Conectarse a una VM de TPU sin una dirección IP pública
Si tu organización tiene una restricción de política de organización constraints/compute.vmExternalIpAccess, debes crear VMs de TPU que no tengan una dirección IP externa. Para conectarte a una VM de TPU sin una dirección IP externa, debes hacer lo siguiente:
- Habilita Acceso privado de Google en la subred en la que crearás una VM de TPU.
- Concede los permisos
roles/iap.tunnelResourceAccessoryroles/tpu.admina los usuarios que se conectarán a las máquinas virtuales de TPU. - Crea una VM de TPU sin dirección IP pública.
- Conéctate a tu VM de TPU mediante la opción
--tunnel-through-iap.
Habilitar Acceso privado de Google
Para usar un IAP, debes habilitar el acceso privado de Google, que te permite conectarte a VMs que no tienen direcciones IP externas. En el siguiente comando, sustituye your-subnet por el nombre de la subred en la que crearás la VM de TPU y your-region por la región en la que se ubicará la VM de TPU.
gcloud compute networks subnets update your-subnet \ --region=your-region \ --enable-private-ip-google-access
Conceder permisos
Los usuarios que necesiten conectarse a las VMs de TPU mediante SSH y que no tengan direcciones IP públicas deben tener asignado el rol iap.tunnelResourceAccessor. Para obtener más información sobre cómo conceder un rol, consulta el artículo Conceder un rol de gestión de identidades y accesos.
Crear una VM de TPU sin dirección IP pública
El siguiente comando muestra cómo crear una VM de TPU sin dirección IP pública.
gcloud compute tpus tpu-vm create tpu-vm-name \ --zone $ZONE \ --project your-project \ --internal-ips \ --version tpu-vm-tf-2.17.1-pjrt \ --accelerator-type v2-8 \ --subnetwork your-subnet \
Conectarse a una VM de TPU mediante SSH con túnel IAP
El siguiente comando muestra cómo conectarse a una VM de TPU mediante el túnel IAP.
gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap