Vertex AI tạo một sổ tay bảo mật do người dùng quản lý

1. Giới thiệu

Các phiên bản sổ tay do người dùng quản lý trong Vertex AI Workbench cho phép bạn tạo và quản lý các thực thể máy ảo (VM) học sâu được đóng gói sẵn bằng JupyterLab.

Các phiên bản sổ tay do người dùng quản lý có sẵn một bộ gói học sâu, trong đó có tính năng hỗ trợ các khung TensorFlow và PyTorch. Bạn có thể định cấu hình các phiên bản chỉ có CPU hoặc GPU.

Sản phẩm bạn sẽ tạo ra

Hướng dẫn này mô tả quy trình triển khai sổ tay bảo mật do người dùng quản lý dựa trên các phương pháp hay nhất của mục Mạng và Bảo mật. Quá trình này bao gồm các bước sau:

  1. Tạo VPC
  2. Tạo Cloud Router và Cloud NAT
  3. Thiết lập thực thể sổ tay bằng các chế độ cài đặt bảo mật thích hợp

Hướng dẫn này cung cấp hướng dẫn chi tiết cho từng bước. Bài viết này cũng bao gồm các mẹo và phương pháp hay nhất để bảo mật sổ tay do người dùng quản lý. Hình 1 là hình minh hoạ quá trình triển khai bằng VPC độc lập.

Hình 1

2292244ba0b11f71.pngS

Kiến thức bạn sẽ học được

  • Cách xác định xem VPC dùng chung có phù hợp với tổ chức của bạn hay không
  • Cách tạo VPC độc lập
  • Cách tạo Cloud Router và Cloud NAT
  • Cách tạo sổ tay do người dùng quản lý
  • Cách truy cập vào sổ tay do người dùng quản lý
  • Cách theo dõi tình trạng sổ tay do người dùng quản lý
  • Cách tạo và áp dụng lịch thực thể

Bạn cần có

  • Dự án trong Google Cloud

Quyền quản lý danh tính và quyền truy cập (IAM)

2. Mạng VPC

Bạn có thể hình dung một mạng đám mây riêng ảo (VPC) giống như cách bạn hình dung về một mạng vật lý, ngoại trừ việc mạng này được ảo hoá trong Google Cloud. Mạng VPC là một tài nguyên toàn cầu bao gồm các mạng con theo khu vực. Các mạng VPC được tách biệt về mặt logic với nhau trong Google Cloud.

VPC độc lập

Hình 2 là một ví dụ về một VPC toàn cầu độc lập bao gồm một mạng con theo khu vực (us-central1) cùng với Cloud Router và Cloud NAT dùng để cho phép Sổ tay do người dùng quản lý thiết lập kết nối Internet một cách an toàn.

Hình 2

2292244ba0b11f71.pngS

VPC dùng chung

VPC dùng chung cho phép bạn xuất mạng con từ mạng VPC trong một dự án lưu trữ sang các dự án phục vụ trong cùng một tổ chức. Dự án lưu trữ chứa các tài nguyên mạng được chia sẻ với dự án dịch vụ, chẳng hạn như mạng con, Cloud nat và quy tắc tường lửa. Dự án dịch vụ chứa các tài nguyên cấp ứng dụng tận dụng tài nguyên mạng trong dự án lưu trữ.

Hình 3 là hình minh hoạ một VPC dùng chung toàn cầu, trong đó cơ sở hạ tầng mạng và bảo mật được triển khai trong dự án lưu trữ, còn khối lượng công việc được triển khai trong dự án dịch vụ.

Hình 3

1354a9323c8e5787.pngS

VPC độc lập và VPC dùng chung

Một mạng lưới VPC là đủ cho nhiều trường hợp sử dụng đơn giản, vì dễ tạo, duy trì và dễ hiểu hơn so với các giải pháp thay thế phức tạp. VPC dùng chung là một công cụ hiệu quả cho những tổ chức có nhiều nhóm, vì nó cho phép họ mở rộng tính đơn giản về mặt cấu trúc của một mạng VPC đơn lẻ cho nhiều nhóm làm việc thông qua việc sử dụng các dự án dịch vụ.

Phương pháp hay nhất về VPC trong hướng dẫn

  • Bật Cloud NAT để truy cập vào sổ tay.
  • Bật Quyền truy cập riêng tư trên Google khi bạn tạo mạng con.
  • Tạo các quy tắc tường lửa theo quy định để giảm lưu lượng truy cập không mong muốn, ví dụ: không sử dụng 0.0.0.0/0 tcp thay vào đó xác định (các) mạng con hoặc địa chỉ IP chính xác.
  • Tận dụng chính sách về tường lửa để củng cố phạm vi của các quy tắc truy cập, ví dụ: vị trí địa lý, danh sách thông tin nắm bắt các mối đe doạ, tên miền nguồn, v.v.

3. Các phương pháp hay nhất về sổ tay

Điều chỉnh kích thước phù hợp cho thực thể

  • Dừng và/hoặc xoá các thực thể không dùng đến
  • Sử dụng thực thể ban đầu nhỏ hơn và lặp lại với dữ liệu mẫu nhỏ hơn
  • Tăng kích thước thực thể theo yêu cầu
  • Thử nghiệm với tập dữ liệu nhỏ hơn

Chọn loại máy phù hợp

  • Máy ảo được tối ưu hoá chi phí
  • Tận dụng tài nguyên phần cứng hiệu quả hơn để giảm chi phí
  • Tiết kiệm đến 31% so với N1
  • Tiết kiệm thêm (20-50%) cho hợp đồng 1 hoặc 3 năm
  • Việc tăng kích thước máy hoặc thêm GPU có thể giúp tăng hiệu suất và khắc phục lỗi hạn chế về bộ nhớ

Lên lịch tắt các thực thể

  • Tắt các trường hợp khi ở trạng thái rảnh (chỉ thanh toán cho dung lượng ổ đĩa)
  • Đặt lịch tự động tắt và khởi động cho các thực thể máy ảo của sổ tay vào một số giờ cụ thể

Theo dõi trạng thái của sổ tay

Những điểm cần cân nhắc về bảo mật

Sau đây là những điều cần cân nhắc về bảo mật khi tạo sổ tay do người dùng quản lý:

  • Chọn chế độ "chỉ một người dùng" quyền truy cập vào sổ tay. Nếu người dùng được chỉ định không phải là người tạo phiên bản, bạn phải cấp cho người dùng được chỉ định vai trò Người dùng tài khoản dịch vụ (roles/iam.serviceAccountUser) trên tài khoản dịch vụ của phiên bản.
  • Vô hiệu hoá các tuỳ chọn sau:
  • quyền truy cập thư mục gốc
  • nbconvert
  • tải tệp xuống từ giao diện người dùng JupyterLab
  • Cloud NAT sẽ được dùng thay vì chỉ định địa chỉ IP bên ngoài cho sổ tay do người dùng quản lý.
  • Chọn các lựa chọn tính toán sau đây:
  • Khởi động an toàn
  • Mô-đun nền tảng đáng tin cậy (vTPM)
  • Giám sát tính toàn vẹn

4. Trước khi bắt đầu

Cập nhật dự án để hỗ trợ hướng dẫn

Hướng dẫn này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.

Bên trong Cloud Shell, hãy thực hiện như sau:

gcloud config list project
gcloud config set project [your-project-name]
projectid=your-project-name
echo $projectid

5. Thiết lập VPC

Tạo VPC độc lập

Bên trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks create securevertex-vpc --project=$projectid --subnet-mode=custom

Tạo mạng con cho sổ tay do người dùng quản lý

Bên trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks subnets create securevertex-subnet-a --project=$projectid --range=10.10.10.0/28 --network=securevertex-vpc --region=us-central1 --enable-private-ip-google-access

Cấu hình Cloud Router và NAT

Cloud NAT được dùng trong hướng dẫn tải gói phần mềm sổ tay xuống vì phiên bản sổ tay do người dùng quản lý không có địa chỉ IP bên ngoài. Cloud NAT cũng cung cấp chức năng NAT đầu ra, tức là các máy chủ Internet không được phép bắt đầu giao tiếp với sổ tay do người dùng quản lý, nhờ đó tăng cường bảo mật cho sổ tay đó.

