Cette page a été traduite par l'API Cloud Translation.

Créer une instance avec l'informatique confidentielle

Ce document explique comment créer une instance Vertex AI Workbench avec le calcul confidentiel activé.

Présentation

L'informatique confidentielle protège les données utilisées à l'aide d'un environnement d'exécution sécurisé (TEE) basé sur le matériel. Les TEE sont des environnements sécurisés et isolés qui empêchent les accès ou les modifications non autorisés des applications et des données lorsqu'elles sont utilisées. Cette norme de sécurité est définie par le Confidential Computing Consortium.

Lorsque vous créez une instance Vertex AI Workbench avec le calcul confidentiel activé, votre nouvelle instance Vertex AI Workbench est une instance de VM confidentielle. Pour en savoir plus sur les instances Confidential VM, consultez la présentation de Confidential VM.

Avant de commencer

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Enable the APIs

Rôles requis

Pour obtenir les autorisations dont vous avez besoin pour créer une instance Vertex AI Workbench, demandez à votre administrateur de vous accorder le rôle IAM Exécuteur de notebooks (roles/notebooks.runner) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une instance

Vous pouvez créer une instance avec le calcul confidentiel activé à l'aide de gcloud CLI ou de l'API REST:

gcloud

Pour créer une instance Vertex AI Workbench avec le calcul confidentiel activé, utilisez la commande gcloud workbench instances create et définissez --confidential-compute-type sur SEV.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

INSTANCE_NAME : nom de votre instance Vertex AI Workbench. Doit commencer par une lettre suivie de 62 caractères (lettres minuscules, chiffres ou traits d'union (-)) et ne peut pas se terminer par un trait d'union.
PROJECT_ID : ID de votre projet.
LOCATION : zone dans laquelle vous souhaitez placer votre instance.
MACHINE_TYPE: type de machine de la VM de votre instance (par exemple : n2d-standard-2)

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active automatiquement un lien Ouvrir JupyterLab dans la console Google Cloud.

REST

Pour créer une instance Vertex AI Workbench avec le calcul confidentiel activé, utilisez la méthode projects.locations.instances.create et incluez un confidentialInstanceConfig dans votre GceSetup.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID de votre projet.
LOCATION : zone dans laquelle vous souhaitez placer votre instance.
MACHINE_TYPE: type de machine de la VM de votre instance (par exemple : n2d-standard-2)

Méthode HTTP et URL :

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corps JSON de la requête :

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Vérifier si l'informatique confidentielle est activée sur une instance

Pour vérifier si le calcul confidentiel est activé pour une instance Vertex AI Workbench, procédez comme suit:

Dans la console Google Cloud, accédez à la page Instances.

Accéder à la page "Instances"
Dans la colonne Nom de l'instance, cliquez sur le nom de l'instance à vérifier.

La page Détails de l'instance s'affiche.
À côté de Détails de la VM, cliquez sur Afficher dans Compute Engine.
Sur la page d'informations de Compute Engine, la valeur de Service de VM confidentiel est Enabled ou Disabled.

Limites

Lorsque vous créez ou utilisez une instance Vertex AI Workbench avec le calcul confidentiel activé, les limites suivantes s'appliquent:

Seuls les types de machines N2D sont compatibles. Consultez la section Types de machines N2D.
Vous ne pouvez pas activer ni désactiver l'informatique confidentielle après avoir créé l'instance Vertex AI Workbench.

Facturation

Bien que cette fonctionnalité soit en preview, les frais d'utilisation des instances Vertex AI Workbench avec Confidential Computing sont les mêmes que ceux des instances sans Confidential Computing. Consultez la section Tarifs.

Étape suivante

Pour utiliser un notebook pour vous aider à démarrer avec Vertex AI et d'autres Google Cloud services, consultez les tutoriels sur les notebooks Vertex AI.
Pour vérifier l'état de votre instance Vertex AI Workbench, consultez la section Surveiller l'état.