Vertex AI sta diventando parte di Gemini Enterprise Agent Platform. Per informazioni aggiornate, consulta la documentazione di Agent Platform.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Creare un'istanza con Confidential Computing

Questo documento descrive come creare un'istanza di Vertex AI Workbench con Confidential Computing abilitato.

Panoramica

Confidential Computing protegge i dati in uso con il Trusted Execution Environment (TEE) basato su hardware. I TEE sono ambienti sicuri e isolati che impediscono l'accesso o la modifica non autorizzati di applicazioni e dati durante l'utilizzo. Questo standard di sicurezza è definito dal Confidential Computing Consortium.

Quando crei un'istanza di Vertex AI Workbench con Confidential Computing abilitato, la nuova istanza di Vertex AI Workbench è un'istanza Confidential VM. Per saperne di più sulle istanze Confidential VM, consulta la panoramica di Confidential VM.

Prima di iniziare

Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per eseguire, testare e implementare carichi di lavoro.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un'istanza di Vertex AI Workbench, chiedi all'amministratore di concederti il ruolo IAM Notebooks Runner (roles/notebooks.runner) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea un'istanza

Puoi creare un'istanza con Confidential Computing abilitato utilizzando la Google Cloud console, gcloud CLI o l'API REST:

Console

Per creare un'istanza di Vertex AI Workbench con Confidential Computing abilitato:

Nella Google Cloud console, vai alla pagina Istanze.

Vai a Istanze
Fai clic su Crea nuova.
Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione Tipo di macchina , seleziona un tipo di macchina N2D. Sono supportati solo i tipi di macchine N2D.
In Servizio Confidential VM, seleziona Abilita Confidential Computing.
Nella finestra di dialogo Abilita Confidential Computing, fai clic su Abilita.
Fai clic su Crea.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.

gcloud

Per creare un'istanza di Vertex AI Workbench con Confidential Computing abilitato, utilizza il gcloud workbench instances create comando e imposta --confidential-compute-type su SEV.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

INSTANCE_NAME: il nome dell'istanza di Vertex AI Workbench; deve iniziare con una lettera seguita da un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino
PROJECT_ID: il tuo ID progetto
LOCATION: la zona in cui vuoi che si trovi l'istanza
MACHINE_TYPE: il tipo di macchina della VM dell'istanza, ad esempio: n2d-standard-2

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella Google Cloud console.

REST

Per creare un'istanza di Vertex AI Workbench con Confidential Computing abilitato, utilizza il projects.locations.instances.create metodo e includi un confidentialInstanceConfig in GceSetup.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

PROJECT_ID: il tuo ID progetto
LOCATION: la zona in cui vuoi che si trovi l'istanza
MACHINE_TYPE: il tipo di macchina della VM dell'istanza, ad esempio: n2d-standard-2

Metodo HTTP e URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corpo JSON della richiesta:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Per inviare la richiesta, scegli una di queste opzioni:

curl

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, e quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella Google Cloud console.

Verificare se Confidential Computing è abilitato per un'istanza

Per verificare se Confidential Computing è abilitato per un'istanza di Vertex AI Workbench:

Nella Google Cloud console, vai alla pagina Istanze.

Vai a Istanze
Nella colonna Nome istanza, fai clic sul nome dell'istanza che vuoi controllare.

Viene visualizzata la pagina Dettagli istanza.
Accanto a Dettagli VM, fai clic su Visualizza in Compute Engine.
Nella pagina dei dettagli di Compute Engine, il valore di Servizio Confidential VM mostra Enabled o Disabled.

Limitazioni

Quando crei o utilizzi un'istanza di Vertex AI Workbench con Confidential Computing abilitato, si applicano le seguenti limitazioni:

Sono supportati solo i tipi di macchine N2D. Vedi Tipi di macchine N2D.
È supportata solo la tecnologia di Confidential Computing AMD SEV. Per saperne di più, vedi AMD SEV.
Non è possibile abilitare o disattivare Confidential Computing dopo aver creato l'istanza di Vertex AI Workbench.

Fatturazione

Quando utilizzi le istanze di Vertex AI Workbench con Confidential Computing, ti vengono addebitati i costi seguenti:

Utilizzo delle istanze di Vertex AI Workbench. Vedi Prezzi di Vertex AI.
Utilizzo di Confidential Computing. Vedi Prezzi di Confidential VM.

Passaggi successivi

Per utilizzare un notebook che ti aiuti a iniziare a utilizzare Vertex AI e altri Google Cloud servizi, vedi Tutorial sui notebook di Vertex AI.
Per controllare lo stato di integrità dell'istanza di Vertex AI Workbench, vedi Monitorare lo stato di integrità.