Bên trong Cloud Shell, hãy tạo bộ định tuyến đám mây theo khu vực.

gcloud compute routers create cloud-router-us-central1 --network securevertex-vpc --region us-central1

Bên trong Cloud Shell, hãy tạo cổng vào đám mây theo khu vực.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-us-central1 --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

6. Tạo bộ chứa lưu trữ

Bộ chứa lưu trữ cho phép truy xuất/tải tệp lên một cách an toàn. Trong phần hướng dẫn, bộ nhớ trên đám mây sẽ chứa một tập lệnh sau khi khởi động để cài đặt các gói AI tạo sinh trong sổ tay do người dùng quản lý.

Tạo bộ chứa Cloud Storage và thay thế BUCKET_NAME bằng tên duy nhất trên toàn cầu mà bạn muốn.

Bên trong Cloud Shell, hãy tạo một bộ chứa lưu trữ duy nhất.

gsutil mb -l us-central1 -b on gs://BUCKET_NAME

Lưu trữ 'BUCKET_NAME' trong thời gian hoạt động của phòng thí nghiệm

BUCKET_NAME=YOUR BUCKET NAME
echo $BUCKET_NAME

7. Tạo tập lệnh khởi động bài đăng

Để bật tính năng tải các gói AI tạo sinh xuống, hãy tạo một tập lệnh sau khi khởi động trong Cloud shell bằng vi hoặc trình chỉnh sửa Nano rồi lưu tập lệnh đó dưới dạng poststartup.sh.

#! /bin/bash
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Changing dir to /home/jupyter" >> /tmp/notebook_config.log 2>&1
cd /home/jupyter
echo "Cloning generative-ai from github" >> /tmp/notebook_config.log 2>&1
su - jupyter -c "git clone https://github.com/GoogleCloudPlatform/generative-ai.git" >> /tmp/notebook_config.log 2>&1
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Installing python packages" >> /tmp/notebook_config.log 2&1
su - jupyter -c "pip install --upgrade --no-warn-conflicts --no-warn-script-location --user \
     google-cloud-bigquery \
     google-cloud-pipeline-components \
     google-cloud-aiplatform \
     seaborn \
     kfp" >> /tmp/notebook_config.log 2>&1

Ví dụ:

vpc_admin@cloudshell$ more poststartup.sh 
#! /bin/bash
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Changing dir to /home/jupyter" >> /tmp/notebook_config.log 2>&1
cd /home/jupyter
echo "Cloning generative-ai from github" >> /tmp/notebook_config.log 2>&1
su - jupyter -c "git clone https://github.com/GoogleCloudPlatform/generative-ai.git" >> /tmp/notebook_config.log 2>&1
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Installing python packages" >> /tmp/notebook_config.log 2&1
su - jupyter -c "pip install --upgrade --no-warn-conflicts --no-warn-script-location --user \
     google-cloud-bigquery \
     google-cloud-pipeline-components \
     google-cloud-aiplatform \
     seaborn \
     kfp" >> /tmp/notebook_config.log 2>&1

Tải tập lệnh sau khi khởi động lên bộ chứa lưu trữ của bạn từ Cloud shell bằng Googlebot

gsutil cp poststartup.sh gs://$BUCKET_NAME

8. Tạo một tài khoản dịch vụ

Để cung cấp mức độ kiểm soát chi tiết đối với sổ tay do người dùng quản lý, bạn cần có tài khoản dịch vụ. Sau khi tạo, bạn có thể sửa đổi các quyền đối với tài khoản dịch vụ dựa trên yêu cầu kinh doanh. Trong hướng dẫn, các quy tắc sau sẽ áp dụng cho tài khoản dịch vụ:

Bạn phải API Tài khoản dịch vụ trước khi tiếp tục.

