컨피덴셜 VM과 함께 GPU를 사용하려면 a3-highgpu-1g 머신 유형을 기반으로 스팟 또는 플렉스 시작 프로비저닝 모델을 사용하여 컨피덴셜 VM 인스턴스를 만들고 Intel TDX를 사용해야 합니다. VM 인스턴스를 만든 후 연결된 GPU에서 컨피덴셜 컴퓨팅 모드를 사용 설정합니다.
스팟 또는 flex-start 모델을 사용하여 VM 인스턴스를 만들려면 다음 단계를 따르세요.
스팟 모델을 사용하려면 가속기 최적화 스팟 VM 인스턴스를 만드세요. 자세한 단계는 스팟 모델을 참고하세요.
flex-start 모델을 사용하려면 관리형 인스턴스 그룹 (MIG)을 만드세요. 자세한 단계는 유연한 시작 모델을 참고하세요.
스팟 모델
gcloud
gcloud CLI를 사용하여 가속기 최적화 Spot VM 인스턴스를 만들려면 --provisioning-model
플래그와 함께 instances create
하위 명령어를 사용합니다.
gcloud compute instances create VM_NAME \
--provisioning-model=SPOT \
--image-family=IMAGE_FAMILY_NAME \
--image-project=IMAGE_PROJECT \
--machine-type=a3-highgpu-1g \
--zone=ZONE \
--maintenance-policy=TERMINATE \
--boot-disk-size=30G \
--confidential-compute-type=TDX
다음 값을 제공합니다.
VM_NAME
: 새 VM 인스턴스의 이름입니다.IMAGE_PROJECT
: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud
이미지 프로젝트를 사용하는 것이 좋습니다. Container-Optimized OS 이미지에confidential-vm-images
이미지 프로젝트를 선택적으로 사용할 수 있습니다.IMAGE_FAMILY_NAME
: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud
이미지 프로젝트를 사용하는 경우ubuntu-2204-lts
이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images
프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts
이미지 계열을 사용합니다.ZONE
: VM을 만들 지원되는 영역입니다.
REST
스팟 VM 인스턴스를 만들려면 적절한 본문 콘텐츠와 함께 다음 POST 요청을 전송합니다.
HTTP 메서드 및 URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
JSON 요청 본문:
{
"name": "VM_NAME",
"confidentialInstanceConfig": {
"confidentialInstanceType": "TDX"
},
"scheduling": {
"onHostMaintenance": "TERMINATE",
"provisioningModel": "SPOT"
},
"disks": [
{
"type": "PERSISTENT",
"autoDelete": true,
"index": 0,
"boot": true,
"kind": "compute#attachedDisk",
"mode": "READ_WRITE",
"initializeParams": {
"sourceImage": "projects/IMAGE_PROJECT/global/images/family/IMAGE_FAMILY_NAME",
"diskSizeGb": "30"
}
}
],
"networkInterfaces": [
{
"name": "nic0",
"network": "projects/PROJECT_ID/global/networks/default",
"accessConfigs": [
{
"name": "external-nat",
"type": "ONE_TO_ONE_NAT",
"kind": "compute#accessConfig",
"networkTier": "PREMIUM"
}
],
"kind": "compute#networkInterface"
}
],
"machineType": "zones/ZONE/machineTypes/a3-highgpu-1g",
}
다음 값을 제공합니다.
VM_NAME
: 새 VM 인스턴스 템플릿의 이름입니다.IMAGE_PROJECT
: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud
이미지 프로젝트를 사용하는 것이 좋습니다. Container-Optimized OS 이미지에confidential-vm-images
이미지 프로젝트를 선택적으로 사용할 수 있습니다.IMAGE_FAMILY_NAME
: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud
이미지 프로젝트를 사용하는 경우ubuntu-2204-lts
이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images
프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts
이미지 계열을 사용합니다.PROJECT_ID
: 선택사항. VM을 만들 프로젝트의 ID입니다.ZONE
: VM을 만들 지원되는 영역입니다.
