Cette page a été traduite par l'API Cloud Translation.

Créer une instance avec l'informatique confidentielle

Ce document explique comment créer une instance Vertex AI Workbench avec le informatique confidentielle activé.

Présentation

L'informatique confidentielle protège les données utilisées à l'aide d'un environnement d'exécution sécurisé (TEE) basé sur le matériel. Les TEE sont des environnements sécurisés et isolés qui empêchent les accès ou les modifications non autorisés des applications et des données lorsqu'elles sont utilisées. Cette norme de sécurité est définie par le Consortium d'informatique confidentielle.

Lorsque vous créez une instance Vertex AI Workbench avec le informatique confidentielle activé, votre nouvelle instance Vertex AI Workbench est une instance de VM confidentielle. Pour en savoir plus sur les instances Confidential VM, consultez la présentation de Confidential VM.

Avant de commencer

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Enable the APIs

Rôles requis

Pour obtenir les autorisations nécessaires pour créer une instance Vertex AI Workbench, demandez à votre administrateur de vous accorder le rôle IAM Exécuteur de notebooks (roles/notebooks.runner) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une instance

Vous pouvez créer une instance avec le informatique confidentielle activé à l'aide de gcloud CLI ou de l'API REST :

gcloud

Pour créer une instance Vertex AI Workbench avec le informatique confidentielle activé, utilisez la commande gcloud workbench instances create et définissez --confidential-compute-type sur SEV.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

INSTANCE_NAME : nom de votre instance Vertex AI Workbench. Ce nom doit commencer par une lettre, suivie de 62 caractères (lettres minuscules, chiffres ou traits d'union (-)), et ne peut pas se terminer par un trait d'union.
PROJECT_ID : ID de votre projet.
LOCATION : zone dans laquelle vous souhaitez placer votre instance.
MACHINE_TYPE : type de machine de la VM de votre instance (par exemple, n2d-standard-2).

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

Vertex AI Workbench crée une instance et la démarre automatiquement. Lorsque l'instance est prête à l'emploi, Vertex AI Workbench active un lien Ouvrir JupyterLab dans la console Google Cloud .

REST

Pour créer une instance Vertex AI Workbench avec le informatique confidentielle activé, utilisez la méthode projects.locations.instances.create et incluez un confidentialInstanceConfig dans votre GceSetup.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID de votre projet.
LOCATION : zone dans laquelle vous souhaitez placer votre instance.
MACHINE_TYPE : type de machine de la VM de votre instance (par exemple, n2d-standard-2).

Méthode HTTP et URL :

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corps JSON de la requête :

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

Vérifier si l'informatique confidentielle est activée sur une instance

Pour vérifier si une instance Vertex AI Workbench est compatible avec le informatique confidentielle, procédez comme suit :

Dans la console Google Cloud , accédez à la page Instances.

Accéder à la page "Instances"
Dans la colonne Nom de l'instance, cliquez sur le nom de l'instance que vous souhaitez vérifier.

La page Détails de l'instance s'affiche.
À côté de Détails de la VM, cliquez sur Afficher dans Compute Engine.
Sur la page d'informations de Compute Engine, la valeur du service de VM confidentielles est Enabled ou Disabled.

Limites

Lorsque vous créez ou utilisez une instance Vertex AI Workbench avec le informatique confidentielle activé, les limites suivantes s'appliquent :

Seuls les types de machines N2D sont compatibles. Consultez Types de machines N2D.
Vous ne pouvez pas activer ni désactiver le informatique confidentielle après avoir créé l'instance Vertex AI Workbench.

Facturation

Tant que cette fonctionnalité est en preview, les frais d'utilisation des instances Vertex AI Workbench avec informatique confidentielle sont les mêmes que ceux des instances sans informatique confidentielle. Consultez la page Tarification.

Étapes suivantes

Pour utiliser un notebook pour vous aider à démarrer avec Vertex AI et d'autres services Google Cloud , consultez les tutoriels sur les notebooks Vertex AI.
Pour vérifier l'état de votre instance Vertex AI Workbench, consultez Surveiller l'état.