Bên trong Cloud Shell, hãy tạo tài khoản dịch vụ.

gcloud iam service-accounts create user-managed-notebook-sa \
    --display-name="user-managed-notebook-sa"

Bên trong Cloud Shell, hãy cập nhật tài khoản dịch vụ với vai trò Người xem đối tượng lưu trữ

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:user-managed-notebook-sa@$projectid.iam.gserviceaccount.com" --role="roles/storage.objectViewer"

Bên trong Cloud Shell, hãy cập nhật tài khoản dịch vụ với vai trò Người dùng Vertex AI

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:user-managed-notebook-sa@$projectid.iam.gserviceaccount.com" --role="roles/aiplatform.user"

Trong Cloud Shell, hãy liệt kê tài khoản dịch vụ và ghi lại địa chỉ email sẽ được dùng khi tạo sổ tay do người dùng quản lý.

gcloud iam service-accounts list

Ví dụ:

$ gcloud iam service-accounts list
DISPLAY NAME: user-managed-notebook-sa
EMAIL: user-managed-notebook-sa@my-project-id.iam.gserviceaccount.com
DISABLED: False

9. Tạo sổ tay bảo mật do người dùng quản lý

Phiên bản sổ tay do người dùng quản lý là một phiên bản máy ảo Deep Learning có cài đặt sẵn các thư viện mới nhất của công nghệ học máy và khoa học dữ liệu. Bạn có thể tuỳ ý thêm GPU Nvidia để tăng tốc phần cứng.

Bật API người dùng thông thường

API Notebooks

Tạo sổ tay do người dùng quản lý

  1. Chuyển đến Workbench
  2. Chọn Sổ tay được quản lý bởi người dùng, rồi chọn Tạo Sổ tay. Trang Tạo sổ tay do người dùng quản lý sẽ mở ra.
  3. Nếu bạn đã triển khai một sổ tay hiện có, hãy chọn Sổ tay do người dùng quản lý → Sổ tay mới → Tuỳ chỉnh
  4. Trên trang Tạo sổ tay do người dùng quản lý, trong phần Chi tiết, hãy cung cấp các thông tin sau về phiên bản mới của bạn:
  • Tên: Cung cấp tên cho phiên bản mới.
  • Khu vực và vùng: Hướng dẫn sẽ sử dụng khu vực us-central1 và vùng us-central1-a

Chọn Tiếp tục

  1. Trong phần Môi trường, hãy cung cấp thông tin sau:
  • Hệ điều hành: Chọn hệ điều hành bạn muốn sử dụng.
  • Chọn môi trường mà bạn muốn sử dụng.
  • Phiên bản: Chọn phiên bản bạn muốn sử dụng.
  • Tập lệnh sau khi khởi động (Không bắt buộc,dùng tập lệnh AI tạo sinh đã tạo trước đó) chọn Duyệt qua để chọn tập lệnh sẽ chạy sau khi phiên bản khởi động.
  • Siêu dữ liệu: Không bắt buộc: Cung cấp khoá siêu dữ liệu tuỳ chỉnh cho phiên bản này.

Chọn Tiếp tục

  1. Trong phần Loại máy, hãy cung cấp những thông tin sau:
  • Loại máy: Chọn số CPU và dung lượng RAM cho phiên bản mới của bạn. Vertex AI Workbench cung cấp số liệu ước tính chi phí hằng tháng cho từng loại máy mà bạn chọn.
  • Loại GPU: Chọn loại GPU và Số lượng GPU cho phiên bản mới. Để biết thông tin về nhiều loại GPU, vui lòng xem nội dung GPU trên Compute Engine.
  • Chọn hộp đánh dấu Cài đặt trình điều khiển GPU NVIDIA tự động cho tôi.

