Crear una instancia con Confidential Computing
En este documento se describe cómo crear una instancia de Vertex AI Workbench con Confidential Computing habilitado.
Información general
La computación confidencial es la protección de los datos en uso mediante un entorno de ejecución de confianza (TEE) basado en hardware. Los TEEs son entornos seguros y aislados que impiden el acceso o la modificación no autorizados de aplicaciones y datos mientras están en uso. Este estándar de seguridad lo define el Consorcio de Computación Confidencial.
Cuando creas una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, tu nueva instancia de Vertex AI Workbench es una instancia de VM confidencial. Para obtener más información sobre las instancias de VM confidenciales, consulta la descripción general de las VMs confidenciales.
Antes de empezar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Notebooks APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Notebooks APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
INSTANCE_NAME: el nombre de tu instancia de Vertex AI Workbench. Debe empezar por una letra seguida de un máximo de 62 letras minúsculas, números o guiones (-), y no puede acabar en guion. PROJECT_ID: tu ID de proyectoLOCATION: la zona en la que quieres que se encuentre tu instancia-
MACHINE_TYPE: el tipo de máquina de la VM de tu instancia, por ejemplo:n2d-standard-2 PROJECT_ID: tu ID de proyectoLOCATION: la zona en la que quieres que se encuentre tu instancia-
MACHINE_TYPE: el tipo de máquina de la VM de tu instancia, por ejemplo:n2d-standard-2 En la consola, ve a la página Instancias. Google Cloud
En la columna Nombre de la instancia, haz clic en el nombre de la instancia que quieras comprobar.
Se abrirá la página Detalles de la instancia.
Junto a Detalles de la VM, haz clic en Ver en Compute Engine.
En la página de detalles de Compute Engine, el valor de Servicio de VM confidencial muestra
EnabledoDisabled.Solo se admiten los tipos de máquinas N2D. Consulta los tipos de máquinas N2D.
Confidential Computing no se puede habilitar ni inhabilitar después de crear la instancia de Vertex AI Workbench.
- Para usar un cuaderno que te ayude a empezar a usar Vertex AI y otros Google Cloud servicios, consulta los tutoriales de cuadernos de Vertex AI.
- Para comprobar el estado de tu instancia de Vertex AI Workbench, consulta Monitorizar el estado.
Roles obligatorios
Para obtener los permisos que necesitas para crear una instancia de Vertex AI Workbench, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Notebooks Runner (roles/notebooks.runner) en el proyecto.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Crear una instancia
Puedes crear una instancia con Confidential Computing habilitado mediante la CLI de gcloud o la API REST:
gcloud
Para crear una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, usa el comando gcloud workbench
instances create
y asigna el valor SEV a --confidential-compute-type.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --machine-type=MACHINE_TYPE \ --confidential-compute-type=SEV
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --machine-type=MACHINE_TYPE ` --confidential-compute-type=SEV
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --machine-type=MACHINE_TYPE ^ --confidential-compute-type=SEV
Vertex AI Workbench crea una instancia y la inicia automáticamente. Cuando la instancia esté lista para usarse, Vertex AI Workbench activará un enlace Abrir JupyterLab en la consola. Google Cloud
REST
Para crear una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, usa el método projects.locations.instances.create
e incluye un confidentialInstanceConfig en tu GceSetup.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
Método HTTP y URL:
POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances
Cuerpo JSON de la solicitud:
{
"gce_setup": {
"machine_type": "MACHINE_TYPE",
"confidentialInstanceConfig": {
"confidentialInstanceType": SEV
}
}
}
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"
PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content
Vertex AI Workbench crea una instancia y la inicia automáticamente. Cuando la instancia esté lista para usarse, Vertex AI Workbench activará un enlace Abrir JupyterLab en la consola. Google Cloud
Confirmar si una instancia tiene habilitado Confidential Computing
Para confirmar si una instancia de Vertex AI Workbench tiene habilitado Confidential Computing, haz lo siguiente:
Limitaciones
Cuando creas o usas una instancia de Vertex AI Workbench con la función de computación confidencial habilitada, se aplican las siguientes limitaciones:
Facturación
Mientras esta función esté en vista previa, los cargos por usar instancias de Vertex AI Workbench con Confidential Computing serán los mismos que los de las instancias sin Confidential Computing. Consulta los precios.