Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Criar uma instância com a Computação confidencial

Este documento descreve como criar uma instância do Gemini Enterprise Agent Platform Workbench com a Computação confidencial ativada.

Visão geral

A Computação confidencial é a proteção dos dados em uso com o ambiente de execução confiável (TEE) baseado em hardware. Os TEEs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizada de aplicativos e dados enquanto estão em uso. Esse padrão de segurança é definido pelo Consórcio de Computação Confidencial.

Quando você cria uma instância do Agent Platform Workbench com a Computação confidencial ativada, a nova instância é uma instância de VM confidencial. Para saber mais sobre instâncias de VM confidencial, consulte a Visão geral de VM confidencial.

Antes de começar

Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Funções exigidas

Para receber as permissões necessárias para criar uma instância do Agent Platform Workbench, peça ao administrador para conceder a você o papel do IAM Notebooks Runner (roles/notebooks.runner) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Criar uma instância

É possível criar uma instância com a Computação confidencial ativada usando o console do Google Cloud , a CLI gcloud ou a API REST:

Console

Para criar uma instância do Agent Platform Workbench com a computação confidencial ativada, faça o seguinte:

No console do Google Cloud , acesse a página Instâncias.

Acesse "Instâncias"
Clique em Criar.
Na caixa de diálogo Nova instância, clique em Opções avançadas.
Na caixa de diálogo Criar instância, na seção Tipo de máquina, selecione um tipo de máquina N2D. Somente tipos de máquinas N2D são compatíveis.
Em Serviço de VM confidencial, selecione Ativar a Computação confidencial.
Na caixa de diálogo Ativar Computação confidencial, clique em Ativar.
Clique em Criar.

O Workbench da plataforma do agente cria e inicia uma instância automaticamente. Quando a instância estiver pronta para uso, o Agent Platform Workbench vai ativar um link Abrir JupyterLab.

gcloud

Para criar uma instância do Workbench da Plataforma de Agentes com a Computação confidencial ativada, use o comando gcloud workbench instances create e defina --confidential-compute-type como SEV.

Antes de usar os dados do comando abaixo, faça estas substituições:

INSTANCE_NAME: o nome da sua instância do Agent Platform Workbench. Precisa começar com uma letra seguida por até 62 letras minúsculas, números ou hifens (-) e não pode terminar com um hífen.
PROJECT_ID: ID do projeto;
LOCATION: a zona em que você quer que a instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

O Workbench da plataforma do agente cria e inicia uma instância automaticamente. Quando a instância estiver pronta para uso, o Agent Platform Workbench vai ativar um link Abrir JupyterLab no console Google Cloud .

REST

Para criar uma instância do Workbench da Plataforma de Agentes com a Computação confidencial ativada, use o método projects.locations.instances.create e inclua um confidentialInstanceConfig no seu GceSetup.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_ID: ID do projeto;
LOCATION: a zona em que você quer que a instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

Método HTTP e URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corpo JSON da solicitação:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Para enviar a solicitação, escolha uma destas opções:

curl

Observação: o comando a seguir pressupõe que você tenha feito login na gcloud CLI com sua conta de usuário executando gcloud init ou gcloud auth login ou usando o Cloud Shell, que faz login automaticamente na gcloud CLI. Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Observação: o comando a seguir pressupõe que você fez login na gcloud CLI com sua conta de usuário executando gcloud init ou gcloud auth login. Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Confirmar se uma instância tem a Computação confidencial ativada

Para confirmar se uma instância do Agent Platform Workbench tem a Computação confidencial ativada, faça o seguinte:

No console do Google Cloud , acesse a página Instâncias.

Acesse "Instâncias"
Na coluna Nome da instância, clique no nome da instância que você quer verificar.

A página Detalhes da instância é aberta.
Ao lado de Detalhes da VM, clique em Ver no Compute Engine.
Na página de detalhes do Compute Engine, o valor de Serviço de VM confidencial mostra Enabled ou Disabled.

Limitações

Ao criar ou usar uma instância do Workbench do Agent Platform com a computação confidencial ativada, as seguintes limitações se aplicam:

Somente tipos de máquinas N2D são compatíveis. Consulte Tipos de máquina N2D.
Apenas a tecnologia de computação confidencial SEV da AMD é compatível. Para mais informações, consulte AMD SEV.
Não é possível ativar ou desativar a Computação confidencial depois de criar a instância do Agent Platform Workbench.

Faturamento

Ao usar instâncias do Workbench da Agent Platform com Computação confidencial, você recebe cobranças pelos seguintes itens:

Uso de instâncias do Workbench da Agent Platform. Consulte os preços da Agent Platform.
Uso da Computação confidencial. Consulte os preços das VMs confidenciais.

A seguir

Para usar um notebook e começar a usar a plataforma de agentes do Gemini Enterprise e outros serviços do Google Cloud , consulte Tutoriais de notebooks da plataforma de agentes.
Para verificar o status de integridade da instância do Agent Platform Workbench, consulte Monitorar o status de integridade.