Shielded VM

  • Bật tính năng Khởi động an toàn
  • Bật vTPM
  • Bật tính năng Giám sát tính toàn vẹn

Chọn Tiếp tục

  1. Trong phần Đĩa, hãy cung cấp những thông tin sau:
  • Ổ đĩa: Không bắt buộc: Để thay đổi chế độ cài đặt mặc định cho chế độ khởi động hoặc ổ đĩa dữ liệu, hãy chọn loại ổ đĩa Khởi động, Kích thước ổ đĩa khởi động tính bằng GB, Loại ổ đĩa dữ liệu và Kích thước ổ đĩa dữ liệu tính bằng GB mà bạn muốn. Để biết thêm thông tin về các loại ổ đĩa, hãy xem phần Tuỳ chọn bộ nhớ.
  • Xoá vào thùng rác: Không bắt buộc: Chọn hộp đánh dấu này để sử dụng hành vi chuyển rác mặc định của hệ điều hành. Nếu bạn sử dụng hành vi chuyển thùng rác mặc định, các tệp đã bị xoá bằng giao diện người dùng JupyterLab có thể khôi phục được nhưng những tệp đã xoá này sẽ chiếm dung lượng ổ đĩa.
  • Sao lưu: Không bắt buộc: Để đồng bộ hoá một vị trí trong Cloud Storage với ổ đĩa dữ liệu của phiên bản, hãy chọn Browse (Duyệt qua) rồi chỉ định vị trí Cloud Storage. Để tìm hiểu về chi phí lưu trữ, hãy xem bài viết Giá của Cloud Storage.
  • Mã hoá: Khoá mã hoá do Google quản lý

Chọn Tiếp tục

  1. Trong phần Kết nối mạng, hãy cung cấp những thông tin sau:
  • Kết nối mạng: Chọn Mạng trong dự án này hoặc Mạng được chia sẻ với tôi. Nếu đang sử dụng VPC dùng chung trong dự án lưu trữ, bạn cũng phải cấp vai trò của người dùng mạng tính toán (roles/compute.networkUser) cho Nhân viên hỗ trợ dịch vụ của Notebook từ dự án dịch vụ.
  • Trong trường Mạng, hãy chọn mạng mà bạn muốn. Phần hướng dẫn sẽ sử dụng mạng, securevertex-vpc. Bạn có thể chọn một mạng VPC, miễn là mạng đó đã bật Quyền truy cập riêng tư của Google hoặc có thể truy cập Internet. Trong trường Mạng con, hãy chọn mạng con mà bạn muốn, trong phần hướng dẫn, mạng phụ sử dụng securevertex-subnet-a.
  • Bỏ chọn chỉ định địa chỉ IP bên ngoài
  • Chọn cho phép truy cập proxy

Chọn Tiếp tục

81bb7dbe31fbf587.pngS

  1. Trong phần IAM và bảo mật, hãy cung cấp các thông tin sau:
  • Chọn Một người dùng, sau đó trong trường Email của người dùng, hãy nhập tài khoản người dùng mà bạn muốn cấp quyền truy cập. Nếu người dùng được chỉ định không phải là người tạo phiên bản, bạn phải cấp cho người dùng được chỉ định vai trò Người dùng tài khoản dịch vụ (roles/iam.serviceAccountUser) trên tài khoản dịch vụ của phiên bản.
  • Bỏ chọn Use default Compute Engine service account (Sử dụng tài khoản dịch vụ Compute Engine mặc định) trên VM để gọi Google Cloud APIs
  • Nhập địa chỉ email của tài khoản dịch vụ mới tạo. Ví dụ: user-managed-notebook-sa@my-project-id.iam.gserviceaccount.com

Tùy chọn bảo mật

  • Bỏ chọn bật quyền truy cập thư mục gốc vào thực thể
  • Bỏ chọn bật nbconvert
  • Bỏ chọn Cho phép tải tệp xuống từ giao diện người dùng JupyterLab
  • Bật thiết bị đầu cuối (Bỏ chọn cho môi trường sản xuất)

Chọn Tiếp tục

e19f3cd05a2c1b7f.png

  1. Trong phần Tình trạng hệ thống, hãy cung cấp những thông tin sau

Nâng cấp môi trường và tình trạng hệ thống

  • Chọn hộp kiểm Bật tự động nâng cấp môi trường.
  • Chọn nâng cấp sổ tay của bạn Hằng tuần hoặc Hằng tháng.

