Criar uma instância com a Computação confidencial

Neste documento, descrevemos como criar uma instância do Vertex AI Workbench com o Computação confidencial ativado.

Visão geral

A Computação confidencial é a proteção dos dados em uso com o ambiente de execução confiável (TEE) baseado em hardware. Os TEEs são ambientes seguros e isolados que impedem o acesso ou a modificação não autorizada de aplicativos e dados enquanto eles estão em uso. Esse padrão de segurança é definido pelo Confidential Computing Consortium.

Quando você cria uma instância do Vertex AI Workbench com o Computação confidencial ativado, a nova instância do Vertex AI Workbench é uma VM confidencial. Para saber mais sobre instâncias de VM confidencial, consulte a Visão geral de VM confidencial.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Notebooks APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Notebooks APIs.

    Enable the APIs

    8.

    Funções exigidas

    Para receber as permissões necessárias para criar uma instância do Vertex AI Workbench, peça ao administrador para conceder a você o papel do IAM de Executor de notebooks (roles/notebooks.runner) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

    Criar uma instância

    É possível criar uma instância com o Computação confidencial ativado usando a CLI gcloud ou a API REST:

    gcloud

    Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o comando gcloud workbench instances create e defina --confidential-compute-type como SEV.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • INSTANCE_NAME: o nome da sua instância do Vertex AI Workbench. Precisa começar com uma letra seguida por até 62 letras minúsculas, números ou hifens (-) e não pode terminar com um hífen.
    • PROJECT_ID: ID do projeto;
    • LOCATION: a zona em que você quer que a instância esteja localizada
    • MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

    Execute o seguinte comando:

    Linux, macOS ou Cloud Shell

    gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-compute-type=SEV

    Windows (PowerShell)

    gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --machine-type=MACHINE_TYPE `
    --confidential-compute-type=SEV

    Windows (cmd.exe)

    gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --machine-type=MACHINE_TYPE ^
    --confidential-compute-type=SEV

    O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no console Google Cloud .

    REST

    Para criar uma instância do Vertex AI Workbench com a computação confidencial ativada, use o método projects.locations.instances.create e inclua um confidentialInstanceConfig no GceSetup.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • PROJECT_ID: ID do projeto;
    • LOCATION: a zona em que você quer que a instância esteja localizada
    • MACHINE_TYPE: o tipo de máquina da VM da instância, por exemplo: n2d-standard-2

    Método HTTP e URL: 

    POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances

    Corpo JSON da solicitação:

    {
  "gce_setup": {
    "machine_type": "MACHINE_TYPE",
    "confidentialInstanceConfig": {
      "confidentialInstanceType": SEV
    }
  }
}

    Para enviar a solicitação, escolha uma destas opções:

    curl

    Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"

    PowerShell

    Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content

    O Vertex AI Workbench cria uma instância e a inicia automaticamente. Quando a instância estiver pronta para uso, o Vertex AI Workbench ativa um link Abrir JupyterLab no console Google Cloud .

    Confirmar se uma instância tem a Computação confidencial ativada

    Para confirmar se uma instância do Vertex AI Workbench tem o Computação confidencial ativado, faça o seguinte:

    1. No console Google Cloud , acesse a página Instâncias.

      Acesse "Instâncias"

    2. Na coluna Nome da instância, clique no nome da instância que você quer verificar.

      A página Detalhes da instância é aberta.

    3. Ao lado de Detalhes da VM, clique em Ver no Compute Engine.

    4. Na página de detalhes do Compute Engine, o valor de Serviço de VM confidencial mostra Enabled ou Disabled.

    Limitações

    Ao criar ou usar uma instância do Vertex AI Workbench com o Computação confidencial ativado, as seguintes limitações se aplicam:

    • Somente tipos de máquinas N2D são compatíveis. Consulte Tipos de máquina N2D.

    • Não é possível ativar ou desativar o Computação confidencial depois de criar a instância do Vertex AI Workbench.

    Faturamento

    Enquanto esse recurso estiver em pré-lançamento, as cobranças pelo uso de instâncias do Vertex AI Workbench com Computação confidencial serão as mesmas que o uso de instâncias sem Computação confidencial. Consulte Preços.

    A seguir