Membuat instance Confidential VM dengan GPU

Untuk menggunakan GPU dengan Confidential VM, Anda harus membuat instance Confidential VM menggunakan model penyediaan spot atau flex-start berdasarkan jenis mesin a3-highgpu-1g dan menggunakan Intel TDX. Setelah membuat instance VM, Anda kemudian mengaktifkan mode confidential computing pada GPU yang terpasang.

Untuk membuat instance VM menggunakan model spot atau flex-start, lakukan hal berikut:

• Untuk menggunakan model spot, buat instance Spot VM yang dioptimalkan akselerator. Untuk mengetahui langkah-langkah detailnya, lihat Model spot.

• Untuk menggunakan model mulai fleksibel, buat grup instance terkelola (MIG). Untuk mengetahui langkah-langkah mendetail, lihat Model mulai fleksibel.

Model spot

  gcloud compute instances create VM_NAME \
      --provisioning-model=SPOT \
      --image-family=IMAGE_FAMILY_NAME \
      --image-project=IMAGE_PROJECT \
      --machine-type=a3-highgpu-1g \
      --zone=ZONE \
      --maintenance-policy=TERMINATE \
      --boot-disk-size=30G \
      --confidential-compute-type=TDX

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

  {
    "name": "VM_NAME",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": "TDX"
    },
    "scheduling": {
      "onHostMaintenance": "TERMINATE",
      "provisioningModel": "SPOT"
    },
    "disks": [
      {
        "type": "PERSISTENT",
        "autoDelete": true,
        "index": 0,
        "boot": true,
        "kind": "compute#attachedDisk",
        "mode": "READ_WRITE",
        "initializeParams": {
          "sourceImage": "projects/IMAGE_PROJECT/global/images/family/IMAGE_FAMILY_NAME",
          "diskSizeGb": "30"
        }
      }
    ],
    "networkInterfaces": [
      {
        "name": "nic0",
        "network": "projects/PROJECT_ID/global/networks/default",
        "accessConfigs": [
          {
            "name": "external-nat",
            "type": "ONE_TO_ONE_NAT",
            "kind": "compute#accessConfig",
            "networkTier": "PREMIUM"
          }
        ],
        "kind": "compute#networkInterface"
      }
    ],
    "machineType": "zones/ZONE/machineTypes/a3-highgpu-1g",
  }

Model flex-start

Untuk menggunakan model mulai fleksibel, buat template instance, lalu buat MIG menggunakan template tersebut. Kemudian, Anda dapat menambahkan instance VM GPU ke MIG menggunakan permintaan pengubahan ukuran.

Menggunakan permintaan pengubahan ukuran MIG dengan model penyediaan flex-start akan meningkatkan ketersediaan instance VM GPU. Untuk mengetahui informasi selengkapnya, lihat Tentang permintaan pengubahan ukuran di MIG.

Sebelum memulai

• Untuk memastikan Anda memiliki kuota GPU yang cukup untuk resource yang Anda minta, periksa kuota GPU Anda. Untuk instance Confidential VM dengan GPU, minta kuota preemptible GPU untuk menggunakan resource tersebut. Saat meminta kuota GPU, Anda harus meminta kuota untuk model GPU yang ingin dibuat di setiap region, dan kuota global tambahan (GPUs (all regions)) untuk jumlah total semua jenis GPU di semua region.
• Untuk memahami penggunaan kuota, baca artikel VM GPU dan kuota alokasi preemptible.
• Lihat prasyarat untuk membuat MIG dan batasan untuk membuat permintaan pengubahan ukuran di MIG.

Membuat MIG dengan instance VM GPU

Untuk membuat template instance, lalu menggunakan template tersebut untuk membuat MIG, selesaikan langkah-langkah berikut.

1. Membuat template instance.

   gcloud

   gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \
       --machine-type=a3-highgpu-1g \
       --image-project=IMAGE_PROJECT \
       --image-family=IMAGE_FAMILY_NAME \
       --maintenance-policy=TERMINATE \
       --reservation-affinity=none \
       --boot-disk-size=30G \
       --confidential-compute-type=TDX \
       --project=PROJECT_ID
   

   Untuk mengaktifkan Booting Aman, Anda dapat menggunakan flag --shielded-secure-boot untuk booting instance VM (opsional).

   Berikan nilai berikut:

   • INSTANCE_TEMPLATE_NAME: Nama template instance VM baru.

   • IMAGE_PROJECT: Project yang berisi image sistem operasi yang didukung. Sebaiknya gunakan project gambar ubuntu-os-cloud untuk image Ubuntu. Anda dapat secara opsional menggunakan project image confidential-vm-images untuk image Container-Optimized OS.

   • IMAGE_FAMILY_NAME: Kelompok untuk image sistem operasi yang didukung Confidential VM. Saat menggunakan project image ubuntu-os-cloud, sebaiknya gunakan kelompok image ubuntu-2204-lts. Untuk image Container-Optimized OS dari project confidential-vm-images, gunakan kelompok image cos-tdx-113-lts.

   • PROJECT_ID: Opsional. ID project tempat VM dibuat.

   REST

   Untuk membuat template instance Confidential VM, kirim permintaan POST berikut dengan konten isi yang sesuai.

