Crie uma instância com a computação confidencial

Este documento descreve como criar uma instância do Vertex AI Workbench com a computação confidencial ativada.

Vista geral

A computação confidencial é a proteção de dados em utilização com um ambiente de execução fiável (AEF) baseado em hardware. Os AEFs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizados de aplicações e dados enquanto estão em utilização. Esta norma de segurança é definida pelo Confidential Computing Consortium.

Quando cria uma instância do Vertex AI Workbench com a computação confidencial ativada, a nova instância do Vertex AI Workbench é uma instância de VM confidencial. Para saber mais sobre as instâncias de VM confidenciais, consulte a vista geral da VM confidencial.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Notebooks APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Notebooks APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

    Funções necessárias

    Para receber as autorizações de que precisa para criar uma instância do Vertex AI Workbench, peça ao seu administrador para lhe conceder a função de IAM Notebooks Runner (roles/notebooks.runner) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

    Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

    Crie uma instância

    Pode criar uma instância com a computação confidencial ativada através da CLI gcloud ou da API REST:

    gcloud

    Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o comando gcloud workbench instances create e defina --confidential-compute-type como SEV.

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench; tem de começar por uma letra seguida de até 62 letras minúsculas, números ou hífenes (-) e não pode terminar com um hífen
    • PROJECT_ID: o ID do seu projeto
    • LOCATION: a zona onde quer que a sua instância esteja localizada
    • MACHINE_TYPE: o tipo de máquina da VM da sua instância, por exemplo: n2d-standard-2

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

    O Vertex AI Workbench cria uma instância e inicia-a automaticamente. Quando a instância estiver pronta a usar, o Vertex AI Workbench ativa um link Abrir JupyterLab na Google Cloud consola.

    REST

    Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o método projects.locations.instances.create e inclua um confidentialInstanceConfig no seu GceSetup.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: o ID do seu projeto
    • LOCATION: a zona onde quer que a sua instância esteja localizada
    • MACHINE_TYPE: o tipo de máquina da VM da sua instância, por exemplo: n2d-standard-2

    Método HTTP e URL: 

    POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

    Corpo JSON do pedido: 

    {
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

    Para enviar o seu pedido, escolha uma destas opções:

    curl

    Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

    PowerShell

    Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

    O Vertex AI Workbench cria uma instância e inicia-a automaticamente. Quando a instância estiver pronta a usar, o Vertex AI Workbench ativa um link Abrir JupyterLab na Google Cloud consola.

    Confirme se uma instância tem a computação confidencial ativada

    Para confirmar se uma instância do Vertex AI Workbench tem a computação confidencial ativada, faça o seguinte:

    1. Na Google Cloud consola, aceda à página Instâncias.

      Aceda a Instâncias

    2. Na coluna Nome da instância, clique no nome da instância que quer verificar.

      É apresentada a página Detalhes da instância.

    3. Junto a Detalhes da VM, clique em Ver no Compute Engine.

    4. Na página de detalhes do Compute Engine, o valor do serviço de VM confidencial mostra Enabled ou Disabled.

    Limitações

    Quando cria ou usa uma instância do Vertex AI Workbench com a computação confidencial ativada, aplicam-se as seguintes limitações:

    • Apenas são suportados tipos de máquinas N2D. Consulte os tipos de máquinas N2D.

    • Não é possível ativar nem desativar a computação confidencial depois de criar a instância do Vertex AI Workbench.

    Faturação

    Enquanto esta funcionalidade estiver em pré-visualização, as cobranças pela utilização de instâncias do Vertex AI Workbench com computação confidencial são as mesmas que as da utilização de instâncias sem computação confidencial. Consulte os Preços.

    O que se segue?