Vertex AI erstellt ein sicheres, nutzerverwaltetes Notebook

1. Einführung

Mit nutzerverwalteten Vertex AI Workbench-Notebook-Instanzen können Sie Deep Learning-VM-Instanzen erstellen und verwalten, die bereits JupyterLab enthalten.

Nutzerverwaltete Notebookinstanzen enthalten eine vorinstallierte Suite von Deep-Learning-Paketen mit Unterstützung für die Frameworks TensorFlow und PyTorch. Sie können entweder ausschließlich CPU-basierte oder GPU-fähige Instanzen konfigurieren.

Umfang

In diesem Tutorial wird beschrieben, wie Sie ein sicheres nutzerverwaltetes Notebook gemäß den Best Practices für Netzwerk und Sicherheit bereitstellen. Dazu sind folgende Schritte erforderlich:

  1. VPC erstellen
  2. Cloud Router und Cloud NAT erstellen
  3. Notebook-Instanz mit den entsprechenden Sicherheitseinstellungen konfigurieren

In dieser Anleitung finden Sie detaillierte Anweisungen für jeden Schritt. Außerdem enthält sie Tipps und Best Practices für die Sicherung nutzerverwalteter Notebooks. Abbildung 1 zeigt die Bereitstellung mit einer eigenständigen VPC.

Abbildung 1

2292244ba0b11f71.png

Lerninhalte

  • So ermitteln Sie, ob eine freigegebene oder eigenständige VPC für Ihre Organisation geeignet ist
  • Eigenständige VPC erstellen
  • Cloud Router und Cloud NAT erstellen
  • Nutzerverwaltetes Notebook erstellen
  • Auf ein nutzerverwaltetes Notebook zugreifen
  • Zustand von nutzerverwalteten Notebooks überwachen
  • Instanzzeitplan erstellen und anwenden

Voraussetzungen

  • Google Cloud-Projekt

IAM-Berechtigungen

2. VPC-Netzwerk

Ein VPC-Netzwerk gleicht einem physischen Netzwerk, ist aber nur virtuell in Google Cloud vorhanden. Ein VPC-Netzwerk ist eine globale Ressource, die aus regionalen Subnetzen besteht. VPC-Netzwerke sind in Google Cloud logisch voneinander isoliert.

Eigenständige VPC

Abbildung 2 zeigt ein Beispiel für eine globale Standalone-VPC, die neben Cloud Router und Cloud NAT, die verwendet werden, damit das nutzerverwaltete Notebook eine sichere Verbindung zum Internet herstellen kann, auch ein regionales Subnetz (us-central1) umfasst.

Abbildung 2

2292244ba0b11f71.png

Shared VPC

Über eine freigegebene VPC können Sie in einem Hostprojekt Subnetze von einem VPC-Netzwerk in Dienstprojekte innerhalb derselben Organisation exportieren. Das Hostprojekt enthält Netzwerkressourcen, die für das Dienstprojekt freigegeben sind, z. B. Subnetze, Cloud NAT und Firewallregeln. Das Dienstprojekt enthält Ressourcen auf Anwendungsebene, die Netzwerkressourcen im Hostprojekt nutzen.

Abbildung 3 zeigt ein globales freigegebenes VPC-Netzwerk, in dem die Netzwerk- und Sicherheitsinfrastruktur im Hostprojekt und die Arbeitslasten im Dienstprojekt bereitgestellt werden.

Abbildung 3

1354a9323c8e5787.png

Eigenständige und freigegebene VPC im Vergleich

Ein einzelnes VPC-Netzwerk reicht für viele einfache Anwendungsfälle aus, da es einfacher zu erstellen, zu verwalten und zu verstehen ist als komplexere Alternativen. Freigegebene VPCs sind ein effektives Tool für Organisationen mit mehreren Teams, da sie es ermöglichen, die architektonische Einfachheit eines einzelnen VPC-Netzwerks durch die Verwendung von Dienstprojekten auf mehrere Arbeitsgruppen auszudehnen.

Im Tutorial verwendete VPC-Best Practices

  • Aktivieren Sie Cloud NAT, um auf das Notebook zuzugreifen.
  • Aktivieren Sie privaten Google-Zugriff , wenn Sie Subnetze erstellen.
  • Erstellen Sie präskriptive Firewallregeln, um unerwünschten Traffic zu reduzieren. Verwenden Sie z. B. nicht 0.0.0.0/0 tcp, sondern definieren Sie die genauen IP-Adressen der Subnetze oder Hosts.
  • Verwenden Sie Firewallrichtlinien, um den Umfang von Regeln für eingehenden Traffic einzugrenzen, z. B. nach geografischen Standorten, Threat Intelligence-Listen oder Quelldomainnamen.

