Conectar-se a uma VM do TPU sem um endereço IP público

Se a sua organização tiver uma restrição de política constraints/compute.vmExternalIpAccess, será necessário criar VMs de TPU que não tenham um endereço IP externo. Para se conectar a uma VM da TPU sem um endereço IP externo, você precisa fazer o seguinte:

1. Ative o Acesso privado do Google para a sub-rede em que você vai criar uma VM TPU.
2. Conceda roles/iap.tunnelResourceAccessor e roles/tpu.admin aos usuários que vão se conectar às VMs da TPU.
3. Crie uma VM TPU sem um endereço IP público.
4. Conecte-se à VM do TPU usando a opção --tunnel-through-iap.

ativar o Acesso privado do Google

Para usar um IAP, ative o Acesso privado do Google, que permite a conexão com VMs que não têm endereços IP externo. No comando abaixo, substitua your-subnet pelo nome da sub-rede em que você vai criar a VM da TPU e your-region pela região em que a VM da TPU vai estar localizada.

gcloud compute networks subnets update your-subnet \
--region=your-region \
--enable-private-ip-google-access

Conceder permissões

Os usuários que precisam se conectar às VMs da TPU usando SSH e que não têm endereços IP públicos precisam receber o papel iap.tunnelResourceAccessor. Para mais informações sobre como conceder um papel, consulte Conceder um papel do IAM.

Criar uma VM TPU sem um endereço IP público

O comando a seguir mostra como criar uma VM TPU sem um endereço IP público.

gcloud compute tpus tpu-vm create tpu-vm-name \
  --zone $ZONE \
  --project your-project \
  --internal-ips \
  --version tpu-vm-tf-2.17.1-pjrt \
  --accelerator-type v2-8 \
  --subnetwork your-subnet \

Conectar-se à VM do TPU usando SSH com encapsulamento de IAP

O comando a seguir mostra como se conectar a uma VM de TPU usando o túnel do IAP.

gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap