透過使用者自行管理的筆記本使用受防護的虛擬機器

受防護的 VM 能為 Compute Engine VM 執行個體提供可驗證的完整性，因此無須擔心執行個體遭受啟動或核心層級的惡意軟體或 Rootkit 入侵。受防護的 VM 會運用安全啟動、啟用虛擬信任平台模組 (vTPM) 的測量啟動及完整性監控等功能，達到可驗證的完整性。

詳情請參閱受防護的 VM。

需求條件和限制

如要搭配使用者管理的筆記本使用受防護的 VM，您必須建立搭載 Debian 10 OS 的 Deep Learning VM 映像檔，且版本為 M51 以上。

使用 Vertex AI Workbench 時，您無法使用採用 GPU 加速器的受保護 VM 使用者自行管理的筆記本執行個體。

使用受防護的 VM 建立使用者管理的筆記本執行個體

如要建立可與使用者管理的筆記本搭配使用的受防護 VM，請完成下列步驟：

1. 選取執行個體要使用的映像檔系列。使用下列 Google Cloud CLI 指令，列出與使用者管理筆記本和受防護 VM 相容的可用映像檔系列。您可以在 Cloud Shell 或任何已安裝 Google Cloud CLI 的環境中執行指令。

   gcloud compute images list \
       --project deeplearning-platform-release \
       --no-standard-images | grep debian-10

2. 使用下列指令建立 Compute Engine 執行個體。

   gcloud compute instances create nb-legacy2 \
       --image-project=deeplearning-platform-release \
       --image-family=MY_IMAGE_FAMILY \
       --metadata="proxy-mode=service_account" \
       --scopes=https://www.googleapis.com/auth/cloud-platform \
       --shielded-secure-boot \
       --zone=MY_ZONE

   更改下列內容：

   • MY_IMAGE_FAMILY：您要用來建立 VM 的映像檔系列名稱
   • MY_ZONE：您希望執行個體所在的可用區

3. 使用 Notebooks API 註冊 Compute Engine VM。

後續步驟

• 進一步瞭解使用者管理的筆記本映像檔系列。

• 進一步瞭解如何修改受防護的 VM 選項。