Trong phần Báo cáo và tình trạng hệ thống, hãy chọn hoặc xoá các hộp đánh dấu sau:

  • Bật tính năng báo cáo tình trạng hệ thống
  • Báo cáo chỉ số tuỳ chỉnh cho giải pháp Giám sát trên đám mây
  • Cài đặt tác nhân giám sát trên đám mây

Chọn Tạo.

10. Xác thực

Vertex AI Workbench tạo một thực thể sổ tay do người dùng quản lý dựa trên các thuộc tính mà bạn chỉ định và tự động bắt đầu thực thể đó. Khi thực thể đã sẵn sàng để sử dụng, Vertex AI Workbench sẽ kích hoạt đường liên kết Open JupyterLab để cho phép người dùng cuối truy cập vào sổ tay.

11. Khả năng quan sát

Giám sát các chỉ số về ứng dụng và hệ thống thông qua giải pháp Giám sát

Đối với các phiên bản sổ tay do người dùng quản lý đã cài đặt tính năng Giám sát, bạn có thể giám sát các chỉ số của ứng dụng và hệ thống bằng bảng điều khiển Google Cloud:

  1. Trong bảng điều khiển Google Cloud, hãy truy cập vào trang Sổ tay do người dùng quản lý.
  2. Nhấp vào tên thực thể mà bạn muốn xem các chỉ số của hệ thống và ứng dụng.
  3. Trên trang Thông tin chi tiết về sổ tay, hãy nhấp vào thẻ Giám sát. Xem xét các chỉ số về hệ thống và ứng dụng cho thực thể của bạn.

12. Tạo lịch biểu cho Sổ tay

Lịch biểu cho phép bạn tự động khởi động và dừng các thực thể máy ảo (VM). Việc sử dụng lịch biểu của thực thể máy ảo để tự động hoá việc triển khai các phiên bản máy ảo có thể giúp bạn tối ưu hoá chi phí và quản lý các phiên bản máy ảo một cách hiệu quả hơn. Bạn có thể dùng lịch biểu cho cả khối lượng công việc định kỳ và một lần. Ví dụ: sử dụng lịch biểu của thực thể để chỉ chạy các phiên bản máy ảo trong giờ làm việc hoặc để cung cấp dung lượng cho một sự kiện một lần.

Để sử dụng lịch biểu cho thực thể máy ảo, hãy tạo chính sách tài nguyên nêu chi tiết hành vi bắt đầu và dừng, sau đó đính kèm chính sách này vào một hoặc nhiều thực thể máy ảo.

Phần hướng dẫn sẽ chỉ cho bạn cách tạo lịch biểu cho phiên bản. Lịch này sẽ bật nguồn cho sổ tay của bạn lúc 7 giờ sáng và tắt nguồn lúc 6 giờ chiều.

Để tạo lịch thực hiện phiên bản, bạn cần có quyền Compute.instances.start và Compute.instances.stop. Do đó, hệ thống đề xuất vai trò tuỳ chỉnh do quản trị viên cấp cho bạn tạo.

Sau khi được tạo, vai trò tuỳ chỉnh sẽ được chỉ định cho tài khoản dịch vụ Compute Engine mặc định trong dự án của bạn. Nhờ vậy, lịch biểu thực thể có thể bắt đầu và dừng sổ tay của bạn.

