
PROJECT_ID: ID do projeto;
LOCATION: a zona em que você quer que a instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no console Google Cloud .

REST

Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o método projects.locations.instances.create e inclua um confidentialInstanceConfig no seu GceSetup.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_ID: ID do projeto;
LOCATION: a zona em que você quer que a instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

Método HTTP e URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corpo JSON da solicitação:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Para enviar a solicitação, escolha uma destas opções:

curl

Observação: o comando a seguir pressupõe que você tenha feito login na gcloud CLI com sua conta de usuário executando gcloud init ou gcloud auth login ou usando o Cloud Shell, que faz login automaticamente na gcloud CLI. Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Observação: o comando a seguir pressupõe que você fez login na gcloud CLI com sua conta de usuário executando gcloud init ou gcloud auth login. Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no console Google Cloud .

Confirmar se uma instância tem a Computação confidencial ativada

Para confirmar se uma instância do Vertex AI Workbench tem o Computação confidencial ativado, faça o seguinte:

No console do Google Cloud , acesse a página Instâncias.

Acesse "Instâncias"
Na coluna Nome da instância, clique no nome da instância que você quer verificar.

A página Detalhes da instância é aberta.
Ao lado de Detalhes da VM, clique em Ver no Compute Engine.
Na página de detalhes do Compute Engine, o valor de Serviço de VM confidencial mostra Enabled ou Disabled.

Limitações

Ao criar ou usar uma instância do Vertex AI Workbench com o Computação confidencial ativado, as seguintes limitações se aplicam:

Somente tipos de máquinas N2D são compatíveis. Consulte Tipos de máquina N2D.
Somente a tecnologia de computação confidencial AMD SEV é compatível. Para mais informações, consulte AMD SEV.
Não é possível ativar ou desativar a Computação confidencial depois de criar a instância do Vertex AI Workbench.

Faturamento

Ao usar instâncias do Vertex AI Workbench com Computação confidencial, você recebe cobranças da seguinte forma:

Uso das instâncias do Vertex AI Workbench. Consulte os preços da Vertex AI.
Uso da computação confidencial. Consulte os preços das VMs confidenciais.

A seguir

Para usar um notebook e começar a usar a Vertex AI e outros serviços do Google Cloud , consulte Tutoriais de notebooks da Vertex AI.
Para verificar o status de integridade da instância do Vertex AI Workbench, consulte Monitorar o status de integridade.