创建启用了机密计算功能的实例

本文档介绍如何创建启用了机密计算功能的 Gemini Enterprise Agent Platform Workbench 实例。

概览

机密计算是一种通过基于硬件的可信执行环境 (TEE) 来保护使用中的数据的方法。TEE 是安全且独立的环境,可防止对使用中的应用和数据进行未经授权的访问或修改。此安全标准由 机密计算 联盟定义。

如果创建启用了机密计算功能的 Agent Platform Workbench 实例,该新创建的 Agent Platform Workbench 实例将是机密虚拟机实例。如需详细了解 机密虚拟机实例,请参阅机密虚拟机 概览

准备工作

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud的新用户, 请创建一个账号,以评估我们的产品在 实际场景中的表现。新客户还可以获得 300 美元的免费抵用金,用于 运行、测试和部署工作负载。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Notebooks APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Notebooks APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

所需的角色

如需获得创建 Agent Platform Workbench 实例所需的权限,请让您的管理员为您授予项目的Notebooks Runner (roles/notebooks.runner) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建实例

您可以使用 Google Cloud 控制台、gcloud CLI 或 REST API 创建启用了机密计算功能的实例:

控制台

如需创建启用了机密计算功能的 Agent Platform Workbench 实例,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往实例页面。

    转到实例

  2. 点击  新建

  3. 新建实例对话框中,点击高级选项

  4. 创建实例 对话框的机器类型 部分中,选择 N2D 机器类型。仅支持 N2D 机器类型。

  5. 机密虚拟机服务 下,选择 启用机密计算

  6. 启用机密计算 对话框中,点击启用

  7. 点击创建

    Agent Platform Workbench 会创建实例并自动启动该实例。 当实例可供使用时,Agent Platform Workbench 会激活一个打开 JupyterLab 链接。

gcloud

如需创建启用了 机密计算功能的 Agent Platform Workbench 实例,请使用 gcloud workbench instances create 命令并将 --confidential-compute-type 设置为 SEV

在使用下面的命令数据之前, 请先进行以下替换:

  • INSTANCE_NAME:Agent Platform Workbench 实例的名称;必须以字母开头,后面最多可跟 62 个小写字母、数字或连字符 (-),但不能以连字符结尾
  • PROJECT_ID:您的项目 ID
  • LOCATION:您希望实例所在的可用区
  • MACHINE_TYPE:实例虚拟机的机器类型,例如 n2d-standard-2

执行以下命令:

Linux、macOS 或 Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Agent Platform Workbench 会创建实例并自动启动该实例。 当实例可供使用时,Agent Platform Workbench 会在控制台中激活一个打开 JupyterLab链接。 Google Cloud

REST

如需创建启用了 机密计算功能的 Agent Platform Workbench 实例,请使用 projects.locations.instances.create 方法,并在 GceSetup中添加 confidentialInstanceConfig

在使用任何请求数据之前, 请先进行以下替换:

  • PROJECT_ID:您的项目 ID
  • LOCATION:您希望实例所在的可用区
  • MACHINE_TYPE:实例虚拟机的机器类型,例如 n2d-standard-2

HTTP 方法和网址:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

请求 JSON 正文: 

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

如需发送请求,请选择以下方式之一:

curl

将请求正文保存在名为 request.json 的文件中,然后执行以下命令: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

将请求正文保存在名为 request.json 的文件中,然后执行以下命令:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Agent Platform Workbench 会创建实例并自动启动该实例。 当实例可供使用时,Agent Platform Workbench 会在控制台中激活一个打开 JupyterLab链接。 Google Cloud

确认实例是否已启用机密计算功能

如需确认 Agent Platform Workbench 实例是否已启用机密计算功能,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往实例页面。

    转到实例

  2. 实例名称列中,点击要检查的实例的名称。

    实例详情页面会打开。

  3. 点击虚拟机详情旁边的在 Compute Engine 中查看

  4. 在 Compute Engine 详情页面上,机密虚拟机服务的值显示为 EnabledDisabled

限制

创建或使用启用了机密计算功能的 Agent Platform Workbench 实例时,存在以下局限性:

  • 仅支持 N2D 机器类型。请参阅 N2D 机器类型

  • 仅支持 AMD SEV 机密计算技术。如需了解更多 信息,请参阅 AMD SEV

  • 创建 Agent Platform Workbench 实例后,无法启用或停用机密计算功能。

结算

使用启用了机密计算功能的 Agent Platform Workbench 实例时,您需要为以下各项支付费用:

后续步骤

  • 如需使用笔记本帮助您开始使用 Gemini Enterprise Agent Platform 和 其他 Google Cloud 服务,请参阅 Agent Platform 笔记本教程
  • 如需检查 Agent Platform Workbench 实例的健康状况, 请参阅监控健康状况