3. Best Practices für Notebooks

Größe der Instanzen anpassen

  • Nicht verwendete Instanzen beenden und/oder löschen
  • Kleinere Startinstanz verwenden und mit kleineren Beispieldaten iterieren
  • Instanzen nach Bedarf hochskalieren
  • Mit kleineren Datasets experimentieren

Die richtigen Maschinentypen auswählen

  • Kostenoptimierte VMs
  • Hardware-Ressourcen besser nutzen, um Kosten zu senken
  • Bis zu 31% günstiger als N1
  • Zusätzliche Einsparungen (20–50%) bei 1‑ oder 3‑jährigen Zusicherungen
  • Durch Erhöhen der Maschinengröße oder Hinzufügen von GPUs können Sie die Leistung verbessern und Fehler aufgrund von Arbeitsspeicherbeschränkungen vermeiden.

Herunterfahren von Instanzen planen

  • Instanzen ausschalten, wenn sie inaktiv sind (nur für Festplattenspeicher bezahlen)
  • Notebook-VM-Instanzen so planen, dass sie zu bestimmten Zeiten automatisch heruntergefahren und gestartet werden

Zustand von Notebooks überwachen

Sicherheitsaspekte

Im Folgenden finden Sie die empfohlenen Sicherheitsaspekte beim Erstellen eines nutzerverwalteten Notebooks:

  • Wählen Sie die Option für den Notebook-Zugriff „Nur für einen einzelnen Nutzer“ aus. Wenn der angegebene Nutzer nicht der Ersteller der Instanz ist, müssen Sie ihm die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) im Dienstkonto der Instanz zuweisen.
  • Deaktivieren Sie die folgenden Optionen:
  • Root-Zugriff
  • nbconvert
  • Dateidownload aus der JupyterLab-UI
  • Cloud NAT wird verwendet, anstatt dem vom Nutzer verwalteten Notebook eine externe IP-Adresse zuzuweisen.
  • Wählen Sie die folgenden Compute-Optionen aus:
  • Secure Boot
  • Virtual Trusted Platform Module (vTPM)
  • Integritätsmonitoring

4. Hinweis

Projekt für das Tutorial aktualisieren

In dieser Anleitung werden $variables verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu erleichtern.

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud config list project
gcloud config set project [your-project-name]
projectid=your-project-name
echo $projectid

5. VPC einrichten

Eigenständige VPC erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks create securevertex-vpc --project=$projectid --subnet-mode=custom

Subnetz für nutzerverwaltete Notebooks erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create securevertex-subnet-a --project=$projectid --range=10.10.10.0/28 --network=securevertex-vpc --region=us-central1 --enable-private-ip-google-access

Cloud Router- und NAT-Konfiguration

Cloud NAT wird im Tutorial für das Herunterladen von Notebook-Softwarepaketen verwendet, da die Instanz mit vom Nutzer verwalteten Notebooks keine externe IP-Adresse hat. Cloud NAT bietet auch Egress-NAT-Funktionen. Das bedeutet, dass Internet-Hosts keine Kommunikation mit einem vom Nutzer verwalteten Notebook initiieren dürfen, was die Sicherheit erhöht.

Erstellen Sie in Cloud Shell den regionalen Cloud Router.

gcloud compute routers create cloud-router-us-central1 --network securevertex-vpc --region us-central1

Erstellen Sie in Cloud Shell das regionale Cloud NAT-Gateway.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-us-central1 --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

6. Storage-Bucket erstellen

Storage-Buckets bieten einen sicheren Datei-Upload und ‑Abruf. Im Tutorial enthält der Cloud-Speicher ein Post-Startscript zum Installieren von Generative AI-Paketen in den nutzerverwalteten Notebooks.

Erstellen Sie einen Cloud Storage-Bucket und ersetzen Sie BUCKET_NAME durch einen global eindeutigen Namen Ihrer Wahl.

