Este documento descreve como criar uma instância do Vertex AI Workbench com a Computação confidencial ativada.
Visão geral
A Computação confidencial é a proteção dos dados em uso com o ambiente de execução confiável (TEE) baseado em hardware. Os TEEs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizados de aplicativos e dados enquanto estão em uso. Esse padrão de segurança é definido pelo Computação confidencial Consortium.
Quando você cria uma instância do Vertex AI Workbench com a Computação confidencial ativada, a nova instância do Vertex AI Workbench é uma instância de VM confidencial. Para saber mais sobre instâncias de VMs confidenciais, consulte a visão geral de VMs confidenciais.
Antes de começar
- Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine and Notebooks APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine and Notebooks APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
Funções exigidas
Para receber as permissões necessárias para criar uma instância do Vertex AI Workbench, peça ao administrador para conceder a você o Notebooks Runner (roles/notebooks.runner) papel do IAM no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Criar uma instância
É possível criar uma instância com a Computação confidencial ativada usando o Google Cloud console, a CLI gcloud ou a API REST:
Console
Para criar uma instância do Vertex AI Workbench com a Computação confidencial ativada, faça o seguinte:
No Google Cloud console, acesse a página Instâncias.
Clique em Criar.
Na caixa de diálogo Nova instância, clique em Opções avançadas.
Na caixa de diálogo Criar instância, na seção Tipo de máquina , selecione um tipo de máquina N2D. Somente os tipos de máquina N2D são compatíveis.
Em Serviço de VM confidencial, selecione Ativar a Computação confidencial.
Na caixa de diálogo Ativar a Computação confidencial, clique em Ativar.
Clique em Criar.
O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab.
gcloud
Para criar uma instância do Vertex AI Workbench com
a Computação confidencial ativada, use o gcloud workbench
instances create
comando e defina --confidential-compute-type como SEV.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench. Precisa começar com uma letra seguida por até 62 letras minúsculas, números ou hifens (-) e não pode terminar com um hífen. PROJECT_ID: ID do projeto;LOCATION: a zona em que você quer que a instância esteja localizada-
MACHINE_TYPE: o tipo de máquina da VM da instância. Por exemplo:n2d-standard-2
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --machine-type=MACHINE_TYPE \ --confidential-compute-type=SEV
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --machine-type=MACHINE_TYPE ` --confidential-compute-type=SEV
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --machine-type=MACHINE_TYPE ^ --confidential-compute-type=SEV
O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no Google Cloud console.
REST
Para criar uma instância do Vertex AI Workbench com
a Computação confidencial ativada, use o
projects.locations.instances.create
método e inclua um confidentialInstanceConfig no seu
GceSetup.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
PROJECT_ID: o ID do projeto.LOCATION: a zona em que você quer que a instância esteja localizada-
MACHINE_TYPE: o tipo de máquina da VM da instância. Por exemplo:n2d-standard-2
Método HTTP e URL:
POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances
Corpo JSON da solicitação:
{
"gce_setup": {
"machine_type": "MACHINE_TYPE",
"confidentialInstanceConfig": {
"confidentialInstanceType": SEV
}
}
}
Para enviar a solicitação, escolha uma destas opções:
curl
Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"
PowerShell
Salve o corpo da solicitação em um arquivo com o nome request.json,
e execute o comando a seguir:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content
O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no Google Cloud console.
Confirmar se uma instância tem a Computação confidencial ativada
Para confirmar se uma instância do Vertex AI Workbench tem a Computação confidencial ativada, faça o seguinte:
No Google Cloud console, acesse a página Instâncias.
Na coluna Nome da instância, clique no nome da instância que você quer verificar.
A página Detalhes da instância é aberta.
Ao lado de Detalhes da VM, clique em Visualizar no Compute Engine.
Na página de detalhes do Compute Engine, o valor de Serviço de VM confidencial mostra
EnabledouDisabled.
Limitações
Ao criar ou usar uma instância do Vertex AI Workbench com a Computação confidencial ativada, as seguintes limitações se aplicam:
Somente os tipos de máquina N2D são compatíveis. Consulte Tipos de máquina N2D.
Somente a tecnologia de Computação confidencial AMD SEV é compatível. Para mais informações, consulte AMD SEV.
A Computação confidencial não pode ser ativada ou desativada depois que você cria a instância do Vertex AI Workbench.
Faturamento
Ao usar instâncias do Vertex AI Workbench com a Computação confidencial, você recebe cobranças da seguinte forma:
Uso de instâncias do Vertex AI Workbench. Consulte Preços da Agent Platform.
Uso da Computação confidencial. Consulte Preços de VMs confidenciais.
A seguir
- Para usar um notebook que ajude você a começar a usar a Gemini Enterprise Agent Platform e outros Google Cloud serviços, consulte Tutoriais de notebooks da Agent Platform.
- Para verificar o status de integridade da instância do Vertex AI Workbench, consulte Monitorar o status de integridade.