유연한 시작 모델
flex-start 모델을 사용하려면 인스턴스 템플릿을 만든 다음 해당 템플릿을 사용하여 MIG를 만듭니다. 그런 다음 크기 조절 요청을 사용하여 GPU VM 인스턴스를 MIG에 추가할 수 있습니다.
flex-start 프로비저닝 모델과 함께 MIG 크기 조절 요청을 사용하면 GPU VM 인스턴스를 확보할 수 있는 가능성이 높아집니다. 자세한 내용은 MIG의 크기 조절 요청 정보를 참조하세요.
시작하기 전에
- 요청 중인 리소스에 대해 GPU 할당량이 충분한지 확인하려면 GPU 할당량을 확인하세요.
GPU가 있는 컨피덴셜 VM 인스턴스의 경우 선점형 GPU 할당량을 요청하여 리소스를 사용합니다. GPU 할당량을 요청하는 경우 각 리전에 생성하려는 GPU 모델의 할당량 외에도 모든 리전에 있는 모든 유형의 총 GPU 수에 적용할 전역 할당량 (
GPUs (all regions)
)을 추가로 요청해야 합니다. - 할당량 소비를 알아보려면 GPU VM 및 선점형 배정 할당량을 참고하세요.
- MIG 생성 기본 요건과 MIG에서 크기 조절 요청을 생성할 때 적용되는 제한사항을 참고하세요.
GPU VM 인스턴스로 MIG 만들기
인스턴스 템플릿을 만든 다음 템플릿을 사용하여 MIG를 만들려면 다음 단계를 완료하세요.
인스턴스 템플릿을 만듭니다.
gcloud
gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \ --machine-type=a3-highgpu-1g \ --image-project=IMAGE_PROJECT \ --image-family=IMAGE_FAMILY_NAME \ --maintenance-policy=TERMINATE \ --reservation-affinity=none \ --boot-disk-size=30G \ --confidential-compute-type=TDX \ --project=PROJECT_ID
보안 부팅을 사용 설정하려면 VM 인스턴스 부팅에
--shielded-secure-boot
플래그를 선택적으로 사용할 수 있습니다.다음 값을 제공합니다.
INSTANCE_TEMPLATE_NAME
: 새 VM 인스턴스 템플릿의 이름입니다.IMAGE_PROJECT
: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud
이미지 프로젝트를 사용하는 것이 좋습니다. Container-Optimized OS 이미지에confidential-vm-images
이미지 프로젝트를 선택적으로 사용할 수 있습니다.IMAGE_FAMILY_NAME
: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud
이미지 프로젝트를 사용하는 경우ubuntu-2204-lts
이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images
프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts
이미지 계열을 사용합니다.PROJECT_ID
: 선택사항. VM을 만들 프로젝트의 ID입니다.
REST
컨피덴셜 VM 인스턴스 템플릿을 만들려면 적절한 본문 콘텐츠와 함께 다음 POST 요청을 전송하세요.
HTTP 메서드 및 URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ZONE_NAME/instanceTemplates
JSON 요청 본문:
{ "name": "INSTANCE_TEMPLATE_NAME", "properties": { "confidentialInstanceConfig": { "confidentialInstanceType": "TDX" }, "scheduling": { "onHostMaintenance": "TERMINATE", "provisioningModel": "STANDARD", "automaticRestart": true, "preemptible": false }, "disks": [ { "type": "PERSISTENT", "autoDelete": true, "index": 0, "boot": true, "kind": "compute#attachedDisk", "mode": "READ_WRITE", "initializeParams": { "sourceImage": "projects/IMAGE_PROJECT/global/images/family/IMAGE_FAMILY_NAME", "diskSizeGb": "30" } } ], "networkInterfaces": [ { "name": "nic0", "network": "projects/PROJECT_ID/global/networks/default", "accessConfigs": [ { "name": "external-nat", "type": "ONE_TO_ONE_NAT", "kind": "compute#accessConfig", "networkTier": "PREMIUM" } ], "kind": "compute#networkInterface" } ], "reservationAffinity": { "consumeReservationType": "NO_RESERVATION" }, "canIpForward": false, "machineType": "a3-highgpu-1g", "metadata": { "fingerprint": "3y_uc6s9Qvs=", "kind": "compute#metadata" } } }
보안 부팅을 사용 설정하려면 VM 인스턴스 부팅에 다음 객체를 선택적으로 포함하면 됩니다.
