Esta página foi traduzida pela API Cloud Translation.

Crie uma instância com a computação confidencial

Este documento descreve como criar uma instância do Vertex AI Workbench com a computação confidencial ativada.

Vista geral

A computação confidencial é a proteção de dados em utilização com um ambiente de execução fiável (AEF) baseado em hardware. Os AEFs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizados de aplicações e dados enquanto estão em utilização. Esta norma de segurança é definida pelo Confidential Computing Consortium.

Quando cria uma instância do Vertex AI Workbench com a computação confidencial ativada, a nova instância do Vertex AI Workbench é uma instância de VM confidencial. Para saber mais sobre as instâncias de VM confidenciais, consulte a vista geral da VM confidencial.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Funções necessárias

Para receber as autorizações de que precisa para criar uma instância do Vertex AI Workbench, peça ao seu administrador para lhe conceder a função de IAM Notebooks Runner (roles/notebooks.runner) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie uma instância

Pode criar uma instância com a computação confidencial ativada através da Google Cloud consola, da CLI gcloud ou da API REST:

Consola

Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, faça o seguinte:

Na Google Cloud consola, aceda à página Instâncias.

Aceda a Instâncias
Clique em Criar novo.
Na caixa de diálogo Nova instância, clique em Opções avançadas.
Na caixa de diálogo Criar instância, na secção Tipo de máquina, selecione um tipo de máquina N2D. Apenas são suportados tipos de máquinas N2D.
Em Serviço de VM confidencial, selecione Ativar computação confidencial.
Na caixa de diálogo Ativar computação confidencial, clique em Ativar.
Clique em Criar.

O Vertex AI Workbench cria uma instância e inicia-a automaticamente. Quando a instância estiver pronta a usar, o Vertex AI Workbench ativa um link Abrir JupyterLab.

gcloud

Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o comando gcloud workbench instances create e defina --confidential-compute-type como SEV.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench; tem de começar por uma letra seguida de até 62 letras minúsculas, números ou hífenes (-) e não pode terminar com um hífen
PROJECT_ID: o ID do seu projeto
LOCATION: a zona onde quer que a sua instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da sua instância, por exemplo: n2d-standard-2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

O Vertex AI Workbench cria uma instância e inicia-a automaticamente. Quando a instância estiver pronta a usar, o Vertex AI Workbench ativa um link Abrir JupyterLab na Google Cloud consola.

REST

Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o método projects.locations.instances.create e inclua um confidentialInstanceConfig no seu GceSetup.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

PROJECT_ID: o ID do seu projeto
LOCATION: a zona onde quer que a sua instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da sua instância, por exemplo: n2d-standard-2

Método HTTP e URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corpo JSON do pedido:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Para enviar o seu pedido, escolha uma destas opções:

curl

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

O Vertex AI Workbench cria uma instância e inicia-a automaticamente. Quando a instância estiver pronta a usar, o Vertex AI Workbench ativa um link Abrir JupyterLab na Google Cloud consola.

Confirme se uma instância tem a computação confidencial ativada

Para confirmar se uma instância do Vertex AI Workbench tem a computação confidencial ativada, faça o seguinte:

Na Google Cloud consola, aceda à página Instâncias.

Aceda a Instâncias
Na coluna Nome da instância, clique no nome da instância que quer verificar.

É apresentada a página Detalhes da instância.
Junto a Detalhes da VM, clique em Ver no Compute Engine.
Na página de detalhes do Compute Engine, o valor do serviço de VM confidencial mostra Enabled ou Disabled.

Limitações

Quando cria ou usa uma instância do Vertex AI Workbench com a computação confidencial ativada, aplicam-se as seguintes limitações:

Apenas são suportados tipos de máquinas N2D. Consulte os tipos de máquinas N2D.
Apenas é suportada a tecnologia de computação confidencial AMD SEV. Para mais informações, consulte AMD SEV.
Não é possível ativar nem desativar a computação confidencial depois de criar a instância do Vertex AI Workbench.

Faturação

Quando usa instâncias do Vertex AI Workbench com computação confidencial, são-lhe cobrados os seguintes itens:

Utilização de instâncias do Vertex AI Workbench. Consulte os preços do Vertex AI.
Utilização da computação confidencial. Consulte os preços das Confidential VMs.

O que se segue?

Para usar um bloco de notas que lhe permita começar a usar o Vertex AI e outros Google Cloud serviços, consulte os tutoriais de blocos de notas do Vertex AI.
Para verificar o estado de funcionamento da sua instância do Vertex AI Workbench, consulte o artigo Monitorize o estado de funcionamento.