Membuat instance dengan Confidential Computing

Dokumen ini menjelaskan cara membuat instance Workbench Platform Agen Gemini Enterprise dengan Confidential Computing diaktifkan.

Ringkasan

Confidential Computing adalah perlindungan data yang digunakan dengan Trusted Execution Environment (TEE) berbasis hardware. TEE adalah lingkungan yang aman dan terisolasi yang mencegah akses tidak sah atau modifikasi aplikasi dan data saat digunakan. Standar keamanan ini ditentukan oleh Confidential Computing Consortium.

Saat Anda membuat instance Workbench Platform Agen dengan Confidential Computing diaktifkan, instance Workbench Platform Agen baru Anda adalah instance Confidential VM. Untuk mempelajari instance Confidential VM lebih lanjut, lihat Ringkasan Confidential VM.

Sebelum memulai

  1. Login keakun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Notebooks APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Notebooks APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat instance Workbench Platform Agen, minta administrator untuk memberi Anda peran IAM Notebooks Runner (roles/notebooks.runner) pada project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat instance

Anda dapat membuat instance dengan Confidential Computing diaktifkan menggunakan Google Cloud konsol, gcloud CLI, atau REST API:

Konsol

Untuk membuat instance Workbench Platform Agen dengan Confidential Computing diaktifkan, lakukan hal berikut:

  1. Di Google Cloud konsol, buka halaman Instances.

    Buka Instance

  2. Klik  Buat baru.

  3. Dalam dialog Instance baru, klik Opsi lanjutan.

  4. Dalam dialog Buat instance, di bagian Jenis mesin , pilih jenis mesin N2D. Hanya jenis mesin N2D yang didukung.

  5. Di bagian Layanan Confidential VM, pilih Aktifkan Confidential Computing.

  6. Dalam dialog Aktifkan Confidential Computing, klik Aktifkan.

  7. Klik Buat.

    Workbench Platform Agen membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Workbench Platform Agen akan mengaktifkan link Buka JupyterLab.

gcloud

Untuk membuat instance Workbench Platform Agen dengan Confidential Computing diaktifkan, gunakan gcloud workbench instances create perintah dan tetapkan --confidential-compute-type ke SEV.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • INSTANCE_NAME: nama instance Workbench Platform Agen Anda; harus diawali dengan huruf, diikuti hingga 62 huruf kecil, angka, atau tanda hubung (-), dan tidak boleh diakhiri dengan tanda hubung
  • PROJECT_ID: project ID Anda
  • LOCATION: zona tempat Anda ingin menempatkan instance
  • MACHINE_TYPE: jenis mesin VM instance Anda, misalnya:n2d-standard-2

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Workbench Platform Agen membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Workbench Platform Agen akan mengaktifkan link Buka JupyterLab di Google Cloud konsol.

REST

Untuk membuat instance Workbench Platform Agen dengan Confidential Computing diaktifkan, gunakan metode projects.locations.instances.create dan sertakan confidentialInstanceConfig di GceSetup Anda.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

Metode HTTP dan URL: 

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Meminta isi JSON: 

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Workbench Platform Agen membuat sebuah instance dan otomatis memulainya. Saat instance siap digunakan, Workbench Platform Agen akan mengaktifkan link Buka JupyterLab di Google Cloud konsol.

Mengonfirmasi apakah Confidential Computing diaktifkan untuk instance

Untuk mengonfirmasi apakah Confidential Computing diaktifkan untuk instance Workbench Platform Agen, lakukan hal berikut:

  1. Di Google Cloud konsol, buka halaman Instances.

    Buka Instance

  2. Di kolom Instance name, klik nama instance yang ingin Anda periksa.

    Halaman Instance details akan terbuka.

  3. Di samping VM details, klik View in Compute Engine.

  4. Di halaman detail Compute Engine, nilai untuk Confidential VM service akan menampilkan Enabled atau Disabled.

Batasan

Saat Anda membuat atau menggunakan instance Workbench Platform Agen dengan Confidential Computing diaktifkan, batasan berikut berlaku:

  • Hanya jenis mesin N2D yang didukung. Lihat Jenis mesin N2D.

  • Hanya teknologi confidential computing AMD SEV yang didukung. Untuk mengetahui informasi selengkapnya, lihat AMD SEV.

  • Confidential Computing tidak dapat diaktifkan atau dinonaktifkan setelah Anda membuat instance Workbench Platform Agen.

Penagihan

Saat menggunakan instance Workbench Platform Agen dengan Confidential Computing, Anda akan dikenai biaya untuk hal-hal berikut:

Langkah berikutnya

  • Untuk menggunakan notebook yang dapat membantu Anda memulai penggunaan Platform Agen Gemini Enterprise dan layanan Google Cloud lainnya, lihat Tutorial notebook Platform Agen.
  • Untuk memeriksa status respons instance Workbench Platform Agen, lihat Memantau status respons.