Erstellen Sie in Cloud Shell einen eindeutigen Speicher-Bucket.

gsutil mb -l us-central1 -b on gs://BUCKET_NAME

„BUCKET_NAME“ für die Dauer des Labs speichern

BUCKET_NAME=YOUR BUCKET NAME
echo $BUCKET_NAME

7. Post-Startscript erstellen

Wenn Sie den Download der Pakete für generative KI aktivieren möchten, erstellen Sie in Cloud Shell mit dem vi- oder nano-Editor ein Post-Startscript und speichern Sie es als poststartup.sh.

#! /bin/bash
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Changing dir to /home/jupyter" >> /tmp/notebook_config.log 2>&1
cd /home/jupyter
echo "Cloning generative-ai from github" >> /tmp/notebook_config.log 2>&1
su - jupyter -c "git clone https://github.com/GoogleCloudPlatform/generative-ai.git" >> /tmp/notebook_config.log 2>&1
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Installing python packages" >> /tmp/notebook_config.log 2&1
su - jupyter -c "pip install --upgrade --no-warn-conflicts --no-warn-script-location --user \
     google-cloud-bigquery \
     google-cloud-pipeline-components \
     google-cloud-aiplatform \
     seaborn \
     kfp" >> /tmp/notebook_config.log 2>&1

Beispiel:

vpc_admin@cloudshell$ more poststartup.sh 
#! /bin/bash
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Changing dir to /home/jupyter" >> /tmp/notebook_config.log 2>&1
cd /home/jupyter
echo "Cloning generative-ai from github" >> /tmp/notebook_config.log 2>&1
su - jupyter -c "git clone https://github.com/GoogleCloudPlatform/generative-ai.git" >> /tmp/notebook_config.log 2>&1
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Installing python packages" >> /tmp/notebook_config.log 2&1
su - jupyter -c "pip install --upgrade --no-warn-conflicts --no-warn-script-location --user \
     google-cloud-bigquery \
     google-cloud-pipeline-components \
     google-cloud-aiplatform \
     seaborn \
     kfp" >> /tmp/notebook_config.log 2>&1

Laden Sie das Post-Startup-Skript mit gsutil aus Cloud Shell in Ihren Speicher-Bucket hoch.

gsutil cp poststartup.sh gs://$BUCKET_NAME

8. Dienstkonto erstellen

Für eine detaillierte Steuerung des nutzerverwalteten Notebooks ist ein Dienstkonto erforderlich. Nach der Generierung können die Dienstkontoberechtigungen entsprechend den geschäftlichen Anforderungen geändert werden. Im Rahmen der Anleitung werden für das Dienstkonto die folgenden Regeln angewendet:

Sie müssen die Service Account API , bevor Sie fortfahren.

Erstellen Sie das Dienstkonto in Cloud Shell.

gcloud iam service-accounts create user-managed-notebook-sa \
    --display-name="user-managed-notebook-sa"

Aktualisieren Sie das Dienstkonto in Cloud Shell mit der Rolle „Storage-Objekt-Betrachter“.

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:user-managed-notebook-sa@$projectid.iam.gserviceaccount.com" --role="roles/storage.objectViewer"

Aktualisieren Sie das Dienstkonto in Cloud Shell mit der Rolle „Vertex AI User“.

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:user-managed-notebook-sa@$projectid.iam.gserviceaccount.com" --role="roles/aiplatform.user"

Listen Sie in Cloud Shell das Dienstkonto auf und notieren Sie sich die E-Mail-Adresse, die beim Erstellen des nutzerverwalteten Notebooks verwendet wird.

gcloud iam service-accounts list

Beispiel:

$ gcloud iam service-accounts list
DISPLAY NAME: user-managed-notebook-sa
EMAIL: user-managed-notebook-sa@my-project-id.iam.gserviceaccount.com
DISABLED: False

9. Sicheres nutzerverwaltetes Notebook erstellen

Eine nutzerverwaltete Notebookinstanz ist eine Deep-Learning-VM-Instanz, auf der die neuesten Bibliotheken für maschinelles Lernen und Data Science vorinstalliert sind. Sie können optional Nvidia-GPUs zur Hardwarebeschleunigung einbinden.

Consumer-APIs aktivieren

Nutzerverwaltetes Notebook erstellen

  1. Zur Workbench
  2. Wählen Sie „Nutzerverwaltete Notebooks“ und dann „Notebook erstellen“ aus. Die Seite „Nutzerverwaltetes Notebook erstellen“ wird geöffnet.
  3. Wenn ein vorhandenes Notebook bereitgestellt wird, wählen Sie „Nutzerverwaltete Notebooks“ → „Neues Notebook“ → „Anpassen“ aus.
  4. Geben Sie auf der Seite „Nutzerverwaltetes Notebook erstellen“ im Abschnitt „Details“ die folgenden Informationen für Ihre neue Instanz an:
  • Name: Geben Sie einen Namen für Ihre neue Instanz ein.
  • Region und Zone: In dieser Anleitung werden die Region us-central1 und die Zone us-central1-a verwendet.

