使用机密计算创建实例
本文档介绍了如何创建启用了机密计算的 Vertex AI Workbench 实例。
概览
机密计算是通过基于硬件的可信执行环境 (TEE) 保护使用中的数据的方法。TEE 是安全且独立的环境,可防止对使用中的应用和数据进行未经授权的访问或修改。此安全标准由机密计算联盟定义。
创建启用了机密计算的 Vertex AI Workbench 实例时,您的新 Vertex AI Workbench 实例将是机密虚拟机实例。如需详细了解机密虚拟机实例,请参阅机密虚拟机概览。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Notebooks APIs.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Notebooks APIs.
所需的角色
如需获得创建 Vertex AI Workbench 实例所需的权限,请让您的管理员为您授予项目的 Notebooks Runner (roles/notebooks.runner) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建实例
您可以使用 gcloud CLI 或 REST API 创建启用了机密计算的实例:
gcloud
如需创建启用了机密计算的 Vertex AI Workbench 实例,请使用 gcloud workbench
instances create 命令并将 --confidential-compute-type 设置为 SEV。
在使用下面的命令数据之前,请先进行以下替换:
-
INSTANCE_NAME:Vertex AI Workbench 实例的名称;必须以字母开头,后面最多可跟 62 个小写字母、数字或连字符 (-),但不能以连字符结尾 PROJECT_ID:您的项目 IDLOCATION:您希望实例所在的可用区-
MACHINE_TYPE:实例虚拟机的机器类型,例如:n2d-standard-2
执行以下命令:
Linux、macOS 或 Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --machine-type=MACHINE_TYPE \ --confidential-compute-type=SEV
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --machine-type=MACHINE_TYPE ` --confidential-compute-type=SEV
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --machine-type=MACHINE_TYPE ^ --confidential-compute-type=SEV
Vertex AI Workbench 会创建实例并自动启动该实例。当实例可供使用时,Vertex AI Workbench 会在 Google Cloud 控制台中激活打开 JupyterLab 链接。
REST
如需创建启用了机密计算的 Vertex AI Workbench 实例,请使用 projects.locations.instances.create 方法,并在 GceSetup 中添加 confidentialInstanceConfig。
在使用任何请求数据之前,请先进行以下替换:
PROJECT_ID:您的项目 IDLOCATION:您希望实例所在的可用区-
MACHINE_TYPE:实例虚拟机的机器类型,例如:n2d-standard-2
HTTP 方法和网址:
POST https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances
请求 JSON 正文:
{
"gce_setup": {
"machine_type": "MACHINE_TYPE",
"confidentialInstanceConfig": {
"confidentialInstanceType": SEV
}
}
}
如需发送请求,请选择以下方式之一:
curl
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances"
PowerShell
将请求正文保存在名为 request.json 的文件中,然后执行以下命令:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/instances" | Select-Object -Expand Content
Vertex AI Workbench 会创建实例并自动启动该实例。当实例可供使用时,Vertex AI Workbench 会在 Google Cloud 控制台中激活打开 JupyterLab 链接。
确认实例是否已启用机密计算
如需确认 Vertex AI Workbench 实例是否已启用机密计算,请执行以下操作:
在 Google Cloud 控制台中,进入实例页面。
在实例名称列中,点击要检查的实例的名称。
实例详情页面会打开。
在虚拟机详情旁边,点击在 Compute Engine 中查看。
在 Compute Engine 详情页面上,机密虚拟机服务的值显示为
Enabled或Disabled。
限制
创建或使用启用了机密计算的 Vertex AI Workbench 实例时,存在以下限制:
仅支持 N2D 机器类型。请参阅 N2D 机器类型。
创建 Vertex AI Workbench 实例后,您将无法启用或停用机密计算。
结算
虽然此功能目前处于预览版阶段,但使用启用了机密计算功能的 Vertex AI Workbench 实例的费用与不启用机密计算功能的实例相同。请参阅价格。
后续步骤
- 如需使用笔记本开始使用 Vertex AI 和其他 Google Cloud 服务,请参阅 Vertex AI 笔记本教程。
- 如需检查 Vertex AI Workbench 实例的健康状况,请参阅监控健康状况。