Créer une instance avec l'informatique confidentielle

Ce document explique comment créer une instance Vertex AI Workbench avec l'informatique confidentielle activée.

Présentation

L'informatique confidentielle est la protection des données utilisées à l'aide d'un environnement d'exécution sécurisé (TEE) basé sur le matériel. Les TEE sont des environnements sécurisés et isolés qui empêchent tout accès ou modification non autorisés des applications et des données pendant leur utilisation. Cette norme de sécurité est définie par le Consortium d'informatique confidentielle.

Lorsque vous créez une instance Vertex AI Workbench avec l'informatique confidentielle activée, votre nouvelle instance Vertex AI Workbench est une instance Confidential VM. Pour en savoir plus sur les instances Confidential VM, consultez la présentation de Confidential VM.

Avant de commencer

Connectez-vous à votre Google Cloud compte. Si vous n'avez jamais utilisé Google Cloud, créez un compte pour évaluer les performances de nos produits dans des scénarios réels. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Rôles requis

Pour obtenir les autorisations nécessaires pour créer une instance Vertex AI Workbench, demandez à votre administrateur de vous accorder le rôle IAM Exécuteur de notebooks (roles/notebooks.runner) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une instance

Vous pouvez créer une instance avec l'informatique confidentielle activée à l'aide de la Google Cloud console, de gcloud CLI ou de l'API REST :

Console

Pour créer une instance Vertex AI Workbench avec l'informatique confidentielle activée, procédez comme suit :

Dans la Google Cloud console, accédez à la page Instances.

Accéder à la page "Instances"
Cliquez sur Créer.
Dans la boîte de dialogue Nouvelle instance, cliquez sur Options avancées.
Dans la boîte de dialogue Créer une instance, dans la section Type de machine , sélectionnez un type de machine N2D. Seuls les types de machines N2D sont compatibles.
Sous Service Confidential VM, sélectionnez Activer l'informatique confidentielle.
Dans la boîte de dialogue Activer l'informatique confidentielle, cliquez sur Activer.
Cliquez sur Créer.

Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active automatiquement un lien Ouvrir JupyterLab.

gcloud

Pour créer une instance Vertex AI Workbench avec l'informatique confidentielle activée, utilisez la gcloud workbench instances create commande et définissez --confidential-compute-type sur SEV.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

INSTANCE_NAME : nom de votre instance Vertex AI Workbench. Ce nom doit commencer par une lettre, suivie de 62 caractères (lettres minuscules, chiffres ou traits d'union (-)), et ne peut pas se terminer par un trait d'union.
PROJECT_ID : ID de votre projet.
LOCATION : zone dans laquelle vous souhaitez placer votre instance.
MACHINE_TYPE : type de machine de la VM de votre instance (par exemple, n2d-standard-2).

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active un lien Ouvrir JupyterLab dans la Google Cloud console.

REST

Pour créer une instance Vertex AI Workbench avec l'informatique confidentielle activée, utilisez la projects.locations.instances.create méthode et incluez un confidentialInstanceConfig dans votre GceSetup.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID de votre projet.
LOCATION : zone dans laquelle vous souhaitez placer votre instance.
MACHINE_TYPE : type de machine de la VM de votre instance (par exemple, n2d-standard-2).

Méthode HTTP et URL :

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corps JSON de la requête :

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Remarque : Pour la commande suivante, nous partons du principe que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Remarque : Pour la commande suivante, nous partons du principe que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, et exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Vérifier si l'informatique confidentielle est activée sur une instance

Pour vérifier si l'informatique confidentielle est activée sur une instance Vertex AI Workbench, procédez comme suit :

Dans la Google Cloud console, accédez à la page Instances.

Accéder à la page "Instances"
Dans la colonne Nom de l'instance, cliquez sur le nom de l'instance que vous souhaitez vérifier.

La page Détails de l'instance s'affiche.
À côté de Détails de la VM, cliquez sur Afficher dans Compute Engine.
Sur la page de détails de Compute Engine, la valeur de Service Confidential VM indique Enabled ou Disabled.

Limites

Lorsque vous créez ou utilisez une instance Vertex AI Workbench avec l'informatique confidentielle activée, les limites suivantes s'appliquent :

Seuls les types de machines N2D sont compatibles. Consultez la section Types de machines N2D.
Seule la technologie d'informatique confidentielle AMD SEV est compatible. Pour plus d'informations, consultez AMD SEV.
L'informatique confidentielle ne peut pas être activée ni désactivée après la création de l'instance Vertex AI Workbench.

Facturation

Lorsque vous utilisez des instances Vertex AI Workbench avec l'informatique confidentielle, vous êtes facturé pour les éléments suivants :

Utilisation des instances Vertex AI Workbench. Consultez les tarifs de Vertex AI pricing.
Utilisation de l'informatique confidentielle. Consultez les tarifs de Confidential VM pricing.

Étape suivante

Pour utiliser un notebook pour vous aider à démarrer avec Vertex AI et d'autres Google Cloud services, consultez les tutoriels sur les notebooks Vertex AI.
Pour vérifier l'état de votre instance Vertex AI Workbench, consultez Surveiller l'état.