Wähle Weiter aus.

  1. Geben Sie im Bereich Umgebung Folgendes an:
  • Betriebssystem: Wählen Sie das Betriebssystem aus, das Sie verwenden möchten.
  • Wählen Sie die Umgebung aus, die Sie verwenden möchten.
  • Version: Wählen Sie die Version aus, die Sie verwenden möchten.
  • Post-Startskript (optional, verwenden Sie das zuvor erstellte generative KI-Skript): Wählen Sie „Durchsuchen“ aus, um ein Skript auszuwählen, das nach dem Start der Instanz ausgeführt werden soll.
  • Metadaten: Optional: Geben Sie benutzerdefinierte Metadatenschlüssel für die Instanz an.

Wähle Weiter aus.

  1. Geben Sie im Abschnitt „Maschinentyp“ Folgendes an:
  • Maschinentyp: Wählen Sie die Anzahl der CPUs und die Größe des Arbeitsspeichers für Ihre neue Instanz aus. Vertex AI Workbench stellt monatliche Kostenvoranschläge für jeden von Ihnen ausgewählten Maschinentyp bereit.
  • GPU-Typ: Wählen Sie den GPU-Typ und die Anzahl der GPUs für Ihre neue Instanz aus. Informationen zu den verschiedenen GPUs finden Sie unter GPUs in Compute Engine.
  • Wählen Sie das Kästchen „NVIDIA GPU-Treiber automatisch installieren“ aus.

Shielded VM

  • Secure Boot aktivieren
  • vTPM aktivieren
  • Integrity Monitoring aktivieren

Wähle Weiter aus.

  1. Geben Sie im Abschnitt „Laufwerke“ Folgendes an:
  • Laufwerke: Optional: Wenn Sie die Standardeinstellungen für das Boot- oder Datenlaufwerk ändern möchten, wählen Sie den gewünschten Bootlaufwerktyp, die gewünschte Bootlaufwerkgröße in GB, den gewünschten Datenlaufwerktyp und die gewünschte Größe des Datenlaufwerks in GB aus. Weitere Informationen zu Laufwerkstypen finden Sie unter Speicheroptionen.
  • Über Papierkorb löschen: Optional. Klicken Sie dieses Kästchen an, um das Standardverhalten des Betriebssystems für den Papierkorb zu verwenden. Wenn Sie das Standardverhalten für den Papierkorb verwenden, können Dateien, die über die JupyterLab-Benutzeroberfläche gelöscht wurden, wiederhergestellt werden. Diese gelöschten Dateien nehmen aber Speicherplatz in Anspruch.
  • Sicherung: Optional: Wenn Sie einen Cloud Storage-Speicherort mit dem Datenlaufwerk Ihrer Instanz synchronisieren möchten, wählen Sie „Durchsuchen“ aus und geben Sie den Cloud Storage-Speicherort an. Informationen zu Speicherkosten finden Sie unter Cloud Storage – Preise.
  • Verschlüsselung: Von Google verwalteter Verschlüsselungsschlüssel

Wähle Weiter aus.

  1. Geben Sie im Abschnitt „Netzwerk“ Folgendes an:
  • Netzwerk: Wählen Sie entweder „Netzwerke in diesem Projekt“ oder „Für mich freigegebene Netzwerke“ aus. Wenn Sie eine freigegebene VPC im Hostprojekt verwenden, müssen Sie auch dem Notebooks-Dienst-Agent aus dem Dienstprojekt die Rolle „Compute Network User“ (roles/compute.networkUser) zuweisen.
  • Wählen Sie im Feld „Netzwerk“ das gewünschte Netzwerk aus. In der Anleitung wird das Netzwerk securevertex-vpc verwendet. Sie können ein VPC-Netzwerk auswählen, sofern das Netzwerk über privaten Google-Zugriff verfügt oder auf das Internet zugreifen kann. Wählen Sie im Feld „Subnetzwerk“ das gewünschte Subnetzwerk aus. Im Tutorial wird das Subnetzwerk securevertex-subnet-a verwendet.
  • Zuweisung einer externen IP-Adresse deaktivieren
  • Proxyzugriff zulassen

Wähle Weiter aus.