Tạo vai trò tuỳ chỉnh

Bên trong Cloud Shell, hãy tạo một vai trò tuỳ chỉnh là VmScheduler và thêm các quyền cần thiết.

gcloud iam roles create Vm_Scheduler --project=$projectid \
    --title=vm-scheduler-notebooks \
    --permissions="compute.instances.start,compute.instances.stop" --stage=ga

Mô tả vai trò tuỳ chỉnh từ Cloud Shell.

gcloud iam roles describe Vm_Scheduler --project=$projectid

Ví dụ:

$ gcloud iam roles describe Vm_Scheduler --project=$projectid
etag: BwX991B0_kg=
includedPermissions:
- compute.instances.start
- compute.instances.stop
name: projects/$projectid/roles/Vm_Scheduler
stage: GA
title: vm-scheduler-notebooks

Cập nhật tài khoản dịch vụ mặc định

Trong phần sau, bạn sẽ xác định và cập nhật tài khoản dịch vụ mặc định có định dạng: PROJECT_NUMBER-compute@developer.gserviceaccount.com

Trong Cloud Shell, hãy xác định số dự án hiện tại.

gcloud projects list --filter=$projectid

Trong Cloud Shell, hãy lưu trữ số dự án dưới dạng một biến.

project_number=your_project_number
echo $project_number

Trong Cloud Shell, hãy cập nhật tài khoản dịch vụ điện toán mặc định có vai trò tuỳ chỉnh là VM_Scheduler.

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:$project_number-compute@developer.gserviceaccount.com" --role="projects/$projectid/roles/Vm_Scheduler"

Tạo lịch biểu cho thực thể

Trong Cloud Shell, hãy tạo lịch biểu bắt đầu và kết thúc.

gcloud compute resource-policies create instance-schedule optimize-notebooks \
    --region=us-central1 \
    --vm-start-schedule='0 7 * * *' \
    --vm-stop-schedule='0 18 * * *' \
        --timezone=America/Chicago

Trong Cloud Shell, hãy lưu trữ tên của sổ tay.

gcloud compute instances list
notebook_vm=your_notebookvm_name
echo $notebook_vm

Bạn có thể đính kèm lịch biểu của thực thể vào bất kỳ phiên bản máy ảo hiện có nào nằm ở cùng khu vực với lịch biểu của thực thể.

Trong Cloud Shell, hãy liên kết lịch biểu với sổ tay của bạn.

gcloud compute instances add-resource-policies $notebook_vm \
--resource-policies=optimize-notebooks \
--zone=us-central1-a

13. Dọn dẹp

Xoá sổ tay do người dùng quản lý khỏi bảng điều khiển, chuyển đến Vertex AI → Workbench, chọn và xoá sổ tay đó.

Trên Cloud Shell, hãy xoá các thành phần VPC.

gcloud compute routers delete cloud-router-us-central1 --region=us-central1 --quiet

gcloud compute routers nats delete cloud-nat-us-central1 --region=us-central1 --router=cloud-router-us-central1 --quiet

gcloud compute instances remove-resource-policies $notebook_vm \
--resource-policies=optimize-notebooks \
--zone=us-central1-a --quiet

gcloud compute resource-policies delete optimize-notebooks --region=us-central1 --quiet

gcloud compute instances delete $notebook_vm --zone=us-central1-a --quiet

gcloud compute networks subnets delete securevertex-subnet-a --region=us-central1 --quiet 

gcloud iam service-accounts delete user-managed-notebook-sa@$projectid.iam.gserviceaccount.com --quiet 

gcloud projects remove-iam-policy-binding $projectid --member="serviceAccount:$project_number-compute@developer.gserviceaccount.com" --role="projects/$projectid/roles/Vm_Scheduler"

gcloud iam roles delete Vm_Scheduler --project=$projectid

gcloud compute networks delete securevertex-vpc --quiet

14. Xin chúc mừng

Chính xác! Bạn đã định cấu hình và xác thực thành công một sổ tay bảo mật do người dùng quản lý bằng cách tạo một VPC độc lập tuỳ chỉnh có áp dụng các phương pháp hay nhất về tăng cường bảo mật cho sổ tay được quản lý, đồng thời triển khai lịch biểu thực thể để tối ưu hoá mức chi tiêu.

Tiếp theo là gì?

Hãy xem một số hướng dẫn trong số này...

Tài liệu đọc thêm & Video

Tài liệu tham khảo