"shieldedInstanceConfig": { "enableIntegrityMonitoring": true, "enableSecureBoot": true, "enableVtpm": true }
다음 값을 제공합니다.
INSTANCE_TEMPLATE_NAME
: 새 VM 인스턴스 템플릿의 이름입니다.IMAGE_PROJECT
: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud
이미지 프로젝트를 사용하는 것이 좋습니다. Container-Optimized OS 이미지에confidential-vm-images
이미지 프로젝트를 선택적으로 사용할 수 있습니다.IMAGE_FAMILY_NAME
: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud
이미지 프로젝트를 사용하는 경우ubuntu-2204-lts
이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images
프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts
이미지 계열을 사용합니다.PROJECT_ID
: 선택사항. VM을 만들 프로젝트의 ID입니다.ZONE
: MIG를 만들 지원되는 영역입니다.
MIG 및 크기 조절 요청을 만들어 GPU VM 인스턴스를 한 번에 모두 추가합니다.
MIG에 있는 인스턴스를 나열합니다.
gcloud
gcloud compute instance-groups managed list-instances INSTANCE_GROUP_NAME \ --zone=ZONE \ --project=PROJECT_ID
다음 값을 제공합니다.
INSTANCE_GROUP_NAME
: MIG 이름입니다.ZONE
: VM 인스턴스 목록을 가져올 지원되는 영역입니다.PROJECT_ID
: 선택사항. VM 인스턴스 목록을 가져올 프로젝트의 ID입니다.
REST
모든 인스턴스를 나열하려면 다음 GET 요청을 전송합니다.
HTTP 메서드 및 URL:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/instanceTemplates
인스턴스 목록을 특정 영역으로 좁히려면 다음 GET 요청을 보냅니다.
HTTP 메서드 및 URL:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ZONE/instanceTemplates
다음 값을 제공합니다.
ZONE
: VM 인스턴스 목록을 가져올 지원되는 영역입니다.PROJECT_ID
: VM 인스턴스 목록을 가져올 프로젝트의 ID입니다.
GPU에서 컨피덴셜 컴퓨팅 모드 사용 설정
gcloud compute ssh 명령어를 사용하여 MIG의 VM 인스턴스에 연결합니다.
gcloud compute ssh
패키지 목록을 업데이트하고 필요한 도구와 라이브러리를 설치합니다.
sudo apt-get update --yes sudo apt-get install linux-headers-$(uname -r) sudo apt install -y build-essential libxml2 libncurses5-dev pkg-config libvulkan1 gcc-12
VM 인스턴스에 적절한 GPU 드라이버를 설치합니다. 보안 부팅이 사용 설정된 VM 인스턴스의 경우 GPU 드라이버 설치 (보안 부팅 VM)를 참고하세요.
nvidia-550-server-open
드라이버 버전을 사용하는 것이 좋습니다.GPU와 GPU 드라이버 간의 보안 통신을 구성하려면 Linux 커널 암호화 API (LKCA)를 사용 설정하세요.
echo "install nvidia /sbin/modprobe ecdsa_generic; /sbin/modprobe ecdh; /sbin/modprobe --ignore-install nvidia" | sudo tee /etc/modprobe.d/nvidia-lkca.conf sudo update-initramfs -u
GPU와 GPU 드라이버 간의 보안 보안 프로토콜 및 데이터 모델 (SPDM) 연결을 보장하려면 지속성 모드를 사용 설정하세요.
sudo test -f /usr/lib/systemd/system/nvidia-persistenced.service && sudo sed -i "s/no-persistence-mode/uvm-persistence-mode/g" /usr/lib/systemd/system/nvidia-persistenced.service sudo systemctl daemon-reload
LKCA 및 영구 모드 구성을 적용하려면 VM 인스턴스를 재부팅합니다.
sudo reboot
(선택사항) 다음 CUDA 샘플을 설치합니다.
wget -O cuda-samples.tar.gz https://github.com/NVIDIA/cuda-samples/archive/refs/tags/v12.5.tar.gz tar xzvf cuda-samples.tar.gz
다음 단계
- GPU에서 비밀 모드가 사용 설정되어 있는지 확인하는 방법을 알아봅니다.