Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Crea una instancia con Confidential Computing

En este documento, se describe cómo crear una instancia de Agent Platform Workbench de Gemini Enterprise con Confidential Computing habilitado.

Descripción general

Confidential Computing es la protección de los datos en uso con entorno de ejecución confiable (TEE) basado en hardware. Los TEE son entornos seguros y aislados que evitan el acceso o la modificación no autorizados de aplicaciones y datos mientras están en uso. El Consorcio de Confidential Computing define este estándar de seguridad .

Cuando creas una instancia de Agent Platform Workbench con Confidential Computing habilitado, tu nueva instancia de Agent Platform Workbench es una instancia de Confidential VM. Para obtener más información sobre las instancias de Confidential VM, consulta la descripción general de Confidential VM.

Antes de comenzar

Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Roles obligatorios

Para obtener los permisos que necesitas para crear una instancia de Agent Platform Workbench, pídele a tu administrador que te otorgue el rol de ejecutor de Notebooks (roles/notebooks.runner) de IAM en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea una instancia

Puedes crear una instancia con Confidential Computing habilitado con la Google Cloud consola, gcloud CLI o la API de REST:

Console

Para crear una instancia de Agent Platform Workbench con Confidential Computing habilitado, haz lo siguiente:

En la Google Cloud consola de, ve a la página Instancias.

Ir a Instancias
Haz clic en Crear nuevo.
En el cuadro de diálogo Instancia nueva, haz clic en Opciones avanzadas.
En el cuadro de diálogo Crear instancia, en la sección Tipo de máquina , selecciona un tipo de máquina N2D. Solo se admiten tipos de máquinas N2D.
En Servicio de Confidential VM, selecciona Habilitar Confidential Computing.
En el cuadro de diálogo Habilitar Confidential Computing, haz clic en Habilitar.
Haz clic en Crear.

Agent Platform Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Agent Platform Workbench activa un vínculo Abrir JupyterLab.

gcloud

Para crear una instancia de Agent Platform Workbench con Confidential Computing habilitado, usa el gcloud workbench instances create comando y configura --confidential-compute-type como SEV.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

INSTANCE_NAME: Es el nombre de tu instancia de Agent Platform Workbench. Debe comenzar con una letra seguida de hasta 62 letras minúsculas, números o guiones (-), y no puede terminar con un guion.
PROJECT_ID: Es el ID del proyecto.
LOCATION: Es la zona en la que deseas que se ubique la instancia.
MACHINE_TYPE: Es el tipo de máquina de la VM de tu instancia, por ejemplo: n2d-standard-2.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Agent Platform Workbench crea una instancia y la inicia de forma automática. Cuando la instancia está lista para usarse, Agent Platform Workbench activa un vínculo Abrir JupyterLab en la Google Cloud consola.

REST

Para crear una instancia de Agent Platform Workbench con Confidential Computing habilitado, usa el projects.locations.instances.create método y, luego, incluye un confidentialInstanceConfig en tu GceSetup.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

PROJECT_ID: Es el ID del proyecto.
LOCATION: Es la zona en la que deseas que se ubique la instancia.
MACHINE_TYPE: Es el tipo de máquina de la VM de tu instancia, por ejemplo: n2d-standard-2.

Método HTTP y URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Cuerpo JSON de la solicitud:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Nota: En el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login . Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json, y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Confirma si una instancia tiene habilitado Confidential Computing

Para confirmar si una instancia de Agent Platform Workbench tiene habilitado Confidential Computing, haz lo siguiente:

En la Google Cloud consola de, ve a la página Instancias.

Ir a Instancias
En la columna Nombre de la instancia, haz clic en el nombre de la instancia que quieres verificar.

Se abre la página Detalles de la instancia.
Junto a Detalles de la VM, haz clic en Ver en Compute Engine.
En la página de detalles de Compute Engine, el valor de Servicio de Confidential VM muestra Enabled o Disabled.

Limitaciones

Cuando creas o usas una instancia de Agent Platform Workbench con Confidential Computing habilitado, se aplican las siguientes limitaciones:

Solo se admiten tipos de máquinas N2D. Consulta Tipos de máquinas N2D.
Solo se admite la tecnología de Confidential Computing de AMD SEV. Para obtener más información, consulta AMD SEV.
No se puede habilitar ni inhabilitar Confidential Computing después de crear la instancia de Agent Platform Workbench.

Facturación

Cuando usas instancias de Agent Platform Workbench con Confidential Computing, se te cobra lo siguiente:

Uso de instancias de Agent Platform Workbench. Consulta Precios de Agent Platform pricing.
Uso de Confidential Computing. Consulta Precios de Confidential VM.

¿Qué sigue?

Para usar un notebook que te ayude a comenzar a usar Agent Platform de Gemini Enterprise y otros Google Cloud servicios, consulta los instructivos de notebooks de Agent Platform.
Para verificar el estado de tu instancia de Agent Platform Workbench, consulta Supervisa el estado.