81bb7dbe31fbf587.png

  1. Geben Sie im Abschnitt „IAM und Sicherheit“ Folgendes an:
  • Wählen Sie Einzelner Nutzer aus und geben Sie dann im Feld „E-Mail-Adresse des Nutzers“ das Nutzerkonto ein, dem Sie Zugriff gewähren möchten. Wenn der angegebene Nutzer nicht der Ersteller der Instanz ist, müssen Sie ihm die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) im Dienstkonto der Instanz zuweisen.
  • Deaktivieren Sie „Compute Engine-Standarddienstkonto auf der VM zum Aufrufen von Google Cloud APIs verwenden“.
  • Geben Sie die E-Mail-Adresse des neu erstellten Dienstkontos ein, z. B. user-managed-notebook-sa@my-project-id.iam.gserviceaccount.com.

Sicherheitsoptionen

  • Deaktivieren Sie „Root-Zugriff auf die Instanz aktivieren“.
  • „nbconvert aktivieren“ deaktivieren
  • Deaktivieren Sie „Dateidownload aus der JupyterLab-UI aktivieren“.
  • Terminal aktivieren (für Produktionsumgebungen deaktivieren)

Wähle Weiter aus.

e19f3cd05a2c1b7f.png

  1. Geben Sie im Abschnitt „Systemzustand“ Folgendes an:

Umgebungsupgrade und Systemzustand

  • Klicken Sie das Kästchen „Automatisches Umgebungsupgrade aktivieren“ an.
  • Wählen Sie aus, ob Sie das Notebook wöchentlich oder monatlich aktualisieren möchten.

Aktivieren oder deaktivieren Sie unter „Systemzustand und Berichte“ die folgenden Kästchen:

  • Systemzustandsbericht aktivieren
  • Benutzerdefinierte Messwerte an Cloud Monitoring melden
  • Cloud Monitoring-Agent installieren

Wählen Sie Erstellen aus.

10. Validierung

Vertex AI Workbench erstellt anhand der angegebenen Attribute eine nutzerverwaltete Notebookinstanz und startet diese Instanz automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen, über den der Endnutzer auf das Notebook zugreifen kann.

11. Beobachtbarkeit

System- und Anwendungsmesswerte über Monitoring überwachen

Für nutzerverwaltete Notebookinstanzen, auf denen Monitoring installiert ist, können Sie Ihre System- und Anwendungsmesswerte mithilfe der Google Cloud Console überwachen:

  1. Rufen Sie in der Google Cloud Console die Seite Nutzerverwaltete Notebooks auf.
  2. Klicken Sie auf den Instanznamen, für den Sie die System- und Anwendungsmesswerte aufrufen möchten.
  3. Klicken Sie auf der Seite Notebook-Details auf den Tab Monitoring. Sehen Sie sich die System- und Anwendungsmesswerte für Ihre Instanz an.

12. Notebook-Zeitplan erstellen

Mit Instanzzeitplänen können Sie VM-Instanzen automatisch starten und beenden. Die Verwendung von Instanzzeitplänen zur Automatisierung der Bereitstellung Ihrer VM-Instanzen kann Ihnen helfen, Kosten zu optimieren und VM-Instanzen effizienter zu verwalten. Sie können Instanzzeitpläne sowohl für wiederkehrende als auch für einmalige Arbeitslasten verwenden. Sie können beispielsweise Instanzzeitpläne verwenden, um VM-Instanzen nur während der Arbeitszeit auszuführen oder um Kapazitäten für ein einmaliges Ereignis bereitzustellen.

Erstellen Sie eine Ressourcenrichtlinie, die das Start- und Stoppverhalten beschreibt, um Instanzzeitpläne zu verwenden und hängen Sie dann die Richtlinie an eine oder mehrere VM-Instanzen an.

In der Anleitung wird gezeigt, wie Sie einen Instanzzeitplan erstellen, der Ihr Notebook um 7:00 Uhr einschaltet und um 18:00 Uhr ausschaltet.

Zum Erstellen des Instanzzeitplans benötigen Sie die Berechtigungen „compute.instances.start“ und „compute.instances.stop“. Daher wird eine benutzerdefinierte Rolle empfohlen, die von Ihrem Administrator erstellt und Ihnen zugewiesen wird.

