Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Instanz mit Confidential Computing erstellen

In diesem Dokument wird beschrieben, wie Sie eine Gemini Enterprise Agent Platform Workbench-Instanz mit aktivierter Confidential Computing-Funktion erstellen.

Übersicht

Confidential Computing ist der Schutz aktiver Daten mit hardwarebasierter vertrauenswürdiger Ausführungsumgebung (Trusted Execution Environment, TEE). TEEs sind sichere und isolierte Umgebungen, die einen nicht autorisierten Zugriff oder eine nicht autorisierte Änderung von Anwendungen und Daten verhindern, während sie verwendet werden. Dieser Sicherheitsstandard wird vom Confidential Computing Consortium definiert.

Wenn Sie eine Agent Platform Workbench-Instanz mit aktiviertem Confidential Computing erstellen, ist die neue Agent Platform Workbench-Instanz eine Confidential VM-Instanz. Weitere Informationen zu Confidential VM-Instanzen finden Sie in der Übersicht zu Confidential VMs.

Hinweis

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Notebooks Runner (roles/notebooks.runner) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Agent Platform Workbench-Instanz benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Instanz erstellen

Sie können eine Instanz mit aktiviertem Confidential Computing über die Google Cloud Console, die gcloud CLI oder die REST API erstellen:

Console

So erstellen Sie eine Agent Platform Workbench-Instanz mit aktivierter Confidential Computing-Funktion:

Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie auf NEU ERSTELLEN.
Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.
Wählen Sie im Dialogfeld Instanz erstellen im Abschnitt Maschinentyp einen N2D-Maschinentyp aus. Es werden nur N2D-Maschinentypen unterstützt.
Wählen Sie unter Confidential VM-Dienst die Option Confidential Computing aktivieren aus.
Klicken Sie im Dialogfeld Confidential Computing aktivieren auf Aktivieren.
Klicken Sie auf Erstellen.

Agent Platform Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Agent Platform Workbench den Link JupyterLab öffnen.

gcloud

Verwenden Sie zum Erstellen einer Agent Platform Workbench-Instanz mit aktiviertem Confidential Computing den Befehl gcloud workbench instances create und legen Sie --confidential-compute-type auf SEV fest.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

INSTANCE_NAME: der Name Ihrer Agent Platform Workbench-Instanz; muss mit einem Buchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen (-) und darf nicht mit einem Bindestrich enden
PROJECT_ID: Ihre Projekt-ID.
LOCATION: die Zone, in der sich Ihre Instanz befinden soll
MACHINE_TYPE: Der Maschinentyp der VM-Instanz, z. B. n2d-standard-2.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Agent Platform Workbench erstellt eine Instanz und startet sie automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Agent Platform Workbench den Link JupyterLab öffnen in der Google Cloud Console.

REST

Wenn Sie eine Agent Platform Workbench-Instanz mit aktiviertem Confidential Computing erstellen möchten, verwenden Sie die Methode projects.locations.instances.create und fügen Sie ein confidentialInstanceConfig in Ihr GceSetup ein.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: Ihre Projekt-ID.
LOCATION: die Zone, in der sich Ihre Instanz befinden soll
MACHINE_TYPE: Der Maschinentyp der VM-Instanz, z. B. n2d-standard-2.

HTTP-Methode und URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

JSON-Text der Anfrage:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben, indem Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt haben, die Sie automatisch in der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben, indem Sie gcloud init oder gcloud auth login ausgeführt haben. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Prüfen, ob für eine Instanz Confidential Computing aktiviert ist

So prüfen Sie, ob Confidential Computing für eine Agent Platform Workbench-Instanz aktiviert ist:

Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

Zur Seite „VM-Instanzen“
Klicken Sie in der Spalte Instanzname auf den Namen der Instanz, die Sie prüfen möchten.

Die Seite mit den Instanzdetails wird geöffnet.
Klicken Sie neben VM-Details auf In Compute Engine ansehen.
Auf der Detailseite für Compute Engine wird für Confidential VM-Dienst entweder Enabled oder Disabled angezeigt.

Beschränkungen

Wenn Sie eine Agent Platform Workbench-Instanz mit aktivierter Confidential Computing-Funktion erstellen oder verwenden, gelten die folgenden Einschränkungen:

Es werden nur N2D-Maschinentypen unterstützt. Weitere Informationen finden Sie unter N2D-Maschinentypen.
Es wird nur die AMD SEV-Technologie für Confidential Computing unterstützt. Weitere Informationen finden Sie unter AMD SEV.
Confidential Computing kann nach dem Erstellen der Agent Platform Workbench-Instanz nicht mehr aktiviert oder deaktiviert werden.

Abrechnung

Wenn Sie Agent Platform Workbench-Instanzen mit Confidential Computing verwenden, wird Ihnen Folgendes in Rechnung gestellt:

Nutzung von Agent Platform Workbench-Instanzen. Preise für die Agent Platform
Confidential Computing-Nutzung. Preise für Confidential VMs

Nächste Schritte

Informationen zum Einstieg in die Gemini Enterprise Agent Platform und andere Google Cloud -Dienste mit einem Notebook finden Sie in den Anleitungen für Agent Platform-Notebooks.
Informationen zum Prüfen des Systemstatus Ihrer Agent Platform Workbench-Instanz finden Sie unter Systemstatus überwachen.