Esta página foi traduzida pela API Cloud Translation.

Criar uma instância com a Computação confidencial

Este documento descreve como criar uma instância do Vertex AI Workbench com a Computação confidencial ativada.

Visão geral

A Computação confidencial é a proteção dos dados em uso com o Ambiente de execução confiável (TEE) baseado em hardware. Os TEEs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizada de aplicativos e dados enquanto eles estão em uso. Esse padrão de segurança é definido pelo Consórcio para computação confidencial.

Quando você cria uma instância do Vertex AI Workbench com o Computação confidencial ativado, a nova instância do Vertex AI Workbench é uma instância de VM confidencial. Para saber mais sobre instâncias de VM confidenciais, consulte a Visão geral de VMs confidenciais.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Compute Engine and Notebooks APIs.

Enable the APIs

Funções exigidas

Para receber as permissões necessárias para criar uma instância do Vertex AI Workbench, peça ao administrador para conceder a você o papel do IAM Executor de notebooks (roles/notebooks.runner) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma instância

É possível criar uma instância com a computação confidencial ativada usando a CLI gcloud ou a API REST:

gcloud

Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o comando gcloud workbench instances create e defina --confidential-compute-type como SEV.

Antes de usar os dados do comando abaixo, faça estas substituições:

INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench. Precisa começar com uma letra seguida por até 62 letras minúsculas, números ou hifens (-) e não pode terminar com um hífen.
PROJECT_ID: ID do projeto;
LOCATION: a zona em que você quer que a instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no console do Google Cloud.

REST

Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o método projects.locations.instances.create e inclua um confidentialInstanceConfig no GceSetup.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_ID: ID do projeto;
LOCATION: a zona em que você quer que a instância esteja localizada
MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

Método HTTP e URL:

POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

Corpo JSON da solicitação:

{
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

Para enviar a solicitação, escolha uma destas opções:

curl

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

PowerShell

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no console do Google Cloud.

Confirmar se uma instância tem a Computação confidencial ativada

Para confirmar se uma instância do Vertex AI Workbench tem o Computação confidencial ativado, faça o seguinte:

No Console do Google Cloud, acesse a página Instâncias.

Acesse "Instâncias"
Na coluna Nome da instância, clique no nome da instância que você quer verificar.

A página Detalhes da instância é aberta.
Ao lado de Detalhes da VM, clique em Ver no Compute Engine.
Na página de detalhes do Compute Engine, o valor do serviço de VM confidencial mostra Enabled ou Disabled.

Limitações

Ao criar ou usar uma instância do Vertex AI Workbench com o computador confidencial ativado, as seguintes limitações se aplicam:

Somente os tipos de máquina N2D são compatíveis. Consulte Tipos de máquina N2D.
A Computação confidencial não pode ser ativada ou desativada depois que você cria a instância do Vertex AI Workbench.

Faturamento

Enquanto esse recurso estiver em pré-lançamento, as cobranças pelo uso de instâncias do Vertex AI Workbench com computação confidencial serão as mesmas que o uso de instâncias sem computação confidencial. Consulte a seção Preços.

A seguir

Para usar um notebook e começar a usar a Vertex AI e outros Google Cloud serviços, consulte Tutoriais de notebooks da Vertex AI.
Para verificar o status de integridade da instância do Vertex AI Workbench, consulte Monitorar o status de integridade.