   Metode HTTP dan URL:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ZONE_NAME/instanceTemplates
   

   Meminta isi JSON:

   {
     "name": "INSTANCE_TEMPLATE_NAME",
     "properties": {
       "confidentialInstanceConfig": {
         "confidentialInstanceType": "TDX"
       },
       "scheduling": {
         "onHostMaintenance": "TERMINATE",
         "provisioningModel": "STANDARD",
         "automaticRestart": true,
         "preemptible": false
       },
       "disks": [
         {
           "type": "PERSISTENT",
           "autoDelete": true,
           "index": 0,
           "boot": true,
           "kind": "compute#attachedDisk",
           "mode": "READ_WRITE",
           "initializeParams": {
             "sourceImage": "projects/IMAGE_PROJECT/global/images/family/IMAGE_FAMILY_NAME",
             "diskSizeGb": "30"
           }
         }
       ],
       "networkInterfaces": [
         {
           "name": "nic0",
           "network": "projects/PROJECT_ID/global/networks/default",
           "accessConfigs": [
             {
               "name": "external-nat",
               "type": "ONE_TO_ONE_NAT",
               "kind": "compute#accessConfig",
               "networkTier": "PREMIUM"
             }
           ],
           "kind": "compute#networkInterface"
         }
       ],
       "reservationAffinity": {
         "consumeReservationType": "NO_RESERVATION"
       },
       "canIpForward": false,
       "machineType": "a3-highgpu-1g",
       "metadata": {
         "fingerprint": "3y_uc6s9Qvs=",
         "kind": "compute#metadata"
       }
     }
   }
   

   Untuk mengaktifkan Booting Aman, Anda dapat secara opsional menyertakan objek berikut untuk booting instance VM.

     "shieldedInstanceConfig": {
       "enableIntegrityMonitoring": true,
       "enableSecureBoot": true,
       "enableVtpm": true
     }
   

   Berikan nilai berikut:

   • INSTANCE_TEMPLATE_NAME: Nama template instance VM baru.

   • IMAGE_PROJECT: Project yang berisi image sistem operasi yang didukung. Sebaiknya gunakan project gambar ubuntu-os-cloud untuk image Ubuntu. Anda dapat secara opsional menggunakan project image confidential-vm-images untuk image Container-Optimized OS.

   • IMAGE_FAMILY_NAME: Kelompok untuk image sistem operasi yang didukung Confidential VM. Saat menggunakan project image ubuntu-os-cloud, sebaiknya gunakan kelompok image ubuntu-2204-lts. Untuk image Container-Optimized OS dari project confidential-vm-images, gunakan kelompok image cos-tdx-113-lts.

   • PROJECT_ID: Opsional. ID project tempat VM dibuat.

   • ZONE: Zona yang didukung untuk membuat MIG.

2. Buat MIG dan permintaan pengubahan ukuran untuk menambahkan instance VM GPU sekaligus.

3. Mencantumkan instance yang ada di MIG.

   gcloud

   gcloud compute instance-groups managed list-instances INSTANCE_GROUP_NAME \
       --zone=ZONE \
       --project=PROJECT_ID
   

   Berikan nilai berikut:

   • INSTANCE_GROUP_NAME: Nama MIG.

   • ZONE: Zona yang didukung untuk mendapatkan daftar instance VM.

   • PROJECT_ID: Opsional. ID project untuk mendapatkan daftar instance VM.

   REST

   Untuk mencantumkan semua instance, kirim permintaan GET berikut.

   Metode HTTP dan URL:

   GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/instanceTemplates
   

   Untuk mempersempit daftar instance ke zona tertentu, kirim permintaan GET berikut.

   Metode HTTP dan URL:

   GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ZONE/instanceTemplates
   

   Berikan nilai berikut:

   • ZONE: Zona yang didukung untuk mendapatkan daftar instance VM.

   • PROJECT_ID: ID project tempat daftar instance VM diambil.

Mengaktifkan mode komputasi rahasia di GPU

1. Hubungkan ke instance VM di MIG menggunakan perintah gcloud compute ssh.

   gcloud compute ssh
   

2. Perbarui daftar paket dan instal alat serta library yang diperlukan.

   sudo apt-get update --yes
   sudo apt-get install linux-headers-$(uname -r)
   sudo apt install -y build-essential libxml2 libncurses5-dev pkg-config libvulkan1 gcc-12
   

3. Instal driver GPU yang sesuai pada instance VM. Untuk instance VM yang mengaktifkan Booting Aman, lihat Menginstal driver GPU (VM Booting Aman). Sebaiknya gunakan versi driver nvidia-550-server-open.

4. Untuk mengonfigurasi komunikasi yang aman antara GPU dan driver GPU, aktifkan Linux Kernel Crypto API (LKCA).

   echo "install nvidia /sbin/modprobe ecdsa_generic; /sbin/modprobe ecdh; /sbin/modprobe --ignore-install nvidia" | sudo tee /etc/modprobe.d/nvidia-lkca.conf
   sudo update-initramfs -u
   

5. Untuk memastikan koneksi Security Protocol and Data Model (SPDM) yang aman antara GPU dan driver GPU, aktifkan mode persistensi.

   sudo test -f /usr/lib/systemd/system/nvidia-persistenced.service && sudo sed -i "s/no-persistence-mode/uvm-persistence-mode/g" /usr/lib/systemd/system/nvidia-persistenced.service
   sudo systemctl daemon-reload
   

6. Mulai ulang instance VM untuk menerapkan konfigurasi mode persistensi dan LKCA.

   sudo reboot
   

7. (Opsional) Instal contoh CUDA berikut.

   wget -O cuda-samples.tar.gz https://github.com/NVIDIA/cuda-samples/archive/refs/tags/v12.5.tar.gz
   tar xzvf cuda-samples.tar.gz
   

Langkah berikutnya

• Pelajari cara memverifikasi bahwa mode rahasia diaktifkan di GPU.