Nach der Erstellung wird die benutzerdefinierte Rolle dem Compute Engine-Standarddienstkonto in Ihrem Projekt zugewiesen. Dadurch kann der Instanzzeitplan Ihr Notebook starten und stoppen.

Benutzerdefinierte Rolle erstellen

Erstellen Sie in Cloud Shell eine benutzerdefinierte Rolle mit dem Namen „VmScheduler“ und fügen Sie die erforderlichen Berechtigungen hinzu.

gcloud iam roles create Vm_Scheduler --project=$projectid \
    --title=vm-scheduler-notebooks \
    --permissions="compute.instances.start,compute.instances.stop" --stage=ga

Beschreiben Sie die benutzerdefinierte Rolle in Cloud Shell.

gcloud iam roles describe Vm_Scheduler --project=$projectid

Beispiel:

$ gcloud iam roles describe Vm_Scheduler --project=$projectid
etag: BwX991B0_kg=
includedPermissions:
- compute.instances.start
- compute.instances.stop
name: projects/$projectid/roles/Vm_Scheduler
stage: GA
title: vm-scheduler-notebooks

Standarddienstkonto aktualisieren

Im folgenden Abschnitt identifizieren und aktualisieren Sie das Standarddienstkonto im Format PROJECT_NUMBER-compute@developer.gserviceaccount.com.

Ermitteln Sie in Cloud Shell die aktuelle Projektnummer.

gcloud projects list --filter=$projectid

Speichern Sie die Projektnummer in Cloud Shell als Variable.

project_number=your_project_number
echo $project_number

Aktualisieren Sie in Cloud Shell das Standarddienstkonto für Compute Engine mit der benutzerdefinierten Rolle „VM_Scheduler“.

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:$project_number-compute@developer.gserviceaccount.com" --role="projects/$projectid/roles/Vm_Scheduler"

Instanzzeitplan erstellen

Erstellen Sie in Cloud Shell den Start- und Stoppzeitplan.

gcloud compute resource-policies create instance-schedule optimize-notebooks \
    --region=us-central1 \
    --vm-start-schedule='0 7 * * *' \
    --vm-stop-schedule='0 18 * * *' \
        --timezone=America/Chicago

Speichern Sie in Cloud Shell den Namen Ihres Notebooks.

gcloud compute instances list
notebook_vm=your_notebookvm_name
echo $notebook_vm

Sie können einen Instanzzeitplan an jede vorhandene VM-Instanz anhängen, die sich in derselben Region wie der Instanzzeitplan befindet.

Ordnen Sie in Cloud Shell den Zeitplan Ihrem Notebook zu.

gcloud compute instances add-resource-policies $notebook_vm \
--resource-policies=optimize-notebooks \
--zone=us-central1-a

13. Bereinigen

Löschen Sie das nutzerverwaltete Notebook in der Console. Rufen Sie dazu Vertex AI → Workbench auf, wählen Sie das Notebook aus und löschen Sie es.

Löschen Sie VPC-Komponenten über Cloud Shell.

gcloud compute routers delete cloud-router-us-central1 --region=us-central1 --quiet

gcloud compute routers nats delete cloud-nat-us-central1 --region=us-central1 --router=cloud-router-us-central1 --quiet

gcloud compute instances remove-resource-policies $notebook_vm \
--resource-policies=optimize-notebooks \
--zone=us-central1-a --quiet

gcloud compute resource-policies delete optimize-notebooks --region=us-central1 --quiet

gcloud compute instances delete $notebook_vm --zone=us-central1-a --quiet

gcloud compute networks subnets delete securevertex-subnet-a --region=us-central1 --quiet 

gcloud iam service-accounts delete user-managed-notebook-sa@$projectid.iam.gserviceaccount.com --quiet 

gcloud projects remove-iam-policy-binding $projectid --member="serviceAccount:$project_number-compute@developer.gserviceaccount.com" --role="projects/$projectid/roles/Vm_Scheduler"

gcloud iam roles delete Vm_Scheduler --project=$projectid

gcloud compute networks delete securevertex-vpc --quiet

14. Glückwunsch

Gut gemacht! Sie haben ein sicheres, nutzerverwaltetes Notebook erfolgreich konfiguriert und validiert, indem Sie eine benutzerdefinierte eigenständige VPC mit Best Practices für die Sicherheit von verwalteten Notebooks erstellt und einen Instanzzeitplan zur Optimierung der Ausgaben implementiert haben.

Nächste Schritte

Hier findest du einige Tutorials:

Weitere Informationen und Videos

Referenzdokumente